Upload
weave
View
3.447
Download
2
Embed Size (px)
DESCRIPTION
Les risques opérationnels doivent être considérés au-delà du simple spectre réglementaire, il s’agit également : de piloter les processus au travers de l’appréciation des dysfonctionnements avérés ou potentiels, de mesurer la qualité délivrée via la collecte d’indicateurs tels que les incidents. Il est également opportun de capitaliser sur « l’outil » cartographie des risques opérationnels pour intégrer d’autres dimensions du risque tels que les risques de non-conformité, juridiques, blanchiment, … afin de créer un cockpit global de gestion. Cette vision d’ensemble s’appuie sur l’appréciation des experts métiers et s’alimente à partir des « signaux » issus des processus : les incidents mais également les résultats de contrôle, les audits internes et externes, les réclamations clients … afin de migrer de la détection à la prévention des risques.
Citation preview
Vos INTERLOCUTEURS
page weave
blog.weave.eu@weaveconseil
chaîne TV
L’optimisation de la gestion des risques opérationnels dans le monde bancaire
Pierre-Antoine DUEZAssocié
[email protected]+33 (0)6 07 80 79 29
12 octobre 2012
2
1. Le dispositif de gestion des risques opérationnelsUne définition normative des risques opérationnels…
« Les risques opérationnels correspondent aux risques de pertes résultant d’une inadaptation ou d’une défaillance imputable à des procédures, personnels et systèmes internes, ou à des événements extérieurs, y compris les événements de faible probabilité d’occurrence, mais à risque de perte élevée. les risques opérationnels, ainsi définis, incluent le risque juridique mais excluent les risques stratégiques et de réputation »
La règlementation Bale 2 introduit, pour les banques, l’obligation de gestion des risques opérationnels au travers de :
Son intégration dans le calcul des fonds propres via le ratio Mac Donough : Fonds propres de la banque > 8% des (risques de crédits + de marché + opérationnels)
L’incitation à développer un modèle interne de mesure des risques opérationnels pour permettre aux banques de limiter leurs besoins en termes de fonds propres (approche dite avancée : Advanced Measurement Approach).
Arrêté du 20 février 2007 relatif aux exigences de fonds propres applicables aux établissements de crédit et aux
entreprises d’investissement ; art 4-1 c
3
1. Le dispositif de gestion des risques opérationnels…précisée par Bâle II
Pour rappel, le comité de Bâle a retenu une classification qui institue sept catégories d'évènements liés aux risques opérationnels :
1. Fraude interne2. Fraude externe3. Pratiques en matière d'emploi et sécurité sur le lieu de travail4. Clients, produits et pratiques commerciales5. Dommages aux actifs corporels6. Dysfonctionnement de l'activité et des systèmes7. Exécution, livraison et gestion des processus
Dans ce cadre, trois approches de mesure des risques opérationnels sont proposées :1. Une approche de base (Basic Indicator Approach BIA), consistant en un calcul forfaitaire (α = 15 %) des exigences de capital
réglementaire (KBIA), sur la base du produit net bancaire (PNB) moyen des trois derniers exercices : KBIA = α * PNB
2. Une approche standard (Standardised Approach STA), consistant, pour chaque ligne de métiers de la banque, en un calcul forfaitaire (β = 12 % à 18 %, selon les huit lignes définies) des exigences de capital réglementaire (KSTA), sur la base du PNB moyen enregistré sur ces lignes de métier au cours des trois derniers exercices : KSTA = Σ (β¹-⁸ * PNB¹-⁸)
3. Une approche avancée (Advanced Measurement Approach AMA), consistant en un calcul des exigences de capital réglementaire (KAMA) s'appuyant sur le(s) modèle(s) interne(s) de mesure des risques opérationnels développé(s) par la banque et validé(s) par l'autorité de contrôle.
