LES CAHIERS DE LA RECHERCHE - Chapters Site...CARTOGRAPHIE DES RISQUES IFACI – Paris – juillet 2006 ISBN : 2-915051-16-X Toute représentation ou reproduction, intégrale ou partielle,

L E S C A H I E R S D E L A R E C H E R C H E

GUIDE D’AUDIT

Cartographiedes risques

Groupe ProfessionnelAssurance

C A R T O G R A P H I E D E S R I S Q U E S

IFACI – Paris – juillet 2006

ISBN : 2-915051-16-X

Toute représentation ou reproduction, intégrale ou partielle, faite sans le consentement de l’auteur, oude ses ayants droits, ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1er de l’article 40). Cettereprésentation ou reproduction, par quelque procédé que ce soit, constituerait une contrefaçon sanc-tionnée par les articles 425 et suivants du Code Pénal.

3G U I D E D ’ A U D I T


REMERCIEMENTS DE L’IFACI

L’IFACI tient tout particulièrement à remercier les participants du groupe Assurance qui ontconçu et rédigé ce cahier :

Marc BARBIER GROUPAMA PARIS VAL DE LOIRE

Philippe BERAUD SCOR

Florence BERGERET IFACI

Marie-Caroline BRASIER FEDERATION CONTINENTALE

Eric BURLOT LA MONDIALE

Franck COISNON OTC CONSEIL

Patrick DUPUIS AZUR GMF

Jean-Marc DEVAUD GAN PREVOYANCE

Nicolas FAQUET AXA

Jacques FASSEL SCOR

Anne FUSS MONDIAL ASSISTANCE

Florence FRADIN IFACI

Dominique GALINIE MACIF

Valérie GHESQUIERE FEDERATION CONTINENTALE

Jean-Marc GUITEAU MMA

Patrick KREPPER MONDIAL ASSISTANCE

Sylvie LEROY GAN PREVOYANCE

Pierre LEVEILLER MMA

Dominique MACE MONDIAL ASSISTANCE

Didier MERCKLING GROUPAMA SA

Pascal MILLARD MACIF

Philippe MOULAY MACIF

Jean-Paul NICOLAÏ OTC CONSEIL

Patrick SAINT MAXENT LA MONDIALE

Philippe SALAUN CNP

Nelly SALUS OTC CONSEIL

Alain SINEAU MMA

Marc TOURTELIER GROUPAMA PARIS VAL DE LOIRE

Serge VALERINO MMA

Christophe de VAUBLANC SWISS LIFE

Louis VAURS, Délégué Général

4 G U I D E D ’ A U D I T




REMERCIEMENTS DU PRÉSIDENT

DU GROUPE PROFESSIONNEL ASSURANCE DE L’IFACI

La publication de « la cartographie des risques » par le Groupe Professionnel Assurance

de l’IFACI constitue une double source de satisfaction. Il s’agit d’abord d’une démarche

collégiale, engagée fin 2003, par le « Club d’Audit des Assureurs » sous la forme d’un

groupe de travail qui a su, sous l’impulsion de Jean-Marc GUITEAU, Déontologue Groupe

et Responsable du contrôle interne des MMA, fédérer les apports d’une dizaine de contri-

buteurs. Le document de synthèse qui a été produit, au terme de 2 années d’échanges,

forme ensuite un outil, marqué par une connaissance intime des métiers de l’assurance,

qui se révélera extrêmement précieux pour tous ceux qui, dans le cadre de la Loi de

Sécurité Financière, des dispositions Sarbanes-Oxley ou du COSO 2, se préoccupent du

renforcement de leur contrôle interne et de leur maîtrise des risques.

Je tiens à remercier Jean-Marc GUITEAU et l’ensemble des participants aux différentes ses-

sions du groupe de travail pour leur persévérance et la très grande qualité du travail

réalisé. Il nous appartient désormais, dans un environnement d’audit et de contrôle

interne qui ne manque pas de sujets d’actualité, notamment sur le plan réglementaire, de

relever le défi d’une future contribution qui ne pourrait être que tout aussi remarquable.

Jean-Yves PELISSON Président du Groupe Professionnel Assurance de l’IFACI, Directeur de l'Audit Général Groupe AGF



TABLE DES MATIÈRES

INTRODUCTION ................................................................................................... 9

PRÉAMBULE ...................................................................................................... 11

I. LA DÉMARCHE .............................................................................................. 131.1 Conditions préalables ..................................................................................................... 13

1.1.1 Volonté forte des dirigeants .................................................................................... 131.1.2 Passage obligé par la cartographie des processus ............................................... 131.1.3 Utilisation de deux approches complémentaires : Top Down et Bottom Up . 141.1.4 Positionnement des opérationnels au cœur du dispositif ................................. 171.1.5 Communication à tous les niveaux ....................................................................... 181.1.6 Actualisation régulière ............................................................................................. 18

1.2 Etapes de la construction d’une cartographie des risques ....................................... 191.2.1 Définir les objectifs ................................................................................................... 191.2.2 Répertorier les processus ........................................................................................ 191.2.3 Identifier les risques ................................................................................................. 191.2.4 Evaluer les risques ................................................................................................... 201.2.5 Eviter les écueils ....................................................................................................... 20

II. LA NOTION DE RISQUE ................................................................................. 212.1 Définition du risque ........................................................................................................ 212.2 Typologie des risques ..................................................................................................... 212.3 Mesure du risque ............................................................................................................ 222.4 Niveau de granularité .................................................................................................... 232.5. Evaluation des risques .................................................................................................. 242.6 Quelques exemples ......................................................................................................... 27

2.6.1 Exemples d’évaluation des risques ....................................................................... 272.6.2 Exemple du processus de souscription de contrat automobile ........................ 27

III. LES MENACES IGNORÉES ............................................................................ 303.1 Risques ignorés ................................................................................................................ 303.2 Méthodologies possibles pour identifier les risques « ignorés » ............................. 31

3.2.1 Exemples de facteurs d’alerte ................................................................................. 313.2.2 Priorisation du traitement des menaces ignorées ............................................... 32

CONCLUSION .................................................................................................... 33

ANNEXES .......................................................................................................... 35ANNEXE 1 : Glossaire ............................................................................................................. 37ANNEXE 2 : Evaluation des risques majeurs ...................................................................... 39ANNEXE 3 : Exemple de restitution de la démarche de cartographie associée au

processus de gestion immobilière .................................................................. 55ANNEXE 4 : Typologie des risques ....................................................................................... 60ANNEXE 5 : Détail des macro processus d’une entreprise d’assurance ......................... 79ANNEXE 6 : Démarche de cartographie : processus de souscription d’un contrat

d’assurance automobile ................................................................................... 81ANNEXE 7 : Tableau des menaces ........................................................................................ 87





INTRODUCTION

Le groupe de travail a fonctionné de façon pragmatique et collégiale. Pragmatique dans lamesure où chacun y a participé sur une base volontaire afin d’y apporter sa propre expé-rience et s’enrichir de celle des autres participants. Collégiale car il s’agissait de définir defaçon consensuelle la position du groupe de travail.

L’objectif du groupe de travail, ou sa lettre de mission, était de mettre à disposition desprofessionnels de l’assurance une méthodologie et une boîte à outils permettant le démar-rage et la conduite d’un projet de cartographie des risques dans les meilleures conditionsde réussite possibles.

Dans ce contexte, la démarche mise en œuvre a consisté à identifier dans un premier tempsles éléments constitutifs d’une cartographie des risques. Ainsi, ont été dissociés les « maté-riaux de base » que sont les processus, les risques définis selon le COSO 21 comme, la« possibilité qu’un évènement se produise et ait une incidence défavorable sur la réalisa-tion des objectifs », les éléments de maîtrise de ces risques et la mesure de leur efficacité.

Ensuite, la solidité et la pertinence de cette réflexion préalable ont été confrontées à laréalité du terrain au travers de tests de cartographies menés par certaines des entreprisesparticipantes. Ce sont ces éléments que nous allons détailler dans le présent document.

Ce cahier de la recherche ne propose ni solution miracle, ni démarche exacte, et d’ailleurscertaines des sociétés participantes au groupe de travail ne l’ont pas appliquée strictement.En effet, toute démarche de cartographie doit tenir compte du contexte dans lequel elle estmise en œuvre, et notamment :• du dispositif de contrôle interne préexistant et de l’organisation dans lesquels la démar-

che est mise en œuvre ;• de la maturité de l’entreprise en matière de gestion des risques et de l’impact de

« Solvabilité II »2 sur son organisation et sa gestion de risques ;• des risques que l’on souhaite effectivement appréhender et piloter au moyen d’une car-

tographie ; s’agit-il principalement des risques les plus graves ou au contraire del’ensemble des risques identifiés ?

Enfin, ce cahier traite de l’identification, de la mesure et du pilotage des risques découlantde la mise en œuvre opérationnelle du métier d’assureur et non des risques acceptés etgarantis dans le cadre de ce même métier.



1 Ouvrage traduit en français par l’IFACI et PwC en 2005 sous le titre « Le Management des risques del’entreprise » - copyright en français IFACI.2 Tout comme « Bâle II » pour le secteur bancaire, la directive européenne « Solvabilité II » prévue en juillet 2007a pour objectif principal de faire en sorte que les exigences imposées aux entreprises d’assurance reflètent mieuxles risques auxquels celles-ci sont réellement confrontées.



PRÉAMBULE

Contexte :

Depuis une vingtaine d'années, des dispositifs plus ou moins complets ont vu le jour auplan international. Les affaires ENRON, WORLDCOM, VIVENDI, pour ne citer que lesplus symptomatiques, ont provoqué une nouvelle prise de conscience. Les différents codesou lois promulgués, que ce soit le TURNBULL GUIDANCE en Angleterre, le SARBANES-OXLEY ACT aux Etats-Unis, ou la Loi de Sécurité Financière plus proche de nous répon-dent à l’objectif principal de donner l’assurance aux administrateurs, aux actionnaires, auxclients, aux partenaires, aux autorités de contrôle, que les activités sont maîtrisées grâce àun contrôle interne efficient.

La loi de sécurité financière publiée en août 2003 et le décret du 3 janvier 2005 pour lesSociétés d’Assurance mutuelles, imposent au Président du Conseil d’Administration oude Surveillance de rendre compte, dans un rapport, des procédures de contrôle internemises en place; ces procédures, pour leur partie relative à l’élaboration et au traitement del’information comptable et financière, devant faire l’objet en outre d’un rapport spécial descommissaires aux comptes.

Même si les rapports portant sur les exercices 2003 et 2004 font état de descriptions dudispositif de contrôle interne et des principaux risques sans appréciation de l’efficacité dudispositif, on peut penser qu’il s’agit d’une première étape.

Cette loi et ce décret incitent à identifier les risques liés aux activités de la société, l’analysedes risques constituant un des points majeurs de tout dispositif de contrôle interne.

Même si les fonctions de contrôle interne sont apparues plus récemment dans le domainede l'Assurance que dans le secteur bancaire, de nombreuses Sociétés d'Assurance n'ontbien sûr pas attendu la promulgation de la LSF pour se préoccuper d'audit et de contrôleinternes, l'évaluation du risque étant, par nature, au cœur du métier d'Assureur.

On peut simplement observer que ce contexte, pour certaines Sociétés d'Assurance, estvenu conforter et légitimer les activités d'audit et de contrôle internes déjà en place et, quepour d'autres , cela a été l'occasion de les organiser.

Mais au-delà du respect de la loi, le renforcement du contrôle interne est source de valeurajoutée et permet notamment de : • favoriser la transparence et la fiabilité des informations financières ;• optimiser l’efficacité de l’organisation et des processus ;• garantir le respect des lois et règlements ;• assurer la qualité de la gouvernance.

La dimension « risque » vient enrichir la vision des dirigeants en complément des axesstratégiques et opérationnels et devient un élément de management à part entière.





I. LA DÉMARCHE

1.1 Conditions préalables

Cette partie aurait pu tout aussi bien s’intituler « Principes à respecter », ou les « Facteursclés de succès », ou plus encore « Nos convictions », dans la mesure où elle regroupe lesprincipales conditions à réunir pour réussir une cartographie des risques. Ces conditionssont au nombre de six.

1.1.1 Volonté forte des dirigeants

Cette volonté doit se trouver à deux niveaux :

• Le Conseil d’Administration ou Conseil de Surveillance tout d’abord, dont lePrésident, il faut le rappeler, se doit de produire le « Rapport du Président » sur les pro-cédures de contrôle interne. Or l’identification et l’évaluation des risques est à la based’un bon dispositif de contrôle interne. Lorsqu’il existe, le Comité d’Audit est le lieuprivilégié où doit se manifester cette volonté.

• La Direction Générale, qui doit donner l’impulsion à l’ensemble du dossier, mais sur-tout créer les conditions et mettre en place les moyens de réaliser cette cartographie desrisques, ce qui passe inévitablement par l’allocation de ressources dédiées. Plus large-ment, le Comité de Direction doit être complètement partie prenante, ne serait-ce queparce que chaque Directeur, qu’il soit opérationnel ou fonctionnel, doit initier cettedémarche dans sa propre Direction.

1.1.2 Passage obligé par la cartographie des processus

Il y a de multiples raisons d’élaborer une cartographie des processus dans une entreprise :simple modélisation des process, migration d’un système d’information vers un autre,harmonisation des process après fusion d’entreprises… Mais il en est au moins une qui larend indispensable : l’élaboration de la cartographie des risques.

D’une façon générale, nous retrouvons trois grandes catégories de processus :• les processus métiers, ou processus opérationnels, ou processus de réalisation : vente,

souscription, production, sinistres… ;• les processus managériaux ou de pilotage : stratégie, plans d’actions, budget… ;• les processus supports : ressources humaines, finances, comptabilité, informatique,

logistique…



1.1.3 Utilisation de deux approches complémentaires : Top Down etBottom Up

Dans le cadre d’une démarche de cartographie, il est possible de distinguer parmi les nom-breuses méthodes possibles deux grandes approches. La première consiste à partir desprocessus pour identifier les différents risques de l’entreprise, la seconde est basée sur unrecensement des risques par le Comité de Direction. Ces deux possibilités ne s’opposentpas mais se complètent :

Métier

Domaine

Processus

Opérations

Tâches élémentaires

Cette partie reprend les grandes séquences de chaque méthode, discute des avantages etdes inconvénients de chacune et indique les écueils à éviter.

1.1.3.1 L’approche Top Down

Première étape : l’analyse des risques

Dans cette démarche, le risque est appréhendé dans une vision globale de l’entreprise. L’approche consiste à faire identifier les risques majeurs par les membres du Comité deDirection. Ainsi, les dangers sont recensés au regard de la stratégie suivie par l’entreprise.Une autre approche consiste à identifier les risques par parties prenantes (salariés, action-naires, clients, etc.) afin de recenser les menaces qui pèsent sur l’entreprise. Cette dernièreapproche a été testée par le Groupe de travail, mais elle ne s’est toutefois pas avérée opé-rationnelle.

Deuxième étape : le rattachement des risques aux processus

Au cours de cette phase, il s’agit de remplir le double objectif de mise en cohérence desrisques identifiés avec les activités de l’entité et d’exhaustivité de la cartographie.En effet, les risques mis en évidence au niveau de la démarche Top-Down doivent être rat-tachés aux processus de l’activité.Ce rapprochement a également pour effet bénéfique de s’assurer de la complétude del’analyse.



Top down

Bottom up

Troisième étape : l’évaluation et la hiérarchisation des risques

Les risques d’une compagnie d’assurance sont analysés en approche « Top-Down » avecla Direction générale, en s’appuyant sur une représentation graphique bidimensionnelle(fréquence/impact) sous forme de matrice de criticité (cf. annexe 2). La finalité d’une telleapproche est de schématiser le profil de risques propre à la compagnie, et de déterminerun ordre de priorité des risques majeurs pour leur traitement.

Les niveaux de criticité en impact (perte potentielle en unités de valeur) pourront cor-respondre à des seuils fixés dans le cadre de la gestion des fonds propres (ceux de lasociété mère et ceux de la filiale concernée) et dans le cadre de la réassurance (réassurancedes événements catastrophiques, réassurance par sinistre).

Les niveaux de criticité en fréquence (nombre de survenances possibles d’un risque en uneannée), pourront être faibles (inférieurs à un seuil très bas pouvant correspondre à celuirecommandé par BALE II), moyens, élevés et certains (c’est à dire avec survenance certaineplusieurs fois dans l’année).

La matrice de criticité pourra enfin être représentée sous trois versions : les risques bruts,les risques résiduels acceptés et les risques résiduels réels.

Enfin une méthodologie peut être développée afin d’appuyer l’évaluation des risquesmajeurs sur le niveau de qualité du contrôle interne et de la maîtrise des risques (voirannexe 2).

1.1.3.2 L’approche Bottom Up

Première étape : l’identification des processus

Le recensement des processus de l’entreprise constitue le point de départ de cette démar-che.Un niveau de détail approprié doit être choisi en fonction des objectifs de la cartographie.Ce niveau doit être suffisamment fin pour identifier de façon pertinente les risques signi-ficatifs mais ne doit pas conduire à lister l’ensemble des sous processus de l’entreprise.Ce choix permet ensuite de déterminer le niveau hiérarchique d’interlocuteur à rencontrerafin de collecter les informations.Une fois le contexte de cette démarche rappelé aux personnes interrogées, l’entretien peutse dérouler de deux manières distinctes. Il peut être basé sur un questionnaire ou se dérou-ler de façon ouverte, permettant ainsi une plus grande liberté dans l’expression de lavision des processus et des risques de la part des opérationnels. Les informations recueillies au cours de cette étape sont ensuite classées afin d’établir unenomenclature des processus majeurs. Ils sont à la base de l’établissement de la cartographie des risques et peuvent être classésen 3 grandes familles. Les processus relatifs à la production quotidienne (processusmétiers), ceux relatifs aux activités permettant le bon fonctionnement de l’entreprise (pro-cessus supports) et ceux concernant les activités de management (processus managériaux).



Deuxième étape : l’identification des risques

Une première identification des risques est réalisée au cours des entretiens avec les opéra-tionnels. Comme pour le recensement des processus, la description des risques peut sefaire soit sur la base d’un questionnaire soit de manière ouverte, facilitant ainsi l’identifi-cation de risques. Cette première identification est construite conjointement par le management de l’activitéopérationnelle et les équipes en charge de la cartographie. Le recensement des risques étant réalisé à partir de différentes activités prises isolément,il apparaît important d’identifier également les risques liés aux interrelations entre ces acti-vités.Ce n’est qu’une fois cette étape franchie que ces risques pourront être classés. Plusieurspossibilités sont alors offertes. L’entreprise peut faire le choix d’une typologie spécifique àl’entreprise, en fonction du domaine d’activité et des objectifs définis pour la démarche.

Troisième étape : l’évaluation et la hiérarchisation des risques

Avant de se lancer dans cette étape, il convient de définir un certain nombre de principesstructurants tels que les méthodes d’évaluation des risques. Elles sont différentes selonqu’il s’agit de répondre à une question de stratégie ou d’analyse de type rentabilité/risque.Les risques sont évaluables quantitativement par les informations recueillies dans le cadrede l’analyse des processus. Ce sont soit des données déjà existantes : statistiques ettableaux de bord, bases incidents, comptes techniques, … ; soit des données constituéespendant la démarche d’identification des risques : comptage d’opérations et d’anomalies,mise en place de statistiques d’observation, etc. De même que pour la démarche « bottom-up », il est préférable que ce travail soit réalisé avant tout par les opérationnels concernés.

En résumé, l’évaluation pourra être soit qualitative et être établie sur la base de rapportsde l’audit interne ou d’avis d’experts, soit semi-quantitative et basée sur un système denotation du couple fréquence/impact, soit quantitative quand un chiffre de perte proba-ble est associé à un risque

1.1.3.3 La construction de la cartographie

Cette phase est essentielle dans la démarche de cartographie dans la mesure où elle per-met de s’assurer de la meilleure identification des risques de l’entreprise. En effet, l’iden-tification des risques inhérents aux processus opérationnels de l’entreprise ne permet pasde prendre en compte certains dangers dits stratégiques. Par exemple, le risque d’imageou bien le risque légal (responsabilité des dirigeants) pourrait être omis sans la réalisationde cette étape. Pour répondre à ce besoin, ces risques stratégiques doivent être étudiés etrapprochés de la cartographie obtenue par l’analyse des processus.Selon les participants du groupe de travail qui ont entrepris une démarche de cartographieau sein de leur entreprise, la construction s’effectue en référence permanente avec la typo-logie des risques afin de veiller à ne pas oublier certains risques. Ce rapprochement per-met également l’élaboration de tableaux de cartographie, tableaux dont des exemples sontjoints en annexe 3.



1.1.3.4 Avantages, inconvénients, écueils à éviter

La méthode Bottom-up présente des avantages à 3 niveaux.• L’approche par les processus permet d’obtenir une bonne connaissance des activités de

l’entreprise et les résultats peuvent ensuite être utilisés à d’autres fins, dans le cadred’une réorganisation ou à l’occasion d’une démarche qualité.

• L’analyse dans le détail des activités permet un recensement exhaustif des risques.• La consultation des opérationnels pour la réalisation de la cartographie permet d’obte-

nir une implication satisfaisante de leur part.

En revanche, c’est une démarche consommatrice de temps dans la mesure où elle requiertla tenue de nombreux entretiens et la collecte d’informations en masse. Par ailleurs, ellepeut s’avérer coûteuse en termes de compétences et de systèmes car la collecte des don-nées nécessite souvent le recours à des outils adaptés.

