Beruflich Dokumente
Kultur Dokumente
D ANS
LA MME COLLECTION
De la cartographie des risques au plan daudit, Groupe Professionnel Banque ( paratre) Laudit du versement des subventions aux associations, Groupe Professionnel Collectivits Territoriales (fvrier 2013) Slectionner un outil informatique pour les services daudit et de contrle internes : un vritable projet, Unit de Recherche Informatique IFACI (dcembre 2012) Laccs et la conservation des dossiers relatifs aux missions daudit, Unit de Recherche IFACI (octobre
2012)
La dlgation de gestion en assurance de personnes : pistes pour un contrle interne efficace, Unit
de Recherche IFACI (juin 2012)
Les variables culturelles du contrle interne, Unit de Recherche IFACI (dcembre 2011)
Des cls pour la mise en uvre et loptimisation du contrle interne, Unit de Recherche IFACI (octobre 2011)
Transposition des normes professionnelles de laudit interne et bonnes pratiques : Edition spciale Administrations dEtat, Groupe Professionnel Administrations de lEtat (septembre 2011) Transposition des normes professionnelles de laudit interne et bonnes pratiques : Edition spciale Collectivits Territoriales, Groupe Professionnel Collectivits territoriales (avril 2011) La fraude : Comment mettre en place un dispositif de lutte contre la fraude ? Unit de Recherche de lIFACI (dcembre 2010) La cration de valeur par le contrle interne, Unit de Recherche de lIFACI (octobre 2010) Prise de Position du Groupe Professionnel Banque pour un urbanisme du contrle interne efficient, Groupe Professionnel Banque (Avril 2010) Laudit de la fraude dans le secteur bancaire et financier, Unit de Recherche de lIFACI (janvier 2010) Cration et gestion dune petite structure daudit interne, Unit de Recherche IFACI (janvier 2009) Une dmarche daudit de plan de continuit dactivit, Unit de Recherche IFACI (juillet 2008) Guide daudit du dveloppement durable : comment auditer la stratgie et les pratiques de dveloppement durable ?, Unit de Recherche IFACI (juin 2008) Contrle interne et qualit : pour un management intgr de la performance, Unit de Recherche IFACI (mai 2008) Evaluer et dvelopper les comptences des collaborateurs, Antenne rgionale Aquitaine IFACI (novembre 2007)
Audit des prestations essentielles externalises par les tablissements de crdit et les entreprises dinvestissement 2me Edition, Groupe Professionnel Banque (janvier 2007) Laudit interne et le management des collectivits territoriales, Unit de Recherche IFACI (mai 2006) Une dmarche de management des connaissances dans une direction daudit interne, Unit de Recherche IFACI (mai 2006) Lauto-valuation du contrle interne, Unit de Recherche IFACI (octobre 2005) Cartographie des Risques, Groupe Professionnel Immobilier Locatif (septembre 2005) tude du processus de management et de cartographie des risques, Groupe Professionnel Industrie et commerce (janvier 2004) Pour un bon audit du dispositif de lutte contre le blanchiment des capitaux, Groupe Professionnel Banque (fvrier 2004) Lefficacit des Comits daudit Les meilleures pratiques, PwC The IIA Research Foundation Traduction IFACI PwC (mai 2002) Gouvernement dentreprise et Conseil dadministration, PwC The IIA Research Foundation Traduction IFACI PwC (mai 2002) valuation de la comptence dans la pratique de laudit interne, Prise de position de lECIIA Traduction IFACI (2001) Management des risques, IIA UK Traduction Unit de Recherche IFACI (2001) Le rle de lauditeur interne dans la prvention de la fraude, Prise de position de lECIIA Traduction IFACI (2000)
IFACI
R EMERCIEMENTS
LIFACI tient remercier toutes les personnes qui ont contribu aux diffrentes tapes de llaboration de ce Cahier. Pilotage et revue densemble : Groupe professionnel Assurance de lIFACI, prsid par Anne SAVEY, Responsable Contrle Gnral, Groupe MMA Animation et rdaction : Philippe BERTOMEU, Manager Audit interne, Axa France Wilfried BRIAND, Charg de mission du Directeur Gnral, CNP Assurances Michel BUZEJIC, Responsable Audit interne, Quatrem, animateur de lunit de recherche Guillaume KUCH, Responsable du service pilotage des Clientles Bancaires, CNP Assurances Eric LHUISSIER, Responsable Contrle interne et conformit, MMA Alain MARTEL, Directeur de la Matrise des Risques, MATMUT Lamyaa NADARI, Auditeur interne / Inspecteur, Allianz IARD Marine NGUYEN, Responsable du dpartement de politique indemnisation et contrle interne, Generali Emmanuel RUFFIN, Responsable Contrle interne et Conformit, MATMUT Christelle SAINATO, Responsable de la Matrise des Risques, Harmonie Mutuelle Patrick SAINT-MAXENT, Responsable Pilotage des risques oprationnels et Qualit, AG2R LA MONDIALE Raphael SIFFERT, Coordinateur de contrle permanent, BNP Paribas Cardif Lunit de recherche remercie Marina CRISTOFARI, Compliance & Control, BNP Paribas Assurance, Sbastien SAIDANE, Responsable de module de Risque, MATMUT et Fabienne VIBOUD, Manager Audit interne, COFACE pour leur contribution. Comit de rdaction et de rvision : Michel BUZEJIC, Responsable Audit interne, Quatrem, animateur de lunit de recherche Vianney DUMONT, Responsable Audit interne, MAIF, Reprsentant du GP Assurances de lIFACI Batrice KI-ZERBO, Directeur de la Recherche, IFACI Alain MARTEL, Directeur de la Matrise des Risques, MATMUT Patrick SAINT-MAXENT, Responsable Pilotage des risques oprationnels et Qualit, AG2R La Mondiale Raphael SIFFERT, Coordinateur de contrle permanent, BNP Paribas Cardif Organisation des runions et mise en forme du document : Perrine BNARD, Documentaliste, IFACI NDella YATERA, Charge de missions Recherche, IFACI
S OMMAIRE
INTRODUCTION .................................................................................................................................... 7 1- LEXERCICE DE CARTOGRAPHIE DES RISQUES : ETAT DES LIEUX ET PERSPECTIVES ................................................................................................ 9 1.1- Retour dexprience des membres de lunit de recherche .................................................... 10 1.2- Cadres normatifs et rglementaires .......................................................................................... 11 1.3- Cadre spcifique aux activits dassurance .............................................................................. 14 1.3.1- Les dcrets relatifs au contrle interne ........................................................................... 14 1.3.2- Les attentes de lAutorit de Contrle Prudentiel (ACP) ............................................. 15 1.3.3- La directive Solvabilit II ................................................................................................... 17 2- ACTEURS ET GOUVERNANCE ................................................................................................... 19 2.1- Les acteurs-cls de la cartographie des risques ....................................................................... 20 2.1.1- Les fonctions oprationnelles .......................................................................................... 21 2.1.2- Les fonctions support de matrise des risques ............................................................... 21 2.1.3- Laudit interne ................................................................................................................... 23 2.1.4- En synthse : six tapes cls et des responsabilits clairement dfinies ...................... 24 2.2- Les instances de gouvernance .................................................................................................. 25 2.2.1- Organe dadministration, de gestion ou de contrle ..................................................... 25 2.2.2- Gouvernance institutionnelle : comit daudit et/ou des risques ................................. 26 2.2.3- Gouvernance oprationnelle : comit managrial des risques ..................................... 26 2.2.4- Autres comits internes participant la gestion des risques dans le cadre de dcisions oprationnelles ....................................................................................................... 27 3- IDENTIFICATION ET EVALUATION DES RISQUES .............................................................. 29 3.1- La notion de risque .................................................................................................................... 30 3.1.1- Dfinitions ......................................................................................................................... 30 3.1.2- Apptence pour les risques et seuil de tolrance ........................................................... 31 3.1.3- La nomenclature des risques ........................................................................................... 32 3.2- Mesure du risque ........................................................................................................................ 35 3.2.1- La frquence ...................................................................................................................... 36 3.2.2- Limpact .............................................................................................................................. 37 3.2.3- Le risque brut .................................................................................................................... 39 3.2.4- Les lments de matrise .................................................................................................. 39 3.2.5- Le risque rsiduel .............................................................................................................. 40
IFACI
3.3- Deux approches complmentaires ............................................................................................ 41 3.3.1- Lapproche bottom-up ........................................................................................................ 41 3.3.2- Lapproche top-down ......................................................................................................... 46 3.3.3- Intgration des deux dmarches ...................................................................................... 47 4- SUIVI PERMANENTDES RISQUES ............................................................................................. 53 4.1- Une modalit particulire de suivi partir de la base dincidents ......................................... 54 4.2- Une communication approprie ............................................................................................... 55 4.2.1- Reporting interne ............................................................................................................... 56 4.2.2- Reporting externe ............................................................................................................... 59 CONCLUSION ....................................................................................................................................... 61 ANNEXES ................................................................................................................................................ 63 1- Exemples de processus - Secteur assurances ............................................................................. 64 2- Nomenclature des risques ............................................................................................................ 65 3- Prsentation des risques de la formule standard du calcul du SCR ....................................... 109 4- Exemple dimpact financier ........................................................................................................ 118 5- Evaluation de limpact financier dun incident ......................................................................... 119 6- Illustration - Synthse du processus de collecte des vnements .......................................... 122 7- Directive Solvabilit II (Extraits) ................................................................................................. 123 8- Dcret n2006-287 du 13 mars 2006 relatif au contrle interne des entreprises d'assurance et modifiant le Code des assurances (Extraits) .............................................................................. 127 9- Dcret n2008-468 du 19 mai 2008 relatif au contrle interne des institutions de prvoyance, des mutuelles et de leurs unions .......................................................................... 128 10- Exemple de reporting ................................................................................................................. 130 BIBLIOGRAPHIE ................................................................................................................................. 135
IFACI
Avertissement aux lecteurs Ce cahier de la recherche a t ralis partir de contributions de professionnels de laudit et du contrle internes. Ce travail collectif, ralis sous lgide de lIFACI, fournit un tat des lieux des pratiques professionnelles et des pistes damlioration qui nengagent pas les organisations reprsentes.
LAutorit de Contrle Prudentiel (ACP) est devenue lAutorit de Contrle Prudentiel et de Rsolution (ACPR) par la loi n 2013-672 du 26 juillet 2013, de sparation et de rgulation des activits bancaires. Le prsent ouvrage rdig durant le 1er semestre 2013, na donc pas intgr ce changement de dnomination.
Toute reprsentation ou reproduction, intgrale ou partielle, faite sans le consentement de lauteur, ou de ses ayants droits, ou ayants cause, est illicite (loi du 11 mars 1957, alina 1er de larticle 40). Cette reprsentation ou reproduction, par quelque procd que ce soit, constituerait une contrefaon sanctionne par les articles 425 et suivants du Code Pnal.
