You are on page 1of 26

Cartographie des risques opérationnels

Atelier

Cartographie des risques : enjeux, démarche et état de l’art
Dan Chelly, Directeur Associé, Elseware.
Ancien Responsable des risques opérationnels d’un grand Groupe bancaire français

Table ronde – AMRIM – Décembre 2008

1

Ce qui ressort le plus souvent des cartographies…
Analyse en scénarios nécessaire Souvent lié à la continuité d’activité (lien avec le PCA) Souvent lié au cœur d’activité : nécessité de surveiller le DMR

Impact

Risques majeurs (Souvent externes)

Risques « cœur d’activité »

Fréquence

Risques moyens

Risques faibles Niveau de maîtrise

Volumétri e de la base incident

* Schéma volontairement simplifié
Table ronde – AMRIM – Décembre 2008 2

Cartographie : définition et enjeux 2. Démarche organisationnelle 4. Structuration des référentiels 3. Validation et reportings Table ronde – AMRIM – Décembre 2008 3 . Méthodologie d’évaluation 5.Cartographie des risques opérationnels 1.

La cartographie dans le dispositif Vulnérabilités (=Risques potentiels) Zones de fragilités potentielles Incidents avérés Cartographies Indicateurs Prédictifs de risques Base Incidents Scénarios de risques majeurs Approche causale Table ronde – AMRIM – Décembre 2008 4 .

Des plans d’actions sont alors engagés à partir des risques critiques identifiés afin d’en diminuer l’exposition. de classer. d’évaluer. de comparer et de hiérarchiser les risques susceptibles d’impacter une ligne de métier donnée et / ou un établissement.  Table ronde – AMRIM – Décembre 2008 5 .Politique en matière de cartographie  Les travaux de cartographie des risques opérationnels ont pour objet d’identifier.

Objectifs de la Cartographie  La cartographie permet de définir le référentiel des risques et ses évolutions… voir de définir un tronc commun pour le Groupe C’est une étape d’acculturation aux RO de l’ensemble des personnes impliquées   Elle doit être une image fidèle bien que mouvante du profil de risque de l’établissement. C’est avant tout un outil de pilotage : c’est lorsque la cartographie est finalisée que la gestion des risques prend toute sa place  Table ronde – AMRIM – Décembre 2008 6 .

Cartographie des risques opérationnels 1. Structuration des référentiels 3. Cartographie : définition et enjeux 2. Validation et reportings Table ronde – AMRIM – Décembre 2008 7 . Méthodologie d’évaluation 5. Démarche organisationnelle 4.

du processus concerné.   Elles sont définies et sont modélisées selon des niveaux spécifiques de hiérarchisation des données.  Ces 2 dimensions s’appellent (« couple PG/ER » « ER »):   Le Processus Générique (PG) L’Evénement de Risque (ER).Evènement de Risque : définition et modélisation  Un Evènement de Risque se décline en 2 dimensions :   L’activité. le métier. Approche nécessaire et structurante au niveau d’un Groupe 8 Table ronde – AMRIM – Décembre 2008 . c’est-à-dire le risque opérationnel qui « se produit » dans le cadre du métier. le processus. L’évènement de risque lui-même.

Organisation des données et référentiels Risk Event ni 1 Bâle II Risk Event ni 2 Bâle II Processus Majeur Type de risque Groupe Processus Générique Risk Event niv 3 Business Line niv 2 Bâle II Business Line niv 1 Bâle II Evenement Risque Module gestion des incidents Module cartographie des risques Table ronde – AMRIM – Décembre 2008 9 .

=) Cotation obligatoire pour tous les établissements du même pôle métier Cotation par quelques établissements d’un pôle Cotation rendue non obligatoire (ER non pertinent pour l’établissement .Les différents types d’évènements de risques / cotations Types d’ER Cotation ER à coter Groupe ER COMMUNS (à tous les établissements de même pôle Métier : CE ..) ER LOCAUX (spécifiques à un établissement) ER à coter local ER à coter facultatif Cotation par un établissement d’un pôle Table ronde – AMRIM – Décembre 2008 10 ..

Méthodologie d’évaluation 5. Cartographie : définition et enjeux 2. Structuration des référentiels 3. Démarche organisationnelle 4.Cartographie des risques opérationnels 1. Validation et reportings Table ronde – AMRIM – Décembre 2008 11 .