Quant à l’approche Top-down, elle permet une mise en œuvre plus légère puisque lesentretiens nécessaires sont moins nombreux et ne nécessitent pas une analyse des proces-sus. L’examen des risques stratégiques permet également de s’assurer de la prise encompte plus immédiate des processus transversaux ou managériaux, ce qui peut être plusen adéquation avec les attentes de la Direction générale.Cependant, elle présente l’inconvénient d’être moins précise, tant dans l’identification desrisques que dans leur quantification. Par ailleurs, les opérationnels n’étant pas associés, ilspeuvent avoir du mal à s’approprier la démarche.

Le groupe de travail considère ces deux démarches comme complémentaires et c’est pour-quoi il recommande, dans la mesure du possible, de les combiner en fonction des moyenset des délais accordés.

En effet, ces deux approches, non seulement ne s’opposent pas, mais sont complémentai-res. Elles peuvent être conduites soit de façon successive, soit de façon simultanée, la ques-tion du choix pouvant se poser lors du démarrage d’un projet de cartographie.

L’approche Top Down facilite la fixation de priorités d’actions dans ce qui remonte del’approche Bottom Up, et cette dernière permet de valider et de compléter les éléments res-sortis dans l’approche Top Down.

Ces deux méthodes ont ainsi naturellement vocation à alimenter et faire vivre la carto-graphie.

Enfin, il convient de préciser que, quelles que soient la ou les méthodes utilisées, nous nepouvons jamais être certain de couvrir l'exhaustivité des risques.

1.1.4 Positionnement des opérationnels au cœur du dispositif

On entend ici par opérationnels, l’ensemble des collaborateurs qui agissent dans l’entre-prise : les commerciaux (qu’ils soient salariés ou mandataires), les gestionnaires (tant enproduction qu’en sinistres ou prestations), mais aussi tous les collaborateurs fonctionnels



d'un Siège : comptables, chargés d’études, gestionnaires paie…. L’encadrement de proxi-mité fait partie intégrante des opérationnels.

Chaque opérationnel, chaque manager de proximité est propriétaire de ses risques.

Ils doivent s’approprier la démarche et être les premiers consultés, quelles que soient lesméthodes mises en œuvre, que celles-ci reposent sur des questionnaires individuels, desateliers ou des interviews.

1.1.5 Communication à tous les niveaux

Si l’impulsion, en terme de communication, doit aussi être donnée par la DirectionGénérale, il appartient à chaque Directeur, cadre supérieur, cadre de proximité de relayercette communication et ce, sur deux registres.

D’abord, par le canal classique hiérarchique, communication :• entre la Direction Générale et les Directeurs ;• entre le Directeur et son encadrement supérieur ;• entre l’encadrement supérieur et l’encadrement de proximité ;• entre l’encadrement de proximité et les opérationnels ;en étant vigilant sur les risques de déperdition d’information entre les différents niveaux.

Mais la communication doit aussi fonctionner de façon transversale :• entre les Directions opérationnelles ;• entre les Directions fonctionnelles ;• entre les Directions opérationnelles et les Directions fonctionnelles;chacune des Directions étant presque toujours intégrée dans un macro-processus, tour àtour client puis fournisseur des autres Directions.

1.1.6 Actualisation régulière

Avoir finalisé la cartographie des risques de son entreprise représente une étape essentielledans la mise en œuvre du dispositif de contrôle interne.

Encore faut-il, ensuite, faire vivre cette cartographie des risques, en l’actualisant régulière-ment. A défaut, et compte tenu de la rapidité de l’évolution de la vie de l’entreprise, cettecartographie deviendrait rapidement inopérante et l’entreprise perdrait le bénéfice del’investissement réalisé au départ. Mais, là aussi, cela nécessite d’allouer un minimum deressources à la maintenance de cet outil.

Par ailleurs, cette actualisation sera facilitée s'il existe notamment :• un Comité des Risques au niveau de l'entreprise ;• un Responsable des Risques au sein de chaque entité opérationnelle.

Enfin, des facteurs tels que les évolutions réglementaires, les nouveaux risques, les incer-titudes croissantes liées à l'environnement, rendent indispensables cette actualisation.



Ces six conditions présentées ci-dessus constituent une situation quasi-idéale, dont il fautessayer de se rapprocher. Bien évidemment, le principe de réalité fait que certaines condi-tions seront imparfaitement remplies, ce qui ne doit pas empêcher la production d’une car-tographie des risques.

1.2 Etapes de la construction d’une cartographie des risques

Quelle que soit l’approche utilisée – Top Down ou Bottom Up – la démarche d’élaborationd’une cartographie des risques ne peut réussir que si les cinq étapes ci-dessous sont fran-chies.

1.2.1 Définir les objectifs

Nous sommes, lors de cette première étape, dans l’environnement de contrôle interne. Quels sont les objectifs découlant de la stratégie et ce, pour chaque entité de l’entreprise,en fonction de son organisation : par métier, par zone géographique, par segment de mar-ché… ?Quels résultats en attend l’entreprise : objectifs de chiffre d’affaires, de production, demarge technique, de qualité de service client, de produits financiers, de résultat d’exploi-tation… ?

1.2.2 Répertorier les processus

Quels sont les principaux processus de l’entité concernée ? Permettent-ils l’atteinte desobjectifs ?

Il faut, ici, notamment dans l’approche Bottom Up avec les opérationnels, certes décom-poser les macro-processus en sous-processus (ou processus spécialisés) mais aussi veillerà ne pas descendre à un niveau trop fin (les tâches élémentaires par exemple), ce qui ren-drait la cartographie complexe, voire inopérante. Il convient en effet de rester au niveaudes processus supposés porteurs de risques significatifs.

1.2.3 Identifier les risques

Dans chaque entité, qu’elle soit opérationnelle ou fonctionnelle et processus par processus,il est indispensable de procéder à l’identification des risques, au sens d’événements venantperturber l’atteinte des objectifs, en utilisant pour ce faire, toutes les méthodes appropriées(cf. documents joints en annexe 2). Mais s’arrêter à la seule identification des risques seraitnéanmoins insuffisant.



1.2.4 Evaluer les risques

Ausitôt après avoir identifié un risque, l’étape suivante consiste à l’évaluer au regard desdeux paramètres fondamentaux en la matière, que sont l’impact (I) et la fréquence (F), làaussi en utilisant les approches méthodologiques les plus adaptées (cf. documents enannexe 2), telles que la matrice de criticité.

Il s’avère utile également de bien préciser que l’on travaille sur le risque brut, le risque rési-duel, résultant de la mise en œuvre des éléments de maîtrise.

1.2.5 Eviter les écueils

Quelle que soit la démarche retenue, les écueils sont nombreux et il convient d’en tenircompte dès le début de la mise en œuvre de la cartographie.

Le recensement des processus et des risques inhérents ne doit pas descendre, en matièrede granularité, à un niveau de finesse excessive. De même, la recherche de l’exhaustivitédes risques peut conduire à un long travail d’identification ; certains de ces risques s’avé-rant in fine non significatifs ou non pertinents.

L’absence d’outils dédiés et le recours à des produits bureautiques divers peut rendre laconsolidation et l’exploitation des informations difficiles.

Par ailleurs, une approche trop dirigiste lors des entretiens peut entraîner une identifica-tion partielle des risques, l’opérationnel rencontré étant cantonné à un cadre délimité pardes questionnaires ou cartographies de référence.De plus, les opérationnels peuvent être réticents à indiquer certains risques du fait d’uneapproche trop inquisitrice, installant de fait un climat moins propice aux échanges et àl’expression spontanée des risques.

Concernant l’évaluation, il s’agit bien de s’assurer de l’adéquation des méthodes utiliséesavec les objectifs assignés à la démarche de cartographie. Une approche quantitative peuten effet s’avérer inappropriée dans certains cas. En revanche, le recours à des méthodespurement qualitatives ne permet pas toujours d’évaluer avec justesse l’importance desmesures de contrôle à mettre en œuvre ; l’entreprise pouvant renoncer à des couverturesjugées trop coûteuses sur la base de risques évalués grâce à une échelle de notation.



II. LA NOTION DE RISQUE

2.1 Définition du risque

Un risque est communément défini comme « une menace qu’un événement ou une action seproduise dans le futur et entraîne des effets négatifs pour l’entreprise dans les objectifs qu’elle s’estfixée ».

L’IFACI définit le risque (lexique « Les mots de l’Audit ») comme étant « un ensembled’aléas susceptible d’avoir des conséquences négatives sur une entité et dont le contrôle interne etl’audit ont notamment pour mission d’assurer autant que faire se peut la maîtrise ». Dans une approche plus internationale, la définition du Risque proposée dans le COSO 2est la suivante : « Possibilité qu’un évènement se produise et ait une incidence défavorable sur laréalisation des objectifs ».Cette connotation négative du risque doit se transformer en « une opportunité que l’entre-prise doit anticiper, comprendre et gérer dans le cadre de sa stratégie pour atteindre ses objectifs etcréer de la valeur ». Ceci repose également sur l’élaboration d’une cartographie des risques.

2.2 Typologie des risques

En préalable, il convient de préciser que la typologie des risques telle que l’a abordée legroupe de travail ne porte pas sur les risques acceptés et garantis dans le cadre du métierd’assureur mais sur ceux découlant de la mise en œuvre opérationnelle de ce métier.

Le risque est inhérent à l’activité de l’entreprise. Deux catégories majeures de risques sontalors rencontrées :• les risques endogènes, propres à l’activité de l’entreprise, qui sont liés à ses processus,

son organisation, son système d’information, son management, etc. ;• les risques exogènes dont l’origine provient de l’environnement de l’entreprise : les

clients, les fournisseurs, les sociétaires ou actionnaires, les concurrents, les marchésfinanciers, les catastrophes naturelles ; l’entreprise ayant peu de prise sur cette dernièrecatégorie de risques.

Dans ces deux grandes catégories, les risques se déclinent en :• risques avérés, c’est à dire qui se sont déjà concrétisés dans le passé ;• risques potentiels, c’est à dire qui sont connus mais qui ne se sont pas encore concréti-

sés ;• risques non identifiés ou risques ignorés (cf. partie III).



Le groupe de travail a élaboré une « Nomenclature des risques d’une entreprise d’assuran-ces » (présentée en annexe 4) permettant de lister et structurer les risques encourus par unecompagnie d’assurance et ainsi avoir un vocabulaire commun. Sans être exhaustive, cettenomenclature descend à un niveau de détail suffisant pour être exploitable, c’est à direpour définir non seulement les risques au niveau de l’entreprise d’assurance, mais aussi auniveau de chaque secteur opérationnel de l’entreprise.

Cette modélisation a conduit à définir trois niveaux de risques complémentaires, permet-tant ainsi un degré de finesse satisfaisant :• le niveau 1, qui concerne les grandes familles de risques (financiers, opérationnels…) ;• le niveau 2, qui permet de mieux cerner dans quelle catégorie de risques on se situe au

sein d’une même famille (exemple pour les risques financiers : liquidité, marchés, cré-dit…) ;

• le niveau 3, qui offre un degré de détail supplémentaire au sein de ces catégories (exem-ple pour le risque financier de crédit : Règlement livraison, défaut émetteur….).

La démarche de modélisation des risques ainsi mise en œuvre a conduit à les désigner parleur cause, c’est à dire l’origine première du phénomène dont il résulte :

Les risques de niveau 1 ont été déclinés en 6 familles1 :• risques financiers : risques de gestion de bilan ou financière ;• risques d’assurance : risques spécifiques aux activités d’assurance ;• risques opérationnels : risques provenant directement de la mise en place et de la mise

en œuvre des moyens et procédures de fonctionnement ;• risques comptables : risques relatifs au domaine comptable ;• risque de pilotage : risques relatifs au management d’entreprise ;• risques externes : risques générés par l’environnement de l’entreprise.

Chacune de ces 6 familles a ensuite été déclinée en risques de niveau 2, au nombre de 31,lesquels ont été à leur tour déclinés en risques de niveau 3, au nombre de 164.

Ainsi, selon le niveau auquel l’entreprise souhaite descendre, elle peut travailler sur unnombre plus ou moins grand de risques, permettant alors un degré de finesse variabledans la vision des risques encourus.

2.3 Mesure du risque

Les composantes du risque sont explicitement définies tant par la définition ISO du risqueque dans le glossaire des Normes professionnelles de l’audit interne, voire dans le cadrede COSO 2 : « la possibilité que se produise un événement qui aura un impact sur la réalisationdes objectifs. Il se mesure en termes de conséquences et de probabilité. »



1 Ce découpage est certes différent de celui proposé dans Solvabilité II, mais il semble aux membres du groupe detravail qu’il est plus proche des préoccupations des opérationnels.

aa En terme de conséquences :• Quelle est la conséquence si le risque se concrétise ? Il est toutefois possible qu’elle soit

selon les situations favorable ou défavorable. Il semble de bon sens d’évacuer de ladémarche le fait que la survenance d’un risque soit source de gain et d’opportunitépour l’entreprise.

Les différentes conséquences se déclinent en grandes catégories, à savoir :• perte financière (baisse des revenus ou hausse des coûts), directe ou indirecte, immé-

diate ou à terme ;• responsabilité civile et/ou pénale ;• sanctions légales et/ou professionnelles ;• dégradation de l’image.Plutôt que de conséquences, nous parlerons d’impact.

aa En terme de probabilité :• Quelle est la probabilité de survenance du risque ? C’est la possibilité plus ou moins

forte de subir les conséquences de l’événement considéré, à tout moment ou dans letemps, on parlera alors de fréquence de survenance.

Seule la combinaison de ces deux composantes permet d’estimer raisonnablement leniveau de risque.

Enfin, il faut préciser à quel niveau de risque on se situe, risque brut ou risque résiduel,dans la mesure où il convient de tenir compte de l’existence d’éléments visant justement àréduire les conséquences de sa survenance :• le risque brut mesure le risque sans aucun élément de maîtrise : absence de procédu-

res, absence de contrôle interne, absence de système informatique,…• le risque résiduel ou le risque net mesure le risque après mise en place des éléments de

maîtrise : contrôle interne, couverture financière, transfert du risque…

La liste des risques identifiés et évalués se représente ensuite sous forme d’une « carto-graphie des risques » suivant un axe « fréquence » et un axe « impact potentiel ».

2.4 Niveau de granularité

On entend par granularité le niveau de détail sur lequel peut se construire une cartogra-phie. La définition de la granularité est essentielle car plus le niveau de détail est fin, etplus le travail correspondant d’identification des risques est important. Elle impacte doncl’élaboration de la cartographie et sa maintenance ultérieure. Choisir le bon niveau de gra-nularité est également important afin de calibrer la démarche aux moyens disponibles etau planning souhaité.Ainsi, cinq niveaux complémentaires de granularité, du plus large au plus particulier, ontété identifiés :• le métier : IARD, Vie, Assistance, Réassurance… ;• le domaine : pour le métier IARD : Habitat, Auto, transport aérien… ;• le processus : pour les particuliers : processus souscription, processus sinistres, proces-

sus prestations… ;



• l’opération : pour le processus prestations : enregistrement, règlement du sinistre… ;• la tâche élémentaire : pour l’opération règlement du sinistre : envoi du chèque.

Ces niveaux sont indépendants de la nature – managériale, métiers, supports – des modesopératoires (cf. annexe 2).

Le groupe de travail s’est accordé pour désigner le niveau médian « processus » comme leniveau pertinent d’une cartographie. En effet, celui-ci constitue d’une part le meilleur com-promis entre le temps passé à l’élaboration de la cartographie et le degré de pertinence dela vision des risques. D’autre part, c’est le niveau d’équilibre permettant de faire conver-ger et de relier les éléments obtenus à partir de chacune des deux principales méthodes (TopDown et Bottom Up).

2.5 Evaluation des risques

La question se pose donc de savoir comment apprécier le risque : par niveaux de fréquence(très probable, probable, peu probable ou très peu probable) ou selon une appréciationfinancière des impacts (quel est le coût estimé de la survenance d’un risque ?). L’évaluationd’un risque consiste à apporter des informations justifiables sur la fréquence et les impactsdu risque.

L’appréciation doit être qualitative avant d’être quantitative. Cependant, cette apprécia-tion est insuffisante en général et doit être complétée par une évaluation de l’impact et dela fréquence de survenance (sa probabilité). En effet, le risque brut peut être résumé selonl’équation suivante :

Risque brut = impact prévisible x fréquence d’occurrence

Le risque brut est rarement celui effectivement supporté par l’organisation, car il suppo-serait une attitude complètement passive de cette dernière. Il s’agit en effet de son impactavant intervention des éléments de protection, éléments qui conduisent à maîtriser totale-ment ou partiellement le risque pour le contenir dans des zones acceptables en terme deconséquences. Ces éléments de maîtrise transforment donc le risque brut en un risque rési-duel.

Il s’avère, de façon couramment admise, que l’appréciation des risques bruts et résiduelsest du ressort des opérationnels, qui en appréhendent plus aisément les impacts. Toutefois,cette estimation doit faire l’objet d’une confrontation avec la ou les personnes en charge dela cartographie afin de « valider » les hypothèses retenues en terme d’impact et de fré-quence. Le cas échéant en cas de divergence de vue, il peut être utile de faire trancher laquestion par un comité ad-hoc. En effet, nous pouvons être confrontés au fait que certains opérationnels ont tendance àminorer les impacts potentiels d’un risque dont ils ont la responsabilité. De plus, il est pos-sible que les opérationnels ne pensent pas aux risques majeurs à fréquence très faible. Entout état de cause, l’entité en charge de l’élaboration de la cartographie des risques doitveiller à la cohérence d’ensemble, notamment pour permettre une consolidation desrisques pertinente.



Apprécier les éléments de fréquence constitue également une difficulté pour l’élaborationde la cartographie. Pour y parvenir, il convient de recenser toutes les sources possiblesd’information (discussions avec les opérationnels, les contrôleurs internes, les auditeursinternes et les commissaires aux comptes, lecture des rapports d’audit existants, docu-ments du secteur, bases internes d’incidents, etc.).

L’idée est de nourrir l’argumentation pour confirmer l’appréciation réalisée. Ceci sertensuite de base de discussion avec l’opérationnel afin de recueillir son avis sur cette fré-quence. Dans le cas contraire, il convient de procéder à un arbitrage en vue de s’accordersur une fréquence potentielle.

Cette démarche itérative permet alors d’associer une fréquence à chaque couple proces-sus / risque.

Le groupe de travail recommande l’utilisation d’une échelle de fréquence de 1 à 4, dumoins fréquent au plus fréquent, et de deux niveaux d’appréciation de cette fréquence : entemps (l’événement se produit tous les jours, toutes les semaines, tous les mois, tous les tri-mestres, tous les 1, 5, 7, 20 ou 100 ans) et/ou en volume (l’événement se produit dans 1%des cas, 10 % des cas, 0,1% des cas, etc.).

Le tableau suivant croise ces différents éléments :

L’échelle de temps peut être adaptée bien sûr selon la stratégie de l’entreprise et la naturedes risques qu’elle encourt.

Par convention, il est préférable de retenir que plus le risque est grand, plus le chiffre doitl’être. De plus l’échelle proposée est une échelle paire, ceci afin de « prendre parti » et decatégoriser le risque, ce qui évite les risques « moyens » ne permettant pas une analyse per-tinente.

Ces évaluations se font en deux phases :• risque pris en compte en supposant l’entreprise passive : risque brut ;• risque pris en compte avec les mesures déjà en place : risque résiduel.

Niveau 1 2 3 4

Très peu probable Peu probable Probable Très probable

En temps > 3 ans 1 - 3 ans 6 mois - 1 an < 6 mois

En volume < 1% 1 - 5 % 5 - 10 % >= 10 %



Le tableau ci après illustre la démarche d’évaluation selon les possibilités de mesure effec-tive du risque.

* - N : espérance, pendant l’horizon de temps (1 an), du nombre d’événements générateursdu risque.- p : probabilité que le risque survienne lors d’un événement.- Dans de nombreux cas, une de ces deux caractéristiques, notamment p, ne sont pas esti-mables, et/ou il est plus simple de faire une estimation directe de la fréquence annuelle.

Enfin, la responsabilité de l’évaluation des risques doit être clairement arrêtée. Bien queles opérationnels soient les seuls propriétaires du risque, la responsabilité de l’évaluationpeut toutefois être partagée. A cette fin, la démarche peut s’appuyer sur des expertisesexternes ou des techniques utilisées au sein des départements de Risk Management,d’audit ou de Contrôle internes.



Façon :Estimation de : Qualitative Semi-quantitative Quantitative

la fréquence poten-tielle de la surve-nance du risque (f)

Nul/faible/moyen/fortouéchelle numérique ànombre pair deniveaux

Moyenne attenduedu nb de survenancedans l’horizon detemps choisi(Bâle II : f = N x p) *

l’impact potentiel, entermes de coût finan-cier (« severity »)

Montant sur échellede valeur continue(ex. : millions d’€)

l’impact potentiel entermes d’image, demise en cause desdirigeants, …

Description deseffets, notamment :mise en cause possi-ble des dirigeants

Echelle de gravitéselon critères objec-tifs, avec un nombrepair de niveaux

A définir au cas parcas si possible (sanc-tion pécuniaire : cf.impact financiersupra)

2.6 Quelques exemples

2.6.1 Exemples d’évaluation des risques

Exemple 1 : Risque de marché extrême (gestion actif passif) :

Exemple 2 : Risque sur la demande (Risque Marketing) :

2.6.2 Exemple du processus de souscription de contrat automobile

Le groupe de travail s’est penché sur l’analyse de ce processus afin de confirmer la validitédes outils méthodologiques définis. Ce processus offre un double avantage, celui d’êtrepartagé par le plus grand nombre d’entreprises représentées au sein du groupe de travailet d’être facilement appréhendable par les non spécialistes, ces derniers ayant pour la plu-part des voitures à assurer à titre personnel.