4
1. Le dispositif de gestion des risques opérationnelsUne mise en cohérence nécessaire avec les autres briques du dispositif global
Gestion du capital
Reporting
Politique de gestion des Risques Opérationnels
Dispositif de gestion des Risques Opérationnels
Reporting réglementaireReporting interne
Allocationdu
capital
Réductiondu
risque
Mesuredu
capital
RCSAContrôle de la conformité des
procédures
Définition des principes de management
Appétence au risque
Cartographie des risques
Base Incidents
Revue périodique du dispositif au regard de la Base Incidents :• Revue de la cartographie des risques• Adaptation des dispositifs de mitigation des risques• Revue de la gestion du capital
Risk and Control Self Assessment (RCSA)
Au sein de ce dispositif global, le RCSA tient une place centrale et permet de rapprocher les résultats issus des autres composantes de la gestion des risques
Résultats / préconisations de
l’audit interneDonnées de
pertes externes
Campagne d’auto-évaluation des risques et des
contrôles
Données de pertes internes
5
1. Le dispositif de gestion des risques opérationnelsUn partage des rôles dans la mise en œuvre du dispositif
Direction Générale
Valider la mise en place du dispositif de gestion des risques opérationnels
Définir les principes directeurs / la politique de gestion des risques
Challenger les résultats des dispositifs de gestion des risques opérationnels
Définir la politique d’allocation des fonds propres
Veiller à l’indépendance de la fonction Risque Garantir que le dispositif est soumis à un
audit interne
Définir les normes et les procédures et veiller au respect des standards de gestion des
risques opérationnels Impulser et coordonner la mise en place des
dispositifs Développer les méthodologies et outils de
pilotage Contrôler/Superviser le pilotage des
dispositifs locaux
Direction des Risques
Définir les responsabilités dans la déclinaison des normes et procédures au niveau des métiers
Piloter la gestion des risques opérationnels au niveau de la ligne métier
Prioriser les plans d’action Valider les mesures de prévention Veiller à la formation des personnels
Directions des lignes métier
Fonctions opérationnelles
Gérer les processus opérationnels et détecter les risques
Effectuer les contrôles de niveau 1 Evaluer ponctuellement la qualité des
contrôles
Les métiers transverses
(DSI, Direction Juridique, DRH)
Assurer la fiabilité et la sécurité de l’information
Outiller le dispositif Se prémunir contre les risques juridiques et
sociaux
La prévention des risques opérationnels n’est pas l’exclusivité de quelques experts mais doit devenir une véritable culture d’entreprise où chacun contribue activement
au dispositif
Contrôle périodique
Auditer le dispositif
Contrôle permanent
Valider la conformité des processus Effectuer les contrôles de niveau 2 Assurer la collecte des incidents
6
2. Le contexte réglementaire en matière de risques opérationnels
CRBF 97-02
Gestion des risques opérationnels (Art. 4 - j) Mise en place d’un plan de continuité d’activité (Art. 14 / 14-1) Inclusion des activités externalisées dans le dispositif de contrôle interne (Art. 37-2) Mise en place d’un dispositif de contrôle de la conformité (Art. 6) Production d’un rapport annuel sur le dispositif de contrôle interne (Art. 42)
Mise en place d’un dispositif de surveillance des opérations financières dans le cadre de la lutte contre le blanchiment et contre le financement du terrorisme
LutteAnti-blanchiment
BALE II Mise en place de systèmes de gestion dédiés au risque opérationnel et adaptés aux activités Quantitatif : calcul des exigences de FP au titre des risques opérationnels
SOX et LSF Cartographie des risques ayant un impact sur les comptes de l’entité
Document Unique
Cartographie des risques ayant un impact sur la sécurité physique des collaborateurs
Les réglementations diffèrent par leurs points de vue et leurs objectifs, mais dans la plupart des cas elles convergent en substance
Les réglementations se sont étoffées au cours des dernières années pour améliorer la gestion et la prévention des risques opérationnels
7