IFACI
I NTRODUCTION
Le premier ouvrage du Groupe Professionnel Assurance de lIFACI, publi en 2006, a t un outil de rfrence pour la sensibilisation aux dmarches de cartographie des risques ou pour leur mise en uvre. Ainsi, il a pu tre utilis dans des organismes dassurance qui formalisaient leur dispositif de contrle interne (notamment dans le cadre de la Loi de Scurit Financire, ou Sarbanes-Oxley), mais galement accompagner ceux qui ont engag des dmarches globales de gestion des risques du type ERM (Entreprise Risk Management). Les volutions rglementaires constantes, les demandes de plus en plus prcises de la part du superviseur, lintrt croissant des instances de gouvernance ainsi que la volont de faire progresser la matrise des risques de chaque organisme dassurance ont conduit le Groupe Professionnel Assurance actualiser le cahier de la recherche. Cette mise jour a pu sappuyer sur la diversit des mtiers (contrle interne, gestion des risques, audit interne) reprsents dans lunit de recherche pour identifier les axes damlioration des dmarches de cartographies des risques existantes, notamment dans la perspective de la mise en uvre de la directive Solvabilit II. Lunit de recherche a fonctionn de faon pragmatique et collgiale. Pragmatique dans la mesure o chacun y a particip sur une base volontaire afin dy apporter sa propre exprience et senrichir de celle des autres participants. Collgiale car il sagissait de dfinir de faon consensuelle la position du groupe de travail. Les travaux se sont drouls en 2012, les contributeurs ont notamment : tenu compte de lvolution du niveau de maturit des dmarches de cartographie des risques et des retours dexpriences partages, mieux pris en compte les risques conomiques, de solvabilit, et de rputation dans la mise jour de la typologie des risques, prcis les rles des acteurs des dmarches de cartographie des risques et les responsabilits des organes de gouvernance, mis laccent sur le reporting appropri permettant chacun de ces acteurs de jouer efficacement leur rle, attir lattention sur la ncessaire intgration de la cartographie des risques dans le dispositif de matrise des risques (lien avec les bases dincidents, les plans dactions, etc.), fait rfrences aux risques spcifiques (blanchiment, protection de la clientle, etc.) et leur prise en compte dans la dmarche globale de cartographie des risques, introduit les principes thoriques de lORSA (qui sont en cours de mise en uvre actuellement) et leur impact sur les pratiques de cartographie des risques.
IFACI
En proposant des cls de lecture et des guides mthodologiques pour chaque tape de la cartographie des risques, ce cahier de la recherche permettra aux diffrents acteurs des organismes dassurance dapprhender leur rle dans ce processus. Dun abord didactique, il nest pas rserv aux experts de la matrise des risques. En effet, la cartographie des risques nest pas une fin en soi. Les membres des organes excutifs et les administrateurs y trouveront des principes fondamentaux pour assumer leurs responsabilits de surveillance de ces dmarches et assurer leur intgration efficace au processus global de gestion des risques.
IFACI
PARTIE 1 L EXERCICE
DE CARTOGRAPHIE DES RISQUES TAT DES LIEUX ET PERSPECTIVES
Le prsent cahier de la recherche sinscrit dans le prolongement de la premire publication du Groupe Professionnel Assurance de lIFACI. Il prend en compte les bonnes pratiques rsultant des travaux de cartographie des risques dans les organismes dassurance depuis 2006. Il sintgre galement dans la perspective de la mise en uvre de la directive Solvabilit II. Nanmoins, les propositions formules cet gard devront sans doute tre revisites compte tenu du niveau de dploiement de cette directive la date de finalisation du cahier.
IFACI
1.1
R ETOUR D EXPRIENCE
Un benchmark portant sur les dmarches de cartographies des risques montre que 83% des organismes dassurance reprsents dans lunit de recherche ont utilis la premire dition du cahier de la recherche, aussi bien pour la mise en place des cartographies des risques que pour leurs actualisations. Il est utilis par diffrentes entits : directions des risques, directions de contrle interne ou directions de l'audit interne. Ces dernires lutilisent dans le cadre de l'laboration du plan d'audit ou des programmes de travail d'une mission. Les principaux apports mentionns par les utilisateurs concernent la description pdagogique de la mthodologie ainsi que la nomenclature des risques. Les premires dmarches structures et formalises de cartographies des risques ont t mises en place partir de 2003 gnralement pour rpondre aux exigences de la Loi Sarbanes-Oxley, de la Loi de Scurit Financire et du dcret du 13 mars 2006 relatif au contrle interne des entreprises d'assurance1. Depuis 2010, des dmarches complmentaires ont t inities pour notamment assurer le suivi des risques dits majeurs . Ainsi, certains organismes dassurance peuvent disposer de plusieurs types de reprsentation de leurs risques. Conformment la nomenclature propose en 2006, les principales familles de risques concernent les risques oprationnels, les risques financiers, les risques dassurance et techniques. Les risques stratgiques ou les risques externes (par exemple : volutions rglementaires, risque pays, concurrence, etc.) sont peu mentionns. Pourtant, ils font partie des proccupations majeures des directions gnrales des organismes dassurance. Dans 54% des cas, llaboration des cartographies des risques est centralise au niveau d'une entit ddie aux risques, qui donne la mthodologie, la trame, l'impulsion. La responsabilit de leur suivi incombe aux directions et/ou entits oprationnelles, qui peuvent tre amenes nommer un correspondant risques . Ce dispositif s'est mis en place progressivement dans les organismes et traduit une certaine maturit sur ces sujets. Il concerne principalement les risques oprationnels et/ou les processus mtiers. La communication et le reporting sont principalement destination du management des entits, des fonctions risques , du contrle interne , de laudit interne et des comits daudit ou des risques. Le niveau et le format de restitution sont dclins en fonction de cette diversit de destinataires.
10
IFACI
48% des organismes ont fait lacquisition ou ont dvelopp des progiciels ddis la matrise des risques1. La mise en place de tels outils peut faciliter une vision intgre de diffrents lments de la matrise des risques (cartographies des risques, plans d'actions, suivi des incidents, recommandations des audits internes et externes, etc.). Les avances ralises par le secteur et la professionnalisation croissante des acteurs de la matrise des risques sont notables. Elles sinsrent dans le cadre dune volution gnrale des organisations et dexigences spcifiques au secteur de lassurance (notamment les exigences des autorits de tutelle et de la directive Solvabilit II).
1.2 C ADRES
NORMATIFS ET RGLEMENTAIRES
Historiquement, les pratiques de cartographies des risques ont t portes par les projets de contrle interne. Si le contrle interne est un sujet assez ancien, les crises (Enron, WorldCom ou Parmalat) du dbut des annes 2000, ont donn naissance des rglementations dans de nombreux pays, et ont contribu renforcer les pratiques de contrle interne et de matrise des risques au sens large. Ainsi, la loi Sarbanes Oxley, vote en 2002, requiert que les socits cotes New York documentent les dispositifs de contrle interne des processus conduisant ltablissement des tats financiers. Tests par les oprationnels eux-mmes, lexistence et le bon fonctionnement de ces dispositifs sont attests par les commissaires aux comptes. La mise en uvre de cette loi sest clairement appuye sur le rfrentiel COSO dont lune des composantes-cls2 concerne lvaluation des risques. Vote en 2003, la loi de scurit financire sinscrit galement dans cette volont de renforcer la transparence et le contrle interne des entreprises cotes. En 2006, lAMF (Autorit des Marchs Financiers) propose aux metteurs un cadre de rfrence de contrle interne. Compatible avec les principes du COSO, le cadre de rfrence a t actualis en 2010 pour intgrer les exigences de la 8me directive europenne en matire de suivi de lefficacit des systmes de gestion des risques et de contrle interne par les comits daudit.
Cf. Cahier de la recherche Slectionner un outil informatique pour les services daudit et de contrle internes : un vritable projet et la revue Audit & Contrle Internes - Ifaci - N212 - Novembre / dcembre 2012. Les 5 composantes interdpendantes du contrle interne propos par le COSO sont : lenvironnement de contrle, lvaluation des risques, les activits de contrle, linformation et la communication, les activits de pilotage. Le COSO dfinit le contrle interne comme un processus mis en uvre par le Conseil, le management et les collaborateurs, et qui est destin fournir une assurance raisonnable quant la ralisation d'objectifs lis aux oprations, au reporting et la conformit.
IFACI
11
Un processus de gestion des risques comprenant, au sein de son contexte interne et externe la socit, trois tapes : Identification des risques : tape permettant de recenser et de centraliser les principaux risques, menaant latteinte des objectifs. Un risque reprsente une menace ou une opportunit manque. Il se caractrise par un vnement, une ou plusieurs sources et une ou plusieurs consquences. Lidentification des risques sinscrit dans une dmarche continue. Analyse des risques : tape consistant examiner les consquences potentielles des principaux risques (consquences qui peuvent tre notamment financires, humaines, juridiques, ou de rputation) et apprcier leur possible occurrence. Cette dmarche est continue. Traitement du risque : tape permettant de choisir le(s) plan(s) daction le(s) plus adapt(s) la socit. Pour maintenir les risques dans les limites acceptables, plusieurs mesures peuvent tre envisages : la rduction, le transfert, la suppression ou lacceptation dun risque. Le choix de traitement seffectue notamment en arbitrant entre les opportunits saisir et le cot des mesures de traitement du risque, prenant en compte leurs effets possibles sur loccurrence et/ou les consquences du risque.
Cf. Les dispositifs de gestion des risques et de contrle interne : cadre de rfrence / AMF. - 2010.
Dautres rfrentiels de gestion des risques proposent des dfinitions et des principes dont lunit de recherche sest inspire :
12
IFACI
FERMA
Le FERMA (Federation of European Risk Management Associations) propose un cadre de rfrence de la gestion des risques (2003) et organise les facteurs de risques internes et externes comme suit :
RISQUES FINANCIERS
TAUX D'INTERET TAUX DE CHANGE CREDIT
E E X T E R NE OR I GI N
RISQUES STRATEGIQUES
COMPETITION CHANGEMENTS DES CLIENTS CHANGEMENTS DANS L'ACTIVITE DEMANDE DES CLIENTS
ORIGINE INTERNE
SYSTEME DE CONTROLE DES COMPTES SYSTEMES D'INFORMATION RECRUTEMENT CHAINE D'APPROVISIONNEMENT EMPLOYES MOBILIER BIENS & SERVICES
RISQUES OPERATIONNELS
PERILS
Exemples de facteurs internes et externes (extrait de Gestion des risques / FERMA. 2003)
OR I GI N E E X T E R NE
IFACI
13
Des exigences propres au secteur de lassurance viennent prciser les attentes en matire de contrle interne et de gestion des risques.