.Les échanges avec les homologues . .Schéma général du processus de cartographie Définir une organisation / un calendrier Définir le périmètre d’ER à coter (identifier les vulnérabilités) Identifier les acteurs de l’évaluation (validation) et affecter les ER Coter les ER (évaluation.Nouveaux risques . méthode.Plan d’actions mis en œuvre Table ronde – AMRIM – Décembre 2008 12 ..Nouvelles activités.Les benchmarks • Effectuer les contrôles de cohérence Contrôler que tous les ER sont validés (aucun en cours ou périmé) Valider la cartographie Présenter la cartographie et les plans d’actions en CRO Actualisation au fil de l’eau .) Justifier.Les experts (avec / dispatch) .Les incidents . outil) • Suivre l’actualisation et la fiabilité (méthodologie. fusions .Les anciennes cotations . validation) Définir les nouveaux plans d’actions Former/équiper les Correspondants (processus. justification . documenter les raisons de retenir ou d’exclure un ER du périmètre de cotation Utiliser : .

.Définition d’une organisation / d’un calendrier  Une organisation doit être mise en place : Quelle que soit la situation (évolution ou nouvelle cartographie). une organisation doit être mise en place afin de s’assurer de la cotation des évènements de risque. >  Le périmètre des évènements de risques à évaluer doit être précisé : Les risques du tronc commun.) et / ou sur une mise à jour continue suivie au travers de l’outil dédié.. / Domaine X à coter d’ici au .. etc... > Les risques locaux (Les établissements ont toute latitude pour élargir ce périmètre ) > Table ronde – AMRIM – Décembre 2008 13 . > Cette organisation s’appuiera sur un calendrier (X % d’ER à coter d’ici au .

il est souhaitable de répartir les évènements à évaluer entre des collaborateurs plus spécialisés.Identification des acteurs et affectation des ER Les évènements de risques doivent être attribués aux « experts » métiers internes les mieux à même de réaliser l’évaluation et / ou la validation.  Table ronde – AMRIM – Décembre 2008 14 . les collaborateurs en charge de 1 à N évaluations sont individuellement responsables des travaux qui leur ont été confiés et du respect des échéances fixées. en charge de processus multiples. se trouvent destinataires d’un grand nombre d’évaluations.  Si des Responsables Opérationnels.  Une fois l’affectation des évènements de risque réalisée.

Formation / Equipement des correspondants  Communiquer sur le processus > > > > Démarche de gestion des Risques Opérationnels Objectifs de la cartographie Règles générales de mise en œuvre de la cartographie Calendrier  Transmettre la méthode d’évaluation des risques et la connaissance de l’outil > > Diffusion de supports aux correspondants Animation de formations  Donner l’accès à l’outil dédié Table ronde – AMRIM – Décembre 2008 15 .

analyse la cotation produite. Le RRO envoie des ER à coter à l’expert concerné.Cotation des Evènements de Risques  La cotation des Evènements de Risques est effectuée par les experts métiers. La prise en compte des incidents qui se sont produits sur l’ER concerné. La prise en compte d’incidents dans la base de pertes externes Table ronde – AMRIM – Décembre 2008 16 . selon deux modes d’organisation possibles : > > Le RRO participe à la cotation en présence de l’expert. effectue un suivi.  La cotation d’un Evènement de Risque peut être facilitée. par exemple par : > > > L’examen de la cotation de l’ER dans la cartographie précédente.

Validation et reportings Table ronde – AMRIM – Décembre 2008 17 . Cartographie : définition et enjeux 2.Cartographie des risques opérationnels 1. Méthodologie d’évaluation 5. Structuration des référentiels 3. Démarche organisationnelle 4.

L’Evènement de risque peut être estimé Courant (il se produit au moins une fois par an). Rare (moins d’une fois par an). Exemples de Dispositifs de Maîtrise des Risques : > > > > Contrôles a priori.Eléments de l’évaluation  La fréquence : c'est le nombre de fois où le risque pourrait se produire sur une période donnée. > Les impacts : ce sont les conséquences financières et les effets sur l’image de l’établissement ou du Groupe. Table ronde – AMRIM – Décembre 2008 18 . contrôles a posteriori. > On peut aussi estimer qu’il ne se produit Jamais.. séparation des tâches. système de surveillance.. Système de délégation. Transfert de responsabilité . Sécurisation des accès logiques / des accès physiques.  Les Dispositifs de Maîtrise de Risques (DMR) : c’est l’ensemble des mesures  existantes qui doivent permettre à l’entreprise d’éviter de faire face à la réalisation du risque.

