P. 1
cartographie_des_risques[1].pdfgt

cartographie_des_risques[1].pdfgt

|Views: 334|Likes:
Published by WAFAECELOSIA

More info:

Published by: WAFAECELOSIA on Jul 27, 2011
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

05/17/2014

pdf

text

original

Juillet 2008 JJ Mois Année

Élaborer une Cartographie des risques Pourquoi, pour qui et comment ?

Réalisé par : Hassan EL AMRANI

Sommaire
1. Le système de contrôle interne et sa place dans les AMC
Définition et objectif du C.I Principes fondamentaux du C.I Obligation de disposer du C.I Architecture du dispositif du C.I Obligation stricte de documentation et d’information Les risques à couvrir par le C.I

2. Réglementation Bâle 2 et risques opérationnels
Focus sur les risques opérationnels Approche de couverture des risques

3. Cartographie des risques
Objectifs et attentes Définition de la cartographie des risques Utilisateurs de la cartographie Les fondements de l’approche Référentiels utilisés Étapes clés Acteurs de la cartographie Étapes d’élaboration Clés de réussite Écueils à éviter
Juillet 2008 La Cartographie des risques

2

Objectifs du séminaire
• Développer le sens de la maîtrise des risques,

• Appréhender les composantes du Dispositif du Contrôle Interne,

• Acquérir la méthodologie d’élaboration de la Cartographie des risques,

• Assimiler les techniques d’évaluation du niveau d’exposition aux risques,

• Évaluer l’impact de la gestion des risques sur la tarification et la mesure de la rentabilité.

Juillet 2008

La Cartographie des risques

3

Le système de contrôle interne & sa place dans l’AMC 1. De quoi est-il composé? Juillet 2008 La Cartographie des risques 4 . Pourquoi un Dispositif de Contrôle Interne? 2. Quel est son périmètre? 3.

la sécurité et l’efficacité des opérations. permettant la régularité (au sens du respect de la réglementation externe et interne).Définition et objectifs du contrôle interne Définition : Le contrôle interne est défini comme l’ensemble des dispositifs visant la maîtrise des activités et des risques de toute nature. Juillet 2008 La Cartographie des risques 5 .

Définition et objectifs du contrôle interne Le déploiement du dispositif de contrôle interne répond aux principaux objectifs suivant : S’assurer de la conformité aux lois et règlements et aux normes internes. Porter à la connaissance de la Direction Générale des données exhaustives. précises et régulières nécessaires à la prise de décision et à la gestion des risques. Veiller à la performance financière. Prévenir et détecter les fraudes et les erreurs. S’assurer de la qualité de l’information comptable et financière. Juillet 2008 La Cartographie des risques 6 .

de séparation effective des fonctions d’engagements et de contrôle.Principes fondamentaux du contrôle interne • Implication direct de l’organe exécutif dans l’organisation et le fonctionnement du dispositif du contrôle interne. • Couverture exhaustive des activités et des risques. Juillet 2008 La Cartographie des risques 7 . • Responsabilité de l’ensemble des acteurs. • Définition claire des tâches.

le cas échéant. • Information de l’organe délibérant (Conseil de surveillance : stratégie et politique de risque limites globales opérationnelles fixées aux prises de risques. de la part des fonctions de contrôle ( ex :Nouvelles activités ou nouveau produits).Principes fondamentaux du contrôle interne • Processus de décision fondé sur les délégations formalisées et à jour comportant un double regard pour tout engagement significatif de quelque nature qu’il soit. suivi de limites. résultats des contrôles permanent et périodique ) Juillet 2008 La Cartographie des risques 8 . activités. pouvant se traduire par la nécessité d’un accord préalable ou d’un avis. • Normes et procédures. • Déploiement de fonctions de contrôle spécialisées.

Juillet 2008 La Cartographie des risques 9 . • Règlement CRBF 97-02 modifié en juin 2007(Applicable à l’ensemble des filiales de banques et aux organismes de crédits français).Obligation de disposer du contrôle interne Disposer d’un contrôle interne est une obligation réglementaire édictée par : • Comité de Bâle de la BRI. • Circulaire BAM n°40/G/2007 relative au Contrôle Interne des établissements de crédit.

Il constitue un instrument de gestion et de maîtrise de l’ensemble des risques encourus. Confirmation du rôle primordial des managers et de leurs équipes dans les contrôles permanents opérationnels.Obligation de disposer du contrôle interne Cette obligation a été renforcée à compter du 1er janvier 2006 en France et à partir du mois d’août 2007 au Maroc : Extension du dispositif de contrôle interne aux activités essentielles externalisées. Juillet 2008 La Cartographie des risques 10 .

respectent certains principes comme la séparation des fonctions. aux implantations et aux risques. il faut que les systèmes de contrôle des opérations et des procédures : soient adaptés au activités et à la taille. une durée limitée du cycle d’investigations… Juillet 2008 La Cartographie des risques 11 . concourir à la fiabilité des états financiers.Obligation de disposer du contrôle interne Son rôle doit être : efficace. s’étendre aux succursales à l’étranger. Pour être efficace. le réexamen périodique de la pertinence des systèmes. l’utilisation de moyens adaptés (qualitatifs et quantitatifs). se concevoir sur base consolidée.

Obligation de disposer du contrôle interne Les réglementations imposent aux établissements de crédits et aux entreprises d’investissement : Une obligation de moyens Mise en place d’un dispositif Une obligation de résultat Dispositif adapté et efficace Juillet 2008 La Cartographie des risques 12 .

des contrôles de conformité ainsi que des contrôles périodiques. Un système de documentation et d’information (procédures. système d’information). reportings).Architecture du dispositif de contrôle interne Les quatre composantes essentielles du dispositif du contrôle interne sont : Une organisation comptable et du traitement de l’information (comptabilité. Juillet 2008 La Cartographie des risques 13 . Un système de mesure et de surveillance des risques et des flux. Un système de contrôle qui comprend des contrôles permanents.

Il vise également l’amélioration constante de ce dispositif par la mise en œuvre d’actions correctrices appropriées. Juillet 2008 La Cartographie des risques 14 . l’adéquation et l’efficacité du contrôle interne et permet d’en apporter une justification probante.Architecture du dispositif de contrôle interne Le système de contrôle inclut toutes les vérifications réalisées à tous les niveaux de l’entreprise par l’ensemble des collaborateurs. Il a pour objectif de vérifier l’existence.

