La gestion des risques des systèmes de paiement
Le risque est l’essence même du métier bancaire et la justification de sa rémunération. Cosme de Médicis (1389-1464), dans ses instructions aux directeurs des succursales étrangères, leur recommandait de ne pas prêter aux princes, car ils ne remboursaient jamais, mais de limiter les prêts au financement des opérations commerciales de marchands connus pour leur professionnalisme et leur intégrité. Au XVIe siècle, les Fugger disposaient d’équipes d’auditeurs itinérants qui allaient de succursales en succursales vérifier les comptes.
Avec le temps, la gestion des risques s’est étendue à de nouveaux champs : risques de marché, risques technologiques, risques systémiques. Mais les moyens d’analyse et de contrôle ne se développent pas aussi vite que les nouveaux risques. L’environnement économique et financier est devenu beaucoup plus incertain. Dans la période 1945-1980, on a enregistré moins de 10 faillites par an aux États-Unis. A la fin des années 80s le nombre des faillites bancaires était de 200 par an. Ces crises sont également plus coûteuses.
On estime que la crise du système bancaire japonais a coûté 10 % du PIB, la crise du Mexique (1994-1995) 20 % et la crise asiatique (1997-1998) bien plus encore (50 % pour l’Indonésie). Rien qu’en France le coût de la sécurité intérieure des entreprises a atteint 11,2 milliards d’euros en 2002, en progression de près de 10 % par an. Le surcoût des politiques de sécurité peut aller de 2 à 6 % du chiffre d’affaires (sources : cabinet Kroll). D’après une enquête internationale du cabinet Deloitte, 83 % des banques interrogées ont connu une défaillance de leur système de sécurité en 2004, contre 39 % en 2003. Les investissements consacrés à la sécurité représentent 6 à 8 % des budgets informatiques des banques.
Les systèmes de paiement sont particulièrement vulnérables. L’innovation joue un rôle ambigu : d’un côté, les innovations techniques ou financières créent de nouveaux instruments de maîtrise des risques, de l’autre, elles créent de nouveaux risques.
Nous examinerons rapidement l’évolution de la notion de risque avant de traiter la gestion des risques (risques opérationnels, risques juridiques, risques financiers), la finalité des paiements et le rôle des autorités de tutelle – nationales et internationales.
La notion de risque
L ’économie du risque
On s’est demandé pourquoi les Grecs et les Arabes se sont arrêtés au seuil du calcul des probabilités, alors qu’ils disposaient de toutes les con¬naissances mathématiques nécessaires. D’où vient cette inaptitude à pen¬ser l’impensable. Les Grecs étaient intéressés par la vérité abstraite et absolue, non par la vérité expérimentale et forcément approchée. Jusqu’à la Renaissance, les mathématiciens vivent dans une société rurale où la stabilité était considérée comme la vertu première.
Les seuls risques étaient d’ordre météorologique ou militaire, deux phénomènes qui échappaient à la raison humaine comme au contrôle de l’individu. Ce sont les penseurs de la Renaissance et de la Réforme qui ont enseigné à l’homme que la rationalité scientifique gouverne les lois de la nature et qu’il peut maîtriser son destin. L’idée que l’on peut contrôler les risques suppose que les hommes se considèrent comme des agents indépendants disposant de leur libre arbitre. Les calculs de risque et de rentabilité sont alors étroitement liés aux professions de marchand, de banquier, d’armateur, d’assu¬reur, toutes professions alors en pleine ascension sociale.
Le fameux pari de Pascal peut être considéré comme la première ten¬tative de quantification des risques, de penser un problème dont l’issue est inconnue en termes de pertes et de gains. Mais c’est en apportant une solution au problème dit des « points » (quelle est la répartition des restes entre les partenaires d’un jeu en fonction de leurs performances passées si l’on interrompt le cours du jeu ?) que Biaise Pascal et Pierre Fermât ont jeté les fondements de la théorie des probabilités. Solution algébrique pour Fermât, solution géométrique pour Pascal (le « Triangle » de Pascal), pour la première fois une procédure systématique permettait de pré¬voir l’apparition d’un évènement donné en fonction des séries précédentes.