Moyen .PISTE D’AUDIT Qualifier la fréquence de l’Evènement de Risque Jamais Courant (au moins une fois par an) Déterminer la fréquence .Maximum Décrire / coter les DMR* Prévention / Protection (exprimés en % d’efficacité) Décrire / coter les DMR* Prévention / Protection (exprimés en % d’efficacité) Déterminer l’Impact image Déterminer l’Impact image Schéma général du processus de cotation * DMR = Dispositifs de Maîtrise des Risques Table ronde – AMRIM – Décembre 2008 19 .Moyen .Schéma général du processus d’évaluation CONSERVATION DES ELEMENTS .Moyenne .Maximum Rare (moins d’une fois par an) Déterminer la fréquence (une seule fréquence pour les ER rares) Déterminer l’Impact financier . courante Maximum mais plausible (pas de scénario catastrophe impossible) Déterminer l’Impact financier .Maximum Situation plausible.

20 . l’efficacité des DMR réduit d’une part les impacts et d’autre part la fréquence d’occurrence de l’évènement de risque. Risque brut : c’est la valorisation du risque en termes de fréquence et d’impacts. Risque net : le risque net valorise les impacts que l’établissement pourrait effectivement subir en termes financiers et d’impact. en intégrant les dispositifs de prévention et de détection existants. c'est-à-dire des effets du dispositif de maîtrise des risques en place. puis les DMR. la méthode propose de commencer par l’évaluation du risque « net ».Dynamique de l’évaluation de l’impact financier En réalité. pour évaluer l’impact financier d’un ER. qui tient compte de l’existant. on va du net vers le brut Concernant l’évaluation de l’impact financier. c'est-à-dire le risque résiduel. Efficacité des DMR : mesurée en pourcentage. Table ronde – AMRIM – Décembre 2008 L’évaluation du risque brut est déduite automatiquement. et l’on obtient le risque brut. en faisant abstraction des dispositifs de maîtrise des risques existants.

Faible. > le personnel. Table ronde – AMRIM – Décembre 2008 21 . > … >  Pour chacune de ces catégories on se réfère à une cotation qualitative : > > > > Fort. Moyen/fort. > les fournisseurs. Moyen/faible.Evaluation de l’impact image  L’évaluation de l’impact image est déclinée selon les parties prenantes de l’activité pouvant être affectées par la survenance de l’Evènement de Risque : la clientèle.

Cartographie des risques opérationnels 1. Cartographie : définition et enjeux 2. Structuration des référentiels 3. Méthodologie d’évaluation 5. Validation et reportings Table ronde – AMRIM – Décembre 2008 22 . Démarche organisationnelle 4.

). Table ronde – AMRIM – Décembre 2008 23 .Contrôle de la fiabilité des cotations  Ce contrôle consiste à vérifier : > > Le respect de la méthodologie d’évaluation des risques.. Chiffrage correct de chaque facteur d’impact concerné. > La justification des évaluations produites et la bonne conservation de ces justifications :   Formalisation du détail des calculs. La pertinence de l’évaluation :   Prise en compte des bons facteurs d’impact. Présence de documents explicatifs (statistiques ..

> Vis-à-vis des établissements de même nature. > Table ronde – AMRIM – Décembre 2008 24 . fréquences). > De corriger les éventuelles erreurs d’évaluation (ou de saisie. >  Ce contrôle permet : De repérer les évaluations qui devront être expliquées. impacts.  Ce contrôle vise à s’assurer de la cohérence des cotations d’évènements de risques :  D’une version de cotation à la suivante. puisque ces actions s’effectuent via l’outil dédié). > Entre ER de même nature ou proches (nature du risque.Contrôle de la cohérence de la cartographie C’est un préalable à la présentation de la cartographie au Comité Risques opérationnels.

Présentation de la cartographie et des propositions de plans d’actions en Comité Risques Opérationnels      L’identification des plans d’actions à mettre en œuvre doit être réalisée au cours du processus de mise à jour de la cartographie. La validation du Comité Risques Opérationnels constitue la validation officielle de la cartographie. Les risques majeur de niveau Groupe sont gérés au niveau de l’équipe nationale en collaboration avec les établissements concernés Table ronde – AMRIM – Décembre 2008 25 . font l’objet d’une présentation détaillée au Comité Risques Opérationnels dans l’objectif d’une validation par chaque établissement. La cartographie actualisée. et les plans d’actions qui en sont issus. Les plans d’actions « en cours » et les résultats des plans d’actions clos issus de la cartographie précédente font également partie des points présentés au Comité Risques Opérationnels.

FIN Merci de votre attention Table ronde – AMRIM – Décembre 2008 26 .