2. Le contexte réglementaire en matière de risques opérationnels
Août 2006 High level principles for Business continuity
The treatment of expected losses by banks using the Advanced Measurement Approach under Basel II frameworkNovembre 2005
Juin 2011 Operational Risk – Supervisory Guidelines for the Advanced Measurement Approaches Principles for the Sound Management of Operational Risk
Le comité de Bâle et la BRI ont parallèlement publié des documents dits de « bonnes pratiques » autour de l’ensemble des sujets ayant trait à la gestion des risques opérationnels :
Des bonnes pratiques ont été généralisées pour renforcer et homogénéiser le cadre de mise en œuvre des dispositifs
8
3. Les enjeux actuels du dispositif de gestion des risques opérationnels dans la banque
• Une approche intégrée Front-to-Back• L’utilisation de modèles d’évaluation standards, considérant de
manière explicite les changements récents, facteurs de risque (nouveaux produits, variation importante des volumes, …)
• Des revues trimestrielles plutôt qu’annuelles• Un focus sur les risques clés plutôt que l’intégralité des risques, et
un recours dans certains cas à la pratique du « sample-based testing » des contrôles
• Une formalisation des processus d’identification des risques émergents et des équipes dédiées pour étudier l’impact de ces risques sur la banque
Des processus de plus en plus fluides• Certains établissements ont déjà mis en place un scénario annuel de
défaillance d’une contrepartie de type TITF (i.e. too important to fail) pouvant entrainer leur faillite
• L’objectif étant de tester leur capacité de réaction face à ce type d’événements et les possibilités d’assurer la continuité des activités dans les meilleures conditions
Le recours à des scénarios de défaillance
• De plus en plus d’établissements financiers ont recours à des processus d’analyse systématique d’événements externes (collecte et analyse de pertes importantes dans d’autres établissements)
• Cela permet d’en tirer des retours d’expérience et de renforcer la capacité d’anticipation de la banque
Une prise en compte des événements externes• Un travail collaboratif avec les fonctions audit et conformité : les
revues RCSA sont pilotées par l’équipe risques opérationnels et partagés avec les autres fonctions, pour éviter le phénomène de « fatigue » des évaluations
• Une implication grandissante des autres fonctions supports dans des groupes de travail sur les principaux sujets d’inquiétude du moment
• Les résultats sont partagés avec les lignes métiers, de sorte qu’ils puissent anticiper les risques identifiés en rapport avec la croissance du business
Un travail conjoint avec les fonctions support
Face aux risques « émergents », les établissements financiers doivent adopter une approche de plus en plus proactive au sein de leur dispositif de gestion des risques
opérationnels
9
Le contexte actuel marqué par l’émergence de nouveaux risques constitue une bonne opportunité pour tester l’efficacité du dispositif de gestion des risques et le faire
évoluer
3. Les enjeux actuels du dispositif de gestion des risques opérationnels dans la banque
• Au cours des 10 dernières années, plusieurs événements ont révélé les limites de la gestion du risque traditionnelle, et notamment la capacité des établissements à les gérer de manière individuelle :• La montée du terrorisme, avec par exemple les attentats
du 11 septembre• L’apparition de « Black Swans »*, source de disparition de
certains établissements• L’augmentation de la gravité des fraudes internes et
externes• L’impact du « rogue trading », avec des montants de
pertes de plus en plus importants
• La crise financière de 2008 et 2009 a aussi révélé la fragilité des établissements au sein d’une économie interdépendante, et accentué le sentiment de risque systémique
• Les réglementations ont évolué pour faire face à la montée de ces nouveaux risques, mais elles constituent une réponse insuffisante qui doit être complétée par des initiatives complémentaires au niveau des banques
Face aux risques émergents…
• La gestion du risque doit devenir un véritable « business driver »
