Embed Size (px)
Citation preview
‘La cartographie des risques Compliance’
Approche, méthodes et outil
Par Apolline Buchler, fondatrice et présidente de Compliance’InConseil & Solutions dédiés à la gestion et la maîtrise des risques Compliance
www.compliance-in.com
1
Agenda
45 mi
en 2 te s
PrésentationDurée : 30-35 min
Questions / réponsesDurée 10-15 min
2
Des enjeux
3
Connaître les réglementations
nationales et extra-territoriales applicables, les
recommandations des régulateurs et les
normes internationales
Appréhender les facteurs de risque
susceptibles d’affecter les activités et la
performance
Maîtriser ses risques pour en faire un levier
de croissance par l’ajustement de la
stratégie de l’entreprise
Ajuster et améliorer le programme de
conformité en fonction des risques majeurs
identifiés
Environnement réglementaire
Dispositif de conformité
Modèle économique
Écosystème interne et externe
Se prémunir des conséquences de la survenue du risque
Sanctions financières, pénales, administratives
Perte de réputation
Perte de confiance des investisseurs et des clients
Perte de compétitivité et de productivité
Régl. locales
Un environnement réglementaire et normatif
4
ISO 37001, 19600...
Foreign Corrupt Practices Act (US FCPA)
Loi Sapin 2 sur la lutte contre la
Corruption
UK Bribery Act
Déclaration de
performance extra
financière
Arrêté du 03
novembre 2014
Directives EU
AML/FT
Loi relative au devoir
de vigilance
Toutes les entreprises petites ou grandes, privées ou publiques, qui
placent la maîtrise des risques éthiques et environnementaux au
coeur de leur modèle
Ver C m i n ur
Les banques, les services de paiement et les services
d'investissement soumis au contrôle de l’ACPR
Toutes les entreprises privées et publiques visées directement par
les réglementations locales, européennes et extra-territoriales portant des exigences en gestion
des risques compliance
Toutes les collectivités territoriales devant disposer d’un
dispositif de contrôle interne adapté à la lutte contre la
corruption
Un processus
5Un oc s u se édu s à l’éva i n ri s
Préparation
Définition du périmètre de risques, du périmètre organisationnel et des acteurs (pilotes, validateurs, contributeurs)
Elaboration des guides d’entretien et des questionnaires d’évaluation
Lancement et Évaluation
Information, sensibilisation, formation des acteurs concernés, puis lancement officiel de la campagne
Evaluation de l’exposition aux risques, évaluation de l’adéquation et de l’efficacité des moyens de prévention
Analyse et priorisation
Analyse des résultats d’évaluation et validation
Hiérarchisation des risques, fixation de la limite d’acceptabilité
Priorisation, identification des actions
Communication et suivi
Communication interne des résultats de la cartographie des risques et des orientations choisies en conséquence (programme de conformité, modèle économique)
Pilotage et suivi des actions en central et dans les entités locales
Formalisation et action
Rédaction de documents synthétiques complets, formalisés et évolutifs
Affectation des budgets et assignation des actions
Ajustement du programme de conformité en fonction des actions
Processus d’une campagne de cartographie des risques
Une approche structurée
6
Le cadre, la méthodologie et le fonctionnement du projet doivent être décrits dans un document formalisé et accessible
● Le référentiel des risques à évaluer● Le périmètre organisationnel● Les acteurs de la cartographie● La durée et la période d’évaluation
Une méthodologie
Définir la méthodologie d’évaluation des risques fait partie des attentes des régulateurs ainsi que la façon dont seront formalisés les résultats
● La méthode d’évaluation (qualitative, quantitative, mixte)
● La méthode de consolidation ou d’agrégation
● La représentation des résultats d’évaluation
Un projet
Savoir travailler en mode projet est indispensable à la mise en place d’une cartographie des risques au sein de votre organisation.Si vous n’avez pas l'habitude de fonctionner en mode projet, faites appel à un cabinet de conseil externe
● Les acteurs du projet● Le planning prévisionnel● Le budget● La gouvernance / le reporting● Le plan de communication● La conduite du changement
Définir le cadre de la cartographie des risques est une étape structurante qui servira tout au long de la campagne d’évaluation comme référence
Un cadre
Une approche structurée - un cadre
7
Le périmètre organisationnel
Les acteurs La durée, fréquence, période
Le référentiel des risques
Quelles sont les réglementations qui sont applicables à mon organisation?
Quels sont les risques applicables à mes activités?
Existe-t-il un intérêt à définir des familles de risque?
Je défi t e c e t référe l...
Se poser les bonnes questions avant de se lancer dans une cartographie des risques
● Corruption● Blanchiment de capitaux● Financement du terrorisme● Sanctions & embargos● Conflit d’intérêts● Droit de la concurrence● Fraude fiscale● Délit d’initié● Données personnelles● ...
Quelles sont les entités juridiques et les directions, les métiers visés par l’évaluation?
Sur quelles implantations? Dans quels pays?
Tous les risques sont-ils applicables à toutes les entités?
Je déte n e éri èt e à éva et s i me h ...
Qui sont les acteurs de la cartographie des risques sur la base du périmètre choisi?
Qui sont le ou les pilotes? Qui contribue à l’évaluation? Qui valide? Qui est responsable?
Je défi , je m e c u s, je s ib e t fo ...
Quelle est la fréquence de l’exercice?
Sur quelle période? Est-ce cohérent par rapport aux exercices budgétaires?
Combien de temps est laissé aux contributeurs pour évaluer leur entités?
Je défi l i n ...