ConséquencesMajoration de la demande, avec des impacts sur la qualité de la presta-tion voire de la solvabilité ; Minoration de la demande, et ses consé-quences en matière d’économies d’échelle,

Effets directsallongement du temps pour atteindre le point d’équilibre financier, voirenon atteinte de ce point d’équilibre, insatisfaction des clients et perted’opportunité (offre couplée par exemple), perte potentielle d’activité,

Coûts liésréalisation d’études Marketing supplémentaires, arrêt de la commercia-lisation du produit, embauche éventuelle de ressources humaines pourétoffer les moyens. Ce risque est cependant quantifiable en coût.

Probabilitéfréquence faible et par ailleurs difficile à estimer car elle implique direc-tement la compétence des collaborateurs !

ConséquencesInadéquation actif / passif, risque de liquidité, risque de crédit (=>risque systémique).

Effets directsPerte de valeur à l’actif, conditions de réalisation d’actif fondamentale-ment modifiées, intervention forcée sur la réallocation de l’actif ou dupassif à un moment inopportun.

Effets indirects

Primes non collectées car entreprises défaillantes (conséquences sur lechiffres d’affaires, donc le compte de résultats, pas sur le bilan), risquesur la demande car il entraîne des conséquences commerciales sur l’acti-vité.

Probabilité fréquence 5/10 ans. Mais par définition, difficile à « programmer » !



La démarche du groupe s’est réalisée en deux temps, le premier consistant à valider lesniveaux de granularité, puis la typologie des risques.

Le groupe a ainsi retenu une structuration du processus comme suit, selon la nomencla-ture suivante :

- Processus : Niveau 3,- Opération : Niveau 4, - Tâche élémentaire : Niveau 5.

Le processus « Souscription automobile » peut alors être découpé en éléments suivants (lechiffre entre parenthèse correspondant au niveau de granularité) :

1.Vente Contrat Auto (3)- Collecte d’informations (4)

Relevé d’informations (5)- Emission Devis (4)

2. Souscription (3)- Acceptation (4)- Enregistrement (4)- Emission de police (4)

3. Encaissement de la prime (3)- Emission de quittance (4)- Enregistrement (4)- Encaissement (4)

Remise du chèque (5),Virement (5).



La pertinence de la typologie a été appréciée au travers du processus de développementd’une offre produit en assurance automobile. Le numéro indiqué entre parenthèse est lerisque correspondant de la typologie de risques jointe en annexe 4.

Processus Opérations Risques associés

Marketing Contenu de l’offre, GarantiesMauvaise définition du produit(20201)

Positionnement de l’offre par rap-port à la concurrence et aux atten-tes du marché

Mauvaise analyse du marché(20101),

TarificationMauvaise tarification (20202),concurrence (60201)

Aspects relatifs à la marque, auxnoms commerciaux (propriété)

Image (60403)

Juridique Offre non conforme à la réglemen-tation

Non respect de la réglementation(20801, 60101)

Organisation &Gestion

Cahier des charges, spécificationsdétaillées

Non respect des procédures(30202),

Paramétrages systèmes d’informa-tion

Risques de modèle, de données, detraitements et de délais (30101 à30104)

Formation des collaborateurs etréseaux commerciaux

Formation inadaptée (30207)

Retours d’expérience, traitementdes anomalies

Inadéquation des processus(30402)

Distribution Canaux de distributionNon conformité aux règles de dis-tribution (30301 à 30304)

RémunérationCommissionnement inadapté(30306)

Publicité Erreur de communication (20102)



III. LES MENACES IGNORÉES

3.1 Risques ignorés

Les assureurs sont des gestionnaires des risques, c’est leur spécialité, leur métier. Pourtantdans certaines circonstances des risques réputés identifiés, connus et maîtrisés peuventprendre des proportions imprévues lorsqu’ils se combinent ou lorsque qu’un évènementfrappe simultanément plusieurs organes de la société tels que :• les fonctions de management ;• le financier : actif / passif (réserves), Cash-Flow, réassurance ... ;• les fonctions opérationnelles de souscription et de gestion de sinistres ;• les fonctions support telles que l’informatique et les ressources humaines.

Il suffit alors que des facteurs aggravants extérieurs interviennent pour que ces évène-ments deviennent de véritables menaces pour les sociétés les plus solides. Ces facteursaggravants extérieurs peuvent provenir des médias, de l’intervention des pouvoirs poli-tiques ou juridiques, des régulateurs, du pouvoir législatif…

A ces menaces sur des risques identifiés s’ajoutent celles sur les risques dits « ignorés »c'est à dire soit totalement inconnus, soit connus seulement par des experts ou des per-sonnes averties mais qui ne sont pas pris en compte par les compagnies d’assurance, fauted'information, de sensibilisation ou de prise de conscience, voire d'« impasse stratégique ».

Définition des « Risques ignorés » par Jean-Yves COMBY, Responsable Pollution à laDirection technique de SCOR :

« Risques nouveaux, nés de l'évolution technique, économique et humaine, qui ne sont pasencore perçus ni gérés par les professionnels du risque. Ils se situent à la jonction de latechnique et de l'homme dans toutes ses dimensions: santé, culture, mode de vie, droit, éco-nomie, politique... et peuvent conduire à des sinistres catastrophiques pour le secteur del'assurance.Il ne s’agit donc pas de risques de développement, risques que l’état de la Science ne per-met pas de détecter au moment de la souscription et dont l’assureur peut tenter de se pro-téger par des exclusions mais de risques latents non pris en compte par le souscripteur.(SCOR sept. 2002) ».

Si cette définition s’applique plus volontiers à des risques assurés, la problématique estidentique pour les risques opérationnels.

Le groupe de travail a ainsi recensé six types de menaces, dont le détail est joint en annexe8 :• évènements Naturels : Tsunami par exemple ;• nouveaux Produits / Nouvelles technologies : OGM, virus informatiques… ;• santé : manipulations génétiques, aléa thérapeutique … ;• sociétés / Politique : terrorisme, guerre… ;



• économie / Finance : modifications structurelles des grands équilibres financiers mon-diaux… ;

• comportements managériaux : conflit social, fraude…

Les risques identifiés dans chaque type de menace sont mis en correspondance avec lesrisques identifiés dans la nomenclature des risques.

3.2 Méthodologies possibles pour identifier les risques« ignorés »

Il est possible d’identifier ce type de risques, en mettant en œuvre certains dispositifs, àsavoir :• veille sur les grands sinistres de marché ;• veille sur les évolutions sociologiques, réglementaires et techniques ;• cartographie pour chaque menace des organes potentiellement touchés et des facteurs

aggravants extérieurs ;• intelligence économique et analyse des faillites et difficultés rencontrées par la concur-

rence.

3.2.1 Exemples de facteurs d’alerte

Le tableau intitulé « Menaces ignorées, exemples de facteurs d’alerte » joint en annexe 8présente l’exposition des macro-processus d’une entreprise à chaque type de menace, entenant compte de l’impact éventuel de facteurs aggravants, d’origine extérieure.

Cette analyse est de nature qualitative. En effet, il n’existe pas d’éléments probants pourobtenir une évaluation quantitative des risques ignorés. En outre, ces risques sont suppo-sés avoir des impacts extrêmes, susceptibles de faire disparaître l’entreprise.

Les données recueillies par l’analyse aboutissent à une représentation graphique sousforme de radar, représentant les 6 axes (un par type de menace), du profil d’exposition del’entreprise à ces risques.

A titre d’illustration, pour les risques d’événements naturels et liés aux nouvelles techno-logies :



Cela permet de mesurer l’exposition aux risques ignorés en fonction du domaineconcerné : la sensibilité de l’entreprise à de tels risques dépend de la robustesse des macro-processus mis en cause dans chaque domaine. Cette sensibilité peut donc être évaluée defaçon qualitative en fonction de la résistance dont ces macro-processus ont fait preuve lorsd’événements antérieurement survenus. Ceci conduit naturellement à la mise en place demesures d’amélioration des macro-processus et de renforcement du contrôle interne asso-cié.

Plus généralement, des scénarios de risques peuvent être modélisés afin de tester la résis-tance de l’entreprise, avec l’objectif d’accroître la flexibilité et la réactivité du système degestion des risques et du dispositif de contrôle interne.

3.2.2 Priorisation du traitement des menaces ignorées

La mesure de l’exposition aux risques d’un domaine donné pourrait être représentée parl’aire de la surface étoilée, ce qui permettrait de définir des priorités de traitement desrisques relatifs aux menaces ignorées.

En outre, plus la surface étoilée est allongée vers le haut, plus l’impact des facteurs aggra-vants d’origine extérieure est important, et plus il sera difficile à l’entreprise de faire faceaux risques relevant de ce domaine. Il convient alors en toute première priorité de limiterl’exposition à de tels risques notamment par des mesures de veille préventive.

Cette méthode, présentée ici succinctement dans ses grands principes, nécessite un appro-fondissement méthodologique et une adaptation spécifique à chaque entreprise.



CONCLUSION

Dans un monde de plus en plus complexe et imprévisible, les Dirigeants des sociétésd’Assurance ont bien compris que la gestion des risques garantissait des informations éco-nomiques, stratégiques, structurelles ou encore opérationnelles, plus fiables et demeilleure qualité.

Même si les responsables des organisations ont une vision et une approche globale desrisques inhérents à leurs activités, construire une cartographie des risques ne peut que leurapporter de nouveaux éléments d’observation destinés à mieux maîtriser et orienter leursobjectifs.C’est pour cette raison que les Dirigeants doivent être convaincus de l’intérêt d’une carto-graphie des risques, encourager et participer activement à sa mise en place.

Les applications d’une cartographie des risques sont nombreuses et conduisent les utilisa-teurs à privilégier tel ou tel aspect des résultats obtenus afin de redéfinir leurs priorités.Du Conseil d’Administration à la Direction Générale, en passant par les responsables opé-rationnels, les gestionnaires de risques, les contrôleurs internes et les auditeurs internes,chacun pourra utiliser la cartographie comme support à des actions propres à leur organi-sation.

Toute cartographie des risques ne doit pas être une fin en soi mais un point de départ àl’action.

Simple dans son principe mais complexe à élaborer, une cartographie doit, tout d’abord,recevoir l’approbation et l’adhésion de tous les participants afin que les résultats reflètentla réalité de l’organisation et de ses risques.Pendant et après sa réalisation, les opérationnels doivent s’approprier la cartographie enprenant conscience des risques importants et essentiels, entreprendre une démarchevolontariste d’analyse de ces risques pour, enfin, définir un plan d’actions destiné àréduire l’exposition aux risques identifiés.

Le succès d’une cartographie des risques réside dans son utilisation future, dans la capa-cité des utilisateurs à la faire vivre dans le temps. C’est dans ce sens que le référentiel commun qui vous a été présenté a été construit.





ANNEXES

Annexe 1 : Glossaire

Annexe 2 : Evaluation des risques majeurs

Annexe 3 : Exemple de restitution de la démarche de cartographie associée auprocessus de gestion immobilière

Annexe 4 : Typologie des risques

Annexe 5 : Détail des macro processus d’une entreprise d’assurance

Annexe 6 : Exemple de cartographie : processus de souscription d’un contratd’assurance automobile

Annexe 7 : Tableau des menaces

35


G U I D E D ’ A U D I T

AN

NE

XE

S

36



AN

NE

XE

S

ANNEXE 1 : GLOSSAIRE

RISQUE« Le risque est la possibilité qu’un évènement se produise et ait une incidence défa-vorable sur la réalisation des objectifs ».(COSO 2)

Le risque est la possibilité que se produise un événement ou une action ayant deseffets négatifs sur la réalisation des objectifs de l'Entreprise.

* * *

RISQUE BRUT (ou RISQUE INHÉRENT)Risque existant en l'absence de mise en œuvre par le management de tout élément demaîtrise.

RISQUE RÉSIDUEL (ou RISQUE NET)Risque existant encore, après que le management ait mis en place des mesures pourle maîtriser : description de procédures, dispositifs de contrôle interne, assurances…

* * *

RISQUE ENDOGÈNE (ou risque INTERNE)Risque propre à l'activité de l'Entreprise.

RISQUE EXOGÈNE (ou risque EXTERNE)Risque dont l'origine se situe dans l'environnement de l'Entreprise : les fournisseurs,les clients, les concurrents…

* * *

RISQUE AVÉRÉRisque qui s'est déjà réalisé dans le passé, dans l'Entreprise (ou dans une autreEntreprise similaire).

RISQUE POTENTIELRisque identifié, et donc connu, mais qui ne s'est pas encore produit dans l'Entreprise.

* * *

RISQUES IGNORÉS« Risques nouveaux, nés de l'évolution technique, économique et humaine, qui nesont pas encore perçus ni gérés par les professionnels du risque. Ils se situent à lajonction de la technique et de l'homme dans toutes ses dimensions : santé, culture,mode de vie, droit, économie, politique… et peuvent conduire à des sinistres catas-trophiques pour le secteur de l'assurance.

37



AN

NE

XE

S

Il ne s'agit donc pas de risques de développement, risques que l'état de la Science nepermet pas de détecter au moment de la souscription et dont l'assureur peut tenterde se protéger par des exclusions mais de risques latents non pris en compte par lesouscripteur ».(Jean-Yves COMBY – SCOR – septembre 2002)

* * *

PROPRIÉTAIRE DE RISQUEPersonne chargée de s'assurer que les risques liés aux activités dont elle est respon-sable sont correctement traités. En général l’opérationnel.

* * *

COMITÉ DES RISQUESInstance interne à l'Entreprise, chargée de piloter la politique et le management desrisques.

* * *

38



AN

NE

XE

S

ANNEXE 2 : EVALUATION DES RISQUES MAJEURS

I. Introduction

1.1 Rappel de la démarche de gestion des risques

39



AN

NE

XE

S

Définir les objectifs

Résultats visés par les activités de l’entreprise selon la stratégie

Etape 1

Répertorier les processus

Ensembles organisés de traitements permettant l’atteinte des objectifs

Etape 2

Identifier les risques

Événements perturbant l’atteinte des objectifs

Etape 3

Evaluer les risques

Brut/résiduel, fréquence/impact

Etape 4

Définir des réponses en évaluant Coût/Efficacité

Efficacité : risque résiduel obtenu par rapport au risque brut

Etape 5

NomenclatureIFACI

Objet de laprésentation

1.2 Définition : qu’est-ce qu’évaluer un risque ?

Apporter des informations justifiables sur la fréquence et les impacts du risque :

* - N : espérance, pendant l’horizon de temps (1 an), du nombre d’événements généra-teurs du risque.- p : probabilité que le risque survienne lors d’un événement.- Dans de nombreux cas, une de ces deux caractéristiques, notamment p, ne sont pasestimables, et/ou il est plus simple de faire une estimation directe de la fréquenceannuelle.

Ces évaluations se font en deux phases :• risque pris en compte en supposant l’entreprise passive : risque brut ;• risque pris en compte avec les mesures déjà en place : risque résiduel.

40



AN

NE

XE

S

Façon :Estimation de : Qualitative Semi-quantitative Quantitative

la fréquence poten-tielle de la surve-nance du risque (f)

Nul/faible/moyen/fortouéchelle numérique ànombre pair deniveaux

Moyenne attenduedu nb de survenancedans l’horizon detemps choisi(Bâle II : f = N x p) *

l’impact potentiel, entermes de coût finan-cier (« severity »)

Montant sur échellede valeur continue(ex. : millions d’€)

l’impact potentiel entermes d’image, demise en cause desdirigeants, …

Description deseffets, notamment :mise en cause possi-ble des dirigeants

Echelle de gravitéselon critères objec-tifs, avec un nombrepair de niveaux

A définir au cas parcas si possible (sanc-tion pécuniaire : cf.impact financiersupra)

1.3 Organisation de la démarche d’évaluation

Qui évalue les risques ?1/ Ceux qui les identifient : acteurs de l’entreprise jouant un rôle dans la gestion des

risques 2/ Auditeurs internes et externes, experts

Pour quoi faire ?1/ Pour adapter la stratégie, valider/redéfinir les objectifs2/ Pour les gérer => adapter les processus et l’organisation

Comment ?1/ Qualitatif : description des effets

De pair souvent avec l’identification des risquesAttention : les risques de gravité maximale (paralysie d’un centre de gestion, panne informatique générale, …) doivent être traités en 1ère priorité sans néces-siter d’évaluation supplémentaire.

2/ Semi-quantitatif : impact/fréquence, par des méthodes d’auto-évaluation et/ou de représentation des risques dans des échelles de valeurs discrètes.Exemple : matrice de criticité : approche manageriale pour une présentation synthétique du profil de risques et la priorisation de leur traitement.

3/ Quantitatif : impact/fréquence, par des méthodes techniques

II. Evaluations qualitatives

En général ces évaluations sont intégrées dans le reporting :• état des activités et écarts par rapport aux objectifs qualitatifs,• rapports de management (entretiens d’évaluation),• rapports d’audit (évaluations qualitatives et évaluations quantitatives),• …

Elles peuvent être faites pour des risques difficiles à appréhender ou à quantifier :• risques stratégiques audités par un cabinet,• risques informatiques inventoriés dans le cadre d’une enquête MEHARI,• risques RH analysés par un sondage du personnel,• …

41



AN

NE

XE

S

III. Evaluations semi-quantitatives : la matrice de criticité

3.1 Principe général

• 2 types de matrice : risques bruts / risques résiduels• Forme :

3.2 Priorisation des risques et échelles de la matrice

aa Sur la base de la stratégie du Groupe et de l’entité en matière de conservation durisque, fixation de :

• la perte financière maximale acceptable50 M€, 100 M€, 250 M€, … ?

• définie en fonction :- des fonds propres,- du volume d’activité,- du savoir-faire dans la maîtrise des risques,- de la réglementation.

Cette perte financière maximale acceptable est le niveau « critique » de l’impactpotentiel dans la matrice (niveau servant d’étalon pour les risques résiduels, alorsque les risques bruts pourront largement le dépasser).

42



AN

NE

XE

S

PRIORITÉ 2 PRIORITÉ 1

PRIORITÉ 3ZONE DE SURVEILLANCE

(RISQUES RÉSIDUELS)

Extrême

Critique

Moyen

Faible

IMPACT POTENTIEL *

FRÉQUENCE POTENTIELLE *

<--------------------------- Faible ------------------------> < Moyenne > < Elevée > < Certaine >

-> PRIORISATION DELA GESTION DES RISQUES

* échelles logarithmiques

aa L’échelle de l’impact potentiel découle de la valeur de la perte financière maximaleacceptable, fixée pour la priorisation.

La fréquence potentielle est exprimée en probabilité de survenance d’un risque en 1an :[< faible >< moyenne >< élevée >< certaine >]O% 0,1% 5% 50% 100% plusieurs fois dans l’année

La perte financière maximale acceptable doit ne pouvoir survenir qu’avec une trèsfaible probabilité (proposée ici à 0,1%), correspondant au seuil de tolérance. Parexemple une chute de météorite, un tremblement de terre dans une zone sans activitésismique, etc., ne nécessitent pas de mesure de gestion spécifique.Au-delà de cette fréquence, le risque maximum résiduel doit baisser (traitement desrisques de priorité 3).

3.3 Alimentation de la matrice de criticité

Pour chaque risque identifié :aa la fréquence potentielle d’un risque est évaluable sur la base :• du nombre de réalisations d’une procédure et du nombre d’incidents observés

(ex. : nombre annuel de règlements par chèque et d’incidents)• de statistiques internes (exemple : fréquence des sinistres auto corporels)• de l’exposition de l’objet du risque à un phénomène (exemple : situation d’un bâti-

ment dans une zone inondable, selon les cartes MRN)• d’informations de marché (exemple : statistiques FFSA pour un type d’événement)• d’une enquête auprès des collaborateurs concernés (questionnaire de risque, inter-

view)aa l’impact financier potentiel d’un risque est évaluable sur la base :• de montants comptabilisés (exemple : prestations payées par chèque) • de statistiques internes (exemple : moyenne des sinistres auto corporels)• de montants prédéfinis (garanties prévues par une police MRH)• d’une expertise (valeur d’un bâtiment, maximum d’une perte d’exploitation, …)• d’informations de marché (exemple : statistiques FFSA pour un type d’événement)• d’une enquête auprès des collaborateurs concernés (questionnaire de risque, inter-

view)

3.4 Méthode pour une compagnie d’assurance

aa Préliminaires• Nous prenons l’exemple d’une compagnie IARD, en faisant une analyse des

risques considérés comme majeurs, hors risques financiers. Les évaluations pré-sentées ne sont pas propres à une compagnie particulière.

• Nous préconisons que cette méthode soit mise en œuvre avec des remises à jourrégulières par un même service de l’entreprise (service de gestion des risques,audit interne, …).