• Chaque établissement doit identifier les risques qui sont pertinents pour son organisation, et se doter d’un « radar » qui mette en regard la stratégie et les risques émergents associés
• Il convient d’évaluer la portée de chaque risque et leur degré d’interconnexion, afin d’identifier leurs conséquence au niveau des différentes lignes métier de la banque
• Face aux risques émergents, les stratégies de réponse doivent être établies en collaboration avec les autres parties prenantes externes, pour renforcer la cohérence et l’efficacité des dispositifs
• Les dispositifs de contrôle doivent évoluer, pour passer d’un exercice ponctuel à une véritable activité menée en continu
• Pour cela, la diffusion d’une culture des risques à l’ensemble des collaborateurs constitue un facteur clé de succès
…Les dispositifs actuels doivent évoluer
* « Black Swan » : selon leur définition par TALEB, les Black Swans ou Cygnes Noirs sont des évènements difficiles à prévoir, d'une grande rareté mais avec un impact unitaire majeur en cas d’avènement
10
4. Nos convictions pour optimiser le dispositif
Il est nécessaire de focaliser les efforts autour des risques
majeurs
Les évolutions du dispositif de gestion des risques
opérationnels doivent être pensées au regard de la
maturité des organisations
Cartographie des risques et plans de contrôle doivent être
corrélés au sein d’un outil adapté
Vers une gestion des risques
opérationnels créatrice de
valeur
Une gestion collaborative des risques garantit la pertinence
du dispositif
11
4. Nos convictions pour optimiser le dispositifUne gestion collaborative des risques garantit la pertinence du dispositif
Evaluation des risques
Experts métiersCartographie des risques
Définition et mise à jour de la cartographie
Contrôle périodiqueAudit interne
Analyses périodiques de l’activité et des processus
Contrôle permanentRésultats des contrôles
Définition et implémentation des plans de contrôle et analyse des résultats
Direction des lignes métiersGestion opérationnelle du risque
Mise en place des plans d’action, collecte des incidents et back-testing de la cartographie des risques
La prévention des risques opérationnels n’est pas l’exclusivité de quelques experts mais doit devenir une véritable culture d’entreprise où chacun participe à la vie du
dispositif
12
4. Nos convictions pour optimiser le dispositifIl est nécessaire de focaliser les efforts autour des risques majeurs
La cartographie des risques devient rapidement, surtout lorsqu’elle n’est pas outillée, un document dont la lecture est difficile
Il n’est pas rare de voir quelques centaines de risques opérationnels référencés L’analyse des causes principales et des conséquences communes n’est pas toujours facile La priorisation des DMR* ne se fait que risque par risque et n’est donc pas optimale Le caractère fastidieux des revues périodiques du dispositif peut générer un certain effet de « fatigue »
Le recentrage des efforts autour des risques majeurs selon l’approche suivante est un facteur clé d’amélioration de l’efficience du dispositif :
* Dispositif de maîtrise des risques
1. Définir la notion de risque majeur pour l’établissement comme étant soit : Un risque susceptible de remettre en cause les objectifs Stratégiques Un risque pouvant entrainer des pertes financières importantes
(dépassant le seuil tolérable défini par l’entreprise)
2. Définir la zone de tolérance au risque3. Identifier les niveaux de risque net par risque majeur :
Niveau de risque résiduel après mise en place des DMR* et des contrôles
4. Limiter les efforts de mise en place de plans d’actions aux risques majeurs dont le niveau de risque net dépasse la tolérance au risque
13
4. Nos convictions pour optimiser le dispositifCartographie des risques et plans de contrôle doivent être corrélés au sein d’un outil adapté
L’implémentation d’un outil de gestion des risques doit permettre de répondre à des objectifs tels que :
Pérenniser la démarche d’identification et de suivi des risques
Assurer la continuité de la collecte des incidents Palier le risque « homme clé » « Industrialiser » le processus de collecte