Architecture du dispositif de contrôle interne Juillet 2008 La Cartographie des risques 15 .

Permanent de 2ème degré (unités spécialisées).Architecture du dispositif de contrôle interne Il faut notamment 3 niveaux de contrôles : Permanent de 1er degré (au sein des unités). Périodiques (contrôle des contrôles). Juillet 2008 La Cartographie des risques 16 .

Architecture du dispositif de contrôle interne Juillet 2008 La Cartographie des risques 17 .

par les opérateurs. Au 2ème degré . après validation de l’opération.2ème niveau. Juillet 2008 La Cartographie des risques 18 . sans pouvoir d’engagement impliquant une prise de risque. par des agents distincts de ceux ayant engagé l’opération. Au 2ème degré .Architecture du dispositif de contrôle interne Le contrôle permanent est assuré : Au 1er degré. de façon courante à l’initiation d’une opération et en cours de validation de l’opération. Le contrôle périodique (3ème degré) : Vérifications ponctuelles de toutes les activités et fonctions de l’entreprise y compris le contrôle permanent et le contrôle de la conformité par une unité indépendante (Audit Inspection).1er niveau. pouvant exercer des activités opérationnelles. la hiérarchie au sein de l’unité ou par les systèmes automatisés de traitement des opérations. par des agents exclusivement dédiés.

Mise à disposition de tableaux de bord sur les risques et états de synthèse sur la mesure des risques. Centralisation des informations chez le responsable des Contrôles Permanents Juillet 2008 La Cartographie des risques 19 .Obligations strictes de documentation et d’information Nécessaire formalisation des procédures et documentation des programmes.

risque de liquidité intraday. Juillet 2008 La Cartographie des risques 20 . ils doivent faire l’objet d’une surveillance particulière compte tenu de leurs impacts financiers sous-jacents et de leurs conséquences. Risques de non-conformité. et risque règlement/ livraison).Les risques à couvrir par le contrôle interne Les risques à prendre en compte au titre de la réglementation sont : Risque de crédit. Risques de marché. y compris le risque de concentration et le risque résiduel. sécurité des moyens de paiements. Le risque d’image et le risque stratégique bien qu’ils ne soient pas intégrés dans les réglementations. Risques juridiques. externalisation). Risques opérationnels (y compris le plan de continuité des activités. Risques financiers structurels (risques de taux d’intérêt global.

Les risques à couvrir par le contrôle interne Les banques est les établissements de crédits sont principalement soumis aux risques de crédit. Les seconds sont externes à l’activité (incendie dans les locaux. Ce risque existe pour toute créance client. de marché et aux risques opérationnels : Le risque de crédit se définit comme l’incertitude d’une contrepartie d’accomplir ses obligations. inondation des salles serveurs…) Juillet 2008 La Cartographie des risques 21 . Les premiers sont internes à l’établissement et comprennent les risques humains (erreurs d’opérateur de saisie par exemple). Le risque opérationnel quant à lui se divise en deux catégories : risques endogènes et risques exogènes. existe dès qu’un portefeuille est exposé aux fluctuations des paramètres des marchés. inhérents au processus (cas ou il n’y a pas de mécanisme de gestion de crise dans le processus) ou inhérents au système lui-même (cas de système d’information indisponible pendant un jour par exemple). Le risque de marché.

fiscal ou réglementaire changement de la réglementation légale ou prudentielle.Accidents & déprédations incendies.. Inadaptation ou défaillance: .Immobilier . volatilité des marchés CAUSES DE RISQUES . défaillance des prestataires de services. grèves des transports .Matières premières .Emetteurs . contestations de créances de bonne ou de mauvaise foi. ... comportements répréhensibles.Taux / Change . Evolution défavorable des volumes d’activité ou de la conjoncture économique . processus décisionnel inadapté. inexistence ou inefficience des procédures .Des collaborateurs erreurs.. légal. malversations.. Conduite d’une stratégie dont la rentabilité ne s’avère pas optimale compte tenu des fonds propres engagés INTERNES Juillet 2008 La Cartographie des risques 22 ..De l’organisation ou des procédures non séparation des tâches. Evolution défavorable des conditions de marché : .Clients ..Actions . . perte de savoir-faire ..Contreparties ... malveillances.. inondations. négligences. erreurs de traitement.. non respect des procédures.Les risques à couvrir par le contrôle interne Le tableau suivant reprend les principales catégories de risques et les causes de leurs survenances : TYPES DE RISQUES RISQUES DE CREDIT RISQUES DE MARCHE RISQUES OPERATIONNELS STRATEGIES/ BUSINESS & REPUTATION EXTERNES Défaut de paiement des: ... Survenance d’événements extérieurs: -Tiers fraudes.Evolution de l’environnement géopolitique.. pannes externes de courant ou des télécommunications ..Des systèmes d’information indisponibilité des systèmes d’information ou des communications internes.

3 bn 1995 Orange Country $ 1.6 bn 1995 Barings $ 1.6 bn 2001 AIB $ 691 m 2001 Enron $ 63 bn 2003 Parmalat €10 bn 1988 Ratio Cooke (Bâle I) Juin 99 A new Capital Adequacy Framework Avril 03 Consultative paper 3 Juin 04 Texte définitif ? Jan 07 Mise en place Bâle II Juillet 2008 La Cartographie des risques 23 .Les risques à couvrir par le contrôle interne Exemples d’événements majeurs : Jan 06 IAS/IFRS CRBF 97-02 CRBF 01-01 Juil 02 Sarbanes Oxley Act Août 03 Loi Sécurité Financière 85>95 Sumitomo $ 2.

etc. Juillet 2008 La Cartographie des risques 24 . à l’exclusion du risque de réputation* et du risque stratégique. il se situerait en deuxième position quant à son importance en exigence de fonds propres soit : après le risque de crédit. Selon les enquêtes réalisées par le Comité de Bâle en 2001 auprès de 89 établissements bancaires. * Le risque d’image est toutefois inclus dans la définition des risques opérationnels de certaines institutions. agressions. changement de lois ou de réglementations. Le Risque Opérationnel est défini pour la première fois par la réglementation comme un risque à part entière.Réglementation Bâle 2 / Risques Opérationnels Focus sur les Risques Opérationnels Définition réglementaire du Risque Opérationnel Le Risque Opérationnel (RO) est le risque de perte: résultant de l’inadaptation ou de la défaillance de procédures.). personnes. systèmes internes. ou résultant d’événements externes (catastrophe. incendie. mais avant le risque de marché.