La loi des moyennes
Aujourd’hui encore, la théorie des probabilités est largement fondée sur la loi de Laplace-Gauss élaborée au début du XIXe siècle (1809). Plus le nombre d’observations augmente, plus elles se rassemblent vers une
valeur moyenne. Les observations elles-mêmes se répartissent de façon égale de part et d’autre de la moyenne pour former la « courbe de Gauss ».
La loi ne s’applique que si deux conditions sont remplies :
1) le nombre des observations doit être suffisamment important,
2) les observations doivent être indépendantes les unes des autres.
Bien que les observations soient indépendantes (et elles doivent l’être), elles ont toutes la même moyenne et (globalement) le même écart à la moyenne. La courbe de Gauss est symétrique.
Développant la loi des grands nombres établie par Jakob Bernoulli à la fin du xvne siècle, la théorie de la moyenne de Gauss (ou la théorie de la moyenne des moyennes dans la présentation de Laplace) est à son tour perfectionnée par le principe de la régression à la moyenne. Initié par Francis Galton (le cousin germain de Darwin) à l’occasion de ses études sur l’eugénisme, repris par le démographe Louis Adolphe Jacques Quéte- let pour élaborer son concept de « l’homme moyen », le principe de régression à la moyenne exploite la tendance à rassembler les observations vers un point central – la moyenne-à mesure que le nombre des observa¬tions augmente.
Le principe de régression à la moyenne a des applications financières évidentes Sur les marchés boursiers, le marché « sur-réagit » (over-react) à toute nouvelle information mais dans le long terme les cours retrouvent leurs valeurs moyennes. La variance d’une série d’observations indépendantes diminue à mesure que les séries augmentent. L’incertitude en matière de retour sur investissement est donc plus faible à long terme qu’à court terme. Les deux phénomènes de sur-réaction à court terme et de régression à la moyenne à long terme se compensent .
La théorie des probabilités complétée par le principe de la régression à la moyenne n’aurait pu être opérationnelle sans un ordre de mesure qui permette de quantifier la satisfaction individuelle. Avec le concept d’utilité, Daniel Bernoulli (neveu de Jakob) fournit un instrument de mesure commun et objectif de l’échelle des préférences individuelles. Théorisé et généralisé par Jeremy Bentham, le concept d’utilité entend rapprocher la méthodologie des sciences sociales et celle des sciences naturelles. En termes économiques, le concept d’utilité sera le fondement de toutes les théories néoclassiques construites autour du principe d’un équilibre stable.
La théorie des probabilités fondée sur le concept d’utilité suppose un comportement rationnel. Pour Keynes2, l’incertitude est causée par l’irrationalité : c’est l’irrationalité des uns qui procure les opportunités de gain des autres. Si les individus ne se comportent pas nécessairement de façon rationnelle, le marché quant à lui est rationnel. En 1952, Harry Markowitz, alors étudiant de 23 ans de Princeton (et futur Prix Nobel),
formalise la loi de diversification des portefeuilles qui est encore à la base des techniques de gestion des risques L’instrument de mesure, le VAR (‘Value at Risk), représente le montant maximum qu’une institution peut perdre avec un certain seuil de probabilité.
La loi de diversification de portefeuille comporte une version historique et une version analytique. La version historique détermine une distribution de la probabilité de la valeur du portefeuille à partir des prix enregistrés dans le passé. La version analytique permet d’actualiser le modèle historique au moyen d’une réflexion théorique sur le comportement des cours boursiers. L’extrême volatilité des cours (dérégulation des marchés, diffusion des innovations financières) a remis en honneur la loi de diversification des portefeuilles.
Mais la loi de diversification des portefeuilles ne peut couvrir les risques de fluctuation des cours lorsque c’est l’ensemble des valeurs cotées qui montent ou qui descendent. Le comportement boursier de ces dernières années a montré que les accidents qui affectent certains compartiments ou certaines valeurs – comme les valeurs technologiques – entraînent à la baisse comme à la hausse l’ensemble du secteur voire l’ensemble du marché.
Les produits dérivés ont été précisément conçus pour répondre à cette nouvelle approche du risque : le risque maximum encouru par une institution ou une transaction est considéré comme une prémisse et non comme une conséquence qu’il convient de maîtriser.
