cartographie_des_risques (opérat risk)

JJ Mois Année

Élaborer une Cartographie des risques

Pourquoi, pour qui et comment ?

Juillet 2008

Réalisé par : Hassan EL AMRANI

2La Cartographie des risquesJuillet 2008

Sommaire

1. Le système de contrôle interne et sa place dans les AMCDéfinition et objectif du C.IPrincipes fondamentaux du C.IObligation de disposer du C.IArchitecture du dispositif du C.IObligation stricte de documentation et d’informationLes risques à couvrir par le C.I

2. Réglementation Bâle 2 et risques opérationnelsFocus sur les risques opérationnels Approche de couverture des risques

3. Cartographie des risquesObjectifs et attentes Définition de la cartographie des risquesUtilisateurs de la cartographieLes fondements de l’approcheRéférentiels utilisésÉtapes clésActeurs de la cartographie Étapes d’élaboration Clés de réussite Écueils à éviter


Objectifs du séminaire

• Développer le sens de la maîtrise des risques,

• Appréhender les composantes du Dispositif du Contrôle Interne,

• Acquérir la méthodologie d’élaboration de la Cartographie des risques,

• Assimiler les techniques d’évaluation du niveau d’exposition aux risques,

• Évaluer l’impact de la gestion des risques sur la tarification et la mesure de la rentabilité.


Le système de contrôle interne & sa place dans l’AMC

1. Pourquoi un Dispositif de Contrôle Interne?

2. Quel est son périmètre?

3. De quoi est-il composé?


Définition et objectifs du contrôle interne

Définition :

Le contrôle interne est défini comme l’ensemble des dispositifs visant la maîtrise des activités et des risques de toute nature, permettant la régularité (au sens du respect de la réglementation externe et interne), la sécurité et l’efficacitédes opérations.


Définition et objectifs du contrôle interne

Le déploiement du dispositif de contrôle interne répond aux principaux objectifs suivant :

S’assurer de la conformité aux lois et règlements et aux normes internes,

S’assurer de la qualité de l’information comptable et financière,

Prévenir et détecter les fraudes et les erreurs,

Veiller à la performance financière,

Porter à la connaissance de la Direction Générale des données exhaustives, précises et régulières nécessaires à la prise de décision et à la gestion des risques.


Principes fondamentaux du contrôle interne

• Implication direct de l’organe exécutif dans l’organisation et le fonctionnement du dispositif du contrôle interne,

• Responsabilité de l’ensemble des acteurs,

• Couverture exhaustive des activités et des risques,

• Définition claire des tâches, de séparation effective des fonctions d’engagements et de contrôle,


Principes fondamentaux du contrôle interne

• Processus de décision fondé sur les délégations formalisées et à jour comportant un double regard pour tout engagement significatif de quelque nature qu’il soit, pouvant se traduire par la nécessité d’un accord préalable ou d’un avis, le cas échéant, de la part des fonctions de contrôle ( ex :Nouvelles activités ou nouveau produits),

• Normes et procédures,

• Déploiement de fonctions de contrôle spécialisées,

• Information de l’organe délibérant (Conseil de surveillance : stratégie et politique de risque limites globales opérationnelles fixées aux prises de risques, suivi de limites, activités, résultats des contrôles permanent et périodique )


Obligation de disposer du contrôle interne

Disposer d’un contrôle interne est une obligation réglementaire édictée par :

• Comité de Bâle de la BRI, • Règlement CRBF 97-02 modifié en juin 2007(Applicable à l’ensemble des filiales de banques et aux organismes de crédits français),• Circulaire BAM n°40/G/2007 relative au Contrôle Interne des établissements de crédit.



Cette obligation a été renforcée à compter du 1er janvier 2006 en France et àpartir du mois d’août 2007 au Maroc :

Extension du dispositif de contrôle interne aux activités essentielles externalisées,

Confirmation du rôle primordial des managers et de leurs équipes dans les contrôles permanents opérationnels.

Il constitue un instrument de gestion et de maîtrise de l’ensemble des risques encourus.



Son rôle doit être :

efficace,

se concevoir sur base consolidée,

s’étendre aux succursales à l’étranger,

concourir à la fiabilité des états financiers.

Pour être efficace, il faut que les systèmes de contrôle des opérations et des procédures :

soient adaptés au activités et à la taille, aux implantations et aux risques,

respectent certains principes comme la séparation des fonctions, l’utilisation de moyens adaptés (qualitatifs et quantitatifs), le réexamen périodique de la pertinence des systèmes, une durée limitée du cycle d’investigations…



Les réglementations imposent aux établissements de crédits et aux entreprises d’investissement :

Une obligation de résultat

Dispositif adapté et efficace

Une obligation de moyens

Mise en place d’un dispositif


Architecture du dispositif de contrôle interne

Les quatre composantes essentielles du dispositif du contrôle interne sont :

Une organisation comptable et du traitement de l’information (comptabilité, système d’information),

Un système de documentation et d’information (procédures, reportings),

Un système de mesure et de surveillance des risques et des flux,

Un système de contrôle qui comprend des contrôles permanents, des contrôles de conformité ainsi que des contrôles périodiques.



Le système de contrôle inclut toutes les vérifications réalisées à tous les niveaux de l’entreprise par l’ensemble des collaborateurs. Il a pour objectif de vérifier l’existence, l’adéquation et l’efficacité du contrôle interne et permet d’en apporter une justification probante. Il vise également l’amélioration constante de ce dispositif par la mise en œuvre d’actions correctrices appropriées.





