cartographie_des_risques (opérat risk)

Juillet 2008 JJ Mois Année

Élaborer une Cartographie des risques Pourquoi, pour qui et comment ?

Réalisé par : Hassan EL AMRANI

Sommaire 1. Le système de contrôle interne et sa place dans les AMC ¾ ¾ ¾ ¾ ¾ ¾

Définition et objectif du C.I Principes fondamentaux du C.I Obligation de disposer du C.I Architecture du dispositif du C.I Obligation stricte de documentation et d’information Les risques à couvrir par le C.I

2. Réglementation Bâle 2 et risques opérationnels ¾ ¾

Focus sur les risques opérationnels Approche de couverture des risques

3. Cartographie des risques ¾ ¾ ¾ ¾ ¾ ¾ ¾ ¾ ¾ ¾ Juillet 2008

Objectifs et attentes Définition de la cartographie des risques Utilisateurs de la cartographie Les fondements de l’approche Référentiels utilisés Étapes clés Acteurs de la cartographie Étapes d’élaboration Clés de réussite Écueils à éviter

La Cartographie des risques

2

Objectifs du séminaire • Développer le sens de la maîtrise des risques,

• Appréhender les composantes du Dispositif du Contrôle Interne,

• Acquérir la méthodologie d’élaboration de la Cartographie des risques,

• Assimiler les techniques d’évaluation du niveau d’exposition aux risques,

• Évaluer l’impact de la gestion des risques sur la tarification et la mesure de la rentabilité.

Juillet 2008


3

Le système de contrôle interne & sa place dans l’AMC

1. Pourquoi un Dispositif de Contrôle Interne?

2. Quel est son périmètre?

3. De quoi est-il composé?

Juillet 2008


4

Définition et objectifs du contrôle interne

Définition : Le contrôle interne est défini comme l’ensemble des dispositifs visant la maîtrise des activités et des risques de toute nature, permettant la régularité (au sens du respect de la réglementation externe et interne), la sécurité et l’efficacité des opérations.

Juillet 2008


5

Définition et objectifs du contrôle interne

Le déploiement du dispositif de contrôle interne répond aux principaux objectifs suivant : S’assurer de la conformité aux lois et règlements et aux normes internes, S’assurer de la qualité de l’information comptable et financière, Prévenir et détecter les fraudes et les erreurs, Veiller à la performance financière, Porter à la connaissance de la Direction Générale des données exhaustives, précises et régulières nécessaires à la prise de décision et à la gestion des risques.

Juillet 2008


6

Principes fondamentaux du contrôle interne

• Implication direct de l’organe exécutif dans l’organisation et le fonctionnement du dispositif du contrôle interne, • Responsabilité de l’ensemble des acteurs, • Couverture exhaustive des activités et des risques, • Définition claire des tâches, de séparation effective des fonctions d’engagements et de contrôle,

Juillet 2008


7

Principes fondamentaux du contrôle interne

• Processus de décision fondé sur les délégations formalisées et à jour comportant un double regard pour tout engagement significatif de quelque nature qu’il soit, pouvant se traduire par la nécessité d’un accord préalable ou d’un avis, le cas échéant, de la part des fonctions de contrôle ( ex :Nouvelles activités ou nouveau produits), • Normes et procédures, • Déploiement de fonctions de contrôle spécialisées, • Information de l’organe délibérant (Conseil de surveillance : stratégie et politique de risque limites globales opérationnelles fixées aux prises de risques, suivi de limites, activités, résultats des contrôles permanent et périodique )

Juillet 2008


8

Obligation de disposer du contrôle interne

Disposer d’un contrôle interne est une obligation réglementaire édictée par : • Comité de Bâle de la BRI, • Règlement CRBF 97-02 modifié en juin 2007(Applicable à l’ensemble des filiales de banques et aux organismes de crédits français), • Circulaire BAM n°40/G/2007 relative au Contrôle Interne des établissements de crédit.

Juillet 2008


9


Cette obligation a été renforcée à compter du 1er janvier 2006 en France et à partir du mois d’août 2007 au Maroc : Extension du dispositif de contrôle interne aux activités essentielles externalisées, Confirmation du rôle primordial des managers et de leurs équipes dans les contrôles permanents opérationnels. Il constitue un instrument de gestion et de maîtrise de l’ensemble des risques encourus.

Juillet 2008


10


Son rôle doit être : 9 efficace, 9 se concevoir sur base consolidée, 9 s’étendre aux succursales à l’étranger, 9 concourir à la fiabilité des états financiers. Pour être efficace, il faut que les systèmes de contrôle des opérations et des procédures : soient adaptés au activités et à la taille, aux implantations et aux risques, respectent certains principes comme la séparation des fonctions, l’utilisation de moyens adaptés (qualitatifs et quantitatifs), le réexamen périodique de la pertinence des systèmes, une durée limitée du cycle d’investigations…

Juillet 2008


11


Les réglementations imposent aux établissements de crédits et aux entreprises d’investissement :

Juillet 2008

Une obligation de moyens

Une obligation de résultat

Mise en place d’un dispositif

Dispositif adapté et efficace


12

Architecture du dispositif de contrôle interne

Les quatre composantes essentielles du dispositif du contrôle interne sont : Une organisation comptable et du traitement de l’information (comptabilité, système d’information),

Un système de documentation et d’information (procédures, reportings),

Un système de mesure et de surveillance des risques et des flux,

Un système de contrôle qui comprend des contrôles permanents, des contrôles de conformité ainsi que des contrôles périodiques. Juillet 2008


13


Le système de contrôle inclut toutes les vérifications réalisées à tous les niveaux de l’entreprise par l’ensemble des collaborateurs. Il a pour objectif de vérifier l’existence, l’adéquation et l’efficacité du contrôle interne et permet d’en apporter une justification probante. Il vise également l’amélioration constante de ce dispositif par la mise en œuvre d’actions correctrices appropriées.