43



AN

NE

XE

S

• Cette méthode doit permettre une représentation commune des risques d’uneentreprise d’assurance quelle que soit la nature de ces risques. Notamment, lesseuils utilisés dans la gestion « cœur de métier » de l’assureur sont intégrés dansles échelles utilisées, permettant un étalonnage homogène et cohérent des niveauxde risque (rétentions des risques par événement ou par sinistre individuel prisesen compte dans les programmes de réassurance).

aa Echelles :

• Intensité potentielle (montant en Mios €)4 : extrêmes et illimités (dans le cas d'une filiale, cela mettrait en danger la situa-

tion financière de la maison-mère). Un seuil peut être défini, en fonction desfonds propres et de la solvabilité du groupe concerné.

3 : entre un seuil critique (montant monétaire ou sinistre d'image susceptibled'entraîner la faillite de l'entreprise) jusqu'aux abords du niveau 4. Ce seuil estpropre à chaque entreprise d‘assurance.

2 : entre seuil moyen et seuil critique. Le seuil moyen correspond à la rétentionmaximale prise en compte dans les programmes de réassurance par événe-ment, c'est à dire un seuil supportable mais qui ne doit se réaliser que rarementsoit une fois tous les 10, 20 ans voire plus, ceci en liaison avec la borne supé-rieure du niveau 2 de la fréquence (ici, cette borne, égale à 5%, correspond àdes événements de coût égal au seuil moyen survenant environ tous les 20ans).

1 : inférieur au seuil moyen. A un niveau intermédiaire entre le seuil moyen et lenégligeable, se situe le maximum de rétention fixé par la compagnie pour laconservation au net de réassurance des sinistres individuels.

• Fréquence potentielle (nombre de survenances du risque par an)4 : se réalisant une fois ou plus chaque année.3 : pouvant se réaliser 1 fois dans une année avec une probabilité élevée, entraî-

nant une fréquence > 5 %.2 : pouvant se réaliser 1 fois dans une année de façon rare (entre le seuil de tolé-

rance ci-dessous et 5%).1 : en-deçà d'un seuil de tolérance.

aa Base d'identification des risques : risques majeurs sélectionnés dans la nomen-clature IFACI

aa Matrice n°1 : représentation des risques bruts, évalués selon une démarche Top-Down

aa Matrice n° 2 : passage du brut au résiduel souhaité (cible)L'effet optimal des mesures de gestion des risques et de contrôle interne sur laréduction des risques est évalué séparément sur l'intensité et sur la fréquence.Ceci sur la base :- d'une évaluation, risque par risque, de l'impact optimal du système de gestion

des risques et du dispositif de contrôle interne sur la réduction de l'intensité

44



AN

NE

XE

S

d'une part (effet de protection) et sur la fréquence d'autre part (effet de préven-tion). On évalue ainsi la performance de la gestion du risque, sur une échelle de1 (moindre performance) à 4 (performance maximale).

- pour chaque risque, en fonction de son intensité potentielle brute [ou de sa fré-quence potentielle brute] et de la performance optimale de sa gestion, d'un pas-sage du risque brut au risque résiduel selon la table suivante :

aa Matrice n° 3 : passage du brut au résiduel atteint (se situant quelque part entrele résiduel souhaité et le brut)L'effet optimal des mesures de gestion des risques et de contrôle interne pris encompte précédemment est, en réalité, plus ou moins atténué, en fonction de la qua-lité du dispositif de contrôle interne. L'hypothèse faite de façon uniforme est celled'un contrôle interne de qualité bonne mais pas optimale (note 2 sur une échellede 0 à 3), pour tous les risques considérés.La performance réelle de la gestion de chaque risque est alors évaluée en utilisantla table suivante :

Puis, le risque résiduel est évalué en croisant le risque brut avec la performanceréelle.

45



AN

NE

XE

S

Performance /risque brut

4 3 2 1

4 1 2 3 4

3 1 1 2 3

2 1 1 1 2

1 1 1 1 1

Qualité du CI /performance cible

4 3 2 1

4 1 2 3 4

3 1 1 2 3

2 1 1 1 2

1 1 1 1 1

aa Les résultats sont présentés dans trois matrices distinctes :• MATRICE N°1 : MATRICE DE CRITICITE D'ORIGINE : RISQUES BRUTS

(Hypothèse : aucune réaction de l'entreprise)

• MATRICE N°2 : MATRICE DE CRITICITE CIBLE : RISQUES RESIDUELS POSSI-BLES ET SOUHAITES(Hypothèse : bon système de gestion des risques et contrôle interne optimal)

• MATRICE N°3 : MATRICE DE CRITICITE EN COURS : RISQUES RESIDUELSATTEINTS(Hypothèse : bon système de gestion des risques et bon niveau de contrôle interne)

Remarque :Cette présentation comporte beaucoup d'hypothèses. La mise en œuvre de cetteméthode doit s'accompagner d'une adaptation au cas spécifique d'une entreprisedonnée, et d'évaluations consistantes sur :- les risques bruts ;- les impacts attendus du système de gestion des risques sur leur réduction

(risques résiduels cibles) ;- la qualité des procédures de contrôle interne en place.

46



AN

NE

XE

S

47



AN

NE

XE

S

extr

ême

/ illi

mit

é

4*

cat n

at*

sini

stre

tech

nolo

giqu

e*

cum

ul d

e si

nist

res*

judi

ciai

res

seu

il cr

itiq

ue

3*

cum

ul d

e so

uscr

iptio

n*

dévi

atio

n de

la s

inis

tral

ité*

fréq

uenc

e de

s si

nist

res

de p

oint

e* m

alve

illan

ce d

e tie

rs*

conc

urre

nce*

cyc

les

tarif

aire

s

* ta

rific

atio

n* n

on-c

onfo

rmité

des

sou

scrip

tions

* no

rmes

de

calc

ul d

es P

M*

suffi

sanc

e de

s P

SA

P*

régl

emen

tatio

n du

tr

avai

l* d

iffus

ion

de l'

info

rmat

ion*

non

-con

form

ité d

es

opér

atio

ns d

e di

strib

utio

n au

x ré

glem

enta

tions

en

vigu

eur*

IT

* ju

ridiq

ues*

pro

tect

ion

des

donn

ées

sur

les

pers

onne

s*

pilo

tage

inte

rne*

com

mun

icat

ion

exte

rne

seu

il m

oye

n

2*

défa

illan

ce d

'un

cour

tier*

imm

eubl

es

d'ex

ploi

tatio

n*

com

ptab

ilité

gén

éral

e* F

isca

l

* hy

gièn

e* n

on-r

espe

ct d

e la

con

fiden

tialit

é*

déto

urne

men

t fon

ds d

e cl

ient

s* b

lanc

him

ent*

in

terf

aces

inte

r-se

rvic

es*

four

niss

eurs

de

serv

ices

nég

ligea

ble

1*

cons

erva

tion

des

docu

men

ts

12

34

< s

euil

de

tolé

ran

cese

uil

de

tolé

ran

ce -

5 %

5 %

- 1

00 %

> 1

00 %

MA

TR

ICE

DE

CR

ITIC

ITE

D'O

RIG

INE

: R

ISQ

UE

S B

RU

TS

(H

ypot

hès

e : a

ucu

ne

réac

tion

de

l'en

trep

rise

)

I n t e n s i t é p o t e n t i e l l e

Fréq

uenc

e po

tent

ielle

48



AN

NE

XE

S

extr

ême

/ illi

mit

é

4

seu

il cr

itiq

ue

3

seu

il m

oye

n

2*

judi

ciai

res

nég

ligea

ble

1

* cu

mul

de

sous

crip

tion*

dév

iatio

n de

la

sini

stra

lité*

nor

mes

de

calc

ul d

es P

M*

suffi

sanc

e de

s P

SA

P*

régl

emen

tatio

n du

trav

ail*

di

ffusi

on d

e l'i

nfor

mat

ion*

hyg

iène

* no

n-re

spec

t de

la c

onfid

entia

lité*

dét

ourn

emen

t fon

ds d

e cl

ient

s* b

lanc

him

ent*

non

-con

form

ité d

es

opér

atio

ns d

e di

strib

utio

n au

x ré

glem

enta

tions

en

vig

ueur

* dé

faill

ance

d'u

n co

urtie

r* in

terf

aces

in

ter-

serv

ices

* IT

* im

meu

bles

d'e

xplo

itatio

n*

cons

erva

tion

des

docu

men

ts*

prot

ectio

n de

s do

nnée

s su

r le

s pe

rson

nes*

four

niss

eurs

de

serv

ices

* co

mpt

abili

té g

énér

ale*

Fis

cal

* ta

rific

atio

n* n

on-c

onfo

rmité

des

sou

scrip

tions

* fr

éque

nce

des

sini

stre

s de

poi

nte*

sin

istr

e te

chno

logi

que*

jurid

ique

s* m

alve

illan

ce d

e tie

rs*

pilo

tage

inte

rne*

com

mun

icat

ion

exte

rne*

co

ncur

renc

e

* cu

mul

de

sini

stre

s* c

at n

at*

cycl

es ta

rifai

res

12

34

< s

euil

de

tolé

ran

cese

uil

de

tolé

ran

ce -

5 %

5 %

- 1

00 %

> 1

00 %

MA

TR

ICE

DE

CR

ITIC

ITE

CIB

LE

: R

ISQ

UE

S R

ES

IDU

EL

S P

OS

SIB

LE

S

(H

ypot

hès

e : b

on s

ystè

me

de

gest

ion

des

ris

qu

es e

t con

trôl

e in

tern

e op

tim

al)


Fréq

uenc

e po

tent

ielle

Lim

ite

de s

olva

bilit

é de

l'en

trep

rise

Lim

ite

de r

éten

tion

par

coû

t in

divi

duel

ou

sini

stre

apr

ès r

éass

uran

ce

Déc

rois

sanc

e du

seu

il d'

inte

nsit

é su

ppor

tabl

e co

rrél

ativ

emen

t av

ec

l'aug

men

tati

on d

e la

fr

éque

nce

Att

eint

e de

s fo

nds

prop

res

de la

m

aiso

n m

ère

49



AN

NE

XE

S

extr

ême

/ illi

mit

é

4

seu

il cr

itiq

ue

3*

judi

ciai

res

seu

il m

oye

n

2*

dévi

atio

n de

la s

inis

tral

ité*

prot

ectio

n de

s do

nnée

s su

r le

s pe

rson

nes

* ta

rific

atio

n* n

on-c

onfo

rmité

des

sou

scrip

tions

* fr

éque

nce

des

sini

stre

s de

poi

nte*

cat

nat

* si

nist

re te

chno

logi

que*

jurid

ique

s* m

alve

illan

ce

de ti

ers*

pilo

tage

inte

rne*

com

mun

icat

ion

exte

rne*

con

curr

ence

* cy

cles

tarif

aire

s

* cu

mul

de

sini

stre

s

nég

ligea

ble

1*

cum

ul d

e so

uscr

iptio

n* im

meu

bles

d'

expl

oita

tion*

con

serv

atio

n de

s do

cum

ents

* co

mpt

abili

té g

énér

ale*

Fis

cal

* no

rmes

de

calc

ul d

es P

M*

suffi

sanc

e de

s P

SA

P*

régl

emen

tatio

n du

trav

ail*

diff

usio

n de

l'i

nfor

mat

ion*

hyg

iène

* no

n-re

spec

t de

la

conf

iden

tialit

é* d

étou

rnem

ent f

onds

de

clie

nts*

bl

anch

imen

t* n

on-c

onfo

rmité

des

opé

ratio

ns d

e di

strib

utio

n au

x ré

glem

enta

tions

en

vigu

eur*

in

terf

aces

inte

r-se

rvic

es*

IT*

four

niss

eurs

de

serv

ices

12

34

< s

euil

de

tolé

ran

cese

uil

de

tolé

ran

ce -

5 %

5 %

- 1

00 %

> 1

00 %


Fréq

uenc

e po

tent

ielle

MA

TR

ICE

DE

CR

ITIC

ITE

EN

CO

UR

S :

RIS

QU

ES

RE

SID

UE

LS

AT

TE

INT

S

(H

ypot

hès

e : b

on s

ystè

me

de

gest

ion

des

ris

qu

es e

t bon

niv

eau

de

con

trôl

e in

tern

e)

IV. Evaluations quantitatives

4.1 Généralités

En général ces évaluations font partie des procédures de gestion du risque :• estimation de biens et de pertes d’exploitation pour les couvrir en assurance• engagements d’assurance à couvrir en réassurance• risques liés à une répartition des actifs non conformes aux objectifs de gestion

financière• risques liés à la non-atteinte des objectifs d’activité quantifiables (indicateurs de

performance)• …

Elles peuvent être nécessaires pour des risques quantifiables pas encore gérés ou pasmesurés assez précisément pour une gestion efficace. L’estimation doit en généralêtre confiée à un expert :• exposition tempête estimée par un courtier en réassurance avec un logiciel de

simulation• risques financiers de nature juridique ou fiscale évalués par des spécialistes• …

Les méthodes peuvent être inventoriées dans 3 grands domaines distincts :• domaine financier• domaine assuranciel• domaine général

Une méthode appliquée dans un domaine donné peut se voir appliquée dans unautre domaine en fonction de sa pertinence par rapport au contexte. Par exemple, la« value at risk » peut avoir des applications dans le domaine général (adaptation auxrisques opérationnels).

50



AN

NE

XE

S

4.2 Domaine financier

Cette liste n’est pas exhaustive et nécessite d’être complétée.

51



AN

NE

XE

S

Nom de laméthode

Objet typeévalué ouexemple

Description Profil del’évaluateur

Value at risk(VaR) etméthodesdérivées

Risques de taux

Quantile au seuild’aversion du risque de ladistribution supposée durisque

Analystefinancier

Cash flow at risk,Earnings at risk

Besoins detrésorerie

Risk basedCapital

Besoins en fondspropres(réglementationUS)

Pourcentage de donnéescomptables indicatrices del’importance du risque

Comptable

Expertisefinancière

Bien, fonds decommerce,entreprise

Valorisation des biensmatériels et immatérielsaux prix de marché entenant compte desengagements ou passifs

Expert spécialisé

SimulationRésultatsprévisionnelsActif net

Modélisation comptable,technique et financière

Analystefinancier, expertcomptable,actuaire

Analysefinancière

Vie et santé desentreprises

Processus de notationincluant l’analyse desbilans

Analystefinancier,économiste(agences)

4.3 Domaine assuranciel


52



AN

NE

XE

S

Nom de laméthode



Mesure desengagements

Contratsd’assurance,traités deréassurance

Inventaire desengagements d’unportefeuille

Souscripteur,responsableréassurance deprotection

Simulation deportefeuille IARD

Portefeuilledommage

Simulation d’un risque(tempêtes, …) sur un por-tefeuille d'assurances dom-mages de répartitiongéographique connue pourévaluer l'exposition totale

Responsable réas-surance de pro-tection, courtieren réassurance

Simulation ducompte derésultat vie

Portefeuille vie

Evaluations actuariellesdes impacts d’un risquesur l'embedded value d'unportefeuille d'assurance vie

Actuaire

Simulation ducompte derésultat non-vie

Portefeuille non-vie

Evaluations actuarielles oustatistiques des impactsd’un risque sur unportefeuille d'assurancenon-vie

Actuaire oustatisticien

4.4 Domaine général


53



AN

NE

XE

S

Nom de laméthode



Benchmarking Ratio S/PComparaison avec descompagnies concurrentes

Marketing, expertdans le domaineconcerné

Evaluationcomptable

Poste comptableRapprochementrisques/comptes etmesures de sensibilité

Comptable

Méthodesd’analysestatistique

Phénomènerécurrent :attaque de virus,dégât des eaux,panned’électricité,temps deréalisation d’uneprocéduredonnée, etc.

Exploitation de sériesstatistiques pour lamodélisation d'un risque,sa simulation etl'évaluation de son impact(exemple : utilisation d'unebase incidentsinformatiques avecimpacts subis pourl'évaluation du coûtmaximum possible)

Statisticien

Simulation AccidentSimulation d'un accidentpour en évaluer lesimpacts potentiels

Scientifique

Visite de risque

Ex. exposition debâtiments à desrisques desinistres

(Ex.) relevé descaractéristiques physiquesd’un ensemble debâtiments,des accidentssurvenus

Expert, auditeur

Expertise sinistreEvaluation d’unsinistre

Expertise des dommagessubis par l’assuré, ...

Expert sinistresou inspecteur

54



AN

NE

XE

S

ANNEXE 3 : EXEMPLE DE RESTITUTION DE LA DÉMARCHE

DE CARTOGRAPHIE ASSOCIÉE AU PROCESSUS

DE GESTION IMMOBILIÈRE

55



AN

NE

XE

S

56



AN

NE

XE

S

OBJECTIFS : Proposer et mettre en œuvre des opérations d'achat et de vented'immeubles dans le cadre de la politique globale de gestion des actifs du Groupe. Macro-Processus : GESTION FINANCIERE

Responsable :Direction ou Service : Immobilier

N° Processus clésRef risque IFACI

Gravité Eléments de maîtrise Evaluation par le responsable

1 Investissement et Désinvestissement

11 Politique de gestion immobilière 1 Risques financiersDéfinition de la politique et détention d'actifs immobiliers 112 Risques relatifs aux fonds propres Risque d'allocation 4 Politique définie en Comité de direction opérationnel et présentée au conseil d'administration Satisfaisant

122 Risques d'adéquation actif passif Non diversification 4 Comité actif passif134 Risques de liquidité Non diversification 3 Gestion prévisionnelle trésorerie, gestion actif/passif144 Risques de marché Risques immobiliers et fonciers 3 Part de l'immobilier dans les actifs définie en Comité financier / Benchmarcking IPD. 16 Risques d'évaluation des actifs 3 Expertises annuelles des biens immobiliers8 Risques générés par l'environnement externe81 Risques légaux, réglementaires et fiscaux 3 Veille, compétence collaborateurs, formation, expertise interne et externe.891 Autres risques systémiques et exogènes Risque de catastrophe naturelle 3 Assurance des biens détenus

Autres risques techniques (ex: amiante) 3 Veille, compétence collaborateurs, formation, expertise interne et externe.

12 Recherche de biens immobiliers (investissement) 3 Risques opérationnelsRecherche d'acquéreurs (désinvestissement) 315 Risques de production Délais 1 Expérience collaborateurs, prestataires externes Satisfaisant

322 Risques humains Non respect des procédures 2 Formation collaborateurs, existence de procédures Manque de procédures324 Perte de capital humain 3 Management des collaborateurs, dossiers formalisés331 Risques d'organisation Inadéquation de l'organisation 1 Processus identifiés, délégations de pouvoir.

Sélection d'intermédiaires 3 Risques opérationnels314 Risques de production Risque de collusion 4 Sélection des intermédiaires / Volume d'activité Acceptable391 Risques prestataires et fournisseurs Risques fournisseurs de service 3 Appels d'offres, Contrat de prestations4 Risques para opérationnels

41 Risque d'image Image véhiculée par l'intermédiaire 3 Contrat de prestations, sélection des intermédiaires Acceptable

442 Risques légaux et fiscaux Mauvaise application lois et règlements 2 Veille, compétence collaborateurs, formation, expertise interne et externe. Contrôles à renforcer

465 Risques relatifs à la déontologie Déontologie vis à vis des intermédiaires 2 Règles de bonne conduite

8 Risques générés par l'environnement externe852 Risques Prestataires Risques fournisseurs 2 Savoir faire interne

13 Analyse des dossiers 1 Risques financiers Satisfaisant16 Risque d'évaluation des actifs 33 Risques opérationnels311 Risques de production Risque de modèle 1 Compétence collaborateurs312 Risque de données 2 Compétence collaborateurs, diversité des sources d'informations321 Risques humains Risque d'erreur 2 Existence de procédures, visites in situ, analyse contradictoire des dossiers. 324 Perte de capital humain 3 Management des collaborateurs, GPEC

14 Décision d'investissement ou de désinvestissement 1 Risques financiers Satisfaisant145 Risques de marchés Non diversification 3 Comité de pilotage immobilier6 Risques de pilotage61 Risques sur la mise en œuvre de la stratégie 2 Comité de pilotage immobilier / Détermination d'objectifs annuels

15 Acquisitions / Cessions 1 Risques financiers SatisfaisantMise en œuvre de la décision 131 Risques de liquidité Risque de trésorerie 2 Gestion prévisionnelle trésorerie, gestion actif/passif

132 Risque de financement 2 Gestion prévisionnelle trésorerie, gestion actif/passif3 Risques opérationnels313 Risques de production Risque de traitement 2 Existence de procédures, gestion des incidents. 315 Risque de délai 1 Expérience collaborateurs, procédures.321 Risques humains Risque d'erreur 2 Existence de procédures, gestion des incidents. 376 Risques logistiques Conservation des documents 3 Gestion de la documentation et des actes de ventes4 Risques para opérationnels442 Risques légaux et fiscaux Mauvaise application lois et règlements 2 Veille, compétence collaborateurs, formation, expertise interne et externe.45 Risque de fraude 3 Expertise des immeubles, supervision des opérations

Sélection des intervenants (notaires, bureaux d'étude, géomètres) 3 Risques opérationnels314 Risques de production Risque de collusion 4391 Risques prestataires et fournisseurs Risques fournisseurs de service 2 Surveillance des prestations4 Risques para opérationnels41 Risque d'image Image véhiculée par l'intermédiaire 3 Contrat de prestations442 Risques légaux et fiscaux Mauvaise application lois et règlements 3 Veille, compétence collaborateurs, formation, expertise interne et externe.465 Risques relatifs à la déontologie Déontologie vis à vis des intermédiaires 2 Règles de bonne conduite8 Risques générés par l'environnement externe852 Risques Prestataires Risques fournisseurs 2 Savoir faire interne, assurance.