Toute entreprise mentionne larticle L. 310-1 du code des assurances est tenue de mettre en place un dispositif permanent de contrle interne. Le conseil dadministration ou le conseil de surveillance approuve, au moins annuellement, un rapport sur le contrle interne, qui est transmis lAutorit de Contrle Prudentiel (cf. annexe 8). [...] Toutefois, les entreprises faisant appel public lpargne ne sont pas tenues de fournir ces lments lorsquelles transmettent lAutorit de Contrle Prudentiel le rapport mentionn, selon les cas, larticle L. 225-371 ou larticle L. 22568 du code de commerce.
1.3.1.2
Le dcret du 19 mai 2008 relatif au contrle interne des institutions de prvoyance, des mutuelles et de leurs unions
Pour les institutions de prvoyance ou unions : Toute institution ou union mentionne larticle R. 931-43 du code de la scurit sociale est tenue de mettre en place un dispositif permanent de contrle interne. Le conseil dadministration approuve, au moins annuellement, un rapport sur le contrle interne, qui est transmis lAutorit de Contrle Prudentiel. Pour les mutuelles ou unions : Toute mutuelle ou union mentionne larticle R. 211-28 du code de la mutualit est tenue de mettre en place un dispositif permanent de contrle interne. Le conseil dadministration approuve, au moins annuellement, un rapport sur le contrle interne, qui est transmis lAutorit de Contrle Prudentiel. Un extrait du dcret est propos en annexe 9.
Dans les socits dont les titres financiers sont admis aux ngociations sur un march rglement, le prsident du conseil d'administration rend compte, dans un rapport joint au rapport mentionn aux articles L. 225-100, L. 225-102, L. 225-102-1 et L. 233-26, de la composition du conseil et de l'application du principe de reprsentation quilibre des femmes et des hommes en son sein, des conditions de prparation et d'organisation des travaux du conseil, ainsi que des procdures de contrle interne et de gestion des risques mises en place par la socit, en dtaillant notamment celles de ces procdures qui sont relatives l'laboration et au traitement de l'information comptable et financire pour les comptes sociaux et, le cas chant, pour les comptes consolids. Sans prjudice des dispositions de l'article L. 22556, ce rapport indique en outre les ventuelles limitations que le conseil d'administration apporte aux pouvoirs du directeur gnral.
14
IFACI
1.3.2.1
En complment des textes lgislatifs et rglementaires, lACP met des positions ou des recommandations destination des organismes soumis son contrle et au public. L'ACP cre ainsi un droit souple ou soft law pour exercer ses missions danalyse et de contrle concernant : lapplication des lois et des rglements en matire prudentielle, la vigilance permanente en matire de lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB-FT), le respect des rgles en matire de commercialisation de produits et protection de la clientle. LACP publie un recueil de l'ensemble des codes de conduite, rgles professionnelles et autres bonnes pratiques constates ou recommandes dont elle assure le respect (article L612-29-1 du code montaire et financier). Les organismes dassurance sont donc tenus dintgrer ces positions et recommandations afin de se couvrir de tout risque de non-conformit ou dimage.
Dispositions sectorielles
Droit des assurances (contrats) Droit de la distribution des produits dassurance Fiscalit des produits dassurance Lutte anti-blanchiment
Rglementation
Recommandations : prconisations de bonnes pratiques adresses aux personnes contrles Mise en garde : mesure de police administrative prise
lorsquune personne a des pratiques susceptibles de mettre en danger les intrts de ses clients. LACP peut la mettre en garde lencontre de la poursuite de ces pratiques tant quelles portent atteinte aux rgles de bonne pratique de la profession concerne
Soft law
Codes de conduite approuvs par lACP Bonnes pratiques professionnelles que lACP
constate ou recommande
Sanctions disciplinaires
15
1.3.2.2
LACP veille ce que les organismes dassurance soient en mesure de tenir tout moment les engagements quils ont pris envers leurs assurs, adhrents et bnficiaires, et quils les tiennent effectivement. Pour mener bien ses missions, lACP sappuie notamment sur des diagnostics individualiss pour chaque organisme. A titre dillustration, 531 organismes dassurance ont fait lobjet dune valuation de leur profil de risque (cf. Rapport d'activit annuel 2011 de lACP). Ces valuations portent sur les domaines suivants : Le risque de souscription : - engagements pris envers les assurs, adhrents et bnficiaires des contrats, - tarification, - surveillance du portefeuille, - adaptation de la politique de rassurance. La qualit et la suffisance des provisions : - taux dactualisation et table employs, - volution de la frquence des sinistres et des cots moyens, - suivi des sinistres graves. La diversification suffisante et lvaluation prudente des placements : - classement rglementaire, - comptabilisation des dprciations durables ncessaires, - constitution de provision complmentaire le cas chant. Le risque oprationnel li notamment au : - risque de fraude ou derreur, - dficience des systmes dinformation, - risque de rputation. La qualit de la gestion actif-passif et de la gestion du risque de taux dintrt. La qualit de lorganisation du dispositif de conformit et de contrle interne, incluant les modalits de surveillance et de matrise des risques. La gouvernance dentreprise et le fonctionnement rgulier des organes dlibrants et dirigeants. La rentabilit des oprations dassurance et la formation du rsultat. Le niveau, la structure et la prennit des fonds propres. La situation de chaque organisme est analyse en se fondant sur : des donnes quantitatives au regard de chacun des critres dvaluation, ainsi que de sa situation financire ; des donnes qualitatives visant valuer la qualit du dispositif de surveillance et de matrise des risques.
16
IFACI
Les travaux de lunit de recherche sintgrent plus particulirement dans le cadre du Pilier 2, mme si une interaction existe avec les autres piliers. En effet, les fonctions cls participent activement la dmarche. De mme, la cartographie des risques viendra alimenter lORSA.
Directive 2009/138/CE du 25 novembre 2009 sur laccs aux activits de lassurance et de la rassurance et leur exercice (Solvabilit II).
IFACI
17
18
IFACI
PARTIE 2 ACTEURS
ET GOUVERNANCE
La gouvernance de la gestion des risques prsente une dimension stratgique et une dimension oprationnelle, permettant une rpartition claire et une sparation approprie des responsabilits des acteurs impliqus. Un certain nombre dacteurs est amen intervenir dans lexercice de cartographie des risques, en qualit de sponsor , de coordinateur , de contributeur , dutilisateur . Lallocation prcise de ces rles devrait tre cohrente avec le modle des trois lignes de dfense (ou des lignes de matrise) et le modle dorganisation de chaque organisme dassurance.
IFACI
19
2.1 L ES
En termes dorganisation, la directive et les documents associs instituent des fonctions cls. En outre, des organisations professionnelles (ECIIA/FERMA, IIA, AMRAE /IFACI) proposent un pilotage efficient des dispositifs de gestion des risques en sappuyant sur trois lignes de dfense, reprsentes dans le modle suivant :
Conseil dadministration / Comit daudit Direction gnrale
Audit externe
Rgulateurs
Management oprationnel
Contrle interne S.I. Ressources humaines Juridique Finance / Comptabilit Qualit Contrle de gestion
Audit interne
Lgende :
Positionnement et rles de chaque ligne de dfense dans les systmes de gestion des risques et de contrle interne : la premire ligne de dfense correspond aux contrles pilots par le management oprationnel ou mtier, la deuxime ligne de dfense est celle des diffrentes fonctions institues par les organisations pour assurer le contrle et le suivi des risques. Les fonctions cls dfinies par la directive Solvabilit II bnficient dune certaine autonomie voire indpendance, par rapport aux activits oprationnelles / mtiers afin de garantir la fiabilit de leurs valuations des
20
IFACI
risques, ladquation de leurs propositions de plans de remdiation et leur suivi. En tant que fonctions support du management, elles peuvent directement intervenir dans la modification et la mise au point des systmes de contrle interne et de gestion des risques la diffrence de laudit interne. Outre les fonctions cls, des fonctions support plus traditionnelles participent la deuxime ligne de dfense (directions financires, informatiques, ressources humaines, juridique, qualit, etc.) ; elles-mmes amenes mettre des politiques et/ou directives applicables au sein des organisations ; elles assurent galement des activits de contrles. la troisime ligne de dfense est celle de lassurance indpendante fournie par laudit interne. De plus, laudit interne bnficie de rgles dontologiques et professionnelles qui confortent son indpendance et son objectivit.
Lunit de recherche a choisi de prciser les rles des acteurs de la cartographie des risques en partant de ce modle.
2.1.1
La premire ligne regroupe les oprationnels (par exemple, les directions mtiers charges de la gestion des contrats dassurance, des sinistres, des cotisations, etc.). Leur connaissance des mtiers les place dans un rle incontournable dans lidentification des risques inhrents leur activit, la maintenance de cette cartographie des risques, sa primo-valuation et le dploiement des contrles-cls destins matriser les risques identifis. Ainsi, le management a la responsabilit de la matrise des risques sur son primtre. Il examine les expositions de risques, dfinit les priorits la lumire de lanalyse des risques. Il doit promouvoir la sensibilit aux risques dans les units et faire connatre les objectifs de gestion des risques.
2.1.2.1
Celle-ci veille ce que le niveau de risque pris par lorganisme dassurance, soit cohrent avec les orientations1 et les objectifs dfinis par les organes dadministration, de gestion, de contrle. Ainsi,
1
La stratgie, la politique des risques en particulier le niveau dapptit pour les risques et les seuils de tolrance.
IFACI
21
la fonction gestion des risques propose aux dirigeants un profil des risques de lorganisme, travers : une vision holistique des risques de lorganisme, une perspective largie lors de la prise de dcisions stratgiques, des plans de matrise des risques. Elle anime lensemble du dispositif didentification, de mesure, de traitement, de surveillance et de reporting des risques, notamment ceux noncs par la directive Solvabilit II.
2.1.2.2
La fonction actuarielle
La fonction actuarielle contribue lamlioration du systme de gestion des risques. Elle donne avec objectivit une opinion aux organes dirigeants et dlibrants, sur la fiabilit et le caractre adquat du calcul des provisions techniques (opinion et marge dincertitude), sur les politiques de souscription et les dispositifs de rassurance. Dans ce cadre, elle tablit un rapport annuel destination des organes dirigeants et dlibrants. A noter que le document de travail du CEIOPS CP582 prcise que la fonction actuarielle doit disposer dun niveau suffisant dindpendance fonctionnelle.
2.1.2.3
La fonction de vrification de la conformit veille au respect des obligations dcoulant des dispositions lgales et rglementaires, des normes professionnelles et dontologiques ainsi que des rgles internes dictes par les organismes dassurance. Elle value les impacts probables des changements dans lenvironnement lgal et rglementaire. Dans ce cadre, la fonction de vrification de la conformit doit identifier, valuer et contrler lexposition aux risques lgaux, juridiques et rglementaires. Enfin, elle apporte un conseil aux organes de gouvernance sur les problmatiques de conformit. Ses missions se traduisent dans un plan de conformit dtermin en fonction des activits prsentant un risque de non-conformit. La dfinition de ce plan sinscrit dans lanimation du dispositif de contrle interne des organismes dassurance. Ce dernier permet aux organismes dassurance de renforcer la conduite des activits par des moyens de contrles (organisations, indicateurs, procdures, etc.) lui permettant de matriser ses risques ou de prvenir les zones de dfaillance.