Juillet 2008


14


Juillet 2008


15


Il faut notamment 3 niveaux de contrôles :

Permanent de 1er degré (au sein des unités),

Permanent de 2ème degré (unités spécialisées),

Périodiques (contrôle des contrôles),

Juillet 2008


16


Juillet 2008


17


Le contrôle permanent est assuré : Au 1er degré, de façon courante à l’initiation d’une opération et en cours de validation de l’opération, par les opérateurs, la hiérarchie au sein de l’unité ou par les systèmes automatisés de traitement des opérations, Au 2ème degré - 1er niveau, après validation de l’opération, par des agents distincts de ceux ayant engagé l’opération, pouvant exercer des activités opérationnelles, Au 2ème degré - 2ème niveau, par des agents exclusivement dédiés, sans pouvoir d’engagement impliquant une prise de risque. Le contrôle périodique (3ème degré) : Vérifications ponctuelles de toutes les activités et fonctions de l’entreprise y compris le contrôle permanent et le contrôle de la conformité par une unité indépendante (Audit Inspection).

Juillet 2008


18

Obligations strictes de documentation et d’information

Nécessaire formalisation des procédures et documentation des programmes,

Mise à disposition de tableaux de bord sur les risques et états de synthèse sur la mesure des risques,

Centralisation des informations chez le responsable des Contrôles Permanents Juillet 2008


19

Les risques à couvrir par le contrôle interne

Les risques à prendre en compte au titre de la réglementation sont : ¾ Risque de crédit, y compris le risque de concentration et le risque résiduel, ¾ Risques de marché, ¾ Risques financiers structurels (risques de taux d’intérêt global, risque de liquidité intraday, et risque règlement/ livraison), ¾ Risques opérationnels (y compris le plan de continuité des activités, sécurité des moyens de paiements, externalisation), ¾ Risques de non-conformité, ¾ Risques juridiques. Le risque d’image et le risque stratégique bien qu’ils ne soient pas intégrés dans les réglementations, ils doivent faire l’objet d’une surveillance particulière compte tenu de leurs impacts financiers sous-jacents et de leurs conséquences.

Juillet 2008


20


Les banques est les établissements de crédits sont principalement soumis aux risques de crédit, de marché et aux risques opérationnels : Le risque de crédit se définit comme l’incertitude d’une contrepartie d’accomplir ses obligations. Ce risque existe pour toute créance client. Le risque de marché, existe dès qu’un portefeuille est exposé aux fluctuations des paramètres des marchés. Le risque opérationnel quant à lui se divise en deux catégories : risques endogènes et risques exogènes. Les premiers sont internes à l’établissement et comprennent les risques humains (erreurs d’opérateur de saisie par exemple), inhérents au processus (cas ou il n’y a pas de mécanisme de gestion de crise dans le processus) ou inhérents au système lui-même (cas de système d’information indisponible pendant un jour par exemple). Les seconds sont externes à l’activité (incendie dans les locaux, inondation des salles serveurs…)

Juillet 2008


21


Le tableau suivant reprend les principales catégories de risques et les causes de leurs survenances :

EXTERNES

TYPES DE RISQUES RISQUES DE CREDIT

RISQUES DE MARCHE

Défaut de paiement des: - Clients - Contreparties - Emetteurs - ...

Evolution défavorable des conditions de marché : - Taux / Change - Actions - Matières premières - Immobilier - ...

Survenance d’événements extérieurs: -Tiers fraudes, malversations, contestations de créances de bonne ou de mauvaise foi, défaillance des prestataires de services, grèves des transports ...

STRATEGIES/ BUSINESS & REPUTATION

Evolution défavorable des volumes d’activité ou de la conjoncture économique

- Evolution de l’environnement géopolitique, légal, fiscal ou réglementaire changement de la réglementation légale ou prudentielle, volatilité des marchés

- Accidents & déprédations

CAUSES DE RISQUES

incendies, inondations, pannes externes de courant ou des télécommunications ...

INTERNES

Juillet 2008

RISQUES OPERATIONNELS


Inadaptation ou défaillance: - De l’organisation ou des procédures non séparation des tâches, processus décisionnel inadapté, inexistence ou inefficience des procédures ... - Des collaborateurs erreurs, négligences, malveillances, comportements répréhensibles, non respect des procédures, perte de savoir-faire ... - Des systèmes d’information indisponibilité des systèmes d’information ou des communications internes, erreurs de traitement...

Conduite d’une stratégie dont la rentabilité ne s’avère pas optimale compte tenu des fonds propres engagés

22


Exemples d’événements majeurs : Jan 06 IAS/IFRS CRBF 97-02

85>95 Sumitomo $ 2,6 bn

1995 Barings $ 1,3 bn


Juin 99 A new Capital Adequacy Framework

Juil 02 Sarbanes Oxley Act

2001 Enron $ 63 bn 2001 AIB $ 691 m

1995 Orange Country $ 1,6 bn

1988 Ratio Cooke (Bâle I)

Juillet 2008

CRBF 01-01

Août 03 Loi Sécurité Financière

2003 Parmalat €10 bn

Avril 03 Consultative paper 3

Juin 04 Texte définitif ?

Jan 07 Mise en place Bâle II

23

Réglementation Bâle 2 / Risques Opérationnels Focus sur les Risques Opérationnels

Définition réglementaire du Risque Opérationnel Le Risque Opérationnel (RO) est le risque de perte: résultant de l’inadaptation ou de la défaillance de procédures, personnes, systèmes internes, ou résultant d’événements externes (catastrophe, incendie, agressions, changement de lois ou de réglementations, etc.), à l’exclusion du risque de réputation* et du risque stratégique.

Le Risque Opérationnel est défini pour la première fois par la réglementation comme un risque à part entière. Selon les enquêtes réalisées par le Comité de Bâle en 2001 auprès de 89 établissements bancaires, il se situerait en deuxième position quant à son importance en exigence de fonds propres soit : après le risque de crédit, mais avant le risque de marché.

* Le risque d’image est toutefois inclus dans la définition des risques opérationnels de certaines institutions.