Fraude externe . produits et pratiques commerciales . Dommages aux actifs corporels . Pratiques en matière d’emploi et de sécurité . livraison et gestion des processus. Dysfonctionnement de l’activité et des systèmes .Réglementation Bâle 2 / Risques Opérationnels Focus sur les Risques Opérationnels les risques opérationnels sont décomposés par le comité de Bâle en sept catégories de risques: Fraude interne . Clients. Exécution. Juillet 2008 La Cartographie des risques 25 .

Réglementation Bâle 2 / Risques Opérationnels Focus sur les Risques Opérationnels Cette décomposition institue une approche différente. Juillet 2008 La Cartographie des risques 26 . basée sur des évènements générateurs de pertes. et non plus sur des types de risques comme cela était le cas auparavant.

Produits. et Pratiques commerciales Dommages & Sinistres Systèmes d ’information Traitements & Procédures Non respect d’un embargo Inexactitude des déclarations réglementaires Juillet 2008 La Cartographie des risques 27 .Réglementation Bâle 2 / Risques Opérationnels Focus sur les Risques Opérationnels Exemples d’événements Catégories de risques Bâle II Fraude interne Délit d’initié (intentionnel) Inadaptation de la rémunération variable Fraude externe Défaut de connaissance du client Défaut de conseil Violation du secret professionnel Pratiques discriminatoires envers des clients Manipulation des marchés Gestion des RH Clients.

le RO va : faire l’objet d’une dotation spécifique en capital (Pilier 1 de l’Accord) être suivi et évalué par les régulateurs qui pourront augmenter l’allocation de capital RO si la gestion des Risques Opérationnels n’est pas jugée satisfaisante (Pilier 2 de l’Accord) être inclus dans la communication financière des banques au marché (Pilier 3 de l’Accord). PILIER 1 Nouvelles exigences minimales de fonds propres PILIER 2 Renforcement de la surveillance prudentielle PILIER 3 Nouvelles exigences en matière de communication financière Pour la première fois. Juillet 2008 La Cartographie des risques 28 .Réglementation Bâle 2 / Risques Opérationnels Approche de couverture des Risques Opérationnels Nouvelle réglementation Bâle 2 identifiant le Risque Opérationnel Le Risque Opérationnel est un composant du nouvel accord dit de Bâle 2 (divisé en trois piliers) sur le Capital Réglementaire visant à définir un nouveau ratio de solvabilité pour remplacer le ratio Cooke.

Exigence de capital réglementaire : • La banque doit proposer un montant de capital réglementaire selon un modèle de calcul intégrant : Les données de pertes internes et externes Les analyses de scénarii • Elle doit par ailleurs • 15 % Coût en capital évaluer ses risques et son environnement de contrôle via le processus RCSA** qui est obligatoire.M. • 18 % pour le « Financement des entreprises.A * ! Méthode de base Méthode Standard Complexité de la méthode et finesse de la structure de gestion du Risque Opérationnel * A.Réglementation Bâle 2 / Risques Opérationnels Approche de couverture des Risques Opérationnels La réglementation Bâle 2 propose trois méthodes de calcul des exigences en Fonds Propres au titre des Risques Opérationnels Exigence de capital réglementaire (en % de la moyenne sur 3 ans du PNB de l’ensemble de la Banque) : Exigence de capital réglementaire (en % de la moyenne sur 3 ans du PNB des lignes métier) : • 12 % pour la « Banque de détail.A : « Advance Measurement Approach » : Approche en méthode avancée ** RCSA : « Risk and Control Self-Assessment » : Auto-évaluation des risques et des contrôles Juillet 2008 La Cartographie des risques 29 . Méthode A. • 15 % pour la « Banque commerciale et Fonction agent ». courtage de détail et gestion d’actif ». négociation et vente et paiement et règlement » • L’évaluation des risques et des contrôles (RCSA) est recommandée.M.

Dans le cadre de l’A.A) entre en vigueur au 1er janvier 2008.** Données prospectives La collecte des pertes internes renseigne sur le passé.M. Les autres éléments du dispositif permettent d’avoir une vision prospective des risques potentiels. les éléments de mesure des Risques Opérationnels sont : La collecte des pertes internes La comparaison des pertes internes avec les pertes externes Données historiques L’analyse de scénarii des risques extrêmes potentiels L’auto-évaluation des risques et du dispositif de prévention et de contrôle de ces risques (RCSA)* ou cartographie des risques Les indicateurs clés de risque (KRI). (*) RCSA : Risk and Control Self Assessment (**) KRI: Key Risk Indicators Juillet 2008 La Cartographie des risques 30 .M.A.Réglementation Bâle 2 / Risques Opérationnels Approche de couverture des Risques Opérationnels L’approche de mesure avancée (A.

notamment auprès des investisseurs et des agences de notation. les objectifs poursuivis par les établissements de crédits dans ce domaine sont nombreux et variés. après prise en compte des risques opérationnels. mais aussi complémentaires : Meilleure compréhension et appropriation des risques opérationnels encourus Meilleure connaissance du niveau de maîtrise des risques opérationnels et de l’impact potentiel d’une concrétisation de ces risques Allocation cohérente des ressources nécessaires à la réduction de ces risques Meilleure communication externe sur les risques opérationnels. Juillet 2008 La Cartographie des risques 31 . A cette fin.Réglementation Bâle 2 / Risques Opérationnels Approche de couverture des Risques Opérationnels La gestion des Risques Opérationnels Les établissements de crédits et les AMC entendent ainsi transformer cette contrainte réglementaire en une véritable opportunité d’optimisation de gestion du risque. et réduction du risque d’image Allocation des fonds propres permettant de mesurer avec pertinence la performance réelle des activités.