Il faut notamment 3 niveaux de contrôles :

Permanent de 1er degré (au sein des unités),

Permanent de 2ème degré (unités spécialisées),

Périodiques (contrôle des contrôles),





Le contrôle permanent est assuré :

Au 1er degré, de façon courante à l’initiation d’une opération et en cours de validation de l’opération, par les opérateurs, la hiérarchie au sein de l’unité ou par les systèmes automatisés de traitement des opérations,

Au 2ème degré - 1er niveau, après validation de l’opération, par des agents distincts de ceux ayant engagé l’opération, pouvant exercer des activités opérationnelles,

Au 2ème degré - 2ème niveau, par des agents exclusivement dédiés, sans pouvoir d’engagement impliquant une prise de risque.

Le contrôle périodique (3ème degré) :

Vérifications ponctuelles de toutes les activités et fonctions de l’entreprise y compris le contrôle permanent et le contrôle de la conformité par une unitéindépendante (Audit Inspection).


Obligations strictes de documentation et d’information

Nécessaire formalisation des procédures et documentation des programmes,

Mise à disposition de tableaux de bord sur les risques et états de synthèse sur la mesure des risques,

Centralisation des informations chez le responsable des Contrôles Permanents


Les risques à couvrir par le contrôle interne

Les risques à prendre en compte au titre de la réglementation sont :

Risque de crédit, y compris le risque de concentration et le risque résiduel,

Risques de marché,

Risques financiers structurels (risques de taux d’intérêt global, risque de liquidité intraday, et risque règlement/ livraison),

Risques opérationnels (y compris le plan de continuité des activités, sécuritédes moyens de paiements, externalisation),

Risques de non-conformité,

Risques juridiques.

Le risque d’image et le risque stratégique bien qu’ils ne soient pas intégrés dans les réglementations, ils doivent faire l’objet d’une surveillance particulière compte tenu de leurs impacts financiers sous-jacents et de leurs conséquences.



Les banques est les établissements de crédits sont principalement soumis aux risques de crédit, de marché et aux risques opérationnels :

Le risque de crédit se définit comme l’incertitude d’une contrepartie d’accomplir ses obligations. Ce risque existe pour toute créance client.

Le risque de marché, existe dès qu’un portefeuille est exposé aux fluctuations des paramètres des marchés.

Le risque opérationnel quant à lui se divise en deux catégories : risques endogènes et risques exogènes.

Les premiers sont internes à l’établissement et comprennent les risques humains (erreurs d’opérateur de saisie par exemple), inhérents au processus (cas ou il n’y a pas de mécanisme de gestion de crise dans le processus) ou inhérents au système lui-même (cas de système d’information indisponible pendant un jour par exemple).

Les seconds sont externes à l’activité (incendie dans les locaux, inondation des salles serveurs…)



Le tableau suivant reprend les principales catégories de risques et les causes de leurs survenances :

RISQUES DE CREDIT

RISQUES DE MARCHE RISQUES OPERATIONNELS STRATEGIES/ BUSINESS &

REPUTATIONEX

TER

NES

Défaut de paiement des:

- Clients - Contreparties

- Emetteurs - ...

Evolution défavorable des

conditions de marché :

- Taux / Change - Actions

- Matières premières - Immobilier

- ...

Survenance d’événements extérieurs: -Tiers

fraudes, malversations, contestations decréances de bonne ou de mauvaise foi,défaillance des prestataires de services,

grèves des transports ...- Evolution de l’environnement géo-

politique, légal, fiscal ou réglementaire changement de la réglementation légale ou

prudentielle, volatilité des marchés - Accidents & déprédations

incendies, inondations, pannes externes decourant ou des télécommunications ...

Evolution défavorable des volumes d’activité ou de la conjoncture économique

INTE

RN

ES

Inadaptation ou défaillance: - De l’organisation ou des procéduresnon séparation des tâches, processusdécisionnel inadapté, inexistence ou

inefficience des procédures ...- Des collaborateurs

erreurs, négligences, malveillances,comportements répréhensibles, non respect

des procédures, perte de savoir-faire ... - Des systèmes d’information

indisponibilité des systèmes d’information ou

des communications internes, erreurs detraitement...

Conduite d’une stratégie dont

la rentabilité ne s’avère pasoptimale compte tenu des

fonds propres engagés

TYPES DE RISQUES

CA

USE

S D

E R

ISQ

UES



Exemples d’événements majeurs :

1995 OrangeCountry$ 1,6 bn

1995 Barings$ 1,3 bn

2001 AIB

$ 691 m

2001 Enron$ 63 bn

2003 Parmalat

€10 bn

1988 Ratio Cooke

(Bâle I)

CRBF 97-02

Juin 99 A new Capital

Adequacy Framework

Avril 03 Consultative

paper 3

CRBF 01-01

Juil 02 Sarbanes Oxley Act

Juin 04 Texte

définitif ?

Jan 07 Mise en

place Bâle II

Août 03 Loi Sécurité Financière

Jan 06 IAS/IFRS

85>95 Sumitomo

$ 2,6 bn


Réglementation Bâle 2 / Risques OpérationnelsFocus sur les Risques Opérationnels

Définition réglementaire du Risque Opérationnel

Le Risque Opérationnel (RO) est le risque de perte:

résultant de l’inadaptation ou de la défaillance de procédures, personnes, systèmes internes,

ou résultant d’événements externes (catastrophe, incendie, agressions, changement de lois ou de réglementations, etc.),

à l’exclusion du risque de réputation* et du risque stratégique.

Le Risque Opérationnel est défini pour la première fois par la réglementation comme un risque àpart entière. Selon les enquêtes réalisées par le Comité de Bâle en 2001 auprès de 89 établissements bancaires, il se situerait en deuxième position quant à son importance en exigence de fonds propres soit :

après le risque de crédit,

mais avant le risque de marché.

* Le risque d’image est toutefois inclus dans la définition des risques opérationnels de certaines institutions.



les risques opérationnels sont décomposés par le comité de Bâle en sept catégories de risques:

Fraude interne ;

Fraude externe ;

Pratiques en matière d’emploi et de sécurité ;

Clients, produits et pratiques commerciales ;

Dommages aux actifs corporels ;

Dysfonctionnement de l’activité et des systèmes ;

Exécution, livraison et gestion des processus.