Risques associés

CARTOGRAPHIE DES RISQUES

Identification des risques et des éléments de maîtrise existants

57



AN

NE

XE

S

OBJECTIFS :

Macro-Processus : GESTION FINANCIEREResponsable :Direction ou Service : Immobilier

N° Processus clés Gravité Eléments de maîtrise Evaluation par le responsable

1 Investissement et Désinvestissement

11 Politique de gestion immobilière 1 Risques financiersDéfinition de la politique et détention d'actifs immobiliers 112 Risques relatifs aux fonds propres Risque d'allocation 4 Politique définie en Comité de direction opérationnel et présentée au conseil d'administration Satisfaisant

122 Risques d'adéquation actif passif Non diversification 4 Comité actif passif134 Risques de liquidité Non diversification 3 Gestion prévisionnelle trésorerie, gestion actif/passif144 Risques de marché Risques immobiliers et fonciers 3 Part de l'immobilier dans les actifs définie en Comité financier / Benchmarcking IPD. 16 Risques d'évaluation des actifs 3 Expertises annuelles des biens immobiliers8 Risques générés par l'environnement externe81 Risques légaux, réglementaires et fiscaux 3 Veille, compétence collaborateurs, formation, expertise interne et externe.891 Autres risques systémiques et exogènes Risque de catastrophe naturelle 3 Assurance des biens détenus

Autres risques techniques (ex: amiante) 3 Veille, compétence collaborateurs, formation, expertise interne et externe.

12 Recherche de biens immobiliers (investissement) 3 Risques opérationnelsRecherche d'acquéreurs (désinvestissement) 315 Risques de production Délais 1 Expérience collaborateurs, prestataires externes Satisfaisant

322 Risques humains Non respect des procédures 2 Formation collaborateurs, existence de procédures Manque de procédures324 Perte de capital humain 3 Management des collaborateurs, dossiers formalisés331 Risques d'organisation Inadéquation de l'organisation 1 Processus identifiés, délégations de pouvoir.

Sélection d'intermédiaires 3 Risques opérationnels314 Risques de production Risque de collusion 4 Sélection des intermédiaires / Volume d'activité Acceptable391 Risques prestataires et fournisseurs Risques fournisseurs de service 3 Appels d'offres, Contrat de prestations4 Risques para opérationnels

41 Risque d'image Image véhiculée par l'intermédiaire 3 Contrat de prestations, sélection des intermédiaires Acceptable

442 Risques légaux et fiscaux Mauvaise application lois et règlements 2 Veille, compétence collaborateurs, formation, expertise interne et externe. Contrôles à renforcer

465 Risques relatifs à la déontologie Déontologie vis à vis des intermédiaires 2 Règles de bonne conduite

8 Risques générés par l'environnement externe852 Risques Prestataires Risques fournisseurs 2 Savoir faire interne

13 Analyse des dossiers 1 Risques financiers Satisfaisant16 Risque d'évaluation des actifs 33 Risques opérationnels311 Risques de production Risque de modèle 1 Compétence collaborateurs312 Risque de données 2 Compétence collaborateurs, diversité des sources d'informations321 Risques humains Risque d'erreur 2 Existence de procédures, visites in situ, analyse contradictoire des dossiers. 324 Perte de capital humain 3 Management des collaborateurs, GPEC

14 Décision d'investissement ou de désinvestissement 1 Risques financiers Satisfaisant145 Risques de marchés Non diversification 3 Comité de pilotage immobilier6 Risques de pilotage61 Risques sur la mise en œuvre de la stratégie 2 Comité de pilotage immobilier / Détermination d'objectifs annuels

15 Acquisitions / Cessions 1 Risques financiers SatisfaisantMise en œuvre de la décision 131 Risques de liquidité Risque de trésorerie 2 Gestion prévisionnelle trésorerie, gestion actif/passif

132 Risque de financement 2 Gestion prévisionnelle trésorerie, gestion actif/passif3 Risques opérationnels313 Risques de production Risque de traitement 2 Existence de procédures, gestion des incidents. 315 Risque de délai 1 Expérience collaborateurs, procédures.321 Risques humains Risque d'erreur 2 Existence de procédures, gestion des incidents. 376 Risques logistiques Conservation des documents 3 Gestion de la documentation et des actes de ventes4 Risques para opérationnels442 Risques légaux et fiscaux Mauvaise application lois et règlements 2 Veille, compétence collaborateurs, formation, expertise interne et externe.45 Risque de fraude 3 Expertise des immeubles, supervision des opérations

Sélection des intervenants (notaires, bureaux d'étude, géomètres) 3 Risques opérationnels314 Risques de production Risque de collusion 4391 Risques prestataires et fournisseurs Risques fournisseurs de service 2 Surveillance des prestations4 Risques para opérationnels41 Risque d'image Image véhiculée par l'intermédiaire 3 Contrat de prestations442 Risques légaux et fiscaux Mauvaise application lois et règlements 3 Veille, compétence collaborateurs, formation, expertise interne et externe.465 Risques relatifs à la déontologie Déontologie vis à vis des intermédiaires 2 Règles de bonne conduite8 Risques générés par l'environnement externe852 Risques Prestataires Risques fournisseurs 2 Savoir faire interne, assurance.

Risques associés

DES RISQUES

éléments de maîtrise existants

58



AN

NE

XE

S

OBJECTIFS :

Gérer les actifs immobiliers du Groupe, qu'ils soient détenus à des fins de placement ou d'exploitation, selon un objectif de valorisation et de rentabilité. Macro-Processus : GESTION FINANCIERE

Responsable :Direction ou Service : Immobilier

N° Processus clésRef risque IFACI

Gravité Eléments de maîtrise Evaluation par le responsable

2 Gestion immobilière Satisfaisant

21 Relations avec les locatairesEntrée et gestion interne de la relation 1 Risques financiers

152 Risques de crédit 3 Etudes de solvabilité pour baux commerciaux3 Risques opérationnels313 Risques de production Risque de traitement 2 Contrôle des saisies informatiques sauf sur nouveaux baux314 Risque de collusion 4 Locations aux salariés encadrées322 Risques humains Non respect des procédures 2 Formation collaborateurs, existence de procédures

324 Perte de capital humain 2 Délégation de l'activité en externe

331 Risques d'organisation Inadéquation de l'organisation 1 Système d'information adapté (Estia)4 Risques para opérationnels41 Risque d'image 3 Critères de sélection clairs et objectifs442 Risques légaux et fiscaux Mauvaise application lois et règlements 2 Contrats de location validés juridiquement461 Risques relatifs à la déontologie Risque loi informatique et libertés 38 Risques générés par l'environnement externe87 Risques économiques 3 Diversification du patrimoine (géographie, Bureaux/habitation/commercial)

Délégation de la gestion 3 Risques opérationnels314 Risques de production Risque de collusion 4 Audits réguliers des gérants391 Risques prestataires et fournisseurs Risques fournisseurs de service 3 Audits réguliers des gérants

4 Risques para opérationnels41 Risque d'image Image véhiculée par l'intermédiaire 3 Contrats de prestations, sélection des intermédiaires

442 Risques légaux et fiscaux Mauvaise application lois et règlements 3 Contrats de prestation validés juridiquement465 Risques relatifs à la déontologie Déontologie vis à vis des intermédiaires 4 Règles de bonne conduite

8 Risques générés par l'environnement externe852 Risques Prestataires Risques fournisseurs 2 Profondeur du marché

22 Quittancement / Recouvrement 3 Risques opérationnels Satisfaisant(activité déléguée sauf locaux d'exploitation) 312 Risques de production Risque de données 2 Contrôle des documents fournis Back up prestataires à regarder

313 Risque de traitement 3314 Risque de collusion 4315 Risque de délai 2 Ordonnancement des traitements332 Risques d'organisation Inadéquation des processus 1 Système informatique intégré (liens baux, quittancement)382 Risques informatiques Perennité de l'outil 2 Offres concurrentes, délégation de l'activité383 Risque de données 2 Contrôle de la saisie des baux 384 Risque d'administration 2 Dispositif de contrôle interne, formation des collaborateurs, gestion des incidents387 Risque de plan de continuité 3 Sauvegardes quotidiennes4 Risques para opérationnels41 Risque d'image 3 Service de recouvrement dédié442 Risques légaux et fiscaux Mauvaise application lois et règlements 3 Recouvrement assuré par un juriste45 Risques de fraude 4 Encaissements centralisés à la trésorerie, rapprochements Quittancement/encaissement461 Risques relatifs à la déontologie Risque de blanchiment 4 Pas d'encaissement des loyers en espèces8 Risques générés par l'environnement externe81 Risques légaux, réglementaires et fiscaux 2 Veille juridique

23 Entretien / Travaux 3 Risques opérationnels Satisfaisant312 Risques de production Risque de données 2 Expertise collaborateurs, informations sur coût des travaux314 Risque de collusion 4 Procédure d'appels d'offres315 Risque de délai 2 Paiements en fin de travaux321 Risques humains Risque d'erreur 2 Sollicitation d'architectes…324 Perte de capital humain 2 Expertise externe, possibilité de délégation391 Risques prestataires et fournisseurs Fournisseurs de services 3393 Maintenance 4 Contrats de maintenace, sélection des fournisseurs394 Surcoût 1 Appels d'offres4 Risques para opérationnels41 Risque d'image 3 Politique d'entretien des immeubles, sélection des fournisseurs432 Risques de sécurité du personnel Risques d'accident 4 Politique de prévention442 Risques légaux et fiscaux Mauvaise application lois et règlements 3 Veille juridique45 Risques de fraude 4 Revue des immeubles, contrôle des travaux et factures465 Risques relatifs à la déontologie Déontologie vis à vis des intermédiaires 3 Règles de bonne conduite 6 Risques de pilotage61 Risques sur mise en œuvre de la stratégie 3 Plan pluriannuel de travaux

62 Risques de planification 2 Plan pluriannuel de travaux

8 Risques générés par l'environnement externe81 Risques légaux, réglementaires et fiscaux 282 Risques judiciaires 4 Assurance RC852 Risques Prestataires Risques fournisseurs 2

24 Locaux d'exploitation 1 Risques financiers Satisfaisant134 Risques de liquidité Non diversification 2 Locaux à usage d'exploitation144 Risques de marché Risques immobiliers et fonciers 216 Risques d'évaluation des actifs 3 Expertise annuelle des biens immobiliers

Locaux commerciaux 3 Risques opérationnelsPolitique d'implantation 371 Risques logistiques Immeubles d'exploitation 2

Quittancement/recouvrement (voir ci dessus) 391 Risques prestataires et fournisseurs Risques fournisseurs de service 3 Surveillance des prestationsMise en place et maintenance signalétique 4 Risques para opérationnels

41 Risque d'image 3 Entretiens des immeubles, signalétique adaptéeLocaux de bureaux 431 Risques de sécurité du personnel Risque d'hygiène 4 Comité CHSCT

Recherche et prospection 432 Risque d'accident 4 PréventionLocaux en propriété 442 Risques légaux et fiscaux Mauvaise application lois et règlements 3 Veille, compétence collaborateurs, formation, expertise interne et externe.

Locaux loués 465 Risques relatifs à la déontologie Déontologie vis à vis des intermédiaires 3 Règles de bonne conduite 6 Risques de pilotage61 Risques sur mise en œuvre de la stratégie 4 Disponibilité de locaux commerciaux8 Risques générés par l'environnement externe852 Risques Prestataires Risques fournisseurs 2 Profondeur du marché.883 Risques politiques Attentats et terrorisme 1 gestion des accès, implantations réparties.891 Autres risques systémiques et exogènes Catastrophe naturelle 1 Assurance des biens détenus.

Risques associés

CARTOGRAPHIE DES RISQUES

Identification des risques et des éléments de maîtrise existants

59



AN

NE

XE

S

OBJECTIFS :

Macro-Processus : GESTION FINANCIEREResponsable :Direction ou Service : Immobilier

N° Processus clés Gravité Eléments de maîtrise Evaluation par le responsable

2 Gestion immobilière Satisfaisant

21 Relations avec les locatairesEntrée et gestion interne de la relation 1 Risques financiers

152 Risques de crédit 3 Etudes de solvabilité pour baux commerciaux3 Risques opérationnels313 Risques de production Risque de traitement 2 Contrôle des saisies informatiques sauf sur nouveaux baux314 Risque de collusion 4 Locations aux salariés encadrées322 Risques humains Non respect des procédures 2 Formation collaborateurs, existence de procédures

324 Perte de capital humain 2 Délégation de l'activité en externe

331 Risques d'organisation Inadéquation de l'organisation 1 Système d'information adapté (Estia)4 Risques para opérationnels41 Risque d'image 3 Critères de sélection clairs et objectifs442 Risques légaux et fiscaux Mauvaise application lois et règlements 2 Contrats de location validés juridiquement461 Risques relatifs à la déontologie Risque loi informatique et libertés 38 Risques générés par l'environnement externe87 Risques économiques 3 Diversification du patrimoine (géographie, Bureaux/habitation/commercial)

Délégation de la gestion 3 Risques opérationnels314 Risques de production Risque de collusion 4 Audits réguliers des gérants391 Risques prestataires et fournisseurs Risques fournisseurs de service 3 Audits réguliers des gérants

4 Risques para opérationnels41 Risque d'image Image véhiculée par l'intermédiaire 3 Contrats de prestations, sélection des intermédiaires

442 Risques légaux et fiscaux Mauvaise application lois et règlements 3 Contrats de prestation validés juridiquement465 Risques relatifs à la déontologie Déontologie vis à vis des intermédiaires 4 Règles de bonne conduite

8 Risques générés par l'environnement externe852 Risques Prestataires Risques fournisseurs 2 Profondeur du marché

22 Quittancement / Recouvrement 3 Risques opérationnels Satisfaisant(activité déléguée sauf locaux d'exploitation) 312 Risques de production Risque de données 2 Contrôle des documents fournis Back up prestataires à regarder

313 Risque de traitement 3314 Risque de collusion 4315 Risque de délai 2 Ordonnancement des traitements332 Risques d'organisation Inadéquation des processus 1 Système informatique intégré (liens baux, quittancement)382 Risques informatiques Perennité de l'outil 2 Offres concurrentes, délégation de l'activité383 Risque de données 2 Contrôle de la saisie des baux 384 Risque d'administration 2 Dispositif de contrôle interne, formation des collaborateurs, gestion des incidents387 Risque de plan de continuité 3 Sauvegardes quotidiennes4 Risques para opérationnels41 Risque d'image 3 Service de recouvrement dédié442 Risques légaux et fiscaux Mauvaise application lois et règlements 3 Recouvrement assuré par un juriste45 Risques de fraude 4 Encaissements centralisés à la trésorerie, rapprochements Quittancement/encaissement461 Risques relatifs à la déontologie Risque de blanchiment 4 Pas d'encaissement des loyers en espèces8 Risques générés par l'environnement externe81 Risques légaux, réglementaires et fiscaux 2 Veille juridique

23 Entretien / Travaux 3 Risques opérationnels Satisfaisant312 Risques de production Risque de données 2 Expertise collaborateurs, informations sur coût des travaux314 Risque de collusion 4 Procédure d'appels d'offres315 Risque de délai 2 Paiements en fin de travaux321 Risques humains Risque d'erreur 2 Sollicitation d'architectes…324 Perte de capital humain 2 Expertise externe, possibilité de délégation391 Risques prestataires et fournisseurs Fournisseurs de services 3393 Maintenance 4 Contrats de maintenace, sélection des fournisseurs394 Surcoût 1 Appels d'offres4 Risques para opérationnels41 Risque d'image 3 Politique d'entretien des immeubles, sélection des fournisseurs432 Risques de sécurité du personnel Risques d'accident 4 Politique de prévention442 Risques légaux et fiscaux Mauvaise application lois et règlements 3 Veille juridique45 Risques de fraude 4 Revue des immeubles, contrôle des travaux et factures465 Risques relatifs à la déontologie Déontologie vis à vis des intermédiaires 3 Règles de bonne conduite 6 Risques de pilotage61 Risques sur mise en œuvre de la stratégie 3 Plan pluriannuel de travaux

62 Risques de planification 2 Plan pluriannuel de travaux

8 Risques générés par l'environnement externe81 Risques légaux, réglementaires et fiscaux 282 Risques judiciaires 4 Assurance RC852 Risques Prestataires Risques fournisseurs 2

24 Locaux d'exploitation 1 Risques financiers Satisfaisant134 Risques de liquidité Non diversification 2 Locaux à usage d'exploitation144 Risques de marché Risques immobiliers et fonciers 216 Risques d'évaluation des actifs 3 Expertise annuelle des biens immobiliers

Locaux commerciaux 3 Risques opérationnelsPolitique d'implantation 371 Risques logistiques Immeubles d'exploitation 2

Quittancement/recouvrement (voir ci dessus) 391 Risques prestataires et fournisseurs Risques fournisseurs de service 3 Surveillance des prestationsMise en place et maintenance signalétique 4 Risques para opérationnels

41 Risque d'image 3 Entretiens des immeubles, signalétique adaptéeLocaux de bureaux 431 Risques de sécurité du personnel Risque d'hygiène 4 Comité CHSCT

Recherche et prospection 432 Risque d'accident 4 PréventionLocaux en propriété 442 Risques légaux et fiscaux Mauvaise application lois et règlements 3 Veille, compétence collaborateurs, formation, expertise interne et externe.

Locaux loués 465 Risques relatifs à la déontologie Déontologie vis à vis des intermédiaires 3 Règles de bonne conduite 6 Risques de pilotage61 Risques sur mise en œuvre de la stratégie 4 Disponibilité de locaux commerciaux8 Risques générés par l'environnement externe852 Risques Prestataires Risques fournisseurs 2 Profondeur du marché.883 Risques politiques Attentats et terrorisme 1 gestion des accès, implantations réparties.891 Autres risques systémiques et exogènes Catastrophe naturelle 1 Assurance des biens détenus.

Risques associés

DES RISQUES

éléments de maîtrise existants

ANNEXE 4 : TYPOLOGIE DES RISQUES

60



AN

NE

XE

S

61



AN

NE

XE

S

Niv

eau

1F

amill

e d

e ri

squ

esR

isq

ues

niv

eau

1N

ivea

u 2

Ris

qu

es n

ivea

u 2

Nb

ris

qu

es

niv

eau

3

R1

Fin

anci

ers

Ris

qu

es d

e g

esti

on

de

bila

n o

u f

inan

cièr

e

R10

1S

olva

bilit

é3

R10

2A

déqu

atio

n A

ctif/

Pas

sif

8

R10

3G

estio

n d'

actif

s17

R10

4E

ndet

tem

ent

2

R10

5E

ngag

emen

ts h

ors

bila

n3 33

R2

Ass

ura

nce

Ris

qu

es s

péc

ifiq

ues

au

x ac

tivi

tés

d'a

ssu

ran

ce

R20

1M

arke

ting

assu

ranc

e2

R20

2Te

chni

que

3

R20

3S

ousc

riptio

n8

R20

4S

inis

tral

ité n

on-v

ie /

Pre

stat

ions

vie

5

R20

5P

rovi

sion

nem

ent

3

R20

6P

artic

ipat

ions

aux

bén

éfic

es2

R20

7R

éass

uran

ce d

e pr

otec

tion

3

R20

8Lé

gisl

atif

et r

égle

men

taire

5 31

So

us-

Tota

l du

no

mb

re d

e ri

squ

es e

n n

ivea

u 3

So

us-

Tota

l du

no

mb

re d

e ri

squ

es e

n n

ivea

u 3

Nom

encl

atur

e d

es r

isqu

es I

FAC

IAss

uran

ce 2

006

62



AN

NE

XE

S

Niv

eau

1F

amill

e d

e ri

squ

esR

isq

ues

niv

eau

1N

ivea

u 2

Ris

qu

es n

ivea

u 2

Nb

ris

qu

es

niv

eau

3

R3

Op

érat

ion

nel

sR

isq

ues

pro

ven

ant

dir

ecte

men

t d

e la

mis

e en

pla

ce

et d

e la

mis

e en

œu

vre

des

mo

yen

s et

pro

céd

ure

s d

e fo

nct

ion

nem

ent

R30

1P

rodu

ctio

n4

R30

2H

umai

n24

R30

3C

omm

erci

al7

R30

4O

rgan

isat

ion

6

R30

5S

ystè

mes

d'in

form

atio

n10

R30

6Lo

gist

ique

hor

s S

I7

R30

7R

elat

ions

ave

c le

s tie

rs9 67

R4

Co

mp

tab

les

Ris

qu

es r

elat

ifs

au d

om

ain

e co

mp

tab

le

R40

1O

péra

tions

de

com

ptab

ilisa

tion

4

R40

2F

isca

lité

5

R40

3E

tats

rég

lem

enta

ires

1 10

So

us-

Tota

l du

no

mb

re d

e ri

squ

es e

n n

ivea

u 3

So

us-

Tota

l du

no

mb

re d

e ri

squ

es e

n n

ivea

u 3

Nom

encl

atur

e d

es r

isqu

es I

FAC

IAss

uran

ce 2

006

63



AN

NE

XE

S

Niv

eau

1F

amill

e d

e ri

squ

esR

isq

ues

niv

eau

1N

ivea

u 2

Ris

qu

es n

ivea

u 2

Nb

ris

qu

es

niv

eau

3

R5

Pilo

tag

eR

isq

ues

rel

atif

s au

man

agem

ent

d'e

ntr

epri

se

R50

1S

trat

égie

2

R50

2C

ontr

ôle

de g

estio

n2

R50

3A

utre

s ris

ques

de

pilo

tage

inte

rne

1

R50

4R

isqu

es g

énér

és p

ar la

com

mun

icat

ion

exte

rne

1 6

R6

Ext

ern

esR

isq

ues

gén

érés

par

l'en

viro

nn

emen

t d

e l'e

ntr

epri

se

R60

1Lé

gisl

atifs

, rég

lem

enta

ires

et ju

dici

aire

s2

R60

2S

ecte

ur d

e l'a

ssur

ance

4

R60

3P

rest

atai

res,

par

tena

ires

2

R60

4D

éont

olog

ie, c

onfo

rmité

, im

age

3

R60

5A

utre

s ris

ques

sys

tém

ique

s et

exo

gène

s6 17 164

So

us-

Tota

l du

no

mb

re d

e ri

squ

es e

n n

ivea

u 3

So

us-

Tota

l du

no

mb

re d

e ri

squ

es e

n n

ivea

u 3

Tota

l du

no

mb

re d

e ri

squ

es e

n n

ivea

u 3

Nom

encl

atur

e d

es r

isqu

es I

FAC

IAss

uran

ce 2

006

64



AN

NE

XE

S

Niveau 1 Famille Définition Risques Niveau 1Niveau

2Risques Niveau 2 Définition Risques Niveau 2 Risques Niveau 3 Définition Risques Niveau 3