transférer ces risques (assurances…).Cartographie des risques Objectifs et attentes La cartographie des risques permet d’identifier les RO en apportant … Une vision globale du niveau de risque opérationnel intrinsèque. des procédures de contrôle des documentations contractuelles existent afin de s’assurer de leur conformité. 2. de par ses activités . Une vision globale du niveau des risques opérationnels résiduels. La méthodologie RCSA (ou cartographie des risques) permet d’évaluer le risque opérationnel résiduel auquel est exposé l’établissement : 1. 32 Juillet 2008 La Cartographie des risques . Pour y faire face. Ex : L’AMC.Risques opérationnels Intrinsèques (RI) L’entreprise de crédit est exposée à des risques intrinsèques à ses activités. est soumise au risque de litiges commerciaux. Ex : Pour faire face au risque de litiges commerciaux.Risques opérationnels Résiduels (RR) Malgré l’existence de contrôles. l’AMC met en place des dispositifs de prévention et de contrôle visant à réduire ses risques opérationnels à un niveau jugé acceptable. 3. affecter des fonds propres pour les couvrir. il subsiste des risques résiduels.Dispositifs de prévention et de contrôle existants Pour se protéger. l’AMC pourra : renforcer les dispositifs de prévention et de contrôle.

qui cartographie par type de risque les diverses unités. fonctions organisationnelles ou chaînes d’opérations. peut repérer les zones de faiblesse et permettre d’établir des priorités pour l’action à entreprendre par l’organe de direction » Définition de BAM (Projet de recommandations générales relatif au dispositif de gestion des risques opérationnels Juillet 2008 La Cartographie des risques 33 .Cartographie des risques Définition de la cartographie des risques La cartographie des risques : « Ce processus.

Compléter les éléments en entrée du modèle interne de calcul d ’allocation des fonds propres aux métiers / filiales (notamment les scénarios de risques opérationnels) Juillet 2008 La Cartographie des risques 34 . Surveiller les processus sensibles à l’aide d’indicateurs (à déterminer par filiales et métiers).Cartographie des risques Définition de la cartographie des risques La cartographie des risques opérationnels doit permettre de : Évaluer périodiquement les risques portés par les processus au sein des métiers. Satisfaire aux critères qualitatifs d’éligibilité aux AMA Bâle II. Établir une synthèse dégageant les risques majeurs et/ou les processus les plus sensibles. Orienter les décisions sur le plan d’actions d’amélioration de la maîtrise des risques.

Capital économique Impact Faible Fort Juillet 2008 La Cartographie des risques 35 .Suivi régulier .Atténuation (PCA.Transfert (Assurance) . . …) .Cartographie des risques Définition de la cartographie des risques En terme des résultats elle doit fournir une gestion différenciée par nature de risque.Prévention Gestion de crise Fréquence Risque récurrent Haute => Pertes attendues Risque insupportable/ situation de crise Basse Risque négligeable Risque majeur => Pertes exceptionnelles .

) La Direction financière L’Inspection Générale et l’audit interne Les actionnaires Les régulateurs et contrôleurs externes Les agences de notation • Analyse du profil de risque • Prise en compte de la qualité de gestion des risques exercée. Juillet 2008 La Cartographie des risques 36 . suivi des plans d’action majeurs • Comparaison des profils de risque des activités • Mise en évidence des principaux risques • Analyse des risques opérationnels et évaluation des contrôles • Mise en oeuvre et suivi de plans d’actions correctrices • Répartition du capital réglementaire • Évaluation du degré de conformité avec l’approche Générale et les exigences réglementaires • Vérification de la fiabilité et l’exhaustivité des évaluations de profils des risques • Priorisation des missions d’audit sur les entités les plus exposées • Information sur le profil des risques Les responsables des Branches et des Directions fonctionnelles (pour compte propre et filière : PCA. Il intéresse à terme différents acteurs… La Direction Générale • Connaissance de l’exposition aux Risques Opérationnels • Pilotage et décisions stratégiques.. SSI..Cartographie des risques Utilisateurs de la cartographie des risques La cartographie des risques est un des outils de pilotage des Risques Opérationnels.

Cartographie des risques Fondements de l’approche La mise en place de la cartographie est un projet qui a des conséquences sur l’ensemble de l’organisation : Il touche au cœur des métiers. Juillet 2008 La Cartographie des risques 37 . Il conduira à un nouveau système de pilotage. Avec ce projet stratégique. les établissements seront en mesure de passer de la gestion des RO au pilotage des RO. Il entraînera des modifications importantes : des systèmes d’informations de l’organisation de la stratégie.

pour en tirer les conséquences pratiques en vue d’un déploiement à moindre coût. Juillet 2008 La Cartographie des risques 38 . pour donner rapidement des résultats concrets. pour être applicable à tout type d’activité. …pour garantir le succès de son déploiement afin de faire émerger et partager les expériences et les meilleures pratiques. pour la doter d’un vecteur de communication interne et externe. …nécessitant une expérimentation préalable… pour l’ajuster et l’enrichir par rapport aux réalités et préoccupation du terrain.Cartographie des risques Fondements de l’approche Une approche participative. pour tester son « appropriation » par les acteurs. pour garantir homogénéité et cohérence en vue d’une certification par le régulateur. générique et opérationnelle… pour que les acteurs s’y reconnaissent et se l’approprient.

Évaluer la qualité des dispositifs de prévention et de contrôle en place permettant de réduire ces risques (existence et efficacité de ces dispositifs en termes de détection et de prévention des risques et/ou de leur capacité à en diminuer les impacts financiers). en faisant abstraction de son environnement de prévention et de contrôle. 3. 2.Risques opérationnels résiduels (RR) 3. Pour ce faire.Risques opérationnels intrinsèques (RI) 1. Pour identifier les zones de faiblesse des mesures de prévention et de contrôle et mettre en œuvre des plans d’actions correctrices. Identifier et évaluer les risques intrinsèques auxquels est exposée chaque activité : risques inhérents à la nature d’une activité.Dispositifs de prévention et de contrôle existants 2. Juillet 2008 La Cartographie des risques 39 . il s’agit de : 1. En déduire l’exposition aux risques résiduels de chaque activité (après prise en compte de l’environnement de prévention et de contrôle mais sans prise en compte des couvertures d’assurance).Cartographie des risques Fondements de l’approche La cartographie a pour but d’évaluer la qualité du dispositif de prévention et de contrôle et de quantifier l’exposition aux risques opérationnels. 4.

détecter et gérer ce problème (plans d’actions) ? Indicateurs/ Mesures Juillet 2008 La Cartographie des risques 40 . la démarche de la cartographie des risques consiste à rencontrer les acteurs des risques au quotidien et leur demander : De quelle activité s’agit-il ? Domaine/Processus/Acteurs Quel est le « problème » redouté (avéré ou potentiel) ? Risque Quelles sont les principales causes ? Cause Quelle est la nature des préjudices induits ? Conséquences Avec quelle fréquence ce problème peut-il survenir ? Combien cela coûte -t-il en moyenne par an et combien cela pourrait-t-il coûter dans un scénario pessimiste mais plausible ? Cotation Que pourrait-on faire pour mieux anticiper.Cartographie des risques Fondements de l’approche En pratique.