Réglementation Bâle 2 / Risques Opérationnels Focus sur les Risques Opérationnels

Cette décomposition institue une approche différente, basée sur des évènements générateurs de pertes, et non plus sur des types de risques comme cela était le cas auparavant.



Fraude externe

Fraude interne

Gestion des RH

Clients, Produits, etPratiques commerciales

Dommages & Sinistres

Systèmes d ’information

Traitements &Procédures

Catégories de risques Bâle II

Défaut de conseil

Violation du secret professionnel

Pratiques discriminatoiresenvers des clients

Manipulation des marchés

Non respect d’un embargo

Exemples d’événements

Inexactitude des déclarations réglementaires

Inadaptation de la rémunération variable

Délit d’initié (intentionnel)

Défaut de connaissance du client


Réglementation Bâle 2 / Risques OpérationnelsApproche de couverture des Risques Opérationnels

Nouvelle réglementation Bâle 2 identifiant le Risque Opérationnel

Le Risque Opérationnel est un composant du nouvel accord dit de Bâle 2 (divisé en trois piliers) sur le Capital Réglementaire visant à définir un nouveau ratio de solvabilité pour remplacer le ratio Cooke.

PILIER 1

PILIER 1

PILIER 2

PILIER 2

PILIER 3

PILIER 3

Nouvelles exigences minimales de fonds propres

Renforcement de la surveillance prudentielle

Nouvelles exigences en matière de communication financière

Pour la première fois, le RO va :

faire l’objet d’une dotation spécifique en capital (Pilier 1 de l’Accord)

être suivi et évalué par les régulateurs qui pourront augmenter l’allocation de capital RO si la gestion des Risques Opérationnels n’est pas jugée satisfaisante (Pilier 2 de l’Accord)

être inclus dans la communication financière des banques au marché (Pilier 3 de l’Accord).


Exigence de capital réglementaire (en % de la moyenne sur 3 ans du PNB de l’ensemble de la Banque) :

• 15 %

Méthode de base

Exigence de capitalréglementaire (en % de la

moyenne sur 3 ans du PNB des lignes métier) :

• 12 % pour la « Banque de détail, courtage de détail et gestion d’actif »,

• 15 % pour la « Banque commerciale et Fonction agent »,

• 18 % pour le « Financement des entreprises, négociation et vente et paiement et règlement »

• L’évaluation des risques et des contrôles (RCSA) est recommandée.

Méthode Standard

Exigence de capital réglementaire :

• La banque doit proposer un montant de capital réglementaire selon un modèle de calcul intégrant :

Les données de pertes internes et externesLes analyses de scénarii

• Elle doit par ailleurs évaluer ses risques et son environnement de contrôle via le processus RCSA** qui est obligatoire.

Méthode A.M.A *

Coû

t en

capi

tal

La réglementation Bâle 2 propose trois méthodes de calcul des exigences en Fonds Propres au titre des Risques Opérationnels

!


Complexité de la méthode et finesse de la structure de gestion du Risque Opérationnel

* A.M.A : « Advance Measurement Approach » : Approche en méthode avancée

** RCSA : « Risk and Control Self-Assessment » : Auto-évaluation des risques et des contrôles



L’approche de mesure avancée (A.M.A) entre en vigueur au 1er janvier 2008.Dans le cadre de l’A.M.A, les éléments de mesure des Risques Opérationnels sont :

La collecte des pertes internes

La comparaison des pertes internes avec les pertes externes

L’analyse de scénarii des risques extrêmes potentiels

L’auto-évaluation des risques et du dispositif de prévention et de contrôle de ces risques (RCSA)* ou cartographie des risques

Les indicateurs clés de risque (KRI).**

Données historiques

Données prospectives

La collecte des pertes internes renseigne sur le passé. Les autres éléments du dispositif permettent d’avoir une vision prospective des risques potentiels.

(*) RCSA : Risk and Control Self Assessment(**) KRI: Key Risk Indicators



La gestion des Risques Opérationnels

Les établissements de crédits et les AMC entendent ainsi transformer cette contrainte réglementaire en une véritable opportunité d’optimisation de gestion du risque.

A cette fin, les objectifs poursuivis par les établissements de crédits dans ce domaine sont nombreux et variés, mais aussi complémentaires :

Meilleure compréhension et appropriation des risques opérationnels encourusMeilleure connaissance du niveau de maîtrise des risques opérationnels et de l’impact potentiel d’une concrétisation de ces risquesAllocation cohérente des ressources nécessaires à la réduction de ces risquesMeilleure communication externe sur les risques opérationnels, notamment auprès des investisseurs et des agences de notation, et réduction du risque d’imageAllocation des fonds propres permettant de mesurer avec pertinence la performance réelle des activités, après prise en compte des risques opérationnels.


Cartographie des risques Objectifs et attentes

La cartographie des risques permet d’identifier les RO en apportant …

Une vision globale du niveau de risque opérationnel intrinsèque,

Une vision globale du niveau des risques opérationnels résiduels.

La méthodologie RCSA (ou cartographie des risques) permet d’évaluer le risque opérationnel résiduel auquel est exposé l’établissement :

2- Dispositifs de prévention

et de contrôle existants

Pour se protéger, l’AMC met en place des dispositifs de prévention et de contrôle visant àréduire ses risques opérationnels à un niveau jugé acceptable.

Ex : Pour faire face au risque de litiges commerciaux, des procédures de contrôle des documentations contractuelles existent afin de s’assurer de leur conformité.

3- Risques opérationnels

Résiduels (RR)

Malgré l’existence de contrôles, il subsiste des risques résiduels. Pour y faire face, l’AMC pourra :

renforcer les dispositifs de prévention et de contrôle,transférer ces risques (assurances…),affecter des fonds propres pour les couvrir.