R1 Financiers Risques de gestion de bilan ou financière R101 Risques de solvabilité Risques résultant d'un niveau des fonds propres et quasi-fonds propres inférieur au minimum réglementaire

R10101 Risques de solvabilité réglementaire en social


R10102


R10103 Risques de solvabilité de marché

R1 Financiers Risques de gestion de bilan ou financière R102 Adéquation Actif/Passif Risques résultant d'une inadéquation, en montant ou en structure, entre le passif correspondant aux engagements pris envers les clients et l'actif mis en représentation

R10201 Risques de liquidité


R10202


R10203 Risques de disparités de lignes de passifs


R10204 Risques de couverture imparfaite


R10205 Risques de taux Risques d'inadéquation actif/passif provenant du comportement des marchés de taux


R10206 Risques actions Risques d'inadéquation actif/passif provenant du comportement des marchés d'actions


R10207 Risques de change Risques d'inadéquation actif/passif provenant du comportement des marchés de devises


R10208 Risques immobiliers Risques d'inadéquation actif/passif provenant du comportement des marchés immobiliers

R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10301 Risques de trésorerie

R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10302 Risques de refinancement

R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10304 Risques de non-diversification

R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10305 Risques de taux Conséquence d'une évolution des taux d'intérêt sur la valeur des actifs obligataires

R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10306 Risques de change

R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10307 Risques actions

R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10308 Risques immobiliers et fonciers

R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10309 Risques de règlement livraison

R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10310 Risques de contre-partie

R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10311 Risques émetteur

R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10312 Risques crédit

R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10313 Risques d'évaluation d'actifs

R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10314

R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10315

R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10316 Risques de non-disponibilité des informations nécessaires à la gestion des actifs

R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10317 Risques crédit réassureurs Risque de défaillance d'un réassureur réduisant ses capacités à remplir ses engagements

Typologie des risques 2006

65



AN

NE

XE

S


2Risques Niveau 2 Définition Risques Niveau 2

Niveau 3

Risques Niveau 3 Définition Risques Niveau 3

R1 Financiers Risques de gestion de bilan ou financière R101 Risques de solvabilité R10101 Risques de solvabilité réglementaire en social Risques résultant d'un niveau des fonds propres et quasi-fonds propres inférieur au minimum réglementaire en social pour chaque entité

R1 Financiers Risques de gestion de bilan ou financière R101 Risques de solvabilité R10102 Risques de solvabilité réglementaire en consolidé

Risques résultant d'un niveau des fonds propres et quasi-fonds propres inférieur au minimum réglementaire dans les comptes consolidés (solvabilité ajustée)

R1 Financiers Risques de gestion de bilan ou financière R101 Risques de solvabilité R10103 Risques de solvabilité de marché Risques résultant d'un niveau des fonds propres et quasi-fonds propres inférieur au montant estimé par les analystes ou les marchés financiers entraînant un seuil de déclenchement de "triggers"

R1 Financiers Risques de gestion de bilan ou financière R102 Adéquation Actif/Passif R10201 Risques de liquidité Correspond à une évolution du passif à court terme engendrant des insuffisance d'actifs réalisables

R1 Financiers Risques de gestion de bilan ou financière R102 Adéquation Actif/Passif R10202 Risques de limitation par catégorie d'actif ou de passif

Correspond à un manque de diversification, tant à l'actif qu'au passif, qui conduit à une exposition trop forte sur un risque particulier (type de risque assuré, risque de taux, risque actions, …)

R1 Financiers Risques de gestion de bilan ou financière R102 Adéquation Actif/Passif R10203 Risques de disparités de lignes de passifs Correspond à une structure de passif éclatée et difficile à mettre en adéquation avec des actifs

R1 Financiers Risques de gestion de bilan ou financière R102 Adéquation Actif/Passif R10204 Risques de couverture imparfaite Se matérialise par une inadaptation ou une insuffisance de la structure des actifs au regard de celle des passifs

R1 Financiers Risques de gestion de bilan ou financière R102 Adéquation Actif/Passif R10205 Risques de taux Risques d'inadéquation actif/passif provenant du comportement des marchés de taux

R1 Financiers Risques de gestion de bilan ou financière R102 Adéquation Actif/Passif R10206 Risques actions Risques d'inadéquation actif/passif provenant du comportement des marchés d'actions

R1 Financiers Risques de gestion de bilan ou financière R102 Adéquation Actif/Passif R10207 Risques de change Risques d'inadéquation actif/passif provenant du comportement des marchés de devises

R1 Financiers Risques de gestion de bilan ou financière R102 Adéquation Actif/Passif R10208 Risques immobiliers Risques d'inadéquation actif/passif provenant du comportement des marchés immobiliers

R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10301 Risques de trésorerie Résulte d'un manque de liquidités disponibles à court terme pour faire face aux obligations de règlement

R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10302 Risques de refinancement Est la conséquence d'une inadéquation ou d'un défaut de financement permettant d'obtenir les liquidités suffisantes pour faire face aux obligations de règlement

R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10304 Risques de non-diversification Correspond à un manque de diversification dans le placement des actifs qui conduit à une exposition trop forte sur un risque particulier (actions, taux, crédit)

R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10305 Risques de taux Conséquence d'une évolution des taux d'intérêt sur la valeur des actifs obligataires

R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10306 Risques de change Est lié à la variation de valeur d'une devise par rapport à l'euro, et à l'impact de cette variation sur la valeur des actifs en devises

R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10307 Risques actions Conséquence d'une évolution des marchés actions, ou d'une trop forte dépendance vis à vis de ce type d'actif

R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10308 Risques immobiliers et fonciers Conséquence d'une évolution des marchés immobiliers et fonciers, ou d'une trop forte dépendance vis à vis de ce type d'actif

R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10309 Risques de règlement livraison Découle de la séparation des circuits de transfert des biens échangés lors d'une opération sur titres ou devises, pouvant conduire à la livraison du premier bien sans réception effective de l'autre, ou bien avec un dénouement tardif

R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10310 Risques de contre-partie Découle du défaut de la contrepartie à une opération, au moment où elle doit remplir ses obligations (absence de paiement à l'échéance, …)

R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10311 Risques émetteur Lié au défaut de l'émetteur préalablement à la réalisation de ses obligations (remboursement d'un emprunt à l'échéance, …)

R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10312 Risques crédit Correspond à la variation de la qualité de crédit d'un émetteur conduisant à l'augmentation de la prime de risque attendue par ses créanciers

R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10313 Risques d'évaluation d'actifs Risques résultant de la surestimation d'un élément d'actif, pouvant entraîner notamment une constatation de moins-value en cas de cession ou d'ouverture de capital, ou un provisionnement suite à révision

R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10314 Risques de gestion des participations en titres cotés

Risques résultant de carences dans le suivi et la gestion des participations : franchissement involontaire de seuil de détention, …

R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10315 Risques de rentabilité insuffisante des participations et filiales

Risques résultant d'un niveau de rentabilité annuelle insuffisant pour amortir les coûts d'acquisition

R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10316 Risques relatifs aux informations disponibles sur le marché

Risques de non-disponibilité des informations nécessaires à la gestion des actifs

R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10317 Risques crédit réassureurs Risque de défaillance d'un réassureur réduisant ses capacités à remplir ses engagements

66



AN

NE

XE

S



R1 Financiers Risques de gestion de bilan ou financière R104 Endettement Risques résultant d'un endettement trop important eu égard aux charges de remboursement ou aux taux des emprunts en cours

R10401 Risques d'endettement inadéquat

R1 Financiers Risques de gestion de bilan ou financière R104 Endettement Risques résultant d'un endettement trop important eu égard aux charges de remboursement ou aux taux des emprunts en cours

R10402 Risques de surendettement

R1 Financiers Risques de gestion de bilan ou financière R105 Engagements hors bilan Risques résultant de garanties accordées de façon contractuelle à des tiers, et non représentées au bilan

R10501


R10502


R10503 Risques de caution ou assimilés

R2 Assurance Risques spécifiques aux activités d'assurance R201 Marketing Risques résultant d'une mauvaise démarche marketing assurance

R20101

R2 Assurance Risques spécifiques aux activités d'assurance R201 Marketing Risques résultant d'une mauvaise démarche marketing assurance

R20102 Risques d'erreur de communication marketing

R2 Assurance Risques spécifiques aux activités d'assurance R202 Technique Risques résultant de caractéristiques des produits nuisant à leur rentabilité (provenant ou non de la réalisation de risques production ou marketing)

R20201


R20202


R20203 Risques de non-rentabilité à moyen ou long terme

R2 Assurance Risques spécifiques aux activités d'assurance R203 Souscription Risques relatifs à la souscription de contrats d'assurance, ou à l'acceptation de traités ou facultatives de réassurance, hors sinistralité et prestations

R20301 Risques provenant du non-respect des règles et guides de souscription


R20302


R20303 Risques de cumul de souscription


R20304 Risques de cumul souscription/actif


R20305 Risques d'apérition Risques relatifs à la gestion des coassurances ou des coréassurances


R20306


R20307 Risques de recouvrement des primes Risques de non-paiement ou de retard de règlement de sa prime par le contractant


R20308 Fréquence élevée de chute ou de réductions de contrats (arrêt du paiement des primes)

R2 Assurance Risques spécifiques aux activités d'assurance R204 Sinistralité non-vie / Prestations vie

Risques résultant d'une déviation de la charge sinistres ou prestations compromettant l'équilibre attendu entre primes et charges techniques des portefeuilles

R20401 Risques de déviation de la sinistralité



R20402 Risques de fréquence des sinistres de pointe Survenance plus fréquente qu'attendu, de sinistres de montant élevé



R20403 Risques de cumul de sinistres



R20404 Risques de rachat (vie) Fréquence élevée de rachats de contrats "épargne"



R20405 Risques de longévité (rentes viagères)


67



AN

NE

XE

S



Niveau 3


R1 Financiers Risques de gestion de bilan ou financière R104 Endettement R10401 Risques d'endettement inadéquat Niveau d'endettement du Groupe inexistant, l'empêchant d'optimiser ses ressources ou sa rentabilité

R1 Financiers Risques de gestion de bilan ou financière R104 Endettement R10402 Risques de surendettement Niveau d'endettement du Groupe trop élevé, pouvant entraîner une crise de liquidité ou rendre impossible le financement de la croissance du Groupe

R1 Financiers Risques de gestion de bilan ou financière R105 Engagements hors bilan R10501 Risques d'engagements sur valorisation d'actifs

Risques que certains engagements reçus sur actifs soient surévalués ou ne puissent être recouvrés

R1 Financiers Risques de gestion de bilan ou financière R105 Engagements hors bilan R10502 Risques d'engagements sur valorisation de passifs

Risques que certains engagements donnés sur passifs soient insuffisamment estimés ou non recensés au bilan

R1 Financiers Risques de gestion de bilan ou financière R105 Engagements hors bilan R10503 Risques de caution ou assimilés Risques que les garanties, avals ou cautions ne soient pas suffisamment évalués ou recensés dans les comptes

R2 Assurance Risques spécifiques aux activités d'assurance R201 Marketing R20101 Risques de mauvaise analyse des marchés cibles

Risques provenant d'une mauvaise identification des besoins, d'une mauvaise segmentation clientèle, …, conduisant à l'élaboration de produits inadaptés

R2 Assurance Risques spécifiques aux activités d'assurance R201 Marketing R20102 Risques d'erreur de communication marketing Décalage entre le contenu d'un message et sa compréhension, ou sa prise en compte, par le destinaire de l'information, et risques de publicité trompeuse

R2 Assurance Risques spécifiques aux activités d'assurance R202 Technique R20201 Risques de définition produit (contrat d'assurance ou traité de réassurance en acceptation)

Risques provenant d'une définition des conditions d'assurance ou de réassurance impropres à une viabilité économique (quelle que soit la tarification)

R2 Assurance Risques spécifiques aux activités d'assurance R202 Technique R20202 Risques de tarification (assurance ou réassurance acceptée)

Risques issus de tarifs soit insuffisants par rapport au coût réel des garanties et frais de gestion, soit trop élevés et générateurs d'anti-sélection

R2 Assurance Risques spécifiques aux activités d'assurance R202 Technique R20203 Risques de non-rentabilité des produits d'assurance ou des traités de réassurance acceptés

Risques de non-rentabilité à moyen ou long terme

R2 Assurance Risques spécifiques aux activités d'assurance R203 Souscription R20301 Risques de non-conformité aux normes de souscription

Risques provenant du non-respect des règles et guides de souscription

R2 Assurance Risques spécifiques aux activités d'assurance R203 Souscription R20302 Risques de qualité insuffisante de l'objet du risque

Souscriptions de mauvaise qualité, quant aux risques soucrits, malgré leur conformité aux règles

R2 Assurance Risques spécifiques aux activités d'assurance R203 Souscription R20303 Risques de cumul de souscription Dépassement des engagements acceptables sur un même site, un même client, ou un même risque d'assurance

R2 Assurance Risques spécifiques aux activités d'assurance R203 Souscription R20304 Risques de cumul souscription/actif Effets cumulatifs dus à la dépendance ou la corrélation entre des risques de souscription et des risques sur les actifs

R2 Assurance Risques spécifiques aux activités d'assurance R203 Souscription R20305 Risques d'apérition Risques relatifs à la gestion des coassurances ou des coréassurances

R2 Assurance Risques spécifiques aux activités d'assurance R203 Souscription R20306 Risques de coassurance non apéritrice ou de coréassurance suiveuse

Risques de mauvaise gestion ou d'informations insuffisantes émanant de l'apériteur ou du coréassureur leader

R2 Assurance Risques spécifiques aux activités d'assurance R203 Souscription R20307 Risques de recouvrement des primes Risques de non-paiement ou de retard de règlement de sa prime par le contractant

R2 Assurance Risques spécifiques aux activités d'assurance R203 Souscription R20308 Risques d'annulation, de résiliation, de réduction

Fréquence élevée de chute ou de réductions de contrats (arrêt du paiement des primes)

R2 Assurance Risques spécifiques aux activités d'assurance R204 R20401 Risques de déviation de la sinistralité Evolution défavorable de la charge sinistre dans une ou plusieurs catégories d'assurance, d'une façon plus ou moins rapide (augmentation de fréquence ou d'intensité)

R2 Assurance Risques spécifiques aux activités d'assurance R204 R20402 Risques de fréquence des sinistres de pointe Survenance plus fréquente qu'attendu, de sinistres de montant élevé

R2 Assurance Risques spécifiques aux activités d'assurance R204 R20403 Risques de cumul de sinistres Survenance d'un sinistre catastrophique, d'un cumul RC ou sériel, ou d'un cumul de sinistres entre plusieurs branches

R2 Assurance Risques spécifiques aux activités d'assurance R204 R20404 Risques de rachat (vie) Fréquence élevée de rachats de contrats "épargne"

R2 Assurance Risques spécifiques aux activités d'assurance R204 R20405 Risques de longévité (rentes viagères) Durée de survie des rentiers supérieure à ce qui avait été pris en compte dans les tarifs de rentes

68



AN

NE

XE

S



R2 Assurance Risques spécifiques aux activités d'assurance R205 Provisionnement Risques résultant d'un provisionnement inadapté à l'évolution de la charge sinistres et prestations en cours ou à venir

R20501 Risques résultant de provisions insuffisantes devant la charge sinistres à venir


R20502


R20503

R2 Assurance Risques spécifiques aux activités d'assurance R206 Participations aux bénéfices Risques relatifs aux participations aux bénéfices attribuées aux assurés vie

R20601

R2 Assurance Risques spécifiques aux activités d'assurance R206 Participations aux bénéfices Risques relatifs aux participations aux bénéfices attribuées aux assurés vie

R20602 Risques relatifs au niveau de PB

R2 Assurance Risques spécifiques aux activités d'assurance R207 Réassurance de protection Risques résultant des conditions négociées avec les réassureurs

R20701


R20702 Risques de surcoût de la réassurance Traités de réassurance tarifés trop cher


R20703 Risques de litige avec les réassureurs Risques de contestation de garantie par un réassureur

R2 Assurance Risques spécifiques aux activités d'assurance R208 Législatif et réglementaire assurances

Risques résultant d'une mauvaise application du code des assurances dans le domaine technique et produits

R20801



R20802



R20803



R20804



R20805

R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement

R301 Production Risques résultant de défauts dans la chaîne de réalisation, de vente, ou de gestion d'un produit commercial ou administratif

R30101 Risques de modèle



R30102 Risques de données



R30103 Risques de traitement



R30104 Risques de délai


R302 Humain Risques résultant de l'intervention humaine dans les activités

R30201 Risques d'erreur Risques d'erreurs humaines dans la réalisation des opérations, quelles qu'elles soient



R30202 Risques de non-respect des procédures



R30203 Risques de recrutement inadéquat Risques générés par des "erreurs d'embauche"



R30204 Risques d'instabilité de performance Risques de dégradation de la performance individuelle



R30205 Risques de perte de capital humain



R30206 Risques relatifs aux coûts salariaux



R30207



R30208



R30209


69



AN

NE

XE

S



Niveau 3


R2 Assurance Risques spécifiques aux activités d'assurance R205 Provisionnement R20501 Risques relatifs aux montants de provisions de primes (hors PM)

Risques résultant de provisions insuffisantes devant la charge sinistres à venir

R2 Assurance Risques spécifiques aux activités d'assurance R205 Provisionnement R20502 Risques relatifs aux montants de provisions mathématiques (PM)

Risques résultant de provisions mathématiques (vie et rentes auto) insuffisantes face aux prestations à régler

R2 Assurance Risques spécifiques aux activités d'assurance R205 Provisionnement R20503 Risques relatifs aux montants de provisions pour sinistres

Risques résultant de provisions pour sinistres insuffisantes devant la charge en sinistres survenus

R2 Assurance Risques spécifiques aux activités d'assurance R206 Participations aux bénéfices R20601 Risques relatifs à l'application des clauses de PB

Risques résultant d'attributions de PB aux assurés non conformes aux clauses des contrats

R2 Assurance Risques spécifiques aux activités d'assurance R206 Participations aux bénéfices R20602 Risques relatifs au niveau de PB Risques résultant d'un niveau insuffisant des attributions de PB aux assurés (au vu de la concurrence, des caractéristiques du produit, des attentes des assurés)

R2 Assurance Risques spécifiques aux activités d'assurance R207 Réassurance de protection R20701 Risques d'inadéquation des couvertures de réassurance

Programme de réassurance insuffisant pour protéger correctement un portefeuille, compte tenu de la rétention supportable par l'entreprise

R2 Assurance Risques spécifiques aux activités d'assurance R207 Réassurance de protection R20702 Risques de surcoût de la réassurance Traités de réassurance tarifés trop cher

R2 Assurance Risques spécifiques aux activités d'assurance R207 Réassurance de protection R20703 Risques de litige avec les réassureurs Risques de contestation de garantie par un réassureur

R2 Assurance Risques spécifiques aux activités d'assurance R208 R20801 Risques relatifs au non-respect d'obligations réglementaires sur les produits

R2 Assurance Risques spécifiques aux activités d'assurance R208 R20802 Risques relatifs au non-respect d'obligations réglementaires sur les tarifs

R2 Assurance Risques spécifiques aux activités d'assurance R208 R20803 Risques relatifs au non-respect d'obligations réglementaires sur le calcul des provisions techniques

R2 Assurance Risques spécifiques aux activités d'assurance R208 R20804 Risques relatifs au non-respect d'obligations réglementaires sur la participation aux bénéfices

R2 Assurance Risques spécifiques aux activités d'assurance R208 R20805 Risques relatifs au non-respect d'autres obligations réglementaires dans le domaine technique

R3 Opérationnels R301 Production R30101 Risques de modèle Non-adéquation (par rapport à la problématique, au contenu ou à la structure des données, aux moyens disponibles) d’un modèle de référence pour la conception d'un processus, d'une procédure, d'une organisation physique, fonctionnelle ou autre, d'une action