Juillet 2008


24


les risques opérationnels sont décomposés par le comité de Bâle en sept catégories de risques:

9 Fraude interne ; 9 Fraude externe ; 9 Pratiques en matière d’emploi et de sécurité ; 9 Clients, produits et pratiques commerciales ; 9 Dommages aux actifs corporels ; 9 Dysfonctionnement de l’activité et des systèmes ; 9 Exécution, livraison et gestion des processus.

Juillet 2008


25


Cette décomposition institue une approche différente, basée sur des évènements générateurs de pertes, et non plus sur des types de risques comme cela était le cas auparavant. Juillet 2008


26


Exemples d’événements

Catégories de risques Bâle II Fraude interne

Délit d’initié (intentionnel)

Inadaptation de la rémunération variable

Fraude externe

Défaut de connaissance du client

Gestion des RH

Défaut de conseil

Clients, Produits, et Pratiques commerciales

Violation du secret professionnel

Dommages & Sinistres

Pratiques discriminatoires envers des clients

Systèmes d ’information

Manipulation des marchés

Traitements & Procédures

Non respect d’un embargo Inexactitude des déclarations réglementaires

Juillet 2008


27

Réglementation Bâle 2 / Risques Opérationnels Approche de couverture des Risques Opérationnels

Nouvelle réglementation Bâle 2 identifiant le Risque Opérationnel Le Risque Opérationnel est un composant du nouvel accord dit de Bâle 2 (divisé en trois piliers) sur le Capital Réglementaire visant à définir un nouveau ratio de solvabilité pour remplacer le ratio Cooke.

Nouvelles exigences minimales de fonds propres

PILIER 1

Renforcement de la surveillance prudentielle

PILIER 2

PILIER 3

Nouvelles exigences en matière de communication financière

Pour la première fois, le RO va : faire l’objet d’une dotation spécifique en capital (Pilier 1 de l’Accord) être suivi et évalué par les régulateurs qui pourront augmenter l’allocation de capital RO si la gestion des Risques Opérationnels n’est pas jugée satisfaisante (Pilier 2 de l’Accord) être inclus dans la communication financière des banques au marché (Pilier 3 de l’Accord).

Juillet 2008


28


La réglementation Bâle 2 propose trois méthodes de calcul des exigences en Fonds Propres au titre des Risques Opérationnels Exigence de capital réglementaire (en % de la

Exigence de capital

moyenne sur 3 ans du PNB de

réglementaire (en % de la

l’ensemble de la Banque) :

moyenne sur 3 ans du PNB des lignes métier) : • 12 % pour la « Banque de détail, courtage de détail et gestion d’actif »,

• 15 %

Coût en capital

• 15 % pour la « Banque commerciale et Fonction agent », • 18 % pour le « Financement des entreprises, négociation et vente et paiement et règlement » • L’évaluation des risques et des contrôles (RCSA) est recommandée.

Méthode de base

Méthode Standard

Exigence de capital réglementaire : • La banque doit proposer un montant de capital réglementaire selon un modèle de calcul intégrant : 9Les données de pertes internes et externes 9Les analyses de scénarii • Elle doit par ailleurs

évaluer ses risques et son environnement de contrôle via le processus RCSA** qui est obligatoire.

!

Méthode A.M.A *

Complexité de la méthode et finesse de la structure de gestion du Risque Opérationnel * A.M.A : « Advance Measurement Approach » : Approche en méthode avancée ** RCSA : « Risk and Control Self-Assessment » : Auto-évaluation des risques et des contrôles Juillet 2008


29


L’approche de mesure avancée (A.M.A) entre en vigueur au 1er janvier 2008. Dans le cadre de l’A.M.A, les éléments de mesure des Risques Opérationnels sont : La collecte des pertes internes

Données historiques

La comparaison des pertes internes avec les pertes externes

L’analyse de scénarii des risques extrêmes potentiels L’auto-évaluation des risques et du dispositif de prévention et de contrôle de ces risques (RCSA)* ou cartographie des risques

Données prospectives

Les indicateurs clés de risque (KRI).**

La collecte des pertes internes renseigne sur le passé. Les autres éléments du dispositif permettent d’avoir une vision prospective des risques potentiels. (*) RCSA : Risk and Control Self Assessment (**) KRI:

Juillet 2008

Key Risk Indicators


30


La gestion des Risques Opérationnels Les établissements de crédits et les AMC entendent ainsi transformer cette contrainte réglementaire en une véritable opportunité d’optimisation de gestion du risque. A cette fin, les objectifs poursuivis par les établissements de crédits dans ce domaine sont nombreux et variés, mais aussi complémentaires : Meilleure compréhension et appropriation des risques opérationnels encourus Meilleure connaissance du niveau de maîtrise des risques opérationnels et de l’impact potentiel d’une concrétisation de ces risques Allocation cohérente des ressources nécessaires à la réduction de ces risques Meilleure communication externe sur les risques opérationnels, notamment auprès des investisseurs et des agences de notation, et réduction du risque d’image Allocation des fonds propres permettant de mesurer avec pertinence la performance réelle des activités, après prise en compte des risques opérationnels.

Juillet 2008


31

Cartographie des risques Objectifs et attentes

La cartographie des risques permet d’identifier les RO en apportant … Une vision globale du niveau de risque opérationnel intrinsèque, Une vision globale du niveau des risques opérationnels résiduels. La méthodologie RCSA (ou cartographie des risques) permet d’évaluer le risque opérationnel résiduel auquel est exposé l’établissement :

1- Risques opérationnels Intrinsèques (RI)

2- Dispositifs de prévention et de contrôle existants

3- Risques opérationnels Résiduels (RR)

Juillet 2008

L’entreprise de crédit est exposée à des risques intrinsèques à ses activités. Ex : L’AMC, de par ses activités , est soumise au risque de litiges commerciaux.

Pour se protéger, l’AMC met en place des dispositifs de prévention et de contrôle visant à réduire ses risques opérationnels à un niveau jugé acceptable. Ex : Pour faire face au risque de litiges commerciaux, des procédures de contrôle des documentations contractuelles existent afin de s’assurer de leur conformité.