Intrinsèques (RI)

L’entreprise de crédit est exposée à des risques intrinsèques à ses activités.

Ex : L’AMC, de par ses activités , est soumise au risque de litiges commerciaux.


Cartographie des risques Définition de la cartographie des risques

La cartographie des risques :

« Ce processus, qui cartographie par type de risque les diverses unités, fonctions organisationnelles ou chaînes d’opérations, peut repérer les zones de faiblesse et permettre d’établir des priorités pour l’action à entreprendre par l’organe de direction »

Définition de BAM (Projet de recommandations générales relatif au dispositif de gestion des risques opérationnels



La cartographie des risques opérationnels doit permettre de :

Évaluer périodiquement les risques portés par les processus au sein des métiers,

Établir une synthèse dégageant les risques majeurs et/ou les processus les plus sensibles,

Surveiller les processus sensibles à l’aide d’indicateurs (à déterminer par filiales et métiers),

Orienter les décisions sur le plan d’actions d’amélioration de la maîtrise des risques,

Satisfaire aux critères qualitatifs d’éligibilité aux AMA Bâle II,

Compléter les éléments en entrée du modèle interne de calcul d ’allocation des fonds propres aux métiers / filiales (notamment les scénarios de risques opérationnels)



En terme des résultats elle doit fournir une gestion différenciée par nature de risque.

Fréquence

Impact

Risquenégligeable

Risque insupportable/situation de

crise

Risquerécurrent=> Pertesattendues

Risque majeur=> Pertes

exceptionnelles

Haute

Basse

Faible Fort

- Atténuation (PCA, …)- Transfert (Assurance)- Capital économique

- Suivi régulier- Prévention Gestion de crise


Cartographie des risquesUtilisateurs de la cartographie des risques

La cartographie des risques est un des outils de pilotage des Risques Opérationnels. Il intéresse à terme différents acteurs…

La Direction Générale• Connaissance de l’exposition aux Risques Opérationnels• Pilotage et décisions stratégiques, suivi des plans d’action majeurs• Comparaison des profils de risque des activités

Les responsables des Branches et des Directions fonctionnelles (pour compte propre et filière : PCA, SSI...)

• Mise en évidence des principaux risques• Analyse des risques opérationnels et évaluation des contrôles• Mise en oeuvre et suivi de plans d’actions correctrices

La Direction financière • Répartition du capital réglementaire

L’Inspection Générale et l’audit interne

• Évaluation du degré de conformité avec l’approche Générale et les exigences réglementaires

• Vérification de la fiabilité et l’exhaustivité des évaluations de profils des risques• Priorisation des missions d’audit sur les entités les plus exposées

Les actionnaires • Information sur le profil des risques

Les régulateurs et contrôleurs externes • Analyse du profil de risque

Les agences de notation • Prise en compte de la qualité de gestion des risques exercée.


Cartographie des risquesFondements de l’approche

La mise en place de la cartographie est un projet qui a des conséquences sur l’ensemble de l’organisation :

Il touche au cœur des métiers,

Il conduira à un nouveau système de pilotage,

Il entraînera des modifications importantes :

des systèmes d’informations

de l’organisation

de la stratégie.

Avec ce projet stratégique, les établissements seront en mesure de passer de la gestion des RO au pilotage des RO.



Une approche participative, générique et opérationnelle…pour que les acteurs s’y reconnaissent et se l’approprient,

pour être applicable à tout type d’activité,

pour donner rapidement des résultats concrets,

…nécessitant une expérimentation préalable…pour l’ajuster et l’enrichir par rapport aux réalités et préoccupation du terrain,

pour tester son « appropriation » par les acteurs,

pour la doter d’un vecteur de communication interne et externe,

pour en tirer les conséquences pratiques en vue d’un déploiement à moindre coût,

…pour garantir le succès de son déploiementafin de faire émerger et partager les expériences et les meilleures pratiques,

pour garantir homogénéité et cohérence en vue d’une certification par le régulateur.



La cartographie a pour but d’évaluer la qualité du dispositif de prévention et de contrôle et de quantifier l’exposition aux risques opérationnels. Pour ce faire, il s’agit de :

1. Identifier et évaluer les risques intrinsèques auxquels est exposée chaque activité : risques inhérents à la nature d’une activité, en faisant abstraction de son environnement de prévention et de contrôle,




résiduels (RR)


intrinsèques (RI)

2. Évaluer la qualité des dispositifs de prévention et de contrôle en place permettant de réduire ces risques (existence et efficacité de ces dispositifs en termes de détection et de prévention des risques et/ou de leur capacité à en diminuer les impacts financiers),

3. En déduire l’exposition aux risques résiduels de chaque activité(après prise en compte de l’environnement de prévention et de contrôle mais sans prise en compte des couvertures d’assurance),

4. Pour identifier les zones de faiblesse des mesures de prévention et de contrôle et mettre en œuvre des plans d’actions correctrices.



En pratique, la démarche de la cartographie des risques consiste à rencontrer les acteurs des risques au quotidien et leur demander :

De quelle activité s’agit-il ? Domaine/Processus/Acteurs

Quel est le « problème » redouté (avéré ou potentiel) ? Risque

Quelles sont les principales causes ? Cause

Quelle est la nature des préjudices induits ? Conséquences

Avec quelle fréquence ce problème peut-il survenir ? Combien cela coûte -t-il en moyenne par an et combien cela pourrait-t-il coûter dans un scénario pessimiste mais plausible ? Cotation

Que pourrait-on faire pour mieux anticiper, détecter et gérer ce problème (plans d’actions) ? Indicateurs/ Mesures





Cotation du Risque Opérationnel Récurrent Évalué, en tenant compte du niveau des contrôles permanents :

par le montant des pertes récurrentes attendues à horizon d ’un an, évaluées en s’aidant des pertes historiques

et / oudu niveau de nuisance des impacts non financiers

Il est coté par l’évaluateur en fonction des éléments dont il dispose : base pertes, indicateurs, alertes…

Combien cela a t-il coûté et combien cela pourrait-il

coûter l’année prochaine ?