R3 Opérationnels R301 Production R30102 Risques de données Données (comptables ou financières, statistiques ou techniques, de pilotage ou de reporting, …) internes ou externes à la compagnie, utilisées dans un processus interne, dont le caractère erroné, incomplet, non homogène, ou de non-conformité d’unité, va à l’encontre de l’objectif de leur usage

R3 Opérationnels R301 Production R30103 Risques de traitement Réalisation d’un traitement (informatique ou manuel) dans des conditions non conformes à l’objectif auquel ce traitement a été conçu

R3 Opérationnels R301 Production R30104 Risques de délai Temps de réalisation d'un processus opérationnel ou fonctionnel non conforme à celui qui était assigné au processus pour l’atteinte de son objectif

R3 Opérationnels R302 Humain R30201 Risques d'erreur Risques d'erreurs humaines dans la réalisation des opérations, quelles qu'elles soient

R3 Opérationnels R302 Humain R30202 Risques de non-respect des procédures Risques que des procédures soient dénaturées, contournées, mal appliquées, inappliquées ou annulées

R3 Opérationnels R302 Humain R30203 Risques de recrutement inadéquat Risques générés par des "erreurs d'embauche"

R3 Opérationnels R302 Humain R30204 Risques d'instabilité de performance Risques de dégradation de la performance individuelle

R3 Opérationnels R302 Humain R30205 Risques de perte de capital humain Risques de gestion prévisionnelle de l'emploi insuffisante, de perte d'"homme clé", de débauchage de personnel

R3 Opérationnels R302 Humain R30206 Risques relatifs aux coûts salariaux Risques d'un niveau de salaire globalement plus élevé que ce qu'il ne devrait être compte tenu de l'état du marché du travail, conduisant à des surcoûts portant préjudice à la compétitivité de l'entreprise

R3 Opérationnels R302 Humain R30207 Risques d'inadéquation de la formation du personnel

Risques d'insuffisance du niveau de formation/qualification par rapport aux tâches à accomplir

R3 Opérationnels R302 Humain R30208 Risques de mauvaise application de la réglementation du travail

R3 Opérationnels R302 Humain R30209 Risques de non-adéquation de la politique de gestion RH avec la stratégie

Mauvaise prise en compte des besoins à court, moyen et long terme en compétences compte tenu des axes de développement privilégiés par le plan stratégique

70



AN

NE

XE

S





R30210



R30211



R30212 Risques conventionnels ou contractuels Risques générés par les conditions de collaboration contractualisées



R30213 Risques sociaux Risques de conflits sociaux



R30214 Risques d'hygiène et de santé mentale



R30215 Risques d'accident



R30216



R30217 Risques de non-respect de la confidentialité



R30218 Risques de détournement de fonds de clients



R30219 Risques de fraude à l'assurance, de collusion



R30220 Risques de blanchiment



R30221



R30222 Défaut d'application de la loi informatique et libertés



R30223 Non-respect de la déontologie des relations avec un réseau d'apporteurs



R30224 Risques de corruption


R303 Commercial Risques résultant de défauts dans les réseaux ou les forces de vente

R30301



R30302



R30303 Risques de réseau insuffisant Nombre insuffisant de vendeurs pour atteindre les objectifs de vente



R30304 Risques d'impréparation du réseau



R30305



R30306 Risques de commissionnement inadapté



R30307 Risques de défaillance d'un courtier Risques générés par la faillite d'un courtier


71



AN

NE

XE

S



Niveau 3


R3 Opérationnels R302 Humain R30210 Risques relatifs à la diffusion de l'information et des données en interne

Risques de carences ou maladresses dans la diffusion des messages et des données en interne (hors logistique courrier interne)

R3 Opérationnels R302 Humain R30211 Risques de rémunération inadaptée (entraînant des réactions individuelles)

Risques générés par une rémunération des salariés non commerciaux inadéquate avec les profils et postes occupés

R3 Opérationnels R302 Humain R30212 Risques conventionnels ou contractuels Risques générés par les conditions de collaboration contractualisées

R3 Opérationnels R302 Humain R30213 Risques sociaux Risques de conflits sociaux

R3 Opérationnels R302 Humain R30214 Risques d'hygiène et de santé mentale Risques de maladie due à un défaut d'hygiène ou à des conditions d'emploi génératrices de troubles physiques ou mentaux

R3 Opérationnels R302 Humain R30215 Risques d'accident Risques d'accident subi par les dirigeants, commerciaux et salariés dans le cadre du travail dans les bureaux ou durant les déplacements professionnels

R3 Opérationnels R302 Humain R30216 Risques de détournement de fonds ou de biens matériels de l'entreprise

Risques de détournement de fonds ou de biens matériels de la compagnie par un membre du personnel, un mandataire, un courtier, …

R3 Opérationnels R302 Humain R30217 Risques de non-respect de la confidentialité Risques de divulgation à des tiers d'informations stratégiques de la compagnie par un membre du personnel

R3 Opérationnels R302 Humain R30218 Risques de détournement de fonds de clients Risques de détournement de fonds appartenant à un client de la compagnie, par un intermédiaire ou un membre du personnel

R3 Opérationnels R302 Humain R30219 Risques de fraude à l'assurance, de collusion Fraude de la part d'un assuré ou bénéficaire; entente préjudiciable aux intérêts de la compagnie entre :- un tiers à la compagnie et un employé ou un intermédiaire ;- un employé et un intermédiaire ;- deux ou plusieurs intermédiaires ;- deux ou plusieurs employés.

R3 Opérationnels R302 Humain R30220 Risques de blanchiment Fait "d'apporter un concours à une option de placement, de dissimulation ou de conversion du produit direct ou indirect d'un crime ou d'un délit" (cf. Code Pénal art 324-1)

R3 Opérationnels R302 Humain R30221 Risques relatifs aux règles de déontologie financière

Non-respect par un membre du personnel des règles régissant la profession en matière d'éthique

R3 Opérationnels R302 Humain R30222 Risques relatifs au respect de la loi informatique et libertés

Défaut d'application de la loi informatique et libertés

R3 Opérationnels R302 Humain R30223 Risques relatifs à la déontologie commerciale vis à vis des intermédiaires

Non-respect de la déontologie des relations avec un réseau d'apporteurs

R3 Opérationnels R302 Humain R30224 Risques de corruption Risques de corruption active ou passive de membres du personnel, de commerciaux mandataires, salariés ou indépendants (courtiers)

R3 Opérationnels R303 Commercial R30301 Risques de non-conformité des opérations de distribution aux réglementations en vigueur

Non-respect de la déontologie en matière de conseil au client, actes commerciaux non conformes au droit de la concurrence et de la consommation (vente liée, …) ou aux règles de démarchage, …

R3 Opérationnels R303 Commercial R30302 Autres risques de mauvaise appréciation/prise en compte de la situation/des besoins d'un client

Mauvaise appréciation et prise en compte des véritables besoins du client, de sa situation fiscale, familiale ou professionnelle avec un impact négatif sur le choix du contrat, le mode de règlement, etc..

R3 Opérationnels R303 Commercial R30303 Risques de réseau insuffisant Nombre insuffisant de vendeurs pour atteindre les objectifs de vente

R3 Opérationnels R303 Commercial R30304 Risques d'impréparation du réseau Risques d'insuffisance de préparation par la formation, l'information, et la non-communication des objectifs

R3 Opérationnels R303 Commercial R30305 Risques de non-respect des limites de délégation commerciale

Abus ou non-respect de pouvoir de délégation de la part d'un délégataire commercial ou mandataire

R3 Opérationnels R303 Commercial R30306 Risques de commissionnement inadapté Risques générés par un système ou une grille de commissionnement des intermédiaires non conforme avec les objectifs de vente ou de rentabilité

R3 Opérationnels R303 Commercial R30307 Risques de défaillance d'un courtier Risques générés par la faillite d'un courtier

72



AN

NE

XE

S




R304 Organisation Risques résultant de défauts dans l'organisation de l'entreprise et de ses procédures

R30401



R30402



R30403 Risques d'interface inter-services



R30404 Risques de surcoût Organisation entraînant des coûts de fontionnement trop élevés



R30405 Risques de délégation de pouvoir



R30406 Risques d'ordonnancement


R305 Systèmes d'information Risques résultant de défauts, défaillances ou dysfonctionnements de l'outil informatique (matériels et logiciels)

R30501 Risques de stabilité de l'outil informatique



R30502 Risques de pérennité de l'outil informatique Correspond à un outil informatique pour lequel la durée de vie est incertaine



R30503 Risques de données informatiques Données informatiques erronées, non conformes aux attentes



R30504 Risques d'administration informatique



R30505 Risques de paramétrage informatique



R30506 Risques de réseau informatique



R30507 Risques de plan de continuité informatique



R30508 Risques de recette



R30509 Risques de panne informatique



R30510 Risques de contrefaçons de logiciels Actes de piratage de logiciels informatiques


R306 Logistique hors SI Risques résultant de défauts dans un processus support hors SI et RH

R30601



R30602 Risques relatifs au matériel Risques relatifs à la gestion du matériel, hors immeubles et informatique



R30603 Risques d'accueil Risques relatifs à la qualité de l'accueil assumé par les hôtesses et les standardistes



R30604 Risques de transport



R30605 Risques de courrier



R30606



R30607 Risques de surcoût Risques de payer des produits ou des services plus cher que le marché


73



AN

NE

XE

S



Niveau 3


R3 Opérationnels R304 Organisation R30401 Risques d'inadéquation de l'organisation fonctionnelle

Risques d'inadéquation de l'organisation fonctionnelle aux activités, à la mise en œuvre de la stratégie, au profil des compétences disponibles, à la gestion des relations avec les intermédiaires et avec les clients, …

R3 Opérationnels R304 Organisation R30402 Risques d'inadéquation de l'organisation des processus et procédures

Risques d'inadéquation des processus et procédures aux objectifs stratégiques ou aux risques

R3 Opérationnels R304 Organisation R30403 Risques d'interface inter-services Risques de dysfonctionnement des interfaces entre plusieurs fonctions, qu'elles s'appuient sur des moyens humains, de connectique, informatiques ou autres moyens logistiques

R3 Opérationnels R304 Organisation R30404 Risques de surcoût Organisation entraînant des coûts de fontionnement trop élevés

R3 Opérationnels R304 Organisation R30405 Risques de délégation de pouvoir Mauvaise attribution de pouvoir de délégation (défaut de compétence, incohérence avec l'organisation, …)

R3 Opérationnels R304 Organisation R30406 Risques d'ordonnancement Mauvaise attribution de pouvoir d'ordonnancement (défaut de compétence, incohérence avec l'organisation, …)

R3 Opérationnels R305 Systèmes d'information R30501 Risques de stabilité de l'outil informatique Correspond à un outil informatique qui ne garantit pas de façon certaine les objectifs auxquels il est assigné

R3 Opérationnels R305 Systèmes d'information R30502 Risques de pérennité de l'outil informatique Correspond à un outil informatique pour lequel la durée de vie est incertaine

R3 Opérationnels R305 Systèmes d'information R30503 Risques de données informatiques Données informatiques erronées, non conformes aux attentes

R3 Opérationnels R305 Systèmes d'information R30504 Risques d'administration informatique Correspond à la défaillance des activités dévolues à la surveillance et aux contrôles d'un réseau informatique, des données introduites dans un système, du parc informatique, du bon déroulement des traitements

R3 Opérationnels R305 Systèmes d'information R30505 Risques de paramétrage informatique Correspond à une erreur dans le paramètrage des systèmes informatiques ou une non-mise à jour des paramètres (règles de gestion ou données paramètres erronnées), pouvant notamment être à l'origine de dysfonctionnements d'interfaces

R3 Opérationnels R305 Systèmes d'information R30506 Risques de réseau informatique Correspond à un réseau informatique non conforme aux objectifs qui lui sont assignés : sécurisé, stable, sans perte de données, maintien du débit normalement attendu, …

R3 Opérationnels R305 Systèmes d'information R30507 Risques de plan de continuité informatique Non-continuité de l'exploitation par absence de procédures de secours en cas de difficultés graves dans le fonctionnement des systèmes informatiques

R3 Opérationnels R305 Systèmes d'information R30508 Risques de recette Correspond à des tests, jeux d'essais incomplets qui peuvent induire des erreurs plus ou moins graves en production

R3 Opérationnels R305 Systèmes d'information R30509 Risques de panne informatique Arrêt de fonctionnement du système soit en laison avec un risque précédent soit du fait d'un événement extérieur

R3 Opérationnels R305 Systèmes d'information R30510 Risques de contrefaçons de logiciels Actes de piratage de logiciels informatiques

R3 Opérationnels R306 Logistique hors SI R30601 Risques générés par les immeubles d'exploitation (en propriété ou en location)

Risques de sinistre (incendie, dommages à des tiers, …), risques relatifs à la continuité des opérations, risques relatifs à la gestion des immeubles (hors sécurité du personnel)

R3 Opérationnels R306 Logistique hors SI R30602 Risques relatifs au matériel Risques relatifs à la gestion du matériel, hors immeubles et informatique

R3 Opérationnels R306 Logistique hors SI R30603 Risques d'accueil Risques relatifs à la qualité de l'accueil assumé par les hôtesses et les standardistes

R3 Opérationnels R306 Logistique hors SI R30604 Risques de transport Risques générés par les déplacements des commefciaux, du personnel et des dirigeants, les transports d'objets et les déménagements

R3 Opérationnels R306 Logistique hors SI R30605 Risques de courrier Risques logistiques générés par la réception et la communication en interne du courrier externe et du courrier interne

R3 Opérationnels R306 Logistique hors SI R30606 Risques relatifs à la conservation des documents

Défaut de mode de classement ou de manipulation des documents (rangement, transfert, archivage)

R3 Opérationnels R306 Logistique hors SI R30607 Risques de surcoût Risques de payer des produits ou des services plus cher que le marché

74



AN

NE

XE

S




R307 Relations avec les tiers Risques résultant de défaillance de qualité dans les relations avec les tiers

R30701 Risques de notation Risques de mauvaise notation par une agence spécialisée



R30702 Risques juridiques et de mise en cause



R30703 Risques de contractualisation insuffisante



R30704



R30705



R30706 Risques fournisseurs de matériels



R30707 Risques de maintenance



R30708 Risques sur la gestion de situation de crise



R30709 Risques de malveillance

R4 Comptables Risques relatifs au domaine comptable R401 Opérations de comptabilisation

Risques de traitements comptables inexacts, non justifiés ou non traçables

R40101 Comptabilité générale entité sociale



R40102 Comptabilité générale de consolidation



R40103 Risques de non-traçabilité



R40104 Justification des écritures Risques liés à la perte ou l'inexistence de pièces justificatives d'écritures comptables

R4 Comptables Risques relatifs au domaine comptable R402 Fiscalité Risques de manquement aux obligations fiscales R40201 Risques relatifs au résultat fiscal (IS)R4 Comptables Risques relatifs au domaine comptable R402 Fiscalité Risques de manquement aux obligations fiscales R40202

R4 Comptables Risques relatifs au domaine comptable R402 Fiscalité Risques de manquement aux obligations fiscales R40203 Risques relatifs à la taxation des contratsR4 Comptables Risques relatifs au domaine comptable R402 Fiscalité Risques de manquement aux obligations fiscales R40204 Risques relatifs aux procédures CFCIR4 Comptables Risques relatifs au domaine comptable R402 Fiscalité Risques de manquement aux obligations fiscales R40205 Autres risques fiscauxR4 Comptables Risques relatifs au domaine comptable R403 Etats réglementaires Risques de la production d'états inexacts R40301 Etats réglementaires

R5 PilotageRisques relatifs au management d'entreprise

R501 Stratégie Risques de choix stratégiques, de moyens associés ou de pilotage de la mise en œuvre inadéquats

R50101 Risques sur la mise en œuvre de la stratégie


R501 Stratégie Risques de choix stratégiques, de moyens associés ou de pilotage de la mise en œuvre inadéquats

R50102 Risques provenant de déficiences du pilotage


R502 Contrôle de gestion Risques provenant d'une mauvaise interprétation ou utilisation des données utilisées par le contrôle de gestion

R50201 Risques de planification


R502 Contrôle de gestion Risques provenant d'une mauvaise interprétation ou utilisation des données utilisées par le contrôle de gestion

R50202 Risques de non-contrôle budgétaire Risques d'absence de contrôle budgétaire efficient

R5 Pilotage

Risques relatifs au management d'entreprise

R503 Autres risques de pilotage interne

Risques provenant d'une mauvaise interprétation ou utilisation des données utilisées par le pilotage du contrôle interne, le pilotage des opérations commerciales, …

R50301 Autres risques de pilotage interne

R5 Pilotage


R504 Risques générés par la communication externe

Politique de communication sur l'identité de l'entreprise inadéquate au marché, aux intermédiaires, aux interlocuteurs financiers ou institutionnels, …

R50401 Risques de communication externe

R6 Externes Risques générés par l'environnement de l'entreprise

R601 Législatifs, réglementaires et judiciaires

Risques liés à l'apparition de nouvelles lois ou réglements, et à leur application

R60101 Risques législatifs et réglementaires Risques liés à l'apparition de nouvelles lois ou réglements, et à leur application


R601 Législatifs, réglementaires et judiciaires

Risques liés à l'apparition de nouvelles lois ou réglements, et à leur application

R60102 Risques judiciaires Risques liés à l'évolution du droit et aux décisions des tribunaux


75



AN

NE

XE

S



Niveau 3


R3 Opérationnels R307 Relations avec les tiers R30701 Risques de notation Risques de mauvaise notation par une agence spécialisée

R3 Opérationnels R307 Relations avec les tiers R30702 Risques juridiques et de mise en cause Risques de mise en cause judiciaire ou non, par une association de consommateurs, par la presse, ou par un client important, de litige sur l'application d'un contrat

R3 Opérationnels R307 Relations avec les tiers R30703 Risques de contractualisation insuffisante Risques d'absence de formalisation des rapports avec un tiers ou de contractualisation insuffisante

R3 Opérationnels R307 Relations avec les tiers R30704 Risques relatifs à la protection des données sur les personnes

Risques de non-respect de la confidentialité des données personnelles, notamment concernant les obligations de la loi Belorgey

R3 Opérationnels R307 Relations avec les tiers R30705 Risques fournisseurs de services (y compris délégataires de gestion externes)

Risques de non-respect par un fournisseur de son contrat de prestation, risque de mauvaise qualité des services, risque de grève

R3 Opérationnels R307 Relations avec les tiers R30706 Risques fournisseurs de matériels Risques de non-respect par un fournisseur de son contrat de prestation, risque de mauvaise qualité des produits

R3 Opérationnels R307 Relations avec les tiers R30707 Risques de maintenance Risques de défaillance dans le service de maintenance, de grève, de pérennité du fournisseur et de non-respect de la confidentialité

R3 Opérationnels R307 Relations avec les tiers R30708 Risques sur la gestion de situation de crise Messages ou annonces ne montrant pas une maîtrise des risques suffisante, en situation de crise

R3 Opérationnels R307 Relations avec les tiers R30709 Risques de malveillance Risques d'actes de malveillance de la part de tiers : vol, dégradations, attaques diverses dont hacking et virus informatique, intrusions ou destruction de données informatiques, diffusion de fausses nouvelles et dénigrement

R4 Comptables Risques relatifs au domaine comptable R401 R40101 Comptabilité générale entité sociale Risques liés à la présentation de données sociales comptables inexactes et ne reflétant pas l'image fidèle de l'entreprise

R4 Comptables Risques relatifs au domaine comptable R401 R40102 Comptabilité générale de consolidation Risques liés à l'enregistrement de retraitements de consolidation inexacts et ne permettant pas la constitution d'une image fidèle du Groupe

R4 Comptables Risques relatifs au domaine comptable R401 R40103 Risques de non-traçabilité Risques liés à la perte de traçabilité d'opérations comptables, entre les écritures d'origine (comptabilisation technique ou divisionnaire) et la comptabilité générale

R4 Comptables Risques relatifs au domaine comptable R401 R40104 Justification des écritures Risques liés à la perte ou l'inexistence de pièces justificatives d'écritures comptables

R4 Comptables Risques relatifs au domaine comptable R402 Fiscalité Risques de manquement aux obligations fiscales R40201 Risques relatifs au résultat fiscal (IS)R4 Comptables Risques relatifs au domaine comptable R402 Fiscalité Risques de manquement aux obligations fiscales R40202 Risques relatifs au régime de TVA et à la

facturationR4 Comptables Risques relatifs au domaine comptable R402 Fiscalité Risques de manquement aux obligations fiscales R40203 Risques relatifs à la taxation des contratsR4 Comptables Risques relatifs au domaine comptable R402 Fiscalité Risques de manquement aux obligations fiscales R40204 Risques relatifs aux procédures CFCIR4 Comptables Risques relatifs au domaine comptable R402 Fiscalité Risques de manquement aux obligations fiscales R40205 Autres risques fiscauxR4 Comptables Risques relatifs au domaine comptable R403 Etats réglementaires Risques de la production d'états inexacts R40301 Etats réglementaires Risques liés à la présentation d'états réglementaires inexacts ou à la non-présentation

d'états réglementairesR5 Pilotage

Risques relatifs au management d'entrepriseR501 Stratégie R50101 Risques sur la mise en œuvre de la stratégie Décalage entre la stratégie définie et sa mise en œuvre, du fait d'erreurs d'appréciation

ou de non-adéquation des moyens


R501 Stratégie R50102 Risques relatifs au pilotage stratégique des activités et des filiales