Malgré l’existence de contrôles, il subsiste des risques résiduels. Pour y faire face, l’AMC pourra : renforcer les dispositifs de prévention et de contrôle, transférer ces risques (assurances…), affecter des fonds propres pour les couvrir.


32

Cartographie des risques Définition de la cartographie des risques

La cartographie des risques : « Ce processus, qui cartographie par type de risque les diverses unités, fonctions organisationnelles ou chaînes d’opérations, peut repérer les zones de faiblesse et permettre d’établir des priorités pour l’action à entreprendre par l’organe de direction » Définition de BAM (Projet de recommandations générales relatif au dispositif de gestion des risques opérationnels

Juillet 2008


33


La cartographie des risques opérationnels doit permettre de : Évaluer périodiquement les risques portés par les processus au sein des métiers, Établir une synthèse dégageant les risques majeurs et/ou les processus les plus sensibles, Surveiller les processus sensibles à l’aide d’indicateurs (à déterminer par filiales et métiers), Orienter les décisions sur le plan d’actions d’amélioration de la maîtrise des risques, Satisfaire aux critères qualitatifs d’éligibilité aux AMA Bâle II, Compléter les éléments en entrée du modèle interne de calcul d ’allocation des fonds propres aux métiers / filiales (notamment les scénarios de risques opérationnels)

Juillet 2008


34


En terme des résultats elle doit fournir une gestion différenciée par nature de risque.

Fréquence

- Suivi régulier - Prévention

Risque récurrent

Haute

Basse

=> Pertes attendues

Risque négligeable

Gestion de crise

Risque insupportable/ situation de crise

Risque majeur => Pertes exceptionnelles

- Atténuation (PCA, …) - Transfert (Assurance) - Capital économique

Impact

Faible

Juillet 2008


Fort

35

Cartographie des risques Utilisateurs de la cartographie des risques

La cartographie des risques est un des outils de pilotage des Risques Opérationnels. Il intéresse à terme différents acteurs… Î

La Direction Générale

Î

Les responsables des Branches et des Directions fonctionnelles (pour

• Connaissance de l’exposition aux Risques Opérationnels • Pilotage et décisions stratégiques, suivi des plans d’action majeurs • Comparaison des profils de risque des activités

compte propre et filière : PCA, SSI...)

• Mise en évidence des principaux risques • Analyse des risques opérationnels et évaluation des contrôles • Mise en oeuvre et suivi de plans d’actions correctrices

La Direction financière

• Répartition du capital réglementaire

Î

L’Inspection Générale et l’audit interne

• Évaluation du degré de conformité avec l’approche Générale et les exigences réglementaires • Vérification de la fiabilité et l’exhaustivité des évaluations de profils des risques • Priorisation des missions d’audit sur les entités les plus exposées

Î

Les actionnaires

• Information sur le profil des risques

Î

Les régulateurs et contrôleurs externes

• Analyse du profil de risque

Î

Les agences de notation

• Prise en compte de la qualité de gestion des risques exercée.

Î

Juillet 2008


36

Cartographie des risques Fondements de l’approche

La mise en place de la cartographie est un projet qui a des conséquences sur l’ensemble de l’organisation : Il touche au cœur des métiers, Il conduira à un nouveau système de pilotage, Il entraînera des modifications importantes : 9 des systèmes d’informations 9 de l’organisation 9 de la stratégie.

Avec ce projet stratégique, les établissements seront en mesure de passer de la gestion des RO au pilotage des RO.

Juillet 2008


37


Une approche participative, générique et opérationnelle… ¾ pour que les acteurs s’y reconnaissent et se l’approprient, ¾ pour être applicable à tout type d’activité, ¾ pour donner rapidement des résultats concrets,

…nécessitant une expérimentation préalable… ¾ pour l’ajuster et l’enrichir par rapport aux réalités et préoccupation du terrain, ¾ pour tester son « appropriation » par les acteurs, ¾ pour la doter d’un vecteur de communication interne et externe, ¾ pour en tirer les conséquences pratiques en vue d’un déploiement à moindre coût,

…pour garantir le succès de son déploiement ¾ afin de faire émerger et partager les expériences et les meilleures pratiques, ¾ pour garantir homogénéité et cohérence en vue d’une certification par le régulateur.

Juillet 2008


38


La cartographie a pour but d’évaluer la qualité du dispositif de prévention et de contrôle et de quantifier l’exposition aux risques opérationnels. Pour ce faire, il s’agit de : 1- Risques opérationnels

1.

Identifier et évaluer les risques intrinsèques auxquels est exposée chaque activité : risques inhérents à la nature d’une activité, en faisant abstraction de son environnement de prévention et de contrôle,

2.

Évaluer la qualité des dispositifs de prévention et de contrôle en place permettant de réduire ces risques (existence et efficacité de ces dispositifs en termes de détection et de prévention des risques et/ou de leur capacité à en diminuer les impacts financiers),

3.

En déduire l’exposition aux risques résiduels de chaque activité (après prise en compte de l’environnement de prévention et de contrôle mais sans prise en compte des couvertures d’assurance),

4.