Cartographie des risques Fondements de l’approche Juillet 2008 La Cartographie des risques 41 .

Cartographie des risques Fondements de l’approche Cotation du Risque Opérationnel Récurrent Combien cela a t-il coûté et Évalué. maîtrisés? Cotation de la Qualité des Contrôles Permanents Juillet 2008 La Cartographie des risques 42 . Il est coté par l’évaluateur en fonction des pertes exceptionnelles passées. en tenant compte du niveau des contrôles permanents : par le montant des pertes récurrentes attendues à horizon d ’un an. cela pourrait-il coûter ? dont la Fréquence varie de moins d’une fois par an à une fois tous les 10 ans. combien cela pourrait-il pertes évaluées en s’aidant des coûter l’année prochaine ? historiques et / ou du niveau de nuisance des impacts non financiers Il est coté par l’évaluateur en fonction des éléments dont il dispose : base pertes. anticipation de risques futurs … Ces risques sont-ils bien ou mal Appréciation de la qualité des contrôles pour assurer la maîtrise de leurs risques. indicateurs. en cas de défaillance grave des contrôles permanents ou d’événement(s) externe(s) exceptionnel(s) : Combien de fois ce scénario exceptionnel pourrait-il par le montant de la perte potentielle maximale survenir à l’avenir et combien et / ou par l ’importance de l’impact non financier . alertes… Cotation du Risque Opérationnel Exceptionnel Évalué. de la veille/benchmarks.

Cartographie des risques Fondements de l’approche Juillet 2008 La Cartographie des risques 43 .

le référentiel des questionnaires métier.Cartographie des risques Référentiels utilisés L’exercice de la cartographie des risques s’appuie sur : Le référentiel RO. également appelés « scorecards métier ». spécifiques à chaque métier ou fonctionnel. i.e. regroupant les facteurs de risque pertinents pour le métier considéré et les questions d’évaluation associées. i. Le référentiel Cartographie des risques. Référentiel des Risques Opérationnels Se déclinant en… Causés par plusieurs … Référentiel RCSA 8 catégories d’évènement Ex : Litiges commerciaux Évalués par… sous-catégories d’évènement Ex : Inadéquation des produits proposés Facteurs de risque Ex : Insuffisance ou inadéquation du partage d'information entre les équipes Questions d’évaluation Ex : Comment évaluez-vous l'efficacité des dispositions en vigueur afin de faciliter le partage d'informations sur les clients au sein de l'entité ? Pouvant chacun causer plusieurs… Juillet 2008 La Cartographie des risques 44 . la classification des catégories et sous-catégories d’évènement de RO déjà mise en œuvre dans l’entreprise pour la collecte des pertes internes.e.

Litiges sur activités de conseil 2. Non-respect de la législation fiscale 18. Absence ou inexactitude des données nécessaires à la gestion des activités 33. Erreurs dans la transmission. Défaut de personnel 41. Défaillance dans le dispositif de gestion et de suivi des autorisations et des limites 19. Mauvaise gestion de projet 45. Défaillance dans la gestion administrative d’une opération jusqu’à son échéance 25. Fraude sur des transactions par le personnel ou avec sa complicité 40. Vols/escroqueries /fraudes commis par des tiers 36. Données de marché et informations publiques fausses ou insuffisantes 21. Défaillance des software Juillet 2008 La Cartographie des risques 45 . Autre forme d’actes criminels contre les actifs de la banque 35. Piratage 39. Non-respect des lois contre la discrimination 9. Pratiques commerciales inappropriées 3.Cartographie des risques Référentiels utilisés Exemple de référentiel RO : Les 8 catégories d’événements représentent les manifestations concrètes possibles des risques opérationnels. Défaillance dans le processus de livraison et/ou de règlement de la banque 23. Perte de services 44. Vols par le personnel ou des prestataires internes 37. Non-respect de la loi bancaire 8. Pertes des donnés 42. Non respect des exigences réglementaires locales 11. Insuffisance du service au client 4. la saisie ou la compréhension d’une instruction 26. Non-respect de la réglementation du travail 10. Activités non informatique et autorisées sur autres attaques les marchés malveillantes des systèmes informatiques de la banque par des tiers 34. Défaillance dans les processus de gestion des confirmations d’opérations 24. Autres litiges avec un tiers 5. Evaluation incorrecte ou inexistante de la position 20. Modèle de calcul de prix ou de valorisation erroné 22. Chaque catégorie d’événement est ensuite déclinée en une ou plusieurs sous-catégories d’événements mutuellement exclusives. 8 CATEGORIES D’EVENEMENT LITIGES COMMERCIAUX LITIGES AVEC LES AUTORITES ERREURS DE « PRICING » OU D’EVALUATION DU RISQUE ERREURS D’EXECUTION FRAUDE ET AUTRES ACTIVITES CRIMINELLES ACTIVITES NON AUTORISEES SUR LES MARCHES (ROGUE TRADING) PERTES DES MOYENS D’EXPLOITATION DEFAILLANCE DES SYSTEMES D’INFORMATION SOUS-CATEGORIES D’EVENEMENT 1. Non-respect des exigences comptables ou de la communication financière 12. Contrat ou clauses contractuelles inapplicables 7.