2.1.2.4
Outre les fonctions prvues dans la directive Solvabilit II, dautres fonctions participent la deuxime ligne de dfense, telles que le contrle interne, la scurit des systmes (Responsabilit
1
CEIOPS Advice for Level 2 Implementing Measures on Solvency II: Supervisory Reporting and Public Disclosure Requirements (former Consultation Paper 58).
IFACI
22
Scurit et Systme dInformation) ou la continuit des activits, elles compltent laction des directions support plus traditionnelles (directions financires, informatiques, ressources humaines, juridique, qualit, etc.) amenes mettre des politiques et/ou directives applicables au sein des organisations.
IFACI
23
notamment ladquation et lefficacit du systme de contrle interne et les autres lments du systme de gouvernance en conformit avec larticle 47 de la directive Solvabilit II. Les autres lments prendre en considration par laudit interne peuvent concerner le fonctionnement des organes dlibrants et excutifs, les exigences de comptence et dhonorabilit, le processus dvaluation interne du risque et de la solvabilit (ORSA), la matrise de la sous-traitance, etc. Lexploitation des constats et des recommandations de laudit interne permet denrichir la cartographie des risques et de la faire vivre. Laudit interne rend compte de son valuation du niveau de matrise des risques aux organes dadministration, de gestion ou de contrle. Les services daudit exercent leurs missions conformment au cadre de rfrence international de lIIA / IFACI.
Premire ligne Sponsor Coordinateur Contributeur Utilisateur Sponsor Coordinateur Contributeur Utilisateur Sponsor Coordinateur Contributeur Utilisateur Sponsor Coordinateur Contributeur Utilisateur
Deuxime ligne Sponsor Coordinateur Contributeur Utilisateur Sponsor Coordinateur Contributeur Utilisateur Sponsor Coordinateur Contributeur Utilisateur Sponsor Coordinateur Contributeur Utilisateur
Troisime ligne Sponsor Coordinateur Contributeur Utilisateur Sponsor Coordinateur Contributeur Utilisateur Sponsor Coordinateur Contributeur Utilisateur Sponsor Coordinateur Contributeur Utilisateur
Mettre en uvre les traitements des risques Assurer une surveillance permanente et le pilotage du niveau des risques rsiduels
Partie 4
24
IFACI
Principales tapes de la cartographie Evaluer priodiquement le dispositif de gestion des risques Mettre jour la cartographie des risques
Premire ligne Sponsor Coordinateur Contributeur Utilisateur Sponsor Coordinateur Contributeur Utilisateur
Deuxime ligne Sponsor Coordinateur Contributeur Utilisateur Sponsor Coordinateur Contributeur Utilisateur
Troisime ligne Sponsor Coordinateur Contributeur Utilisateur Sponsor Coordinateur Contributeur Utilisateur
Partie 4.2.1.3
Partie 3
2.2 L ES
INSTANCES DE GOUVERNANCE
La gestion des risques est guide et surveille par les diffrents acteurs des organes dadministration, de gestion, ou de contrle (ou AMSB - Admistrative, Management or Supervisory Body - en rfrence la directive Solvabilit II) ainsi que par les membres de comit daudit ou des risques, qui forment le gouvernement dentreprise .
IFACI
25
En France, lorgane dadministration de gestion ou de contrle sera reprsent par le conseil dadministration et le directeur gnral ou, dans le cas dune structure duale, par le conseil de surveillance et le directoire .
Rapport dactivit annuel 2012 de lACP
Bien que la gestion des risques relve de la responsabilit collective de lorgane dadministration, de gestion ou de contrle, celui-ci doit dsigner au moins un membre pour surveiller lefficacit du systme de gestion des risques en place .
26
IFACI
Sur proposition de la direction des risques, le comit prend les principales dcisions concernant la mise en uvre des dispositifs de gestion des risques et lencadrement des principaux risques. Il assure le suivi de la mise en uvre des solutions de remdiation.
2.2.4 Autres comits internes participant la gestion des risques dans le cadre de dcisions oprationnelles
Pour assurer le dploiement oprationnel de la gestion des risques, les organismes dassurance mettent en place des comits managriaux tels que : le comit de gestion actif-passif (ALM - Asset and Liability Management) le comit de souscription, le comit des placements, etc.
Ces comits managriaux doivent tre transverses. Les informations et les dcisions doivent circuler de manire trs fluide entre les structures. La gouvernance des comits doit tre formalise par un rglement intrieur (composition, mode de fonctionnement, primtre, cration ventuelle de sous-comits, dispositif de remonte dinformation, etc.). Tout comit doit mettre et archiver un ordre du jour, un compte rendu et les documents prsents en sance. Laudit interne doit avoir accs linformation, notamment pour llaboration du plan. Ainsi,laudit interne doit tre destinataire des comptes rendus des comits et/ou tre invit aux comits, avec voix consultative.
IFACI
27
28
IFACI
PARTIE 3 I DENTIFICATION
ET VALUATION DES RISQUES
Le recensement des risques vise capter un instant donn, les risques qui peuvent porter atteinte la ralisation des objectifs dune organisation, dun processus, ou dune activit.
IFACI
29
3.1 L A
NOTION DE RISQUE
Les rfrentiels de contrle interne et de gestion des risques proposs dans la partie 1 proposent des dfinitions et des principes pour mieux apprhender les risques.
3.1.1
Dfinitions
Selon la norme ISO 31000 qui fait rfrence au Guide 73:2009 Management du risque Vocabulaire , le risque est leffet de lincertitude sur l'atteinte des objectifs . A noter que cette dfinition ne caractrise pas leffet, celui-ci peut donc tre un cart ngatif ou positif par rapport aux attentes. Les objectifs en questions peuvent avoir diffrents aspects (par exemple, objectifs financiers, de conformit, oprationnels, etc.) et peuvent concerner diffrents niveaux (stratgique, projet, produit, processus ou un organisme tout entier). Le cadre de rfrence de lAMF considre que le risque reprsente la possibilit quun vnement survienne et dont les consquences seraient susceptibles daffecter les personnes, les actifs, lenvironnement, les objectifs de la socit ou sa rputation . Le COSO dfinit le risque comme tant la possibilit quun vnement se produise et affecte la ralisation des objectifs 1. Dans le cadre du processus d'identification et d'valuation des risques, une organisation peut galement dceler des opportunits, qui sont des vnements susceptibles daffecter positivement la ralisation des objectifs. Il est important de saisir ces opportunits et de les communiquer au processus de dfinition des objectifs 2. Pour ses travaux, lunit de recherche sest base sur la dfinition du risque propose par le COSO en 2013. Ces rfrentiels proposent dapprhender les risques selon au moins deux dimensions : dune part, par les notions de frquence, de probabilit, dalas, dincertitude, et dautre part, par les consquences, les impacts sur les organisations, les individus ou les objectifs. Seule la combinaison de ces deux composantes (par exemple, la frquence et limpact) permet destimer raisonnablement le niveau de risque. Enfin, il convient de distinguer : le risque brut ou inhrent qui mesure le risque sans aucun lment de matrise : absence de procdures, absence dactivits de contrle, absence de systme informatique, etc.
1 2
Cf. Internal Control - Integrated Framework / COSO. - mai 2013. La version franaise paratra dbut 2014. Composante valuation des risques du COSO 2013.
30
IFACI
le risque rsiduel ou le risque net qui mesure le risque aprs mise en place des lments de matrise : contrle interne, couverture financire, partage du risque, etc.
IFACI
31
Laudit interne vrifie de faon indpendante que la politique des risques est clairement dfinie pour tre mise en uvre par la premire et la deuxime ligne de dfense. Il sassure priodiquement que le niveau de matrise des processus reste dans les limites acceptables. Il fait des propositions pour amliorer la gestion globale du dispositif et la fiabilit des indicateurs.
32
IFACI
3.1.3.1
Conu de manire arborescente selon trois niveaux de risques, la nomenclature de lunit de recherche propose en annexe 2 permet de prciser les risques identifis et de les rattacher lune des quatre familles de risques retenues1. Cette nomenclature est construite sur trois niveaux de risques complmentaires : le niveau 1 concerne les quatre grandes familles de risques : - financiers : risques lis lvolution des marchs financiers, de gestion de bilan ou financire ; - assurances : risques spcifiques aux activits techniques dassurance (souscription, tarification, provisionnement technique, etc.) ; - oprationnels : risques de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs ; - stratgiques et environnementaux : risques relatifs au pilotage de lentreprise, aux risques de rputation directs et aux risques gnrs par lenvironnement de lentreprise et aux risques mergents. le niveau 2 permet de dfinir des catgories de risques au sein de chaque famille (exemple pour les risques financiers : liquidit, march, crdit, etc.). le niveau 3 offre un degr de dtail supplmentaire au sein de ces catgories (exemple : pour le risque financier de crdit : rglement livraison, dfaut metteur, etc.). Chacune de ces quatre familles a t dcline en 27 risques de niveau 2, lesquels ont t leur tour dclins en 192 risques de niveau 3. Ainsi, selon le niveau de granularit souhait, elle permet davoir un degr de finesse variable dans la vision des risques encourus. De plus, cette nomenclature actualise intgre les risques dfinis pour la formule standard par la directive Solvabilit II.
3.1.3.2
Larticle 13 de la directive Solvabilit II (cf. annexe 7), dfinit le risque oprationnel comme le risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs. Cette dfinition englobe une grande diversit de risques. Hormis, la mention aux vnements externes, elle est trs proche de celle propose par Ble 2 qui vise les pertes directes ou indirectes dues une inadquation ou une dfaillance des procdures, du personnel et des systmes internes. Compte tenu de cette similitude, lunit de recherche a repris la dclinaison en sept catgories du risque oprationnel de Ble 2 : clients, produits et pratiques commerciales, excution, livraison et gestion des processus,
1
Le prcdent rfrentiel comportait 6 familles de risques (assurance, financier, comptable, oprationnel, pilotage, externe), ce passage 4 familles de risques sexplique par le retour dexprience des membres de lunit de recherche Cf. Cartographie des risques / Groupe professionnel Assurance . IFACI, 2006.
IFACI
33
dysfonctionnements de lactivit et des systmes, pratiques en matire demploi et de scurit sur le lieu de travail, dommages aux actifs corporels, fraude interne, fraude externe.
En vertu de larticle 49.2.b de la directive Solvabilit II, la sous-traitance d'activits ou de fonctions oprationnelles importantes ou critiques ne doit pas tre effectue d'une manire susceptible daccrotre indment le risque oprationnel. Pour matriser les risques oprationnels, il est donc indispensable de ne pas se limiter aux frontires de lorganisation. Pour mmoire, un groupe de recherche de lIFACI a fait des propositions pour la matrise des activits en dlgation de gestion1. Compte tenu de la palette des risques oprationnels, il nest pas rare de trouver des cartographies thmatiques, par exemple, sur le risque de fraude ou les pratiques commerciales.