Pour identifier les zones de faiblesse des mesures de prévention et de contrôle et mettre en œuvre des plans d’actions correctrices.

intrinsèques (RI)

2- Dispositifs de prévention et de contrôle existants

3- Risques opérationnels résiduels (RR)

Juillet 2008


39


En pratique, la démarche de la cartographie des risques consiste à rencontrer les acteurs des risques au quotidien et leur demander :

9 De quelle activité s’agit-il ? Domaine/Processus/Acteurs 9 Quel est le « problème » redouté (avéré ou potentiel) ? Risque 9 Quelles sont les principales causes ? Cause 9 Quelle est la nature des préjudices induits ? Conséquences 9 Avec quelle fréquence ce problème peut-il survenir ? Combien cela coûte -t-il en moyenne par an et combien cela pourrait-t-il coûter dans un scénario pessimiste mais plausible ? Cotation 9 Que pourrait-on faire pour mieux anticiper, détecter et gérer ce problème (plans d’actions) ? Indicateurs/ Mesures

Juillet 2008


40


Juillet 2008


41


Cotation du Risque Opérationnel Récurrent

Combien cela a t-il coûté et Évalué, en tenant compte du niveau des contrôles permanents : pourrait-il Î par le montant des pertes récurrentes attendues à horizon d ’un an, combien évaluées cela en s’aidant des pertes coûter l’année prochaine ? historiques et / ou Î du niveau de nuisance des impacts non financiers Il est coté par l’évaluateur en fonction des éléments dont il dispose : base pertes, indicateurs, alertes…

Cotation du Risque Opérationnel Exceptionnel Évalué, en cas de défaillance grave des contrôles permanents ou d’événement(s) externe(s) exceptionnel(s) : Combien de fois ce scénario Î par le montant de la perte potentielle maximaleexceptionnel pourrait-il survenir à l’avenir et combien et / ou Î par l ’importance de l’impact non financier , cela pourrait-il coûter ? dont la Fréquence varie de moins d’une fois par an à une fois tous les 10 ans. Il est coté par l’évaluateur en fonction des pertes exceptionnelles passées, de la veille/benchmarks, anticipation de risques futurs … Ces risques sont-ils bien ou mal Appréciation de la qualité des contrôles pour assurer la maîtrise de leurs risques. maîtrisés?

Cotation de la Qualité des Contrôles Permanents

Juillet 2008


42


Juillet 2008


43

Cartographie des risques Référentiels utilisés

L’exercice de la cartographie des risques s’appuie sur : Le référentiel RO, i.e. la classification des catégories et sous-catégories d’évènement de RO déjà mise en œuvre dans l’entreprise pour la collecte des pertes internes. Le référentiel Cartographie des risques, i.e. le référentiel des questionnaires métier, également appelés « scorecards métier », spécifiques à chaque métier ou fonctionnel, regroupant les facteurs de risque pertinents pour le métier considéré et les questions d’évaluation associées.

Référentiel RCSA

Référentiel des Risques Opérationnels Se déclinant en… Causés par plusieurs …

8 catégories d’évènement Ex : Litiges commerciaux

Évalués par…

sous-catégories d’évènement Ex : Inadéquation des produits proposés

Facteurs de risque Ex : Insuffisance ou inadéquation du partage d'information entre les équipes

Pouvant chacun causer plusieurs…

Juillet 2008


Questions d’évaluation Ex : Comment évaluez-vous l'efficacité des dispositions en vigueur afin de faciliter le partage d'informations sur les clients au sein de l'entité ?

44


Exemple de référentiel RO : Les 8 catégories d’événements représentent les manifestations concrètes possibles des risques opérationnels. Chaque catégorie d’événement est ensuite déclinée en une ou plusieurs sous-catégories d’événements mutuellement exclusives. 8 CATEGORIES D’EVENEMENT LITIGES COMMERCIAUX

LITIGES AVEC LES AUTORITES

ERREURS DE « PRICING » OU D’EVALUATION DU RISQUE

ERREURS D’EXECUTION

FRAUDE ET AUTRES ACTIVITES CRIMINELLES

ACTIVITES NON AUTORISEES SUR LES MARCHES (ROGUE TRADING)

PERTES DES MOYENS D’EXPLOITATION

DEFAILLANCE DES SYSTEMES D’INFORMATION

SOUS-CATEGORIES D’EVENEMENT 1. Litiges sur activités de conseil 2. Pratiques commerciales inappropriées 3. Insuffisance du service au client 4. Autres litiges avec un tiers 5. Contrat ou clauses contractuelles inapplicables

Juillet 2008

7.

Non-respect de la loi bancaire 8. Non-respect des lois contre la discrimination 9. Non-respect de la réglementation du travail 10. Non respect des exigences réglementaires locales 11. Non-respect des exigences comptables ou de la communication financière 12. Non-respect de la législation fiscale

18. Défaillance dans le dispositif de gestion et de suivi des autorisations et des limites 19. Evaluation incorrecte ou inexistante de la position 20. Données de marché et informations publiques fausses ou insuffisantes 21. Modèle de calcul de prix ou de valorisation erroné


22. Défaillance dans le processus de livraison et/ou de règlement de la banque 23. Défaillance dans les processus de gestion des confirmations d’opérations 24. Défaillance dans la gestion administrative d’une opération jusqu’à son échéance 25. Erreurs dans la transmission, la saisie ou la compréhension d’une instruction 26. Absence ou inexactitude des données nécessaires à la gestion des activités

33. Piratage 39. Activités non informatique et autorisées sur autres attaques les marchés malveillantes des systèmes informatiques de la banque par des tiers 34. Autre forme d’actes criminels contre les actifs de la banque 35. Vols/escroqueries /fraudes commis par des tiers 36. Vols par le personnel ou des prestataires internes 37. Fraude sur des transactions par le personnel ou avec sa complicité

40. Défaut de personnel 41. Pertes des donnés 42. Perte de services

44. Mauvaise gestion de projet 45. Défaillance des software

45


Détail du référentiel de risques de l’entreprise : Le référentiel des risques métier est élaboré par les experts des métiers et fonctions (exemples : Déontologie, Plan de Continuité d’Activité, Achats, etc.) à partir : du référentiel commun de facteurs de risque : un facteur de risque est un élément de l’environnement et/ou de l’organisation qui contribue à la survenance d’un risque opérationnel. Il doit toujours être considéré en fonction de la sous-catégorie d’événement / catégorie d’évènement à laquelle il se rapporte. de la bibliothèque commune de questions d’évaluation de ces facteurs de risque. Référentiel RCSA

Référentiel des Risques Opérationnels Se déclinant en… Causés par plusieurs …

8 catégories d’évènement Ex : Litiges commerciaux

Évalués par…

sous -catégories d’évènement Ex : Inadéquation des produits proposés

Facteurs de risque Ex : Insuffisance ou inadéquation du partage d'information entre les équipes

Pouvant chacun causer plusieurs…

Un scorecard métier (référentiel) permet d’évaluer un métier ou une fonction. Le principe des questionnaires métier (bancaires ou fonctionnels) est applicable à l’ensemble des entités. Il permet d’assurer la cohérence du dispositif vis-à-vis du régulateur.