Cotation du Risque Opérationnel ExceptionnelÉvalué, en cas de défaillance grave des contrôles permanents ou d’événement(s) externe(s) exceptionnel(s) :

par le montant de la perte potentielle maximale et / ou

par l ’importance de l’impact non financier , dont la Fréquence varie de moins d’une fois par an à une fois tous les 10 ans. Il est coté par l’évaluateur en fonction des pertes exceptionnelles passées, de la veille/benchmarks, anticipation de risques futurs …

Cotation de la Qualité des Contrôles PermanentsAppréciation de la qualité des contrôles pour assurer la maîtrise de leurs risques.

Combien de fois ce scénario exceptionnel pourrait-il

survenir à l’avenir et combien cela pourrait-il coûter ?

Ces risques sont-ils bien ou mal maîtrisés?




Cartographie des risquesRéférentiels utilisés

L’exercice de la cartographie des risques s’appuie sur :

Le référentiel RO, i.e. la classification des catégories et sous-catégories d’évènementde RO déjà mise en œuvre dans l’entreprise pour la collecte des pertes internes.

Le référentiel Cartographie des risques, i.e. le référentiel des questionnaires métier, également appelés « scorecards métier », spécifiques à chaque métier ou fonctionnel, regroupant les facteurs de risque pertinents pour le métier considéré et les questions d’évaluation associées.

Référentiel RCSARéférentiel des Risques Opérationnels

Se déclinant en…

8 catégories d’évènement

Ex : Litiges commerciaux

sous-catégories d’évènement

Ex : Inadéquation des produits proposés

Facteurs de risqueEx : Insuffisance ou inadéquation du

partage d'information entre les équipes

Questions d’évaluationEx : Comment évaluez-vous l'efficacité des

dispositions en vigueur afin de faciliter le partage d'informations sur les clients au sein de l'entité ?

Causés par plusieurs …

Évalués par…

Pouvant chacun causer plusieurs…


8 CATEGORIES D’EVENEMENT

LITIGES COMMERCIAUX

LITIGES AVEC LES AUTORITES

ERREURS DE « PRICING » OU

D’EVALUATION DU RISQUE

ERREURS D’EXECUTION

FRAUDE ET AUTRES ACTIVITES

CRIMINELLES

ACTIVITES NON AUTORISEES SUR

LES MARCHES (ROGUE TRADING)

PERTES DES MOYENS

D’EXPLOITATION

DEFAILLANCE DES SYSTEMES

D’INFORMATION

SOUS-CATEGORIES D’EVENEMENT 1. Litiges sur activités

de conseil2. Pratiques

commerciales inappropriées

3. Insuffisance du service au client

4. Autres litiges avec un tiers

5. Contrat ou clauses contractuelles inapplicables

7. Non-respect de la loi bancaire

8. Non-respect des lois contre la discrimination

9. Non-respect de la réglementation du travail

10. Non respect des exigences réglementaires locales

11. Non-respect des exigences comptables ou de la communication financière

12. Non-respect de la législation fiscale

18. Défaillance dans le dispositif de gestion et de suivi des autorisations et des limites

19. Evaluation incorrecte ou inexistante de la position

20. Données de marché et informations publiques fausses ou insuffisantes

21. Modèle de calcul de prix ou de valorisation erroné

22. Défaillance dans le processus de livraison et/ou de règlement de la banque

23. Défaillance dans les processus de gestion des confirmations d’opérations

24. Défaillance dans la gestion administrative d’une opération jusqu’à son échéance

25. Erreurs dans la transmission, la saisie ou la compréhension d’une instruction

26. Absence ou inexactitude des données nécessaires àla gestion des activités

33. Piratage informatique et autres attaques malveillantes des systèmes informatiques de la banque par des tiers

34. Autre forme d’actes criminels contre les actifs de la banque

35. Vols/escroqueries /fraudes commis par des tiers

36. Vols par le personnel ou des prestataires internes

37. Fraude sur des transactions par le personnel ou avec sa complicité

39. Activités non autorisées sur les marchés

40. Défaut de personnel

41. Pertes des donnés

42. Perte de services

44. Mauvaise gestion de projet

45. Défaillance des software

Exemple de référentiel RO : Les 8 catégories d’événements représentent les manifestations concrètes possibles des risques opérationnels. Chaque catégorie d’événement est ensuite déclinée en une ou plusieurs sous-catégories d’événements mutuellement exclusives.




Détail du référentiel de risques de l’entreprise : Le référentiel des risques métier est élaborépar les experts des métiers et fonctions (exemples : Déontologie, Plan de Continuité d’Activité, Achats, etc.) à partir :

du référentiel commun de facteurs de risque : un facteur de risque est un élément de l’environnement et/ou de l’organisation qui contribue à la survenance d’un risque opérationnel. Il doit toujours être considéré en fonction de la sous-catégorie d’événement / catégorie d’évènement à laquelle il se rapporte.

de la bibliothèque commune de questions d’évaluation de ces facteurs de risque.

Référentiel des Risques Opérationnels Référentiel RCSA

Scorecard métier Banque de détail• Insuffisance ou inadéquation du partage d'information entre les équipes• Émission des confirmations

Scorecard métier Ressources Humaines• Formation • Concentration de la connaissance et des compétences• Gestion des engagement sociaux

Un scorecard métier (référentiel) permet d’évaluer un métier ou une fonction.