On sait qu’il existe deux catégories de produits dérivés : les contrats de futures (par lequel l’une des parties s’engage à livrer tel produit à telle échéance à un prix convenu à la conclusion du contrat) et les contrats d’options (qui donnent la possibilité à l’une des parties d’acheter ou de vendre à l’autre partie à un prix convenu). Le produit dérivé est à la fois un produit financier (par exemple pour faire des profits sur un marché en baisse) et un contrat d’assurance qui porte sur le prix à terme actualisé d’un ou de plusieurs actifs (le « gisement »). Mais les produits dérivés ne font que déplacer le problème du risque de l’analyse du risque de marché vers l’analyse du risque de con-trepartie (qui n’est pas nécessairement plus facile à appréhender).
La loi des extrêmes
Déjà le mathématicien Augustin Cournot mettait en doute la pertinence de la loi des moyennes qui, selon lui, était trop générale – trop réductrice – pour refléter la réalité. Maurice Fléchet a montré que le calcul d’une moyenne n’est pertinent que si la dispersion autour de la moyenne est limitée. La loi des extrêmes est inspirée des travaux de Vilfredo Pareto sur la distribution des revenus. Au lieu de se conformer à la courbe de Gauss, la distribution des revenus est représentée par une courbe de forme hyperbolique . Lorsque le nombre de données augmente, la moyenne et l’écart type ne convergent pas, ils divergentl.
La loi des extrêmes est inspirée des travaux de Vilfredo Pareto sur la distribution des revenus. Au lieu de se conformer à une courbe de Gauss, la distribution des revenus est représentée par une courbe de forme hyperbolique (x). Le nombre des individus qui reçoivent un revenu supérieur ou égal à un niveau donné est égal à une puissance inverse de ce niveau (courbe de fréquence cumulée), après une section concave (t) la distribution suit une droite (x) dite « droite de Pareto » de pente comprise entre – 1 et – 2. Lorsque la pente est inférieure ou égale à , la courbe n’a plus d’écart type : celui-ci est infini.
Lorsque la pente est inférieure ou égale a , la courbe n’a ni écart type ni moyenne, ils sont tous deux infinis. Lorsque le nombre de données augmente, la moyenne et l’écart type ne convergent pas, ils divergent. L’analyse des « queues de distribution » (t et t’), c’est-à-dire des observations enregistrées à gauche et à droite de la courbe, permet de déterminer la fréquence de phénomènes extrêmes qui s’écartent de la courbe de probabilité.
Les lois de puissance de type Pareto sont invariantes quel que soit le changement d’échelle i.e. le nombre de sinistres ou encore le sinistre maximum que le système de paiement est prêt à encourir.
On renverse la problématique du risque : sachant que les risques induits par un système de paiement sont par définition illimités (les ordres de paiement sont initiés par le débiteur indépendamment de la liquidité disponible), au lieu de calculer les risques sur la base de la capacité de paiement, on détermine quel est le risque maximum que le système est disposé à subir (en fonction par exemple du montant des liquidités ou du collatéral immobilisé par le participant : le coût du risque est alors égal au coût d’opportunité).
Comme le concept d’équilibre en macro-économie, celui de moyenne en micro-économie ne rend plus compte de la distribution des risques. La notion de « normal » fondée sur le calcul des probabilités fait place à la notion d’« extrême » : il faut désormais apprendre à gérer des changements d’échelle imprévisibles.
Si l’on s’en tient à la loi des grands nombres et au principe de répartition autour de la moyenne, le risque d’un système de paiement diminue à mesure que le nombre de participants et le nombre de transactions aug¬mentent. Si l’on s’en tient à la loi des extrêmes, les systèmes de paiement fonctionnent à l’inverse : sachant qu’il suffit de la défaillance d’un seul participant pour menacer tout le système, plus le nombre de participants augmente, plus le risque de défaillance du système augmente.