Juillet 2008


Questions d’évaluation Ex : Comment évaluez-vous l'efficacité des dispositions en vigueur afin de faciliter le partage d'informations sur les clients au sein de l'entité ?

Scorecard métier Banque de détail • Insuffisance ou inadéquation du partage d'information entre les équipes • Émission des confirmations

Scorecard métier Ressources Humaines • Formation • Concentration de la connaissance et des compétences • Gestion des engagement sociaux

46


Détail du référentiel : les questions d’évaluation des Facteurs de Risques Les questions d’évaluation doivent permettre de noter les facteurs de risques. La démarche d’autoévaluation met notamment en évidence : l’existence de processus de contrôle interne, leur efficacité, l’existence de la piste d’audit permettant de vérifier les 2 premiers points. Le barème de réponse associé à une question s’étend de 1 à 4 (cf. Exemple ci-dessous). 8 CATEGORIES D’EVENEMENT RISQUES OPERATIONNELS / SOUS-CATEGORIES LITIGES COMMERCIAUX

3

Élevé

Facteur de risque Insuffisance ou inadéquation du partage d'information entre les équipes

Les Les dispositifs dispositifs de de prévention prévention et et de de contrôle, contrôle, en en place place dans dans votre votre entité, entité, couvrent-ils couvrent-ils ce ce risque risque ?? 1-Très 1-Très faiblement faiblement ??

22- Faiblement Faiblement ??

33- Assez Assez bien bien ??

44 –– Bien Bien ??

Lorsqu'ils Lorsqu'ils sont sont en en place, place, quelle quelle est est la la qualité qualité d'exécution d'exécution de de ces ces dispositifs dispositifs ?? 1-Très 1-Très insuffisante insuffisante ??

22- Insuffisante Insuffisante ??

33- Assez Assez satisfaisante satisfaisante ??

44 –– Satisfaisante Satisfaisante ??

33- Assez Assez bien bien ??

44 –– Bien Bien ??

Ces Ces dispositifs dispositifs sont-ils sont-ils documentés documentés et et auditables auditables ?? 1-Très 1-Très faiblement? faiblement?

Juillet 2008


22- Faiblement Faiblement ??

47

Cartographie des risques Étapes clés

Processus de la cartographie : chacune des 3 étapes se concrétise par un livrable.

1

2

3

Évaluation

Livrable

1- Risques opérationnels

1- Cartographie des

Intrinsèques (RI)

risques intrinsèques

2- Dispositifs de prévention

2- Questionnaires entité notés

et de contrôle existants

(ou scorecards entité)

3- Risques opérationnels

3- Cartographie des

Résiduels (RR)

risques résiduels

Ces 3 étapes peuvent être effectuées à des niveaux de granularités différents, l’évaluation des risques opérationnels intrinsèques et résiduels étant faite généralement à un niveau plus élevé que l’évaluation du dispositif de prévention et de contrôle.

Les Branches et Directions Fonctionnelles commencent l’exercice de la cartographie en désignant les acteurs en charge de chacune de ces étapes. Juillet 2008


48

Cartographie des risques Étapes clés

Processus de Cartographie : détail des 3 étapes et acteurs concernés Étapes

Livrables

Cartographie des risques intrinsèques

1 - Évaluation des Risques Intrinsèques

1

Acteurs

Noteur Valideur

2

Référentiels métiers utilisés

Référentiel des RO : catégories d’évènement sous-catégories d’évènement

2 - Évaluation du dispositif de prévention et de contrôle 2.1 – Élaboration de la scorecard entité en identifiant : • le périmètre • les facteurs de risques pertinents (et leur pondération) • le mode d’évaluation des questions • les noteurs et valideurs

2.1

2.2 – Notation et justification de la scorecard entité

3

4

Juillet 2008

Évaluation des Risques Résiduels

Mise en place de plans d’actions correctrices


Modélisateur de la scorecard Référentiel :

2.2

2.3 – Validation de la scorecard entité

Scorecard entité à noter

2.3

Facteurs de risques et questions d’évaluation

Scorecard entité notée et justifiée

Noteur

Scorecard entité validée

Valideur

Cartographie des risques résiduels

Responsable de l’entité évaluée

Plans d’actions correctrices

Responsable de l’entité évaluée

Scorecards métier (bancaires ou fonctionnels)

Référentiel Entités : Entités Organisationnelles Lignes Métier Entités Juridiques Processus

49

Cartographie des risques Acteurs de la cartographie

Les acteurs de l’exercice Cartographie Les acteurs sont désignés par les Branches et les Directions fonctionnelles.

Le noteur Les noteurs sont les responsables d’entité en charge de noter les cartographies de risques intrinsèques et /ou les scorecards entité :

Le noteur de la cartographie des risques intrinsèques évalue son niveau d’exposition aux risques face aux catégories ou sous-catégories d’événement.

Le noteur d’une scorecard entité reçoit pour notation la scorecard entité élaborée par le modélisateur. Le noteur évalue son dispositif de prévention et de contrôle en répondant aux questions d’évaluation associées à ces facteurs de risque. Il justifie sa note par l’existence de procédures de prévention et de contrôle ou d’indicateurs clés de risque.

Le valideur Les cartographies des risques intrinsèques et les scorecards entité notées sont envoyées par les noteurs à leur hiérarchie pour validation. Le valideur est la personne en mesure de valider les notes et les justifications associées avant consolidation en vérifiant notamment la cohérence des notes pour l’ensemble des entités de son périmètre. Le valideur doit être différent du noteur.