3.1.3.3
Sous le rgime Solvabilit II, le SCR2 (capital de solvabilit requis) reprsente lexigence de capital. Il correspond au montant de fonds propres dtenir pour permettre dviter la ruine 99,5 % lhorizon dun an. Le SCR est bas sur le profil de risque de lorganisme dassurance, le SCR peut tre calcul soit par une formule standard calibre uniformment sur le march europen, soit par un modle interne dvelopp par lorganisme dassurance et aprs autorisation par le superviseur, soit par une combinaison de ces deux mthodes. Le SCR formule standard est calcul selon une approche modulaire (cf. schma ci-aprs). Lorganisme doit calculer la perte subie en cas dvnement dfavorable li une trentaine de sousmodules de risques, rpartie travers sept modules de risques3 : Le module risque de march , Le module risque de souscription en sant , Le module risque de contrepartie , Le module risque de souscription en vie , Le module risque de souscription en non-vie , Le module risque sur actifs incorporels , Le risque oprationnel.
2 3
La dlgation de gestion en assurances de personnes : pistes pour un contrle interne efficace [Cahier de la Recherche] / Unit de Recherche de lIFACI. - IFACI, 2012. Solvency Capital Requirement. Cf. Annexe 3 : Prsentation des risques de la formule standard.
34
IFACI
Les risques dcrits pour dterminer la formule standard constituent donc une base pour cartographier les risques de lorganisme dassurance. Aussi, la nomenclature des risques prsente en annexe 2, fait rfrence aux modules et sous modules de risques de cette formule.
SCR
Ajustement
BSCR
Oprationnel
March
Sant
Contrepartie
Vie
Non-vie
Actifs incorporels
Catastrophe
SLT (Similar to Life insurance Techniques) : Similaire aux techniques dassurance-vie NSLT (Non Similar to Life insurance Techniques) : Non similaire aux techniques dassurance-vie
IFACI
35
3.2.1 La frquence
Comment dterminer la frquence de survenance du risque ? Par lestimation de loccurrence des vnements pouvant tre lorigine du risque. Lchelle de mesure de la frquence doit tre tablie et adapte la structure. Ci-aprs sont proposes deux illustrations de mesure de la frquence. Illustration 1 : Echelle de mesure de la frquence
Cotation 1 2 3 4 Frquence Exceptionnel Rare Probable Trs probable Elment de mesure Occurrence quasi nulle (<1%) sur 2 ans Occurrence possible mais peu probable (1 10%) sur 2 ans Occurrence plausible (10 50%) sur 2 ans Occurrence trs probable (>50%) sur 2 ans
36
IFACI
Modre (possible)
Susceptible de survenir dans les dix prochaines annes ou moins de 25% de chances de survenir. Peu susceptible de survenir dans les dix prochaines annes ou moins de 2% de chances de survenir.
3.2.2 Limpact
Quelle est la consquence si le risque se concrtise ? Lunit de recherche propose de dcliner les impacts en 3 principales catgories1, savoir : limpact financier (ex : perte financire, baisse des revenus, hausse des cots), direct ou indirect, immdiat ou terme. Lannexe 4 vous propose une liste non-exhaustive dimpacts financiers ; limpact juridique (ex : responsabilit civile et/ou pnale, sanctions lgales et/ou professionnelles, etc.) ; limpact sur limage (dgradation de limage, rputation remise en cause).
Une estimation systmatique des consquences financires, base sur des scnarios de risques prcis peut tre un exercice trs lourd et complexe. Il est en effet difficile dexiger une valuation financire prcise de tous les impacts (humains, conformit, rputation, etc.). Pour faciliter lexercice dvaluation, il est toutefois souhaitable dtablir des critres objectifs pour chaque niveau de gravit.
Ces trois principales catgories dimpact sont adaptes au secteur assurantiel. En fonction du domaine dactivit des entreprises, dautres catgories dimpact peuvent tre pertinentes. Par exemple, les impacts environnementaux peuvent tre appropris lindustrie (nuclaire, minire, ptrolire) ou encore les impacts sur la vie humaine peuvent tre envisags dans les secteurs des travaux publics, de la scurit (arme, police), ou lindustrie minire.
IFACI
37
Lchelle de mesure de limpact doit tre tablie et adapte lorganisme. Ci-aprs sont proposes deux illustrations de mesure de limpact. Dautres valuations de limpact financier sont proposes en annexe 4. Illustration 1 : Echelle de mesure de limpact
Impact 1 Faible Impact financier < 10 000 euros Entre 10 000 100 000 euros Entre 100 000 500 000 euros > 500 000 euros Impact image Impact local Impact lgal rglementaire Observation des autorits de tutelle Avertissement des autorits de tutelle Mise en cause juridique devant une juridiction autre que pnale Blme des autorits de tutelle Mise en cause devant une juridiction pnale Sanction des autorits de tutelles Condamnation pnale
Modr
Impact rgional
Significatif
Elev
Significatif
Majeur
Critique
Comment dfinir les seuils financiers dans les chelles de mesure dimpact ?
Les diffrents seuils retenir doivent tre discriminants et permettre une distribution des risques rgulire sur lensemble des seuils retenus : si tous les risques valus se situent sur le mme niveau, l'chelle retenue ne sera pas utile la bonne hirarchisation des risques.
38
IFACI
S M Frquence F F Impact
S M M F
E S S M
E E E S
F M S E
Pour certains, cette tape est considre comme une tape intermdiaire. Ils prfrent directement raisonner sur le risque rsiduel, en intgrant les lments de matrise ds les premiers travaux dvaluation des risques. Ils rsolvent ainsi une limite cognitive des acteurs qui narrivent pas raisonner sur les risques en faisant abstraction des lments de matrise existants.
IFACI
39
Cotation
Niveau de matrise
Elment de mesure Dispositifs mis en place permettant de rduire la frquence ou limpact du risque un niveau satisfaisant : rgles crites et dtailles, contrles formaliss et appliqus (indicateurs de suivi et de contrle, valuation des procdures, etc.). Dispositifs mis en place permettant de rduire notablement la frquence ou limpact du risque : rgles crites mais complter, lments de matrise existants et pertinents, formaliss mais complter. Dispositifs mis en place ne permettant pas de rduire significativement la frquence ou limpact du risque : rgles orales, lments de matrise partiellement existants ou pertinents et peu formaliss. Absence dlment de matrise : pas ou peu de rgle, on se fie lexprience, pas ou peu de remontes dinformations, pas ou peu de sensibilisation du personnel aux risques.
Maitris
Acceptable
Insuffisant
Faible
Limpact sur latteinte des objectifs nest pas proccupant, le risque est sous contrle
M = risque modre, un suivi spcifique doit tre organis S = risque significatif, une alerte au senior management est ncessaire
Limpact sur latteinte des objectifs est limit. Des actions doivent tre entreprises mais ne sont pas urgentes.
Limpact sur latteinte des objectifs est significatif. Ncessit de prendre des actions immdiates pour limiter le risque.
Limpact sur latteinte des objectifs est dune telle ampleur que les objecH = risque lev, action immdiate tifs ne seront trs probablement pas atteints. Ncessit de prendre des requise actions immdiates pour limiter le risque, et alerter la direction.
40
IFACI
Les risk managers peuvent mobiliser des critres complmentaires limpact et la frquence pour affiner lvaluation des risques. Par exemple : la vlocit, la volatilit, le fait quil soit plus ou moins contrlable, la capacit.
3.3 D EUX
APPROCHES COMPLMENTAIRES
Du fait des volutions rapides de lenvironnement rglementaire et de la complexification des activits, les directions gnrales ont fait de la cartographie des risques un vritable outil global de pilotage et en sont devenues les principaux commanditaires. Lapprhension systmatique des risques se fait gnralement selon deux approches : Lapproche bottom-up, partant de lanalyse des processus et permettant de mettre en uvre les dispositifs de matrise des risques adquats. Lapproche top-down, partant de la vision du top management et permettant daboutir directement une valuation des expositions majeures pour lorganisation. Le rapprochement entre ces deux approches doit permettre lorganisme dassurance didentifier les risques pouvant avoir un impact sur les objectifs majeurs de lorganisation et daboutir une cartographie globale des risques pour un pilotage efficace de lorganisation.
3.3.1.1
Un processus peut tre dfini comme lensemble des oprations ou activits ralises par des
IFACI
41
acteurs, avec des moyens et dans un cadre donn, partir d'un vnement dclencheur externe (input) pour aboutir un rsultat, une finalit (ouput).
Input
Processus
Output
Partir des processus permet de sappuyer sur un cadre plus stable que les structures organisationnelles. Le recensement des processus de lentreprise est fonction du modle conomique et est gnralement ralis par (ou en liaison avec) la direction de lorganisation ou de la qualit. Pour les organismes dassurance ayant dj dcrit les processus dans le cadre de dmarches connexes telles que la certification ISO ou encore de formalisation des procdures de lentreprise, il est recommand de sappuyer sur les dmarches existantes afin dune part doptimiser les moyens et dautre part assurer une homognit des dmarches dans les organisations.
Les processus peuvent tre classs en 2 grandes familles : les processus relatifs la production quotidienne (processus mtiers ou oprationnel), les processus relatifs au bon fonctionnement (processus supports). Lannexe 1 propose une illustration des principaux processus dun organisme dassurance. Le niveau de granularit retenu dpendra des objectifs de la cartographie et de la taille des organisations. Ce niveau doit tre suffisamment fin pour identifier de faon pertinente les risques significatifs mais ne doit pas conduire lister lensemble des tches de lorganisation. La dfinition de la granularit est essentielle car plus le niveau de dtail est fin, et plus le travail correspondant didentification des risques est important. Elle impacte donc llaboration de la cartographie et sa maintenance ultrieure.
42
IFACI
Choisir le bon niveau de granularit est galement important afin de calibrer la dmarche aux moyens disponibles et au planning souhait. Ainsi, cinq niveaux de granularit, en partant du plus large au plus particulier, sont proposs : le mtier : IARD, vie, assistance, rassurance, etc. ; le domaine : pour le mtier IARD : habitat, auto, transport arien, etc. ; le processus : processus de souscription, processus de paiement des prestations, etc. ; lactivit : pour le processus de paiement des prestations : enregistrement, rglement du sinistre, etc. ; la tche lmentaire : pour lopration rglement du sinistre : envoi du chque. Cest la granularit qui dterminera le niveau hirarchique adquat des interlocuteurs rencontrer afin de collecter les informations. Lunit de recherche sest accorde pour dsigner le niveau mdian processus comme le niveau pertinent dune cartographie. En effet, celui-ci constitue dune part le meilleur compromis entre le temps pass llaboration de la cartographie et le degr de pertinence de la vision des risques. Dautre part, cest le niveau dquilibre permettant de faire converger et de relier les lments obtenus selon les deux principales mthodes (top-down et bottom-up).