Les modèles non linéaires
Dès lors que l’on remet en cause l’universalité de la théorie des probabilités fondée sur la courbe de Gauss (et ses prolongements comme la déviation moyenne, la régression à la moyenne, le principe de diversification), la gestion des risques entre dans une nouvelle dimension. Suivant le principe de non-linéarité, les résultats ne sont pas proportionnels aux causes. Les déviations par rapport à la norme ne se répartissent pas symétriquement par rapport à la moyenne. La régression à la moyenne est impossible par manque d’échelle commune. La moyenne est une quantité mobile. En son temps, Poincaré avait ainsi établi la loi de discontinuité qui remettait en question les rapports de causes à effets.
Ces réflexions ont orienté les recherches vers de nouvelles directions comme la théorie du chaos déterministe (Chorafas, « Chaos Theory in Financial Markets », 1994), la théorie des processus stables non gaussiens, les mouvements browniens de Roger Brown (1827) ressuscités par Norbert Wiener un siècle plus tard en 1920, les objets fractals de Mandelbrot (Frcictales, Hasard et Finance, 1997) qui rend compte des structures irrégulières, les algorithmes génétiques qui tentent de reproduire la manière dont les caractéristiques génétiques se transmettent d’une génération à l’autre, les réseaux neuronaux qui s’attachent à déduire les inférences permettant de définir la prochaine expérience à partir du traitement des informations accumulées au cours des expériences précédentes, les théories de l’asymétrie des comportements (on sait par exemple que les spéculateurs sont « risk-adverse » : les risques de pertes sont surestimés par rapport aux perspectives de gain).
La politique du risque
Les lois de l’économie ne sont pas stables et immuables mais elles sonl liées au système culturel de la société. Ainsi la mesure du risque et la per ception du risque ne correspondent pas nécessairement. Les politiques de gestion des risques sont aussi politiques et même idéologiques dans mesure où elles répondent aux valeurs dominantes et aux manifestations de la sensibilité collective. Avec l’émergence du principe de précaution, la notion de risque déborde le champ des considérations techniques pour toucher à des domaines sociaux et politiques comme le statut de la science, l’articulation des sphères de la politique et de l’économique, la construction identitaire de l’individu.
L’innovation est perçue comme source de progrès et de bien-être mais aussi comme génératrice de risques nouveaux (risques d’autant plus redoutables qu’ils ne sont pas mesurables). La communauté scientifique est à la fois juge et partie. La science n’a plus le monopole de la connaissance. « Les sources de danger ne sont plus l’ignorance mais le savoir ».
Du fait de leur technicité et des sommes en cause, les systèmes de paiement sont particulièrement sensibles aux problèmes de risques. La gestion des risques réintègre les systèmes de paiement au centre de la problématique économique et monétaire.
L’hyper-spécialisation a fragmenté non seulement les connaissances mais aussi les responsabilités. L’identification et la gestion du risque se trouvent presque toujours à la frontière de deux domaines de connaissance. De même, les risques se manifestent souvent à l’interface de deux systèmes. Le principe de rationalité est insuffisant pour prendre une décision adaptée à l’environnement technique mais aussi économique. « La science est à la fois de plus en plus nécessaire et de moins en moins suffisante » .
Enfin le rapport du politique et de l’économique est faussé. Le lien organique et historique entre le capitalisme et la démocratie est rompu. « L’économie n’est pas responsable de ce qu’elle génère et l’État est responsable de ce qu’il ne comprend pas » . On a longtemps cru que le progrès technique et le progrès social allaient de pair. Patronat, syndicats, pouvoirs publics adhéraient à ce paradigme fondateur de la modernité et de la civilisation industrielle. Aujourd’hui le rôle de l’industrie responsable des risques générés par le progrès technique et le rôle de l’État responsable de la protection des individus contre les effets secondaires sont dissociés. Les fonctions de citoyen et de bourgeois (entrepreneur) qui gouvernaient le fonctionnement des institutions démocratiques ne se recouvrent plus.
Les risques de l’innovation technologique
« La plus grande invention du XIXe siècle fut l’invention d’une méthode de l’innovation » (Whitehead). L’innovation n’est plus le fait d’un individu isolé dont les recherches marquent une rupture dans le cours du progrès technique (changement de paradigme). Aujourd’hui le processus d’innovation est une activité économique comme les autres soumise aux contraintes de la gestion avec allocation de budget et fixation d’objectifs. Il s’est instauré une division du travail entre les start-up qui mettent au point un nouveau produit ou un nouveau procédé et les grandes entreprises qui en assurent le développement industriel et l’exploitation commerciale.