Juillet 2008


50

Cartographie des risques Acteurs de la cartographie

Les acteurs de l’exercice de la cartographie Le modélisateur Il élabore la scorecard entité. Le modélisateur est un expert métier qui est en mesure d’identifier l’ensemble des risques internes et externes auxquels est exposée l’entité évaluée. Pour le premier exercice, il peut s’agir de l’ORM (responsable des risques opérationnels) de l’entité en concertation avec les responsables des entités ; à la cible, le modélisateur pourra être le responsable de l’entité. Lors de l’élaboration des scorecards entité, le modélisateur identifie : le périmètre à couvrir les facteurs de risques pertinents (en les pondérant éventuellement) au vu de la cartographie des risques intrinsèques : le modélisateur de la scorecard entité doit vérifier la cohérence de la scorecard entité avec la cartographie des risques. les responsables des activités en charge de la notation des scorecards entité … et leur hiérarchie, en charge de valider ces notations ainsi que les justifications associées.

L’Inspection et l’Audit L’Inspection et l’Audit revoient périodiquement l’ensemble du système d’évaluation et sa conformité aux exigences réglementaires, en s’attachant notamment à vérifier les points suivants :

l’application effective du processus de la cartographie dans l’entreprise, la fiabilité et l’exhaustivité des évaluations des profils des risques, la cohérence entre la notation et sa justification.

Remarque : Réglementairement, les acteurs de l’exercice de la Cartographie ne doivent appartenir ni aux services d’Audit Interne ni à l’Inspection Générale, afin de préserver l’indépendance de ces derniers. Toutefois, l’Audit Interne peut apporter son expertise lors de la mise en place initiale du dispositif de gestion des RO. Juillet 2008


51

Cartographie des risques Étapes d’élaboration

La méthodologie de réalisation d’une cartographie des risques se déroule généralement en 5 étapes: Définition des listes de domaines et de processus étape 1 identification Du risque opérationnel étape 2 Matrice d’aversion (pour cotation) étape 3 Cotation du risque étape 4 Validation par le Comité du contrôle interne

étape 5

Identification processus sensibles

Plan d’action proposé

Juillet 2008


52


Étape 1 : Définition des processus Cette étape consiste à instaurer un référentiel de processus, avec un objectif de trouver le meilleur compromis entre le niveau de granulation, le travail rendu et la qualité des résultats. En effet, après avoir rattaché les activités aux 8 Métiers Bâle II découpés en domaines d’activités (exemples : Crédits, Dépôts, Placements, Moyens de paiement, Moyens généraux, Comptabilité, Informatique, Juridique et Fiscal, Organisation, etc.), il est primordial de dresser l’inventaire des processus par métier. Un processus est défini comme étant un enchaînement d’étapes ayant une même finalité (exemple : Remises de valeurs, virements, ordres d’achat / vente de titres, gestion des GABs, tarification, comptes débiteurs, réalisation d’un crédit …). Nous pouvons distinguer trois types de processus : Relatifs à la relation avec les clients, Relatifs à des transactions, Spécifiques au Management et aux fonctions supports.

Juillet 2008


53


Étape 2 : Identification des risques opérationnels Afin de pouvoir identifier les risques opérationnels le Responsable du Risque Opérationnel doit disposer de trois éléments à savoir : 9 La liste et la description des processus identifiés par ligne métier ou entité, 9 La liste des risques opérationnels et des événements génériques y associés, 9 La matrice préliminaire des risques opérationnels renseignée par les responsables des entités,

En pratique, les risques sont rattachés à 7 Catégories de Risques Bâle II, détaillées en évènements générateurs de risques (exemple pour la fraude externe : Vols, Hold-up, Contrefaçons et falsifications, détournements de fonds, fraude par carte bancaire etc.)

Juillet 2008


54


Étape 3 : Matrice d’aversion Au niveau de cette étape le responsable R.O a pour mission d’établir la matrice d’évaluation des risques sur la base de trois composantes : Les risques survenus ou avérés, les risques exceptionnels et le niveau de maîtrise des risques.

ÎLes Lesééchelles decotation cotationde dela lagravit gravité durisque risquesont sontrepr représentative dell’ aversion Î chelles de é du ésentative de ’ ««aversion pourle le risque risque op opérationnel dell’unité pour érationnel »»de ’unité ÎLes Lesintervalles intervalles de de ll’échelle de frfréquence et de de ll’échelle sont ddéfinis en Î ’échelle de équence et ’échelle dd’impact ’impact sont éfinis en valeurabsolue absolueet etcommuns communsààll’ensemble de ll’entreprise (unités du Groupe) Groupe) valeur ’ensemble de ’entreprise (unit és du

Impact financier 0-1 K€

1-5 K€

5 - 10 K€

10 - 50 K€

50 - 100 100 - 500 K€ K€

500 K€ 1 M€

Impact non financier 1-5 M€

5 - 10 M€

10 - 50 M€

> 50 M€

Image Fort

Image Majeur

Client Fort

Client Majeur

Sanction pénale *

Sanction Réglementaire

Un cas tous les 2 à 3 ans Un cas tous les 3 à 5 ans Un cas tous les 5 à 10 ans

Juillet 2008


55


0-1

1-5

5 - 10

KDH

KDH

KDH

10 - 50 50 - 100 KDH

KDH

100 - 500 KDH 500 KDH 1 MDH

1-5

5 - 10

10 - 50

MDH

MDH

MDH

> 50 M

A partir de quel niveau de gravité un risque doitil être considéré comme Orange Orange Rouge Rouge Rouge Rouge « Fort » ou « Majeur » ?