Il est possible de limiter le primtre de la cartographie en ne retenant que des processus cls . Il sagit, par exemple, des processus impact client fort ou identifis comme particulirement exposs financirement.
Ecueils viter La maturit de lorganisme dassurance en matire dapproche par les processus est un facteur cl de succs : dfaut de processus suffisamment prcis et stabiliss, ltape suivante didentification des risques peut vite devenir complexe avec des redondances inutiles. Dans ce cas, une entre supplmentaire par entits / directions peut tre ncessaire.
3.3.1.2
Une premire identification des risques est ralise au cours des entretiens ou dateliers avec les oprationnels. Comme pour le recensement des processus, la description des risques peut se faire soit sur la base dun questionnaire soit de manire ouverte, facilitant ainsi lidentification des risques. Cette premire identification est construite conjointement par le management de lactivit oprationnelle et les quipes en charge de la cartographie des risques. Chaque risque est tabli partir de la collecte dinformations sur le domaine concern, et le partage des enjeux et des problma-
IFACI
43
tiques avec le responsable du primtre. Un risque doit faire lobjet dune dfinition prcise. Il en va de lefficacit du dispositif de matrise qui dcoulera de la cartographie. Pour ce faire, le risque est gnralement document avec les caractristiques suivantes : Le contexte dans lequel le risque sinscrit (ex. : matrise de la sinistralit dans un environnement conomique conjoncturel difficile et concurrentiel fort). La description du risque, (ex. : risque de paiement tort dune prestation, dans le processus de gestion des prestations). Les causes possibles du risque (ex. : absence de supervision). Eventuellement les facteurs de risques, savoir les lments aggravants (ex. : changement dorganisation rcent). Les impacts ou les consquences possibles (ex. : paiement dune prestation tort => impact financier : du montant de la prestation paye tort). Sa frquence, tablie le plus souvent dire dexpert, de retour dexprience (ex. : probabilit de payer tort reprsente 2% des dossiers traits).
Le recensement des risques tant ralis partir de diffrentes activits prises isolment, il est important didentifier galement les risques lis aux interrelations entre ces activits.
Bote outils : Questions cls pour recenser les risques au niveau des processus La dmarche consiste identifier tout ce qui pourrait empcher la ralisation des objectifs du processus. Il convient donc davoir, pour chaque processus, une vision claire des objectifs et des critres de performance attendus. Les informations recueillies lors de la description des processus permettent de rpondre aux questions : Quels sont les objectifs du processus ? Quels sont les facteurs cls de succs ? Quels sont les critres de performance attendus du processus ? Quels dysfonctionnements sont susceptibles dintervenir dans le droulement du processus ?
44
IFACI
En quoi les autres processus peuvent interfrer ngativement sur la performance du processus ?
Quels sont les points de dpendance les plus critiques ? (systmes dinformation instables, qualit des informations reues insuffisante, etc.)
Chercher avoir une vision exhaustive des risques mme si le risque est faible pour pouvoir suivre son volution. La documentation structure de chaque risque est un investissement pour lensemble du dispositif. En effet, certains dentre eux peuvent tre repris pour tablir une cartographie sur des primtres analogues bien que distincts (mme type dactivit, mme nature de problmatiques, etc.).
3.3.1.3
De mme que lors de lidentification et de lvaluation des risques, les lments de matrise doivent tre documents et apprcis notamment partir de donnes sur : lorganisation (par exemple, pour rpondre la question de lorganisation de la gestion des prestations ; collecter les lments relatifs lorganisation, aux dfinitions de postes, aux habilitations ouvertes dans les SI, aux rgles de sparation de fonction) ; le management et lanimation ; la documentation (ex. : existence de procdure et modes opratoires relatives la gestion des prestations) ; la formation (ex. : existence de formations rgulires et actualises) ; les activits de contrle (quels types de contrles [humain, automatique] ? Par exemple, contrles manuels, vrification par une tierce personne, en fonction de la nature et le montant de la prestation, avant paiement de la prestation) ; le reporting et le suivi dactivit (ex. : nombre de dossiers traits et montant pay, analyse des carts ventuels dune priode sur lautre). Cette analyse pourra se fonder sur des constats factuels de la ralit de lexistence et de lefficacit des lments de matrise.
IFACI
45
3.3.1.4
Une fois les lments relatifs aux risques et aux lments de matrise identifis, la cotation du risque rsiduel peut tre obtenue. Risque rsiduel = Frquence x Impact x Elment de maitrise
Exemple : Risque de paiement tort associ au processus de gestion des prestations. A partir des mtriques prsentes (Parties 3.2.1 / 3.2.2 / 3.2.4 / 3.2.5 - Illustrations 1). Pour le rglement dun capital dcs (200 000 ). La frquence de payer tort est estime comme occasionnelle => cotation = 3. Limpact de 200 000 considr comme significatif => cotation = 3. Les lments de matrise sont faibles : pas de procdure formalise, pas de contrle de supervision pour les sinistres lourds, calcul des garanties et du montant de la prestation non intgr dans le SI => cotation = 4. Risque rsiduel = 3x3x4 = 36, qui prsente un risque lev et ncessite la mise en place dactions correctives et de mesures de matrise des risques.
Les cartographies thmatiques Il existe de plus en plus de cartographies des risques thmatiques pour le diagnostic de sujets particuliers. Les plus courantes sont les cartographies des risques lis aux systmes dinformation, aux risques juridiques, aux risques de blanchiment des capitaux et du financement du terrorisme ou encore aux risques de fraude. Les mthodes utilises sont similaires celles exposes ci-dessus mais elles peuvent senrichir de critres spcifiques pour lvaluation des risques (par exemple, temps dindisponibilit pour les systmes dinformation).
46
IFACI
3.3.2.1
Le top management est en mesure de recenser les grands risques avec un impact fort ou/et une frquence importante. Ce type danalyse aura donc un faible niveau de granularit. Cet exercice de collecte, de formalisation et dvaluation des risques par les principaux responsables dun organisme dassurance se fait gnralement par entretien et/ou questionnaire ouverts. Lide tant que ces dirigeants sexpriment sur leur vision des risques pesant sur lorganisation et leur domaine de responsabilit. Ce type danalyse peut-tre ralise travers la formalisation de scnarios. Lexercice de normalisation (rattachement au rfrentiel des risques, et des processus de lorganisation) et de hirarchisation pourra se faire dans un second temps.
3.3.2.2
Gnralement, lidentification des risques se fait avec le top management par entretien, avec des questions ouvertes (ex. : citer les 3 principaux risques pouvant affecter lentreprise, citer les 3 principaux risques pouvant affecter votre domaine de responsabilit). Aussi, pour permettre de consolider les rsultats et proposer une vision exhaustive des risques, le rattachement la nomenclature des risques de lorganisation est prvoir.
3.3.2.3
Le rattachement des risques au processus est une tape ncessaire pour permettre les regroupements et les consolidations. Au cours de cette phase, il sagit de remplir le double objectif de mise en cohrence des risques identifis avec les activits de lentit et dexhaustivit de lanalyse.
IFACI
47
Approche Top-down
En effet, ces deux approches, non seulement ne sopposent pas, mais sont complmentaires. Elles peuvent tre conduites soit de faon successive, soit de faon simultane, la question du choix pouvant se poser lors du dmarrage dun projet de cartographie, les avantages et les inconvnients de ces dmarches sont rsumes ci-aprs.
La mthode bottom-up prsente au moins les trois avantages suivants : Lapproche par les processus permet dobtenir une bonne connaissance des activits de lentreprise et les rsultats peuvent ensuite tre utiliss dautres fins, dans le cadre dune rorganisation ou loccasion dune dmarche qualit. Lanalyse dans le dtail des activits permet damliorer lexhaustivit du recensement des risques. La consultation des oprationnels pour la ralisation de la cartographie permet dobtenir une implication satisfaisante de leur part.
48
IFACI
En revanche, cest une dmarche consommatrice de temps dans la mesure o elle requiert la tenue de nombreux entretiens et la collecte dinformations en masse. Par ailleurs, elle peut savrer coteuse en termes de comptences et de systmes car la collecte de ces donnes ncessite souvent le recours des outils informatiques.
Quant lapproche top-down, elle permet une mise en uvre plus lgre puisque les entretiens ncessaires sont moins nombreux. Lexamen des risques stratgiques permet galement de sassurer de la prise en compte plus immdiate des processus transversaux ou managriaux, ce qui peut tre plus en adquation avec les attentes de la direction gnrale.
Cependant, elle prsente linconvnient dtre moins prcise, tant dans lidentification des risques que dans leur quantification. Par ailleurs, les oprationnels ntant pas associs, ils peuvent avoir du mal sapproprier la dmarche.
Enfin, il convient de prciser que, quelles que soient la ou les mthodes utilises, nous ne pouvons jamais tre certains de couvrir l'exhaustivit des risques.
3.3.3.1
Ces deux dmarches complmentaires doivent alimenter et faire vivre la cartographie des risques de lorganisation. Le rapprochement et la consolidation des lments issus de ces deux mthodes seront facilits par lutilisation dun corpus commun et cohrent en termes de nomenclature des risques, de rfrentiel des processus de lorganisation et de rgles de quantification. Cette consolidation permettra de hirarchiser les risques, didentifier les principaux risques (significatifs et/ou levs) et de fournir les lments ncessaires la prise de dcision.
3.3.3.2
Face un risque, quatre types de dcision peuvent tre prises : 1. Acceptation : le risque est accept soit lorsque celui-ci entre dans la politique de gestion des risques de lorganisation (par exemple, acquisition dun nouveau portefeuille de contrats, sachant que celui-ci prsente un risque de drive de la sinistralit connue) ; soit lorsque les cots de mises en uvre des lments de matrise deviennent trop excessif au regard du risque encouru.
IFACI
49
2. Rduction : cette mesure vise rduire le risque sans ncessairement le faire totalement disparaitre. En effet, des actions correctives ou prventives peuvent tre mises en place pour rduire ou maitriser le risque. 3. Evitement : cette action consiste liminer le risque, c'est--dire sa probabilit de survenance. Par exemple, la dcision de ne pas acqurir un portefeuille de contrats dficitaire apportant des pertes financires suprieures aux gains escompts. 4. Partage : certains risques peuvent tre partags, par exemple par la souscription dune couverture dassurance (ex. : garantie perte dexploitation en cas de sinistre dans un btiment de lentreprise), la mise en place dun trait de rassurance (ex. : pour cder un risque de souscription) ou encore la sous-traitance de certaines activits (ex. : externalisation de la gestion dune tche afin de garantir les dlais). Le traitement dun risque peut gnrer dautres risques, il est donc important de prendre en considration les effets en cascade.