Risques provenant de déficiences du pilotage


R502 Contrôle de gestion R50201 Risques de planification Prise en compte insuffisante ou erronée dans les procédures de planification et de suivi des objectifs des services


R502 Contrôle de gestion R50202 Risques de non-contrôle budgétaire Risques d'absence de contrôle budgétaire efficient

R5 Pilotage


R503 R50301 Autres risques de pilotage interne Risques provenant d'une mauvaise interprétation ou utilisation des données utilisées par le pilotage du contrôle interne, le pilotage des opérations commerciales, …

R5 Pilotage


R504 R50401 Risques de communication externe Politique de communication sur l'identité de l'entreprise inadéquate au marché, aux intermédiaires, aux interlocuteurs financiers ou institutionnels, …

R6 Externes R601 R60101 Risques législatifs et réglementaires Risques liés à l'apparition de nouvelles lois ou réglements, et à leur application

R6 Externes R601 R60102 Risques judiciaires Risques liés à l'évolution du droit et aux décisions des tribunaux

76



AN

NE

XE

S




R602 Secteur de l'assurance Risques résultant du comportement des acteurs du marché de l'assurance

R60201 Risques de concurrence Risques résultant de l'exercice d'activités similaires par d'autres entreprises


R602 Secteur de l'assurance Risques résultant du comportement des acteurs du marché

R60202 Risques relatifs aux cycles tarifaires


R602 Secteur de l'assurance Risques résultant du comportement des acteurs du marché de l'assurance

R60203 Risques d'image du secteur de l'assurance


R602 Secteur de l'assurance Risques résultant du comportement des acteurs du marché

R60204 Risques d'entente entre entreprises


R603 Prestataires, partenaires Risques d'évolution défavorable d'un marché prestataire

R60301 Risques réassureurs Risques d'évolution défavorable du marché de la réassurance


R603 Prestataires, partenaires Risques d'évolution défavorable d'un marché prestataire

R60302 Risques fournisseurs


R604Déontologie, conformité, image

Risques provenannt d'un manquement aux règles de bonne conduite, aux normes professionnelles ou aux valeurs de la société

R60401 Risques déontologiques Risques découlant d'un manquement aux règles de bonne conduite,




R60402 Risques de non conformité Risques liés à l'absence de respect des lois, réglementations, normes professionnelles




R60403 Risques d'image Risques liés à une perception négative de l'entreprise


R605 Autres risques systémiques et exogènes

Autres risques provenant de l'environnement externe de l'entreprise

R60501 Risques économiques Risques d'inflation, de dépression, d'évolution de la demande




R60502 Risques politiques Risques de guerre civile, d'émeutes, de guerre étrangère, d'attentats et de terrorisme




R60503 Risques climatiques, de catastrophe naturelle Sinistres causés par les forces de la nature




R60504 Risques de pandémie Epidémie mortelle touchant tout le pays




R60505 Risques de sinistre technologique




R60506 Autres risques technologiques


77



AN

NE

XE

S



Niveau 3


R6 Externes R602 Secteur de l'assurance R60201 Risques de concurrence Risques résultant de l'exercice d'activités similaires par d'autres entreprises

R6 Externes R602 Secteur de l'assurance R60202 Risques relatifs aux cycles tarifaires Risques résultant de la pression du marché à pratiquer des taux tarifaires bas (cyclique en général)

R6 Externes R602 Secteur de l'assurance R60203 Risques d'image du secteur de l'assurance Risques résultant de la mise en cause publique de pratiques particulières d'une ou plusieurs compagnies (hors entente), ou d'erreurs de communication publique

R6 Externes R602 Secteur de l'assurance R60204 Risques d'entente entre entreprisesRisques résultant d'ententes tarifaires entre plusieurs compagnies significatives du marché, entraînant une intervention des autorités politiques

R6 Externes R603 Prestataires, partenaires R60301 Risques réassureurs Risques d'évolution défavorable du marché de la réassurance

R6 Externes R603 Prestataires, partenaires R60302 Risques fournisseurs Risques d'évolution défavorable d'un marché (disparition des fournisseurs, accroissement des prix)

R6 Externes R604 R60401 Risques déontologiques Risques découlant d'un manquement aux règles de bonne conduite,

R6 Externes R604 R60402 Risques de non conformité Risques liés à l'absence de respect des lois, réglementations, normes professionnelles

R6 Externes R604 R60403 Risques d'image Risques liés à une perception négative de l'entreprise

R6 Externes R605 R60501 Risques économiques Risques d'inflation, de dépression, d'évolution de la demande

R6 Externes R605 R60502 Risques politiques Risques de guerre civile, d'émeutes, de guerre étrangère, d'attentats et de terrorisme

R6 Externes R605 R60503 Risques climatiques, de catastrophe naturelle Sinistres causés par les forces de la nature

R6 Externes R605 R60504 Risques de pandémie Epidémie mortelle touchant tout le pays

R6 Externes R605 R60505 Risques de sinistre technologique Sinistres dus à des substances, matières, ondes ou radiations issues de la technologie humaine

R6 Externes R605 R60506 Autres risques technologiques Risques d'obsolescence de l'outil de travail, d'espionnage par les nouvelles voies de la communication, …

78



AN

NE

XE

S

79



AN

NE

XE

S

ANNEXE 5 : DÉTAIL DES MACRO PROCESSUS

D’UNE ENTREPRISE D’ASSURANCE

80



AN

NE

XE

S

Porcessus généraux

• Organisation générale • Relations sociales • Gestion

actionnaire

• Stratégie • Affaires publiques • Audit interne

Processus

centraux

Processus

commer-

ciaux

• Marketing • Commercial

Processus

opération-

nels

• Gestion de sinistres • Recouvrement primes • Réassurance

coassurance

Processus

technolo-

giques

• Technique produits

Processus support

• Gestion des risques • Déontologie

• Contrôle de gestion • Social et fiscal • Achats

• Trésorerie • Gestion investissement • RH

• Comptabilité • IT • Services généraux

(sécurité)

Business model assurances

81



AN

NE

XE

S

ANNEXE 6 : DÉMARCHE DE CARTOGRAPHIE :PROCESSUS DE SOUSCRIPTION D’UN CONTRAT

D’ASSURANCE AUTOMOBILE

I. Méthodologie de renforcement du contrôle interne

Aspects généraux

82



AN

NE

XE

S Inventaire des processus/procédures, desrisques associés et des contrôles

Tests de l’efficacité des contrôles‡ points d’amélioration du CI

Par entité :

• Analyse “Bottom-Up”• Jonction avec la cartographie

• Analyse des contrôles chap. III

Cartographie des risques(Top-Down/IFACI)

Elaboration de référentielscommunautairesLes outils

Lesméthodes

Référentiel macro-processus

Référentiel mesures de contrôles

Evaluation des risques (impact/fréquence)

Mise en œuvre des points d’amélioration ducontrôle interne

chap. II

Détail de la méthodologie d’analyse des risques etdes contrôles applicable par entité

83



AN

NE

XE

S

Séle

ctio

n d

an

s la

cart

og

rap

hie

des

risq

ues

(réfé

ren

tiel

com

mu

nau

tair

e)

To

p-D

ow

n

Inven

tair

e d

es

risq

ues

(an

aly

se «

terr

ain

»)

Bo

tto

m-U

p

Inte

rvie

w d

es

op

éra

tio

nn

els

con

cern

és

Lis

te p

rocé

du

res-

risq

ues

ass

oci

és/

mo

yen

s d

e c

on

trô

le

Réfé

ren

tiel m

esu

res

de c

on

trô

le

Jon

ctio

n

* R

isq

ues

no

n id

en

tifi

és

en

To

p-D

ow

n

* R

isq

ues

no

n d

éte

ctés

en

Bo

tto

m-U

p

Mis

e à

jo

ur

Véri

fica

tio

nFin

de l

’in

ven

tair

e

Evalu

ati

on

des

risq

ues

ap

rès

con

trô

le

Eta

pe 1

par

ent

ité

Eta

pe 2

par

ent

ité

(ité

rati

ve)

Eta

pe 3

par

ent

ité

II. Analyse des risques, exemple : processus de souscriptionassurance auto

Sélection dans la cartographie des risques concernés par leprocessus vente-souscription :(selon terminologie de la cartographie, risques dénommés parleur cause)

Résultats d’une analyse « Bottom-Up » dans une Agence :

84



AN

NE

XE

S

Niveau 1

RISQUES FINANCIERS

RISQUES ASSURANCES

RISQUESOPERATIONNELS

RISQUES COMPTABLES

RISQUES DE PILOTAGE

RISQUES EXTERNES

Niveau 2

•Aucun

•Risques de souscription

•Production•Humain

•Commercial

•Logistique•Relations avec les tiers

•Aucun

•Aucun

•Concurrence

Niveau 3

¸Non-conformité aux normes¸Qualité insuffisante de l’objet du risque¸Annulation de souscription¸Cumul de souscription¸Non-recouvrement des cotisations

¸Non-respect des délais, traitements non conformes,…¸Non-respect de procédures, détournement de fonds, fraude à l’assurance, …¸Mauvaise identification des besoins, non-respect de la déontologie commerciale, …¸Mauvais accueil, perte de documents, …¸Litige avec un tiers, …

¸Concurrence (pas de niveau 3 spécifique)

ACTIVITE

VENDRE UNCONTRAT

SOUSCRIREUN CONTRAT

ENCAISSERUNE

COTISATION

PROCEDURES

•Identifier le client•Découvrir ses besoins•Proposer un contrat

•Etablir un devis

•Contrôler les pièces

•Délivrer un contrat

•Proposer une formule de paiement•Encaisser une cotisation

RISQUES

¸Client testant les zones de délégation tarifaire, VIP, …¸Démarche non adaptée, identification erronée ou incomplète, …¸Contrat/garanties choisis inappropriés, risques hors champ d’acceptation, …¸Erreurs de tarification, sur l’objet du risque (choix véhiculeerroné), …

¸Erreur de relevé d’infos (ex. : non-prise en compte d’informations particulières, pièce non valide, pièce falsifiée, …)¸Attestation hors champ d'application, délivrance à tort d'un certificat d'assurance définitif, non-respect des consignes de souscription, …

¸Client non solvable, formule de paiement inadaptée

¸Détournement d'un acompte versé, moyen de paiement frauduleux, …

Jonction « Bottom-Up » avec « Top-Down » :

85



AN

NE

XE

S

Chaque risque « Bottom-Up » doit être associé à un risque générique « Top-Down ».

Risques « Top-Down » non identifiés en « Bottom-Up » :

• Risques mineurs, non pris en compte dans l’analyse mais bien traités dans la réalité(risques d’accueil, de transport, …)

• Risques de délai=> analyse complémentaire et ajoût

• Risques gérés globalement (qualité des services et prestations) sans prise en comptespécifique : risques de mise en cause par des tiers

• Risques non traités/non gérés au niveau de l’Agence : risques de concurrence, devantêtre pris en compte dans la démarche marketing définie par le service Marketing de laCompagnie

Risques « Bottom-Up » non identifiés par « Top-Down » :

• Mauvaise appréciation et prise en compte des véritables besoins du client=> ajoût à la cartographie (en cours de constitution)

86



AN

NE

XE

S

87



AN

NE

XE

S

ANNEXE 7 : TABLEAU DES MENACES

88



AN

NE

XE

S

nomenclature E1 E2 E3 E4 M1 M2 M3 M4 F1 F2 F3 F4 S1 S2 S3 S4

R60403 Événements naturels 5 3 4 3 0 2 0 0 2 4 3 3 4 0 3 0Tempêtes/Grêle/Neige oui Lothar 1999 110 6.4 Md€ 1 1 1 1 1 1 1 1 1 1 1Inondations oui Europe Est 2002 38 3.1 Md$ 1 1 1 1 1 1 1 1 1Tremblement de Terre Northridge 94 60 17.3 M$ 1 1 1 1 1 1 1Tsunami Indonésie 2004 290 000 4 Md$ 1Volcans Krakatoa 1883 40 000 1Sécheresse / vague de froid oui Canicule France 2003 15 000 1 Md€ 1 1 1 1 1 1 1Chutes de météorite

Nouveaux Produits / Nouvelles technologies 2 7 6 2 0 1 1 1 0 2 1 1 2 0 0 1R60406 OGM oui cf. avis FFSA 1 1 1R60405 Champs électromagnétiques oui Antenne UMTS 1 1 1R60405 Produits chimiques Solvants 1 1 1R60405 Produits pharmaceutiques Lipobay/Baycol 3.4 Md$ 1 1R60405 Matériaux construction / Industriel oui Amiante 70 Md$ 1 1 1 1 1 1R30709 Virus informatiques oui Y2K n/c 1 1 1 1 1 1R60405 Nucléaire Tchernobyl 1996 n/c 1 1 1 1

Santé 2 6 6 0 0 1 0 0 0 0 1 0 0 1 1 0R30702 Conséquences judiciaires des nouvelles maladies Sang contaminé 1 1 1R60406 Aléa Thérapeutique oui Infection nosocomiale 1R60404 Épidémie SRAS - Chine 1 1 1R60401 Dérive des coûts médicaux 1 1 1 1R30702 Tabac / Alcool / Drogue oui procès US anti-tabac 1 1 1R60406 Biologie/Clonage 1 1R60406 Manipulation génétique 1 1

Sociétés / Politique 3 6 5 2 1 7 3 1 2 0 4 4 2 2 0 1R60402 Terrorisme / Attentats WTC 2001 3 025 21 Md$ 1 1 1 1 1 1 1 1 1 1R60402 Grève/émeute/Mouvements populaires / Guerre 1 1 1 1R60405 Accidents Technologiques ou aériens AZF 2001 30 1.5 Md€ 1 1 1 1 1R60102 Histoire Esclavage/Holocauste 1 1 1 1 1R30702 Harcèlement racisme sexisme oui 1 1 1 1 1 1R60405 Pollution de l'environnement 1 1 1 1 1 1R30601 Pollution des locaux oui Moisissures 1 1 1 1 1 1 1

Économie Finance 0 3 1 1 3 3 1 7 3 3 1 0 0 7 5 0R10307 Chute de la Bourse 1929/1987/2000 1 1 1 1 1R10306 Variations des taux de change oui 1 1 1 1 1 1 1 1R10305 Fluctuation des taux d'intérêt oui 1 1 1 1 1R60401 Chute de la Croissance - Déflation 1 1R60101 Changements réglementaires sur les ratios 1 1 1 1 1 1R60101 Changements sur les régimes des taxes 1 1 1 1 1 1R30701 Perte d'agrèment / Dégradation agences de notation 1 1 1 1 1 1

R501 Comportements Managériaux 0 3 5 4 2 5 3 4 2 3 3 0 0 4 5 1Rupture de contact avec l'entreprise 1 1 1 1Volonté de croissance démesurée 1 1 1 1 1 1Lancement d'un nouveau produit hors stratégie 1 1 1 1 1Stratégie décalée par rapport au cycle 1 1 1 1 1 1Harcèlement moral / Conflit social 1 1 1 1 1 1 1Éthique Affaire Spitzer oct. 2004 1 1 1 1 1 1Manipulation comptable / Fraude Enron 1 1 1 1 1 1 1 3 3

CatastropheExemple d'événements catastrophiques

Exogènes

Type de Menaces

Impacts sur des fonctions internes à l'entreprise

Facteurs aggravants Management

89



AN

NE

XE

S

nomenclature E1 E2 E3 E4 M1 M2 M3 M4 F1 F2 F3 F4 S1 S2 S3 S4

R60403 Événements naturels 5 3 4 3 0 2 0 0 2 4 3 3 4 0 3 0Tempêtes/Grêle/Neige oui Lothar 1999 110 6.4 Md€ 1 1 1 1 1 1 1 1 1 1 1Inondations oui Europe Est 2002 38 3.1 Md$ 1 1 1 1 1 1 1 1 1Tremblement de Terre Northridge 94 60 17.3 M$ 1 1 1 1 1 1 1Tsunami Indonésie 2004 290 000 4 Md$ 1Volcans Krakatoa 1883 40 000 1Sécheresse / vague de froid oui Canicule France 2003 15 000 1 Md€ 1 1 1 1 1 1 1Chutes de météorite

Nouveaux Produits / Nouvelles technologies 2 7 6 2 0 1 1 1 0 2 1 1 2 0 0 1R60406 OGM oui cf. avis FFSA 1 1 1R60405 Champs électromagnétiques oui Antenne UMTS 1 1 1R60405 Produits chimiques Solvants 1 1 1R60405 Produits pharmaceutiques Lipobay/Baycol 3.4 Md$ 1 1R60405 Matériaux construction / Industriel oui Amiante 70 Md$ 1 1 1 1 1 1R30709 Virus informatiques oui Y2K n/c 1 1 1 1 1 1R60405 Nucléaire Tchernobyl 1996 n/c 1 1 1 1

Santé 2 6 6 0 0 1 0 0 0 0 1 0 0 1 1 0R30702 Conséquences judiciaires des nouvelles maladies Sang contaminé 1 1 1R60406 Aléa Thérapeutique oui Infection nosocomiale 1R60404 Épidémie SRAS - Chine 1 1 1R60401 Dérive des coûts médicaux 1 1 1 1R30702 Tabac / Alcool / Drogue oui procès US anti-tabac 1 1 1R60406 Biologie/Clonage 1 1R60406 Manipulation génétique 1 1

Sociétés / Politique 3 6 5 2 1 7 3 1 2 0 4 4 2 2 0 1R60402 Terrorisme / Attentats WTC 2001 3 025 21 Md$ 1 1 1 1 1 1 1 1 1 1R60402 Grève/émeute/Mouvements populaires / Guerre 1 1 1 1R60405 Accidents Technologiques ou aériens AZF 2001 30 1.5 Md€ 1 1 1 1 1R60102 Histoire Esclavage/Holocauste 1 1 1 1 1R30702 Harcèlement racisme sexisme oui 1 1 1 1 1 1R60405 Pollution de l'environnement 1 1 1 1 1 1R30601 Pollution des locaux oui Moisissures 1 1 1 1 1 1 1

Économie Finance 0 3 1 1 3 3 1 7 3 3 1 0 0 7 5 0R10307 Chute de la Bourse 1929/1987/2000 1 1 1 1 1R10306 Variations des taux de change oui 1 1 1 1 1 1 1 1R10305 Fluctuation des taux d'intérêt oui 1 1 1 1 1R60401 Chute de la Croissance - Déflation 1 1R60101 Changements réglementaires sur les ratios 1 1 1 1 1 1R60101 Changements sur les régimes des taxes 1 1 1 1 1 1R30701 Perte d'agrèment / Dégradation agences de notation 1 1 1 1 1 1

R501 Comportements Managériaux 0 3 5 4 2 5 3 4 2 3 3 0 0 4 5 1Rupture de contact avec l'entreprise 1 1 1 1Volonté de croissance démesurée 1 1 1 1 1 1Lancement d'un nouveau produit hors stratégie 1 1 1 1 1Stratégie décalée par rapport au cycle 1 1 1 1 1 1Harcèlement moral / Conflit social 1 1 1 1 1 1 1Éthique Affaire Spitzer oct. 2004 1 1 1 1 1 1Manipulation comptable / Fraude Enron 1 1 1 1 1 1 1 3 3

Support

1

RC

1

Dommages

Exogènes

Vie R. Spéciaux

Impacts sur des fonctions internes à l'entreprise

Opérationnel souscription/sinistres

111

0 2 3

Facteurs aggravants Management

O1 O2 O3 O4

7

Financier

11

1 1

1 11

1

2 7 4 1111 1 11 1

1 1 11

1 1 1

0 7 7 11 1 11 11 11 11 11 11 1

4 5 2 31 1 1

1

1 11 1 1 1

1

1 1 1

111

1 1

1 2 6 011

1 1

1 6 4 1

1 11 1 1

1 1 11

1 1

Menaces ignorées

Exemple de facteurs d’alerte

90



AN

NE

XE

S

Évé

nem

ents

nat

ure

ls

051015F

acte

urs

aggr

avan

ts

Man

agem

ent

Fin

anci

erO

péra

tionn

el a

ssur

ance

Sup

port

No

uve

aux

Pro

du

its

/ No

uve

lles

tech

no

log

ies

05101520F

acte

urs

aggr

avan

ts

Man

agem

ent

Fin

anci

erO

péra

tionn

el a

ssur

ance

Sup

port

San

té

051015F

acte

urs

aggr

avan

ts

Man

agem

ent

Fin

anci

erO

péra

tionn

el a

ssur

ance

Sup

port

So

ciét

és /

Po

litiq

ue

05101520F

acte

urs

aggr

avan

ts

Man

agem

ent

Fin

anci

erO

péra

tionn

el a

ssur

ance

Sup

port

Éco

no

mie

Fin

ance

05

1015F

acte

urs

aggr

avan

ts

Man

agem

ent

Fin

anci

erO

péra

tionn

el a

ssur

ance

Sup

port

Co

mp

ort

emen

ts M

anag

éria

ux

05

1015F

acte

urs

aggr

avan

ts

Man

agem

ent

Fin

anci

erO

péra

tionn

el a

ssur

ance

Sup

port



Réalisation : Ebzone Communication ([email protected])Impression : Compédit Beauregard S.A. - 61600 La Ferté-Macé

N° d’imprimeur : 4475

Documents

LES CAHIERS DE LA RECHERCHE - Chapters Site...CARTOGRAPHIE DES RISQUES IFACI – Paris – juillet 2006 ISBN : 2-915051-16-X Toute représentation ou reproduction, intégrale ou partielle,