Scorecard métier Banque de détail • Insuffisance ou inadéquation du partage d'information entre les équipes • Émission des confirmations Scorecard métier Ressources Humaines • Formation • Concentration de la connaissance et des compétences • Gestion des engagement sociaux Juillet 2008 La Cartographie des risques 46 . Il doit toujours être considéré en fonction de la sous-catégorie d’événement / catégorie d’évènement à laquelle il se rapporte.) à partir : du référentiel commun de facteurs de risque : un facteur de risque est un élément de l’environnement et/ou de l’organisation qui contribue à la survenance d’un risque opérationnel. Il permet d’assurer la cohérence du dispositif vis-à-vis du régulateur. de la bibliothèque commune de questions d’évaluation de ces facteurs de risque. Le principe des questionnaires métier (bancaires ou fonctionnels) est applicable à l’ensemble des entités. etc. Plan de Continuité d’Activité.Cartographie des risques Référentiels utilisés Détail du référentiel de risques de l’entreprise : Le référentiel des risques métier est élaboré par les experts des métiers et fonctions (exemples : Déontologie. Référentiel des Risques Opérationnels Se déclinant en… Causés par plusieurs … Évalués par… Référentiel RCSA 8 catégories d’évènement Ex : Litiges commerciaux sous -catégories d’évènement Ex : Inadéquation des produits proposés Facteurs de risque Ex : Insuffisance ou inadéquation du partage d'information entre les équipes Questions d’évaluation Ex : Comment évaluez -vous l'efficacité des dispositions en vigueur afin de faciliter le partage d'informations sur les clients au sein de l'entité ? Pouvant chacun causer plusieurs… Un scorecard métier (référentiel) permet d’évaluer un métier ou une fonction. Achats.

Assez bien ? 4 – Bien ? 4 – Bien ? Lorsqu'ils sont en place.Assez satisfaisante ? 3.Cartographie des risques Référentiels utilisés Détail du référentiel : les questions d’évaluation des Facteurs de Risques Les questions d’évaluation doivent permettre de noter les facteurs de risques.Faiblement ? 2.Faiblement ? 2. quelle est la qualité d'exécution de ces dispositifs ? Lorsqu'ils sont en place.Assez bien ? 3. leur efficacité. l’existence de la piste d’audit permettant de vérifier les 2 premiers points.Insuffisante ? 2. Exemple ci-dessous). couvrent-ils ce risque ? Les dispositifs de prévention et de contrôle. couvrent-ils ce risque ? 1-Très faiblement ? 1-Très faiblement ? 2. La démarche d’autoévaluation met notamment en évidence : l’existence de processus de contrôle interne.Insuffisante ? 3. quelle est la qualité d'exécution de ces dispositifs ? 1-Très insuffisante ? 1-Très insuffisante ? 2.Assez satisfaisante ? 4 – Satisfaisante ? 4 – Satisfaisante ? Ces dispositifs sont-ils documentés et auditables ? Ces dispositifs sont-ils documentés et auditables ? 1-Très faiblement? 1-Très faiblement? 2. en place dans votre entité. 8 CATEGORIES D’EVENEMENT RISQUES OPERATIONNELS / SOUS-CATEGORIES LITIGES COMMERCIAUX Élevé 3 Facteur de risque Insuffisance ou inadéquation du partage d'information entre les équipes Les dispositifs de prévention et de contrôle.Faiblement ? 3. Le barème de réponse associé à une question s’étend de 1 à 4 (cf.Assez bien ? 3. en place dans votre entité.Assez bien ? 4 – Bien ? 4 – Bien ? Juillet 2008 La Cartographie des risques 47 .Faiblement ? 3.

Cartographie des risques
Étapes clés

Processus de la cartographie : chacune des 3 étapes se concrétise par un livrable.

Évaluation
1

Livrable
1- Cartographie des risques intrinsèques

1- Risques opérationnels Intrinsèques (RI) 2- Dispositifs de prévention et de contrôle existants

2

2- Questionnaires entité notés (ou scorecards entité)

3

3- Risques opérationnels Résiduels (RR)

3- Cartographie des risques résiduels

Ces 3 étapes peuvent être effectuées à des niveaux de granularités différents, l’évaluation des risques opérationnels intrinsèques et résiduels étant faite généralement à un niveau plus élevé que l’évaluation du dispositif de prévention et de contrôle.

Les Branches et Directions Fonctionnelles commencent l’exercice de la cartographie en désignant les acteurs en charge de chacune de ces étapes.
Juillet 2008 La Cartographie des risques

48

Cartographie des risques
Étapes clés

Processus de Cartographie : détail des 3 étapes et acteurs concernés
Étapes Livrables Acteurs Référentiels métiers utilisés

1

1 - Évaluation des Risques Intrinsèques

Cartographie des risques intrinsèques

Noteur Valideur

Référentiel des RO : catégories d’évènement sous-catégories d’évènement

2

2 - Évaluation du dispositif de prévention et de contrôle 2.1 – Élaboration de la scorecard entité en identifiant : • le périmètre • les facteurs de risques pertinents (et leur pondération) • le mode d’évaluation des questions • les noteurs et valideurs 2.2 – Notation et justification de la scorecard entité

2.1

Scorecard entité à noter

Modélisateur de la scorecard Référentiel :

2.2

Scorecard entité notée et justifiée

Facteurs de risques et questions d’évaluation Noteur Scorecards métier (bancaires ou fonctionnels)

2.3 – Validation de la scorecard entité

2.3

Scorecard entité validée

Valideur

3

Évaluation des Risques Résiduels

Cartographie des risques résiduels

Responsable de l’entité évaluée

Référentiel Entités : Entités Organisationnelles Lignes Métier Entités Juridiques Processus

4

Mise en place de plans d’actions correctrices

Plans d’actions correctrices

Responsable de l’entité évaluée

Juillet 2008

La Cartographie des risques

49

Cartographie des risques
Acteurs de la cartographie

Les acteurs de l’exercice Cartographie
Les acteurs sont désignés par les Branches et les Directions fonctionnelles.

Le noteur
Les noteurs sont les responsables d’entité en charge de noter les cartographies de risques intrinsèques et /ou les scorecards entité : Le noteur de la cartographie des risques intrinsèques évalue son niveau d’exposition aux risques face aux catégories ou sous-catégories d’événement. Le noteur d’une scorecard entité reçoit pour notation la scorecard entité élaborée par le modélisateur. Le noteur évalue son dispositif de prévention et de contrôle en répondant aux questions d’évaluation associées à ces facteurs de risque. Il justifie sa note par l’existence de procédures de prévention et de contrôle ou d’indicateurs clés de risque.

