Dans son rapport annuel spécifique publié le 4 juin 2012, la Cour des comptes européenne a examiné le caractère approprié du cadre global de gestion des risques à la BCE et a évalué si celle-ci gère efficacement les risques opérationnels et financiers.

La Banque centrale européenne (BCE) et les banques centrales nationales de l'ensemble des États membres de l'Union européenne constituent le Système européen de banques centrales (SEBC). L'objectif principal du SEBC est de maintenir la stabilité des prix. Le SEBC apporte également son soutien aux politiques économiques générales dans l'UE en vue de contribuer à la réalisation des objectifs de l'Union. À cette fin, la BCE s'acquitte des tâches définies dans ses statuts et est responsable de la gestion de ses activités et de ses finances.

Les organes de décision de la BCE sont le conseil des gouverneurs et le directoire. Celui-ci met en œuvre la politique monétaire conformément aux orientations et aux décisions arrêtées par le conseil des gouverneurs et assume la responsabilité globale de la gestion des activités courantes de la BCE et de ses ressources. Le directoire est également responsable en dernier ressort de la gestion des risques à la BCE.

La gestion des risques à la BCE est assurée au moyen de deux cadres distincts. L'unité responsable de la gestion des risques opérationnels (ORM/BCM) couvre l'ensemble des risques opérationnels, y compris la continuité des activités. La division Gestion des risques (RMA) est chargée de la gestion des risques financiers, y compris des activités de placement et des opérations de crédit de la BCE.

L'audit de la Cour relatif à l'exercice 2010 avait pour objectif d'évaluer le caractère approprié du cadre de gestion des risques opérationnels et financiers de la BCE. Pour évaluer la gestion des risques à la BCE, les questions d'audit clés suivantes ont été examinées :

• La BCE a-t-elle mis en place un cadre de gouvernance approprié et complet pour la gestion des risques ?
• La BCE a-t-elle géré efficacement les risques opérationnels auxquels elle est exposée ?
• La BCE a-t-elle géré efficacement les risques financiers auxquels elle est exposée ?

La BCE a-t-elle mis en place un cadre de gouvernance approprié et complet pour la gestion des risques ?

La BCE a mis en place une structure organisationnelle complète, avec des rôles et des responsabilités clairement répartis, observent les auditeurs. Toutefois, il existe une séparation marquée entre la gestion des risques financiers et celle des risques opérationnels au sein de la Banque, ce qui augmente le danger que celle-ci ne dispose pas d'une vue d'ensemble complète des risques auxquels elle est exposée. Aucune autorité indépendante et unique, tel un responsable ou un comité des risques, n'a été instituée pour faire le lien entre le directoire et la fonction/les unités chargées de la gestion des risques, à savoir la fonction ORM/BCM et les unités relevant de la division RMA.

Les comptes annuels de la BCE abordent brièvement certaines questions de gestion des risques, mais ne présentent pas une vue d'ensemble du processus de gestion des risques au sein de l'organisation, ni les risques encourus, ni l'approche adoptée par l'encadrement pour y faire face.

La Cour des comptes européenne recommande donc à la BCE d’envisager de mettre en place une fonction de gestion des risques unique et indépendante d'un point de vue hiérarchique, tel un responsable ou un comité des risques, qui se concentrerait exclusivement sur la gestion des risques et garantirait une vision globale des risques auxquels est exposée la Banque.

Dans le cadre de ses comptes annuels, la BCE devrait encore améliorer la communication d'informations aux tierces parties concernant ses pratiques en matière de gestion des risques, et ce en se conformant aux meilleures pratiques, par exemple la norme IFRS 7, recommandent encore les auditeurs.

La BCE a-t-elle géré efficacement les risques opérationnels auxquels elle est exposée ?

La BCE dispose d'une structure organisationnelle claire ; elle a établi des politiques adéquates en matière de gestion des risques opérationnels qui définissent l'approche adoptée par la Banque en matière d'évaluation, de suivi et de maîtrise/d'atténuation des risques.

Si des évaluations descendantes ont été réalisées en 2008 et 2009 et des plans d'action définis pour chacune des entités organisationnelles, les analyses coûts-avantages n'ont toutefois pas été documentées.