Le principe des questionnaires métier (bancaires ou fonctionnels) est applicable à l’ensemble des entités. Il permet d’assurer la cohérence du dispositif vis-à-vis du régulateur.

8 catégories d’évènementEx : Litiges commerciaux

sous -catégories d’évènement

Ex : Inadéquation des produits proposés

Facteurs de risqueEx : Insuffisance ou inadéquation du

partage d'information entre les équipes

Questions d’évaluationEx : Comment évaluez-vous l'efficacité des

dispositions en vigueur afin de faciliter le partage d'informations sur les clients au sein de l'entité ?

Causés par plusieurs …Se déclinant en…

Évalués par…

Pouvant chacun causer plusieurs…



Détail du référentiel : les questions d’évaluation des Facteurs de RisquesLes questions d’évaluation doivent permettre de noter les facteurs de risques. La démarche d’auto-évaluation met notamment en évidence :

l’existence de processus de contrôle interne,leur efficacité,l’existence de la piste d’audit permettant de vérifier les 2 premiers points.

Le barème de réponse associé à une question s’étend de 1 à 4 (cf. Exemple ci-dessous).

8 CATEGORIES D’EVENEMENT RISQUES OPERATIONNELS / SOUS-CATEGORIES

LITIGES COMMERCIAUX

Élevé 3

Les dispositifs de prévention et de contrôle, en place dans votre entité, couvrent-ils ce risque ?

1-Très faiblement ? 2- Faiblement ? 3- Assez bien ? 4 – Bien ?

Les dispositifs de prévention et de contrôle, en place dans votre entité, couvrent-ils ce risque ?

1-Très faiblement ? 2- Faiblement ? 3- Assez bien ? 4 – Bien ? Facteur de risque

Insuffisance ou inadéquation du partage d'information entre les équipes Lorsqu'ils sont en place, quelle est la qualité d'exécution de ces dispositifs ?

1-Très insuffisante ? 2- Insuffisante ? 3- Assez satisfaisante ? 4 – Satisfaisante ?

Lorsqu'ils sont en place, quelle est la qualité d'exécution de ces dispositifs ?

1-Très insuffisante ? 2- Insuffisante ? 3- Assez satisfaisante ? 4 – Satisfaisante ?

Ces dispositifs sont-ils documentés et auditables ?

1-Très faiblement? 2- Faiblement ? 3- Assez bien ? 4 – Bien ?

Ces dispositifs sont-ils documentés et auditables ?

1-Très faiblement? 2- Faiblement ? 3- Assez bien ? 4 – Bien ?


Cartographie des risquesÉtapes clés

3- Cartographie des

risques résiduels

Livrable


Résiduels (RR)

Évaluation




Intrinsèques (RI)

1- Cartographie des

risques intrinsèques

2- Questionnaires entité notés

(ou scorecards entité)

1

2

3

Processus de la cartographie : chacune des 3 étapes se concrétise par un livrable.

Ces 3 étapes peuvent être effectuées à des niveaux de granularités différents, l’évaluation des risques opérationnels intrinsèques et résiduels étant faite généralement à un niveau plus élevé que l’évaluation du dispositif de prévention et de contrôle.

Les Branches et Directions Fonctionnelles commencent l’exercice de la cartographie en désignant les acteurs en charge de chacune de ces étapes.


Cartographie des risquesÉtapes clés

2.1

2.2

2.3

Processus de Cartographie : détail des 3 étapes et acteurs concernés

Mise en place de plans d’actions correctrices

Plans d’actions correctrices4

Cartographie des risques intrinsèques

Référentiel des RO : catégories d’évènement1 - Évaluation des Risques

Intrinsèques1

Étapes Livrables Acteurs Référentiels métiers utilisés

Scorecard entitéà noter

Scorecard entiténotée et justifiée

Scorecard entitévalidée

Référentiel :Facteurs de risques et questions d’évaluationScorecards métier (bancaires ou fonctionnels)

2 2 - Évaluation du dispositif de prévention et de contrôle

Évaluation des Risques Résiduels

Cartographie des risques résiduels3

Noteur

Valideur

Modélisateur de la scorecard

Responsable de l’entitéévaluée

Responsablede l’entitéévaluée

2.1 – Élaboration de la scorecard entité en identifiant :

• le périmètre• les facteurs de risques pertinents (et leur pondération)• le mode d’évaluation des questions• les noteurs et valideurs

2.2 – Notation et justification de la scorecard entité

2.3 – Validation de la scorecard entité

sous-catégories d’évènement

Référentiel Entités :

Entités OrganisationnellesLignes Métier Entités JuridiquesProcessus

Noteur

Valideur


Cartographie des risquesActeurs de la cartographie

Les acteurs sont désignés par les Branches et les Directions fonctionnelles.

Les acteurs de l’exercice Cartographie

Le noteurLes noteurs sont les responsables d’entité en charge de noter les cartographies de risques intrinsèques et /ou les scorecards entité :

Le noteur de la cartographie des risques intrinsèques évalue son niveau d’exposition aux risques face aux catégories ou sous-catégories d’événement.

Le noteur d’une scorecard entité reçoit pour notation la scorecard entité élaborée par le modélisateur. Le noteur évalue son dispositif de prévention et de contrôle en répondant aux questions d’évaluation associées à ces facteurs de risque. Il justifie sa note par l’existence de procédures de prévention et de contrôle ou d’indicateurs clés de risque.

Le valideurLes cartographies des risques intrinsèques et les scorecards entité notées sont envoyées par les noteurs àleur hiérarchie pour validation. Le valideur est la personne en mesure de valider les notes et les justifications associées avant consolidation en vérifiant notamment la cohérence des notes pour l’ensemble des entités de son périmètre.

Le valideur doit être différent du noteur.


Cartographie des risquesActeurs de la cartographie

Le modélisateurIl élabore la scorecard entité.