Le valideur
Les cartographies des risques intrinsèques et les scorecards entité notées sont envoyées par les noteurs à leur hiérarchie pour validation. Le valideur est la personne en mesure de valider les notes et les justifications associées avant consolidation en vérifiant notamment la cohérence des notes pour l’ensemble des entités de son périmètre. Le valideur doit être différent du noteur.

Juillet 2008

La Cartographie des risques

50

le modélisateur pourra être le responsable de l’entité. Toutefois. les acteurs de l’exercice de la Cartographie ne doivent appartenir ni aux services d’Audit Interne ni à l’Inspection Générale. la fiabilité et l’exhaustivité des évaluations des profils des risques. afin de préserver l’indépendance de ces derniers. Remarque : Réglementairement. Juillet 2008 La Cartographie des risques 51 . il peut s’agir de l’ORM (responsable des risques opérationnels) de l’entité en concertation avec les responsables des entités . Lors de l’élaboration des scorecards entité. l’Audit Interne peut apporter son expertise lors de la mise en place initiale du dispositif de gestion des RO. les responsables des activités en charge de la notation des scorecards entité … et leur hiérarchie. à la cible. L’Inspection et l’Audit L’Inspection et l’Audit revoient périodiquement l’ensemble du système d’évaluation et sa conformité aux exigences réglementaires. le modélisateur identifie : le périmètre à couvrir les facteurs de risques pertinents (en les pondérant éventuellement) au vu de la cartographie des risques intrinsèques : le modélisateur de la scorecard entité doit vérifier la cohérence de la scorecard entité avec la cartographie des risques. la cohérence entre la notation et sa justification. Pour le premier exercice. Le modélisateur est un expert métier qui est en mesure d’identifier l’ensemble des risques internes et externes auxquels est exposée l’entité évaluée. en charge de valider ces notations ainsi que les justifications associées.Cartographie des risques Acteurs de la cartographie Les acteurs de l’exercice de la cartographie Le modélisateur Il élabore la scorecard entité. en s’attachant notamment à vérifier les points suivants : l’application effective du processus de la cartographie dans l’entreprise.

Cartographie des risques Étapes d’élaboration La méthodologie de réalisation d’une cartographie des risques se déroule généralement en 5 étapes: Définition des listes de domaines et de processus étape 1 identification Du risque opérationnel étape 2 Matrice d’aversion (pour cotation) étape 3 Cotation du risque étape 4 Validation par le Comité du contrôle interne étape 5 Identification processus sensibles Plan d’action proposé Juillet 2008 La Cartographie des risques 52 .

En effet. Dépôts. virements. Organisation. etc. il est primordial de dresser l’inventaire des processus par métier. Spécifiques au Management et aux fonctions supports. Relatifs à des transactions. réalisation d’un crédit …). Juridique et Fiscal. comptes débiteurs. après avoir rattaché les activités aux 8 Métiers Bâle II découpés en domaines d’activités (exemples : Crédits. Juillet 2008 La Cartographie des risques 53 . gestion des GABs. Un processus est défini comme étant un enchaînement d’étapes ayant une même finalité (exemple : Remises de valeurs. Placements. Moyens généraux. Comptabilité. Nous pouvons distinguer trois types de processus : Relatifs à la relation avec les clients. le travail rendu et la qualité des résultats. Informatique. ordres d’achat / vente de titres.). Moyens de paiement. tarification.Cartographie des risques Étapes d’élaboration Étape 1 : Définition des processus Cette étape consiste à instaurer un référentiel de processus. avec un objectif de trouver le meilleur compromis entre le niveau de granulation.

La matrice préliminaire des risques opérationnels renseignée par les responsables des entités. les risques sont rattachés à 7 Catégories de Risques Bâle II. détaillées en évènements générateurs de risques (exemple pour la fraude externe : Vols. fraude par carte bancaire etc.) Juillet 2008 La Cartographie des risques 54 . détournements de fonds. En pratique. Contrefaçons et falsifications. Hold-up. La liste des risques opérationnels et des événements génériques y associés.Cartographie des risques Étapes d’élaboration Étape 2 : Identification des risques opérationnels Afin de pouvoir identifier les risques opérationnels le Responsable du Risque Opérationnel doit disposer de trois éléments à savoir : La liste et la description des processus identifiés par ligne métier ou entité.

Cartographie des risques Étapes d’élaboration Étape 3 : Matrice d’aversion Au niveau de cette étape le responsable R.O a pour mission d’établir la matrice d’évaluation des risques sur la base de trois composantes : Les risques survenus ou avérés.10 M€ 10 .50 M€ > 50 M€ Image Fort Image Majeur Impact non financier Client Fort Client Majeur Sanction pénale * Sanction Réglementaire Juillet 2008 La Cartographie des risques 55 .500 K€ K€ 500 K€ 1 M€ 1-5 M€ 5 . Les échelles de cotation de la gravité du risque sont représentative de ’ « aversion Les échelles de cotation de la gravité du risque sont représentative de ll’« aversion pour le risque opérationnel » de ’unité pour le risque opérationnel » de ll’unité Les intervalles de ’échelle de fréquence et de ’échelle d’impact sont définis en Les intervalles de ll’échelle de fréquence et de ll’échelle d’impact sont définis en valeur absolue et communs à ’ensemble de ’entreprise (unités du Groupe) valeur absolue et communs à ll’ensemble de ll’entreprise (unités du Groupe) Impact financier 0-1 K€ Un cas tous les 2 à 3 ans Un cas tous les 3 à 5 ans Un cas tous les 5 à 10 ans 1-5 K€ 5 . les risques exceptionnels et le niveau de maîtrise des risques.100 100 .10 K€ 10 .50 K€ 50 .