3.3.3.3
Les dcisions prises font lobjet de la dfinition et de la mise en place de plans dactions. Ces derniers devront tre formaliss et rattachs aux risques identifis. Un dispositif de suivi de ces plans dactions devra tre mis en place, et constituera ainsi un des lments de suivi permanent des risques.
BOITE OUTILS Pour la mise en place dune dmarche de cartographie des risques : une structure projet indispensable Un Sponsor au niveau de la direction gnrale assure linterface et la promotion du projet. Un Comit de Pilotage peut intgrer des reprsentants de fonctions impliques dans la dmarche de cartographie. Son rle sera de suivre le dploiement et de valider les orientations, dcisions et livrables qui lui seront proposs. Une quipe projet prend en charge la ralisation de la dmarche et aura pour tche essentielle de coordonner l'ensemble des moyens matriels et humains ncessaires la russite du projet. Une liste d interlocuteurs cls , identifier pour participer aux entretiens et ateliers.
50
IFACI
BOITE OUTILS Pour prenniser la dmarche : dfinir une organisation Pass le premier exercice de cartographie, la question de son utilisation effective et de sa prennisation se pose. Lorganisation suivante contribue cette prennisation : Un point central, le risk manager , qui anime le dispositif dans le temps et assure la cohrence des dmarches et les reporting. Un rseau de propritaire de risques peut complter le dispositif. Un comit de suivi des principaux risques et des plans dactions associs doit tre dfini et mis en uvre. La cartographie des risques doit faire lobjet dune approbation formelle au niveau des diffrents responsables concerns, puis au niveau de la direction gnrale. Cette validation peut intervenir sur prsentation dun dossier de synthse pouvant contenir des lments tels que : La synthse des travaux. Une prsentation dtaille des travaux.
? ?
lobjectif de la dmarche, le primtre analys, une prsentation synthtique du rsultat des travaux (nombre de risques, leur nature, leur valuation, etc.). une description des processus, un focus sur les risques critiques, une prsentation des lments de matrise, une prsentation des plans dactions.
IFACI
51
52
IFACI
PARTIE 4 S UIVI
PERMANENT DES RISQUES
Dans le cadre du suivi permanent des risques, il est ncessaire de mettre en uvre et de sappuyer sur un certain nombre doutils : le suivi de la mise en uvre des plans dactions ; la ralisation de plan de contrles ou de tests , afin de vrifier que les lments de matrise ont effectivement t conformment mis en uvre ; la mise en place dune base dincidents afin de recenser les vnements susceptibles davoir un impact ngatif pour lorganisation ; la dfinition et la mise en place de ratios conomiques ou dindicateurs de suivi de lvolution des risques. Ces lments sont ncessaires dune part lactualisation de la cartographie des risques et dautre part alimenter des reporting internes ou externes.
Avoir finalis la cartographie des risques reprsente une tape essentielle dans la mise en uvre du dispositif de contrle interne. Encore faut-il, ensuite, faire vivre cette cartographie des risques, en lactualisant rgulirement. A dfaut, et compte tenu de la rapidit de lvolution de la vie de lentreprise, cette cartographie deviendrait rapidement inoprante et lorganisme dassurance perdrait le bnfice de linvestissement ralis au dpart. Mais, l aussi, cela ncessite dallouer un minimum de ressources la maintenance de cet outil. Enfin, des facteurs tels que les volutions rglementaires, les nouveaux risques, les incertitudes croissantes lies l'environnement, rendent indispensables cette actualisation.
IFACI
53
Un incident est un vnement dorigine interne ou externe ayant un impact ngatif pour lorganisation. Labsence ou le dysfonctionnement des procdures peut se traduire par : des pertes financires ; une atteinte limage ou la rputation ; des incidences juridiques ou de conformit (une mise en cause judiciaire ou une sanction pour non-respect des rglementations applicables).
L'objectif dune base dincidents n'est pas d'identifier les responsables personnes physiques dun incident dans le but de les sanctionner. De ce fait, ce titre, elle doit tre dpourvue de toute donne nominative.
La base dincidents permet : de recenser et centraliser lensemble des incidents survenus ; de dtecter des lments de matrise inefficaces ou des risques non identifis dans la cartographie des risques ; denregistrer et suivre les mesures correctives prises en consquence ; de contribuer la connaissance des principaux risques de lorganisme dassurance ; didentifier les zones de vulnrabilit et de permettre la mise en place de dispositifs de contrles adquats ; dalimenter les modles statistiques qui permettent de dimensionner plus prcisment les montants de fonds propres mobiliser pour couvrir le risque oprationnel dans le cadre de Solvabilit II ; de mettre ainsi jour galement la cartographie des risques. Les donnes collectes sont classes de faon structure : cause, vnement, impact, et les actions et/ou solutions mises en uvre effet immdiat ou prvues.
Lexploitation de la base dincidents sinscrit dans une logique de cercle vertueux en sappuyant notamment sur la cartographie des risques en vrifiant que le risque survenu a t identifi, et en apprciant la performance des lments de matrise rputs en place, et sur les actions correctives relatives lincident.
Base incidents
Revue cartographique des risques Recherche de laction corrective
54
IFACI
Une fiche de restitution peut tre tablie afin dinformer de manire transverse les diffrents acteurs concerns directement ou indirectement par la problmatique rsultant dun incident trait. Ce principe de fiche de restitution sinscrit dans un objectif de non-reproduction de l'incident, empruntant ainsi une dmarche damlioration continue. Lalimentation de la base repose sur lorganisation dun maillage adquat des entits qui permettra lidentification, lanalyse, la remonte et la validation des vnements. Ds lors, il convient de dfinir avec prcision : les typologies ncessaires la description de lincident (origine, dtection, consquences, impact) ; le dispositif, les rles et responsabilits de chacun ainsi que les modalits de remonte des incidents : une attention particulire doit tre accorde au rle des activits connexes au contrle interne (contrle qualit, par exemple) en matire de remonte dincident, - les incidents transverses (incidents dtects par une entit mais relevant dune autre) doivent faire lobjet dune procdure spcifique ; - les modalits denregistrement ; les modalits de chiffrage de limpact financier ; les rgles de rapprochement avec la cartographie des risques (imputer lincident au risque selon le rfrentiel en place et le lier au processus concern). A propos de la gestion des incidents informatiques, se reporter au GTAG 6 : Grer et auditer les vulnrabilits des technologies de linformation et lannexe 6.
IFACI
55
4.2.1.1
Acteur cl des dispositifs de gestion des risques et de contrle interne, le management sappuie sur diffrents lments et indicateurs cls pour diffuser la sensibilit aux risques dans son primtre de responsabilit, et ainsi faire connatre les objectifs de gestion des risques. Les managers ont gnralement besoin davoir accs des synthses concernant : les travaux de cartographies relatifs leur domaine de responsabilit avec un zoom sur : - les risques majeurs identifis et/ou faisant lobjet dune matrise insuffisante, - les mmes risques classs par nature en lien avec le rfrentiel de risque (technique, oprationnels, externes, etc.), - les plans doptimisation de la matrise par ordre de priorit et le suivi du respect des chances associes. les contrles cls leur permettant notamment de suivre : - les taux de ralisation, - les taux danomalie (notamment par rapport au seuil de tolrance), - les corrections apportes. les incidents : - le nombre et la rcurrence des incidents, - le dlai de traitement, - les pertes financires directes ou indirectes gnres. les plans dactions : - les actions chues, - les actions ralises, - le respect des chances, - le taux davancement global des actions en-cours, etc. En complment, le management organise le suivi dindicateurs sur les risques cls (KRI Key Risk Indicators), et sur des points sensibles des activits dont il porte la responsabilit.
4.2.1.2
Laction des managers oprationnels est renforce par celles des acteurs de la deuxime ligne de dfense. Certains de ces acteurs sont amens communiquer le niveau de matrise des risques aux instances dirigeantes de lorganisme via notamment :
56
IFACI
une vision consolide des cartographies des risques (nombre de risques, leur nature, leur valuation, etc.) ; un focus sur les risques critiques insuffisamment matriss ; une prsentation des plans dactions et un suivi du respect des chances.
La fonction gestion des risques joue un rle cl en laborant des reporting sur le respect des mtriques dfinit par lorganisme dassurance : Indicateurs par famille de risques sur la base des limites fixes (apptence et seuils de tolrance aux risques). Alerte dploye en cas de dpassement de lallocation de capital dfinie dans lapptence aux risques. Au titre de lanimation permanente du contrle interne, il sagit de recueillir des informations sur les incidents, les contrles-cls et les plans dactions associs. Cest la consolidation de ces informations qui permettra dalimenter le reporting aux managers. En fonction des besoins, lorganisme dassurance pourra laborer des reporting par grand domaine tel que : la fraude ; la protection de la clientle dont le suivi des rclamations ; la protection des donnes confidentielles ; la scurit des biens et des personnes ; la lutte contre le blanchiment et le financement du terrorisme (LCB-FT), etc. Autant que possible, ces reporting seront conus de manire pouvoir optimiser la production des reporting externes. En outre, la fonction actuarielle pourra laborer des reporting concernant : la qualit des provisions techniques ; le caractre appropri des mthodologies, des modles sous-jacents et des hypothses utiliss ; la qualit des donnes et des hypothses retenues. Selon les structures, la fonction actuarielle peut galement sassurer que les stratgies dinvestissement dployes dcoulent dune analyse des quilibres actifs / passifs : elle produit alors des tudes sur les flux de trsorerie et de rendement, sur ladquation des durations entre actifs et passifs, sur lvolution dindicateurs financiers, et des tudes de scnarios de risques.
IFACI
57
4.2.1.3
Sur la base dun plan daudit fond sur une approche par les risques, laudit interne apporte une opinion sur lefficacit des processus de contrle interne, de gestion des risques et de gouvernance. En particulier, laudit interne, peut partir de la cartographie des risques de lorganisme dassurance (y compris lanalyse de la base dincidents) : prendre en compte les principaux risques identifis ; utiliser les donnes concernant les risques associs aux processus quil value au cours de ses missions. Laudit interne contribue galement au reporting interne sur les risques en : sassurant du niveau de couverture de lidentification des risques ; vrifiant lexistence et le bon fonctionnement des lments de matrise ; rendant compte de ses travaux la direction gnrale, au comit daudit et au Conseil. Ces lments permettent dactualiser la cartographie des risques.