Le modélisateur est un expert métier qui est en mesure d’identifier l’ensemble des risques internes et externes auxquels est exposée l’entité évaluée. Pour le premier exercice, il peut s’agir de l’ORM (responsable des risques opérationnels) de l’entité en concertation avec les responsables des entités ; à la cible, le modélisateur pourra être le responsable de l’entité.

Lors de l’élaboration des scorecards entité, le modélisateur identifie :le périmètre à couvrirles facteurs de risques pertinents (en les pondérant éventuellement) au vu de la cartographie des risques intrinsèques : le modélisateur de la scorecard entité doit vérifier la cohérence de la scorecard entité avec la cartographie des risques.les responsables des activités en charge de la notation des scorecards entité… et leur hiérarchie, en charge de valider ces notations ainsi que les justifications associées.

L’Inspection et l’AuditL’Inspection et l’Audit revoient périodiquement l’ensemble du système d’évaluation et sa conformité aux exigences réglementaires, en s’attachant notamment à vérifier les points suivants :

l’application effective du processus de la cartographie dans l’entreprise,la fiabilité et l’exhaustivité des évaluations des profils des risques,la cohérence entre la notation et sa justification.

Les acteurs de l’exercice de la cartographie

Remarque : Réglementairement, les acteurs de l’exercice de la Cartographie ne doivent appartenir ni aux services d’Audit Interne ni à l’Inspection Générale, afin de préserver l’indépendance de ces derniers. Toutefois, l’Audit Interne peut apporter son expertise lors de la mise en place initiale du dispositif de gestion des RO.


Cartographie des risquesÉtapes d’élaboration

La méthodologie de réalisation d’une cartographie des risques se déroule généralement en 5 étapes:

Définition des listes dedomaines et de processus

identification Du risque opérationnel

Matrice d’aversion(pour cotation)

Identificationprocessus sensibles

étape 1étape 1

étape 2étape 2

étape 3étape 3

étape 4étape 4

Plan d’action proposé

Validation parle Comité du contrôle interne

Cotation du risque

étape 5étape 5



Étape 1 : Définition des processus

Cette étape consiste à instaurer un référentiel de processus, avec un objectif de trouver le meilleur compromis entre le niveau de granulation, le travail rendu et la qualité des résultats. En effet, après avoir rattaché les activités aux 8 Métiers Bâle II découpés en domaines d’activités (exemples : Crédits, Dépôts, Placements, Moyens de paiement, Moyens généraux, Comptabilité, Informatique, Juridique et Fiscal, Organisation, etc.), il est primordial de dresser l’inventaire des processus par métier.

Un processus est défini comme étant un enchaînement d’étapes ayant une même finalité (exemple : Remises de valeurs, virements, ordres d’achat / vente de titres, gestion des GABs, tarification, comptes débiteurs, réalisation d’un crédit …).

Nous pouvons distinguer trois types de processus :

Relatifs à la relation avec les clients,

Relatifs à des transactions,

Spécifiques au Management et aux fonctions supports.



Étape 2 : Identification des risques opérationnels

Afin de pouvoir identifier les risques opérationnels le Responsable du Risque Opérationnel doit disposer de trois éléments à savoir :

La liste et la description des processus identifiés par ligne métier ou entité,

La liste des risques opérationnels et des événements génériques y associés,

La matrice préliminaire des risques opérationnels renseignée par les responsables des entités,

En pratique, les risques sont rattachés à 7 Catégories de Risques Bâle II, détaillées en évènements générateurs de risques (exemple pour la fraude externe : Vols, Hold-up, Contrefaçons et falsifications, détournements de fonds, fraude par carte bancaire etc.)



Étape 3 : Matrice d’aversionAu niveau de cette étape le responsable R.O a pour mission d’établir la matrice d’évaluation des risques sur la base de trois composantes : Les risques survenus ou avérés, les risques exceptionnels et le niveau de maîtrise des risques.

Les échelles de cotation de la gravité du risque sont représentative de l’ « aversion pour le risque opérationnel » de l’unitéLes intervalles de l’échelle de fréquence et de l’échelle d’impact sont définis en valeur absolue et communs à l’ensemble de l’entreprise (unités du Groupe)

Les Les ééchelles de cotation de la gravitchelles de cotation de la gravitéé du risque sont reprdu risque sont repréésentative de lsentative de l’’ «« aversion aversion pour le risque oppour le risque opéérationnel rationnel »» de lde l’’unitunitééLes intervalles de lLes intervalles de l’é’échelle de frchelle de frééquence et de lquence et de l’é’échelle dchelle d’’impact sont dimpact sont dééfinis en finis en valeur absolue et communs valeur absolue et communs àà ll’’ensemble de lensemble de l’’entreprise (unitentreprise (unitéés du Groupe)s du Groupe)

0 - 1K€

1 - 5K€

5 - 10 K€

10 - 50 K€

50 - 100 K€

100 - 500 K€

500 K€1 M€

1 - 5 M€

5 - 10 M€

10 - 50 M€

> 50 M€ Image Fort

Image Majeur

Client Fort Client Majeur

Sanction pénale *

Sanction Réglementaire

Un cas tous les 2 à 3 ans



Impact financier Impact non financier



0 - 1KDH

1 - 5KDH

5 - 10 KDH

10 - 50 KDH

50 - 100 KDH

100 -500 KDH

500 KDH1 MDH

1 - 5 MDH

5 - 10 MDH

10 - 50 MDH > 50 M

Vert Vert Vert Jaune Jaune Orange Orange Rouge Rouge Rouge Rouge

Vert Vert Vert Jaune Jaune Orange Orange Orange Rouge Rouge Rouge

Vert Vert Vert Vert Jaune Jaune Orange Orange Orange Rouge Rouge

Vert Vert Vert Vert Vert Jaune Jaune Jaune Orange Orange Rouge

Pertes annuelles

potentiellesR i s q u e e x c e p t i o n n e l




R i s q u e Récurrent A partir de quel niveau de gravité un risque doit-il être considéré comme « Fort » ou « Majeur » ?