Disposer d’une vision stratégique et opérationnelle
Disposer d’un reporting spécifique pour chaque service
Disposer d’une vision consolidée au niveau des instances de décisions
Disposer d’un outil d’aide à la rédaction des rapports officiels
Rendre plus efficientes les fonctions Contrôle Permanent et Risques
Assurer une traçabilité des actions entreprises Documenter les décisions prises Partager une information commune pour une
prise de décision plus pertinente
L’outillage doit permettre de recentrer les contrôleurs sur l’analyse en facilitant la collecte de l’information
CartographieAnalyse
Gestiondes
incidents
Gestiondes
risques
Processus Risques Contrôles
Scénarii de gestion de crise
Analyse statistique
Consolidation KRI Tableaux de
bord
Collecte Alertes Traitements
correctifs et préventifs
14
Au-delà de la conformité réglementaire, la création de valeur passe par la création d’une dynamique d’analyse et d’optimisation de l’allocation des ressources et des
moyens
4. Nos convictions pour optimiser le dispositifLes évolutions du dispositif de gestion des risques opérationnels doivent être pensées au regard de la maturité des organisations
Effort requis / Difficulté de
mise en œuvre
Objectifs du dispositif de gestion des risques opérationnels
Répondre aux exigences réglementaires
Optimiser l’allocation des fonds propres
Réduire les pertes de PNB
Optimiser le dispositif
Piloter l’activité par les processus Partager les
résultats et penser des plans d’actions communs entre les
filières (qualité, efficacité
opérationnelle)Corréler évènements de risque et
contrôles dans une logique
d’amélioration continueEtablir et suivre le
lien entre évènements de
risque, incidents et dispositif de maîtrise
(DMR)Calculer les
exigences de capitaux propres en
fonction d’un modèle interne de mesure du risque
Cartographier les risques
Collecter les incidents
15
5. Notre offre autour des risques opérationnels
• Elaboration des principes directeurs et de la politique de gestion des risques
• Définition de l’organisation de la filière Risques (gouvernance et processus)
• Mise en place d’un cadre de référence / ERM
• Réalisation d’une campagne d’auto-évaluation des risques et des contrôles
• Réalisation d’une cartographie des risques
• Diagnostic et optimisation des dispositifs de maîtrise
• Mise en œuvre d’un PCA• Choix d’outil SIGR et assistance à
l’intégration• Mise en place d’une base incidents
Nos savoir-faire
• Vous accompagner dans la mise en œuvre du dispositif de gestion des risques
• Effectuer un audit du contrôle interne
• Opérer un diagnostic de la performance et de la qualité des processus risques
• Vous assister dans votre démarche Enterprise Risk Management
• Vous accompagner dans l’optimisation de votre dispositif de contrôle
Nos contextes d’intervention Extrait de références
• Assistance à la production du reporting réglementaire
• Création du dispositif de contrôle interne
• Création du dispositif de gestion des risques
• Implémentation de la directive LAB/FT
• Mise en place d’un SIGR
• Mise en place d’un SIGR
16
1. Contexte et objectifs
2. Nos convictions
3. Démarche proposée
4. Conditions d’intervention
5. Extrait de nos références ‘organisation’
• Un acteur significatif du conseil : o Créé en 2001o 240 consultants en 2011o Bureaux à Paris et Bruxelles
• Un cabinet de conseil dynamique en forte croissance :o 1er cabinet de conseil français diplômé EFQM en 2011, qualité totale, en obtenant l’une des meilleures notes de ce modèleo Prix gazelle 2005 du Ministère des PME récompensant les entreprises à forte croissanceo Capacité d’accompagnement à l’international
• 2 métiers complémentaires : o Le conseil en stratégie opérationnelleo Le conseil en management des systèmes d’information
• Des compétences multisectorielles :o Banque, o Assurance,o Gestion d’actifs, o Energie, o Industrie,o Distribution, o Secteur Public,o Transports
Une culture de l’excellence alliant un savoir faire issu des grands cabinets à une capacité à construire
des interventions sur-mesure
Présentation du groupe weaveUn groupe de conseil multi-spécialiste à taille humaine