Soumis aux flux continus d’innovations techniques et financières, les systèmes de paiement sont particulièrement exposés aux problèmes de risque.
Mais l’innovation a un caractère ambigu : si l’innovation est une source de progrès capable de réduire l’exposition au risque, elle est aussi à l’origine de nouveaux risques. Ainsi les systèmes RTGS ont supprimé les risques de contrepartie. Les deux opérations (crédit/débit) étant simultanées, l’ordre de paiement n’est pas exécuté si le compte du débiteur n’est pas approvisionné. Au pire il est rejeté, au mieux il est mis en attente. En revanche, les systèmes RTGS ont considérablement accru les risques de liquidité.
Au même titre que les autres entreprises exposées aux flux d’innovations, les systèmes de paiement sont touchés par la spécialisation des compétences et la fragmentation des responsabilités. Le principe de la gestion centralisée du risque est d’autant plus difficile à mettre en œuvre que les systèmes de paiement sont construits sur des modèles en étoile sans échelons hiérarchiques. Les systèmes de paiement sont des structures horizon¬tales qui font appel à de nombreuses disciplines concurrentes : informatique, gestion de trésorerie, middle et back-office, etc. qui n’ont pas les mêmes objectifs et ne parlent pas la même langue.
Enfin les systèmes de paiement ont généralement une structure juridique et financière plus lâche que celle des banques qui les composent. Comme la plupart des incidents adviennent à l’interface de deux systèmes ou à la connexion de deux réseaux, il est aussi difficile de déterminer les responsabilités que d’imposer des protocoles de traitement de crise communs à tous les éléments de la chaîne de paiement. En outre, les intérêts du système dans son ensemble ne sont pas nécessairement les mêmes que ceux de ses membres pris séparément. Ainsi les banques répugnent à immobiliser de la liquidité sous forme de collatéral, de balances oisives, de pool de liquidité ou de lignes de crédit pour renforcer la sécurité du système. De même, les banques ont du mal à arbitrer entre les considérations de coûts et les considérations de risques.
La gestion des risques hors normes
Les systèmes de paiement ont développé des procédures d’analyse et de gestion aussi bien des risques « bénins » qui relèvent du calcul des proba¬bilités fondé sur des séries historiques (une panne d’ordinateur) que des risques « sauvages » (comme le 11 septembre) qui sont par définition imprévisibles. Les systèmes d’assurance classique – tels que les systèmes d’assurance des dépôts – sont inadaptés à ce type de risques qui ne relè¬vent pas des tables d’actuaires. L’OCDE a entrepris d’étudier un système d’assurance mondiale des « mégarisques » (attentat terroriste, tremblement de terre) dont l’ampleur dépasse les capacités d’un État. De son côté, le gouvernement français en accord avec les professionnels a constitué fin 2001 le pool GAREAT destiné à couvrir les risques d’attentat contre les grands sites industriels. L’État devient le garant de dernier recours.
Les systèmes de paiement interbancaires bénéficient cependant d’un certain nombre d’avantages intrinsèques. D’abord le banquier est un professionnel de la gestion des risques. Les problèmes d’analyse des risques et de gestion des risques lui sont familiers. Ensuite la profession bénéficie d’une autorité de tutelle en la personne de la banque centrale responsable de la stabilité du système financier et plus spécifiquement du système des paiements. La banque centrale joue un rôle de supervision essentiel.
Cette « ingérence » est contraire à l’évolution de l’idéologie libérale ambiante qui demande à l’État de se retirer des secteurs productifs et de se cantonner dans les activités de service public. Mais le principe de précaution nous ramène à une nouvelle phase d’interventionnisme. Ce sont les grandes catastrophes minières du XIXe siècle qui ont fait avancer la législation sociale comme ce sont les guerres et les épidémies qui ont fait progresser la science médicale plus que ne l’ont jamais fait les périodes de paix et de prospérité.