A partir de quel niveau de risque devons-nous être informés et prendre les décisions adaptées ?



Étape 4 : Cotation des risques opérationnelsLes risques futurs associés aux processus font l’objet d’une évaluation appelée cotation.

On cote deux catégories de risques futurs en fonction de leur fréquence :

Les Risques Attendus (récurrents à court terme) ;

Les Risques Exceptionnels (à moyen et long terme).

On distingue deux catégories de risques en fonction de leur impact :

Les Risques Financiers (cotés en fonction de leur fréquence et de leur impact financier, au moyen d’une matrice d’aversion aux risques) ;

Les risques Non Financiers.

La cotation des risques opérationnels est effectuée sur la base des historiques des pertes recueillies au niveau de la base de données. Elle sert à établir une carte sommaire des risques, en identifiant les risques potentiels et les niveaux de contrôle y afférents.

Ainsi, la cotation des Risques Financiers est parfaitement normée grâce à une matrice d’aversion aux risques.



Etape 5 : Identification des processus sensibles et plans d’action.

Cette phase consiste à produire le rapport sommaire de la gestion du risque en mettant en relief les risques majeurs ou les zones de faiblesse. Comme elle doit définir aussi bien les recommandations que les plans d’action pour prévenir et réduire le risque opérationnel.



Recommandations

Conseil en placement V O ++ Efficace

Gestion des relations clients V R + Acceptable

Gestion du risque de marché O R - Défectueux

Mandat de trading actions J O + Acceptable

Produits structurés J R + Acceptable

Risque Attendu

Risque Exceptionnel

Contrôle Permanent

A prévoir : meilleur contrôle sur les règles ISDA

Créer une mission d'audit sur les délits d'initié

Bascule du système de gestion des limites

Former les conseillers de façon périodique

Vérification approfondie du KYC Tableau de synthèse

RA V V V V V V V VRE J J V V J J V JCP + + ++ ++ + + ++ +

RA V V V V V V V VRE O V J O V J O OCP ++ ++ ++ ++ ++ ++ ++ ++

RA V V V V V V V VRE R V J O V V O RCP + + ++ + ++ ++ + +

RA V J V V V V O ORE O O V J V J R RCP - - ++ ++ ++ + - -

RA V V V V V V V VRE J V V J V V J JCP + ++ ++ + ++ ++ + +

RA V V V V V V J JRE J V J V V J J JCP + + ++ ++ ++ ++ + +

RA V V V V J V J JRE J V V O O V O OCP ++ + ++ ++ + ++ + +

RA J V J J V V J JRE O V V R V V R RCP + ++ ++ + ++ ++ + +

RA V V V V V V V VRE J V V V V J J JCP + ++ ++ ++ ++ + + +

RA V V V V V V J JRE J V V J V V V JCP + ++ ++ + ++ ++ + +

Gestion Financière

Ressources Humaines

Prat. Comm.

CommentairesDésas & Sinis

SYNTHTrait.S.I

Gestion des relations clients

Fraude Int.

Fraude Ext.

Gest. Perso.

Conseil en placement

Caisse

A Prévoir : Meilleur contrôle sur les règles ISDA

Activité Trésorerie

Mandat de trading actions

Produits structurés

Bascule du système de gestion des limites

Vérification approfondie du KYC

Gestion du risque de crédit

Gestion du risque de marché

Cartographie par processusCotation des trois

composantes pour chaque croisement Processus / Catégories de risques

Sélection des processus sensibles, des processus sensibles, àà savoir:savoir:Niveau de risque majeur « rouge » ou fort « orange »

et / ouNiveau de maîtrise des risques « défectueux » ou « à améliorer »



Une fois le processus de la cartographie des risques est intégralement réalisé, le responsable des risques opérationnels doit s’assurer que:

La cartographie est réalisée de manière exhaustive (couvrant toutes les activités en concertation avec les opérationnels de l’entité),

Les résultats sont à priori cohérents,

Les processus/risques « préoccupants » ont déclenché des actions correctives,

Les processus jugée prioritaire à l’égard d’un PCA ont été correctement identifiés,

La cartographie est présentée à la Direction Générale.


Cartographie des risquesClés de réussite

• Avoir le soutien de la Direction

• Faire adhérer les participants / créer un climat de confiance

– Communiquer sur la démarche et sa valeur ajoutée

– Faire le lien avec les objectifs personnels des participants

– Garantir qu’aucune information ne soit remontée sans en avoir

préalablement discuté avec les intéressés

– Respecter la confidentialité

• Prendre en compte le temps

– Procéder à l’évaluation sur un délai court, avec présentation rapide des

résultats

• Profil du Risk Manager

– Faire preuve d'écoute et de créativité


Cartographie des risquesÉcueils à éviter

• Démarrer la démarche par la recherche d’un système d’informations

• Absence de rigueur :

– Remontée d’informations partielles à la Direction avant la fin de l’exercice

– Maximisation de risques pour obtenir des ressources, sous-estimation par

crainte de représailles / jugements

– Considérer la gestion des risques comme le réceptacle des doléances

– Ne pas objectiver les risques « biens connus » qui sont finalement sous-estimés

– Mauvais libellé des risques

• Effet mode : faire une cartographie pour être à la mode


Cette prCette préésentation rsentation rééalisaliséée par le Cabinet e par le Cabinet ATTITUDES CONSEIL pour le compte des AMC ATTITUDES CONSEIL pour le compte des AMC marocaines est inspirmarocaines est inspiréée de nombreux ouvrages e de nombreux ouvrages

et baset baséée sur des sources diverses et varie sur des sources diverses et variééeses

Documents

cartographie_des_risques (opérat risk)