Une approche structurée - une méthodologie
8
Penser et élaborer une méthodologie adaptée à son écosystème interne et externe
Risque Inhérent Moyens de prévention
Risque RésiduelEvaluation de l’exposition aux risques
(par risque/entité évaluée)
Quels sont les facteurs de risque susceptibles d’affecter les activités de mon entité et d’augmenter la probabilité de survenue du risque? ● Facteurs liés au pays● Facteurs liés au secteur d’activité● Facteurs liés aux transactions● Facteurs liés aux clients● Facteurs liés aux tiers ● Facteurs liés à l’opportunité commerciale● Facteurs internes
J’éva ha ac de q e ne éc e l va (généra n ur 4 ni u )
Evaluation de la qualité des moyens de prévention
(par risque/entité évaluée)
Quels sont les moyens de prévention existants au sein de mon entité?● Contrôles (3 lignes de défense)● Politiques● Procédures● Processus● Formations● Gouvernance
J’éva ’adéqu o t ’ef ci é de q e n e p éve n u n éc e l al (généra n
su 4 ni u )
Les types d'évaluation
Pour être utile, le catalogue de facteurs doit présenter chaque risque avec suffisamment de
précision, de façon claire, et de manière à faire correspondre un ou plusieurs moyens de
prévention
Evaluation qualitative (jugement d’expert)
Evaluation quantitative (utilisation de données de sources internes ou
externes)
Evaluation mixte qualitative et quantitative (jugement d’expert et
utilisation de données)
1 2 3
Une approche structurée - une méthodologie
Pays Clients(dont KYC)
TransactionsSecteurTiers(dont KYS)
InterneOpportunité commerciale
Contrôles Politiques internes
ProcessusProcédures Gouvernance Formations
Instance dirigeante
Responsable Conformité
Responsables Métiers
Des évaluations faites par les responsables Métiers sous pilotage de la direction de la conformité et impulsion de l’équipe dirigeante
Les p ab méti éva t o l ac s e s e p ab à le éti ...
… et s o t e c r i é
Risque Inhérent
Moyens de prévention
score global par entité évaluée
score global par entité évaluée
9
Une approche structurée - une méthodologie
10
Fixer une limite d’acceptabilité du risque en fonction de son modèle économique et de ses orientations stratégiques
Ad
éq
uat
ion
et
eff
icac
ité
d
es
mo
yen
s d
e p
réve
nti
on
Faible
Niveau de risque Inhérent
Très élevé
Faible ou inexistant
Fort
Matrice de Risque Résiduel et appétit au risque
Zone d’acceptabilité
Zone de non acceptabilité
Ad
éq
uat
ion
et
eff
icac
ité
d
es
mo
yen
s d
e p
réve
nti
on
Niveau de risque Inhérent
Matrice de Risque Résiduel et appétit au risque
c
b
a
Notion de limite d’acceptabilité (appétit au risque) Notion d’atténuation du risque résiduel
Faible ou inexistant
Fort
Faible Très élevé
Une approche structurée - une méthodologie
Formaliser des rapports synthétiques et structurés, organisés par métiers, par processus, par entités, par zones géographiques
Rapport de l’entité évaluée
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Duis sit amet odio vel purus bibendum luctus. Morbi iaculis dapibus tristique. In hac habitasse platea dictumst. M
Des représentations graphiques pour illustrer et enrichir l’analyse des
résultats. Elles permettent une vision
consolidée ou agrégée des scores de risque (attention à la méthode utilisée
et à l’effet Medium!)
Des rapports écrits, structurés, synthétiques, organisés (par métiers,
processus, entités, zones géographiques…) mis à jour chaque
année et lors de tout évènement nécessitant de réévaluer la
cartographie
Une analyse des résultats d’évaluation de l’exposition aux risques
(facteurs de risque et probabilité d'occurrence) et de la qualité du
dispositif pour chaque risque et chaque entité évaluée
Niveau de risque résiduel de l’entité évaluée
11
Une approche structurée - un projet
Les acteurs(Identification,
rôles et responsabilités)
Le calendrier(Planning, jalons,
étapes)
Les livrables(Méthodologie,
questionnaires...)
Le besoin(Cahier des
charges)
La gouvernance(Points, Comités opé. & pilotage...)
La communication
(Stratégie et plan)
La conduite du changement(Information,
sensibilisation, formation)
Le lancement(Communication
Officielle)
Le déroulement(interviews,
entretiens d’évaluation)
Le suivi(PMO, tableaux
de bord, relances)
La formalisation(Rapports
synthétiques)
Les actions(plans d’action et
stratégie)
Le retour d’expérience(Ce qu’il faut améliorer...)
L’analyse(Résultats, assurance
qualité)
Déployer une cartographie des risques: un projet transversal et complexe, multi-acteurs et pluri-entités
12
Un outil
Accéder à une application de cartographie des risques simple et intuitive pour répondre à l’ensemble du processus
13
Coordonner les acteurs de la cartographie des risques, les aider à collaborer
Proposer un socle méthodologique ajustable
Déployer la cartographie des risques sur l’ensemble de l’organisation
Evaluer les risques et le dispositif de conformité
Connecter d’autres solutions Compliance (ex: KYC)
Consolider ou agréger les résultats
Générer des tableaux de bord de suivi et de pilotage
Consulter des tableaux de bord d’aide à l’analyse des risques
Générer des rapports automatiques structurés
Gérer et piloter les plans d’action
14
Le spécialiste de la cartographie des risques Complianceen partenariat avec l’institut du Risk & Compliance
Ⓒ 2019 Compliance’In
Des ti ?