Un système d'établissement de rapports, de contrôle et de suivi a été mis en place et un calendrier a été convenu afin d'assurer le suivi des mesures prises en matière d'atténuation des risques pour les risques de niveau moyen ou élevé. S'agissant de certains risques, la procédure d'acceptation par le comité du risque opérationnel/le directoire a cependant nécessité vraiment beaucoup de temps. Aucune corrélation n'est établie entre les cycles de planification et de gestion des risques opérationnels. En outre, les activités liées à la gestion des risques opérationnels n'apparaissaient pas clairement dans les programmes de travail de certaines entités organisationnelles contrôlées.

La BCE a élaboré un manuel de gestion des crises complet, qui définit les rôles, les responsabilités et les processus en cas de crise, et contient les coordonnées de l'équipe de gestion des crises. Chaque entité organisationnelle est pleinement responsable de l'établissement de son plan de continuité des activités.

La BCE a mis en place un cadre solide, qui fournit des orientations sur les politiques, les processus et les responsabilités en matière de gestion de la continuité des activités au sein de l'organisation. Toutefois, observent les auditeurs :

1. même si une mise à jour approfondie de l'analyse d'impact sur l'activité a été réalisée en 2007 et achevée en 2010, aucune analyse d'impact complète sur l'activité n'a été effectuée depuis le début de la crise financière;
2. un plan pour faire face à de lourdes pertes au niveau des ressources humaines fait défaut;
3. les tests prévus ne couvraient pas entièrement tous les scénarios de catastrophe envisagés par la BCE;
4. certains tests programmés pour 2009 et 2010 n'ont pas été réalisés.

La Cour des comptes européenne recommande donc que l'évaluation annuelle des risques opérationnels fasse partie intégrante du cycle de planification stratégique et financière de la BCE, ainsi que des programmes de travail annuels des différentes entités organisationnelles. Les auditeurs appellent aussi à adopter rapidement les mesures concernant les risques opérationnels de niveau élevé. Enfin, la BCE est invitée à continuer de renforcer ses plans de continuité des activités et le programme de tests en la matière, et s'efforcer de faire en sorte que tous les tests prévus soient réalisés.

La BCE a-t-elle géré efficacement les risques financiers auxquels elle est exposée ?

Le cadre global et celui de gestion des risques financiers mis en place par la BCE aux fins de gestion des opérations de placement et de politique monétaire sont adéquats, jugent les auditeurs. L'examen du cadre de gestion des risques financiers a montré que la méthodologie adoptée en la matière est solide et adaptée à la gestion des opérations de placement et de politique monétaire à la BCE.

Toutefois, l'application pratique de cette méthodologie doit être améliorée, par exemple en ce qui concerne les modèles utilisés pour le calcul des références stratégiques et tactiques, ainsi que pour le calcul de la VaR. La VaR est une mesure couramment utilisée pour évaluer le risque de perte pour un portefeuille d'actifs financiers donné. Pour un portefeuille, un seuil de confiance et un horizon temporel donnés, la VaR est un seuil déterminé de telle manière que la probabilité que la perte du portefeuille évaluée à la valeur de marché, sur l'horizon temporel en question, dépasse ledit seuil, dans des conditions normales de marché et en supposant qu'il n'y ait pas de mouvements au sein du portefeuille, représente le niveau de probabilité défini. 

Les rapports internes relatifs à la gestion des risques fournissent aux cadres dirigeants et au directoire de la BCE des informations précises, adéquates et complètes sur la gestion des risques financiers. Les rapports sur les performances sont établis régulièrement et en temps opportun; en revanche, ils ne sont pas mis à jour de façon régulière de sorte à tenir compte des modifications apportées aux normes GIPS.

 La Cour des comptes européenne recommande donc à la BCE de continuer à améliorer l'examen et la validation des modèles utilisés pour le calcul des références stratégiques et tactiques, ainsi que pour le calcul de la VaR. Elle l’appelle notamment à s'efforcer de rassembler une documentation détaillée lorsque les documents sont jugés insuffisants, réaliser des tests des modèles, ainsi qu'assurer une révision régulière des hypothèses de modèles. Par ailleurs, estiment les auditeurs, les changements apportés aux normes GIPS devraient être examinés sur une base annuelle et il faudrait envisager d'en tenir pleinement compte lors de l'établissement des rapports internes de la BCE sur les performances.