Cartographie des risques Étapes d’élaboration 0-1 KDH 1-5 KDH 5 .50 MDH > 50 M R i s q u e Récurrent Pertes annuelles potentielles Vert Vert Vert Jaune Jaune A partir de quel niveau de gravité un risque doitil être considéré comme Orange Orange Rouge Rouge Rouge Rouge « Fort » ou « Majeur » ? Risque exceptionnel Un cas tous les 2 à 3 ans Un cas tous les 3 à 5 ans Un cas tous les 5 à 10 ans Vert Vert Vert Jaune Jaune Orange Orange Orange Rouge Rouge Rouge Vert Vert Vert A partir de quel niveau de risque devons-nous être informés et prendre les Vert Jaune Jaune Orange Orange Orange Rouge décisions adaptées ? Vert Vert Jaune Jaune Jaune Orange Orange Rouge Vert Vert Vert Rouge Juillet 2008 La Cartographie des risques 56 .10 MDH 10 .500 KDH 500 KDH 1 MDH 1-5 MDH 5 .10 KDH 10 .50 50 .100 KDH KDH 100 .

en identifiant les risques potentiels et les niveaux de contrôle y afférents. Les risques Non Financiers.Cartographie des risques Étapes d’élaboration Étape 4 : Cotation des risques opérationnels Les risques futurs associés aux processus font l’objet d’une évaluation appelée cotation. On distingue deux catégories de risques en fonction de leur impact : Les Risques Financiers (cotés en fonction de leur fréquence et de leur impact financier. Elle sert à établir une carte sommaire des risques. la cotation des Risques Financiers est parfaitement normée grâce à une matrice d’aversion aux risques. Les Risques Exceptionnels (à moyen et long terme). La cotation des risques opérationnels est effectuée sur la base des historiques des pertes recueillies au niveau de la base de données. au moyen d’une matrice d’aversion aux risques) . Ainsi. Juillet 2008 La Cartographie des risques 57 . On cote deux catégories de risques futurs en fonction de leur fréquence : Les Risques Attendus (récurrents à court terme) .

Cartographie des risques Étapes d’élaboration Etape 5 : Identification des processus sensibles et plans d’action. Cette phase consiste à produire le rapport sommaire de la gestion du risque en mettant en relief les risques majeurs ou les zones de faiblesse. Comme elle doit définir aussi bien les recommandations que les plans d’action pour prévenir et réduire le risque opérationnel. Juillet 2008 La Cartographie des risques 58 .

V V ++ V O ++ V O + V J ++ V J + V V ++ V O ++ J R + V V ++ V J + Désas & Sinis V J + V V ++ V V ++ V V ++ V V ++ V V ++ J O + V V ++ V V ++ V V ++ S.Défectueux Tableau de synthèse + Acceptable + Acceptable Fraude Ext. RA + Acceptable .I V J + V J ++ V V ++ V J + V V ++ V J ++ V V ++ V V ++ V J + V V ++ Trait. Perso. V V ++ V O ++ V O + O R V J + J J + J O + J R + V J + J V + SYNTH V J + V O ++ V R + O R V J + J J + J O + J R + V J + J J + Com m entaires Caisse RE CP V J + V O ++ V R + V O V J + V J + V J ++ J O + V J + V J + Sélection des processus sensibles. V J + V V ++ V V + J O V V ++ V V + V V + V V ++ V V ++ V V ++ Gest. à savoir: Niveau de risque majeur « rouge » ou fort « orange » et / ou Niveau de maîtrise des risques « défectueux » ou « à améliorer » RA RE CP RA RE CP RA RE CP RA RE CP RA Conseil en placement Gestion des relations clients Gestion du risque de marché Gestion du risque de crédit Vérification approfondie du KYC Bascule du système de gestion des limites Activité Trésorerie RE CP composantes pour chaque croisement Processus / Catégories de risques Juillet 2008 Cartographie par Cotation des trois processus Mandat de trading actions RA RE CP RA Produits structurés RE CP RA A Prévoir : Meilleur contrôle sur les règles ISDA Gestion Financière RE CP RA Ressources Humaines RE CP La Cartographie des risques 59 . V V ++ V J ++ V J ++ V V ++ V V ++ V J ++ V V ++ J V ++ V V ++ V V ++ Prat.Cartographie des risques Étapes d’élaboration Risque Attendu Risque Exceptionnel Contrôle Permanent Recommandations Conseil en placement Gestion des relations clients Gestion du risque de marché Mandat de trading actions Produits structurés V V O J J O R R O R ++ Efficace Former les conseillers de façon périodique Vérification approfondie du KYC Bascule du système de gestion des limites Créer une mission d'audit sur les délits d'initié A prévoir : meilleur contrôle sur les règles ISDA Fraude Int. Com m .

le responsable des risques opérationnels doit s’assurer que: La cartographie est réalisée de manière exhaustive (couvrant toutes les activités en concertation avec les opérationnels de l’entité). La cartographie est présentée à la Direction Générale. Juillet 2008 La Cartographie des risques 60 .Cartographie des risques Étapes d’élaboration Une fois le processus de la cartographie des risques est intégralement réalisé. Les résultats sont à priori cohérents. Les processus/risques « préoccupants » ont déclenché des actions correctives. Les processus jugée prioritaire à l’égard d’un PCA ont été correctement identifiés.

avec présentation rapide des résultats • Profil du Risk Manager – Faire preuve d'écoute et de créativité Juillet 2008 La Cartographie des risques 61 .Cartographie des risques Clés de réussite • Avoir le soutien de la Direction • Faire adhérer les participants / créer un climat de confiance – Communiquer sur la démarche et sa valeur ajoutée – Faire le lien avec les objectifs personnels des participants – Garantir qu’aucune information ne soit remontée sans en avoir préalablement discuté avec les intéressés – Respecter la confidentialité • Prendre en compte le temps – Procéder à l’évaluation sur un délai court.

sous-estimation par crainte de représailles / jugements – Considérer la gestion des risques comme le réceptacle des doléances – Ne pas objectiver les risques « biens connus » qui sont finalement sous-estimés – Mauvais libellé des risques • Effet mode : faire une cartographie pour être à la mode Juillet 2008 La Cartographie des risques 62 .Cartographie des risques Écueils à éviter • Démarrer la démarche par la recherche d’un système d’informations • Absence de rigueur : – Remontée d’informations partielles à la Direction avant la fin de l’exercice – Maximisation de risques pour obtenir des ressources.

Cette présentation réalisée par le Cabinet ATTITUDES CONSEIL pour le compte des AMC marocaines est inspirée de nombreux ouvrages et basée sur des sources diverses et variées Juillet 2008 La Cartographie des risques 63 .

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->