R i s q u e Récurrent Pertes annuelles potentielles

Vert

Vert

Vert

Jaune

Jaune

Risque exceptionnel Un cas tous les 2 à 3 ans

Vert

Un cas tous les 3 à 5 ans

Vert

Vert

Vert

Un cas tous les 5 à 10 ans

Vert

Vert

Vert

Juillet 2008

Vert


Vert

Jaune

Jaune

Orange Orange Orange

Rouge

Rouge

A partir de quel niveau de risque devons-nous être informés et prendre Vert Jaune Jaune les Orange Orange Orange Rouge décisions adaptées ? Vert

Vert

Jaune

Jaune

Jaune

Orange Orange

Rouge

Rouge

Rouge

56


Étape 4 : Cotation des risques opérationnels Les risques futurs associés aux processus font l’objet d’une évaluation appelée cotation. On cote deux catégories de risques futurs en fonction de leur fréquence : 9 Les Risques Attendus (récurrents à court terme) ; 9 Les Risques Exceptionnels (à moyen et long terme). On distingue deux catégories de risques en fonction de leur impact : 9 Les Risques Financiers (cotés en fonction de leur fréquence et de leur impact financier, au moyen d’une matrice d’aversion aux risques) ; 9 Les risques Non Financiers. La cotation des risques opérationnels est effectuée sur la base des historiques des pertes recueillies au niveau de la base de données. Elle sert à établir une carte sommaire des risques, en identifiant les risques potentiels et les niveaux de contrôle y afférents. Ainsi, la cotation des Risques Financiers est parfaitement normée grâce à une matrice d’aversion aux risques.

Juillet 2008


57


Etape 5 : Identification des processus sensibles et plans d’action. Cette phase consiste à produire le rapport sommaire de la gestion du risque en mettant en relief les risques majeurs ou les zones de faiblesse. Comme elle doit définir aussi bien les recommandations que les plans d’action pour prévenir et réduire le risque opérationnel.

Juillet 2008


58


Risque Attendu

Risque Exceptionnel

Contrôle Permanent

Recommandations

Conseil en placement

V

O

++ Efficace

Former les conseillers de façon périodique

Gestion des relations clients

V

R

+ Acceptable

Vérification approfondie du KYC

Gestion du risque de marché

O

R

- Défectueux

Bascule du système de gestion des limites

Mandat de trading actions

J

O

+ Acceptable

Créer une mission d'audit sur les délits d'initié

Produits structurés

J

R

+ Acceptable

A prévoir : meilleur contrôle sur les règles ISDA

RA

Caisse

RE CP

Sélection des processus sensibles, à savoir: ¾ Niveau de risque majeur « rouge » ou fort « orange » et / ou ¾ Niveau de maîtrise des risques « défectueux » ou « à améliorer »

Conseil en placement

RA RE CP

Gestion des relations clients

RA

Gestion du risque de marché

RA

Gestion du risque de crédit

RA

RE CP

RE CP

RE CP RA

Activité Trésorerie

RE CP

Cartographie par Cotation des trois processus

composantes pour chaque croisement Processus / Catégories de risques Juillet 2008


Mandat de trading actions

RA RE CP RA

Produits structurés

RE CP RA

Gestion Financière

RE CP RA

Ressources Humaines

RE CP

Tableau de synthèse

Fraude Int.

Fraude Ext.

Gest. Perso.

Prat. Com m .

Désas & Sinis

S.I

Trait.

SYNTH

V J +

V J +

V V ++

V V ++

V J +

V J +

V V ++

V J +

V O ++

V V ++

V J ++

V O ++

V V ++

V J ++

V O ++

V O ++

V R +

V V +

V J ++

V O +

V V ++

V V ++

V O +

V R +

Vérification approfondie du KYC

V O -

J O -

V V ++

V J ++

V V ++

V J +

O R -

O R -

Bascule du système de gestion des limites

V J +

V V ++

V V ++

V J +

V V ++

V V ++

V J +

V J +

V J +

V V +

V J ++

V V ++

V V ++

V J ++

J J +

J J +

V J ++

V V +

V V ++

V O ++

J O +

V V ++

J O +

J O +

J O +

V V ++

J V ++

J R +

V V ++

V V ++

J R +

J R +

V J +

V V ++

V V ++

V V ++

V V ++

V J +

V J +

V J +

V J +

V V ++

V V ++

V J +

V V ++

V V ++

J V +

J J +

Com m entaires

A Prévoir : Meilleur contrôle sur les règles ISDA

59


Une fois le processus de la cartographie des risques est intégralement réalisé, le responsable des risques opérationnels doit s’assurer que: ¾ La cartographie est réalisée de manière exhaustive (couvrant toutes les activités en concertation avec les opérationnels de l’entité), ¾ Les résultats sont à priori cohérents, ¾ Les processus/risques « préoccupants » ont déclenché des actions correctives, ¾ Les processus jugée prioritaire à l’égard d’un PCA ont été correctement identifiés, ¾ La cartographie est présentée à la Direction Générale.

Juillet 2008


60

Cartographie des risques Clés de réussite

• Avoir le soutien de la Direction • Faire adhérer les participants / créer un climat de confiance – Communiquer sur la démarche et sa valeur ajoutée – Faire le lien avec les objectifs personnels des participants – Garantir qu’aucune information ne soit remontée sans en avoir préalablement discuté avec les intéressés – Respecter la confidentialité • Prendre en compte le temps – Procéder à l’évaluation sur un délai court, avec présentation rapide des résultats • Profil du Risk Manager – Faire preuve d'écoute et de créativité

Juillet 2008


61

Cartographie des risques Écueils à éviter

• Démarrer la démarche par la recherche d’un système d’informations

• Absence de rigueur : – Remontée d’informations partielles à la Direction avant la fin de l’exercice – Maximisation de risques pour obtenir des ressources, sous-estimation par crainte de représailles / jugements – Considérer la gestion des risques comme le réceptacle des doléances – Ne pas objectiver les risques « biens connus » qui sont finalement sous-estimés – Mauvais libellé des risques

• Effet mode : faire une cartographie pour être à la mode

Juillet 2008


62

Cette présentation réalisée par le Cabinet ATTITUDES CONSEIL pour le compte des AMC marocaines est inspirée de nombreux ouvrages et basée sur des sources diverses et variées

Juillet 2008


63

cartographie_des_risques (opérat risk)

Recommend Documents