4.2.1.4
Pour mener bien leurs missions, les organes dirigeants et dlibrants sappuient sur diffrents reporting et indicateurs. Il sagit dadapter la conduite de lorganisme son environnement interne et externe, et au niveau de risque associ. La directive oblige chaque organisme dassurance mettre en place un systme de gestion des risques efficace1, parfaitement intgr la structure organisationnelle et aux procdures de prise de dcision. Il doit donc tre dment pris en compte par les dirigeants. Cela ncessite donc une intgration aux tableaux de bords des organismes dassurance de tous les lments relatifs la gestion des risques (agrgats conomiques macro, analyse des principaux risques existants et potentiels auxquels est expos lorganisme). De plus, les tableaux de bords devront intgrer une dimension prospective : laide de modles de simulations, chaque organisme dassurance devra projeter sa situation financire sur lhorizon du plan stratgique en prenant en compte plusieurs hypothses dvolution du contexte conomique (projections des bilans, comptes de rsultat, SCR Solvency Capital Requirement, MCR Minimum Capital Requirement, indicateurs du profil de risques, etc.). Ces projections serviront doutil daide la dcision pour lorgane dirigeant afin dassurer sur le long terme ladquation entre la prise de risque et la solvabilit.
58
IFACI
4.2.2.1
Actuellement, les lments ci-aprs doivent tre tablis et communiqus lACP. Ces lments intgrent pour partie les rsultats et les travaux oprs dans les dmarches de cartographies des risques : rapports rglementaires (tats financiers, rapport de gestion, rapport de solvabilit, rapport sur le contrle interne, rapport dintermdiation) ; tats prudentiels. Un point sur la directive Solvabilit II est propos ci-aprs, afin didentifier les principales volutions venir sur ce domaine.
4.2.2.2
Prparer Solvabilit II
Les lments de reporting externes sont dfinis dans le Pilier 3 de la directive et le primtre des reporting concerns est celui dcrit dans le document de travail du CEIOPS CP581 . Les organismes dassurance devront produire un ensemble de rapports annuels, qualitatifs et quantitatifs ; destination du rgulateur et du public, remplacement de certains tats de reporting prudentiel et les rapports narratifs de solvabilit et de contrle interne : 1- RSR (Regular supervisory report) : Rapport destin lACP comprenant un rapport narratif et les tats quantitatifs (annuels et trimestriels, notamment les QRT - Quantitative Reporting Template). Lobjectif du RSR est double : servir de base aux ventuels contrles et mesurer les risques systmiques. 2- SFCR (Solvency and financial condition report) : Rapport diffus au public comportant la structure du RSR sans les informations destination des rgulateurs. Lobjectif est daccrotre galement la transparence des informations, et de renforcer la discipline de march. 3- Rapport ORSA (Own Risk and Solvency Assesment) : Rapport prsentant : les rsultats qualitatifs et quantitatifs du dispositif ORSA, les mthodes et principales hypothses utilises,
CEIOPS Advice for Level 2 Implementing Measures on Solvency II: Supervisory Reporting and Public Disclosure Requirements (former Consultation Paper 58)
IFACI
59
des informations sur le besoin global de solvabilit valu par lORSA, une comparaison entre le besoin global en solvabilit, les exigences rglementaires de capital (SCR et MCR) et les fonds propres, une information si besoin sur les risques non compris dans la formule standard comme les risques stratgiques, de rputation ou encore extrmes.
60
IFACI
CONCLUSION
IFACI
61
La cartographie nest pas une fin en soi. Elle doit sinscrire dans le cadre du pilotage global de lorganisation tout en contribuant la conformit rglementaire. Mme si les dirigeants et les managers ont une vision globale des risques inhrents leurs activits, construire une cartographie des risques leur apportera de nouveaux lments dobservation destins mieux matriser et orienter leurs objectifs. Ainsi, la dimension risques vient enrichir la vision des dirigeants en complment des axes stratgiques et oprationnels et devient un lment de management part entire. Les applications dune cartographie des risques sont nombreuses et conduisent les utilisateurs privilgier tel ou tel aspect des rsultats obtenus afin de redfinir leurs priorits. Du conseil dadministration la direction gnrale, en passant par les responsables oprationnels, les risk managers, les contrleurs internes et les auditeurs internes, chacun pourra utiliser la cartographie comme support des actions propres leur organisation. Pour ce faire, les organismes dassurance doivent instaurer un environnement permettant daboutir des cartographies des risques fidles et dynamiques. Les facteurs cls de succs pour faire de la cartographie des risques un outil au service du pilotage du dispositif de gestion des risques et un lment daide la dcision sont : une clarification des acteurs et de la gouvernance ; un sponsoring par la direction gnrale et le comit de direction ; une sensibilisation et la diffusion de la culture des risques tout niveau ; une documentation du fonctionnement de lentreprise ( qui fait quoi ? , procdures, fiches de fonction, etc.) ; la formalisation de la stratgie de lorganisme dassurance et dun plan daffaires moyen terme ; une responsabilisation des managers sur ces questions ; une organisation en mode projet lors du lancement de toute dmarche. Conscient de lapport potentiel des outils informatiques dans ce type de dmarche, le groupe de travail attire nanmoins lattention sur limportance dune identification pralable des besoins spcifiques chaque organisme. Lorsque loption retenue est dacqurir un progiciel plutt que de dvelopper en interne une solution informatique, le dialogue avec les diteurs et la gestion de loutil devront sappuyer sur les fondamentaux de la gestion de projets et les changes de bonnes pratiques avec des pairs1. Le succs dune cartographie des risques rside dans son utilisation effective, dans la capacit des utilisateurs la faire vivre dans le temps. Cest dans ce sens que le rfrentiel commun qui vous a t prsent a t construit.
1
Cf. les bonnes pratiques proposes dans le cahier Slectionner un outil informatique pour les services daudit et de contrle internes de lunit de recherche Informatique de lIFACI (2013), les clubs dutilisateurs ou les articles dans la revue de lIFACI.
IFACI
62
ANNEXES
IFACI
ANNEXE
63
ANNEXE 1
Exemples de processus - Secteur assurances
Analyse du march : concurrence, besoins des clients, tendance,
nouveaux marchs Dvelopper l'offre
Elaboration du produit : conditions gnrales ; tarifaires Lancement de l'offre : communication externe, publicit, vnementiel, formation des forces de ventes)
Nouvelle offre
Vendre
Dclinaison de la politique commerciale et pilotage Animation des rseaux de distribution Etablissement des propositions tarifaires Ngociation Enregistrement et mission des pices contractuelles Envoi et archivage
Pices contractuelles
Grer le contrat
Enregistement du contrat dans l'outil de gestion Appel de cotisations Encaissement des cotisations Gestion de la trsorerie Mise jour des donnes contrat Gestion des avenants (analyse du dossier, avis mdical, enregistrement et mission, envoi et archivage) Gestion des bnficiaires Suivi des impays (relance, contentieux) Rmunration des tiers (intermdiaires, gestionnaires)
ANNEXE
Chiffre daffaires
Etats
Paiement sinistres
Contrats rengocis
64
IFACI
ANNEXE 2
Nomenclature des risques
IFACI
ANNEXE
65
Niveau 1
Famille
Dfinition Risques Niveau 1 Risques lis lvolution des marchs financiers, de gestion de bilan ou financire Risques lis lvolution des marchs financiers, de gestion de bilan ou financire Risques lis lvolution des marchs financiers, de gestion de bilan ou financire
Niveau 2
Risques Niveau 2
Dfinition Risques Niveau 2 Risques rsultant d'un niveau des fonds propres et quasi-fonds propres infrieur au minimum rglementaire Risques rsultant d'un niveau des fonds propres et quasi-fonds propres infrieur au minimum rglementaire Risques rsultant d'un niveau des fonds propres et quasi-fonds propres infrieur au minimum rglementaire Risques rsultant d'une inadquation, en montant ou en structure, entre le passif correspondant aux engagements pris envers les clients et l'actif mis en reprsentation Risques rsultant d'une inadquation, en montant ou en structure, entre le passif correspondant aux engagements pris envers les clients et l'actif mis en reprsentation Risques rsultant d'une inadquation, en montant ou en structure, entre le passif correspondant aux engagements pris envers les clients et l'actif mis en reprsentation Risques rsultant d'une inadquation, en montant ou en structure, entre le passif correspondant aux engagements pris envers les clients et l'actif mis en reprsentation Risques rsultant d'une inadquation, en montant ou en structure, entre le passif correspondant aux engagements pris envers les clients et l'actif mis en reprsentation Risques rsultant d'une inadquation, en montant ou en structure, entre le passif correspondant aux engagements pris envers les clients et l'actif mis en reprsentation Risques rsultant d'une inadquation, en montant ou en structure, entre le passif correspondant aux engagements pris envers les clients et l'actif mis en reprsentation Risques rsultant d'une inadquation, en montant ou en structure, entre le passif correspondant aux engagements pris envers les clients et l'actif mis en reprsentation
R1
Financiers
R101
Risques de solvabilit
R1
Financiers
R101
Risques de solvabilit
R1
Financiers
R101
Risques de solvabilit
R1
Financiers
R102
ANNEXE
R1
Financiers
R102
R1
Financiers
R102
R1
Financiers
R102
R1
Financiers
R102
R1
Financiers
R102
R1
Financiers
R102
R1
Financiers
R102
66
IFACI
Niveau 3
Risques Niveau 3 Risques de solvabilit rglementaire en social Risques de solvabilit rglementaire en consolid Risques de solvabilit de march
Catgorie S2 Dfinition Risques Niveau 3 Risques rsultant d'un niveau des fonds propres et quasi-fonds propres infrieur au minimum rglementaire en social pour chaque entit Risques rsultant d'un niveau des fonds propres et quasi-fonds propres infrieur au minimum rglementaire dans les comptes consolids (solvabilit ajuste) Risques rsultant d'un niveau des fonds propres et quasi-fonds propres infrieur au montant estim par les analystes ou les marchs financiers entranant un seuil de dclenchement de "triggers" Correspond une volution du passif court terme engendrant des insuffisances d'actifs ralisables Correspond un manque de diversification, tant l'actif qu'au passif, qui conduit une exposition trop forte sur un risque particulier (type de risque assur, risque de taux, risque actions, etc.) Correspond une structure de passif clate et difficile mettre en adquation avec des actifs Module de risque Sous module de risque Autres Solvabilit globale
R10101
R10102
Solvabilit globale
R10103
Solvabilit globale
R10201
Risques de liquidit
March
ALM
R10202
Risques de limitation par catgorie d'actif ou de passif Risques de disparits de lignes de passifs Risques de couverture imparfaite
March
ALM
R10203
March
ALM
R10204
Se matrialise par une inadaptation ou une insuffisance de la structure des actifs au regard de celle des passifs
March
ALM
R10205
Risques de taux
March
ALM
R10206
Risques actions
March
ALM
R10207
Risques de change
March
ALM
R10208
Risques immobiliers
March
ALM
IFACI
ANNEXE
67
Niveau 1
Famille
Dfinition Risques Niveau 1 Risques lis lvolution des marchs financiers, de gestion de bilan ou financire Risques lis lvolution des marchs financiers, de gestion de bilan ou financire Risques lis lvolution des marchs financiers, de gestion de bilan ou financire Risques lis lvolution des marchs financiers, de gestion de bilan ou financire Risques lis lvolution des marchs financiers, de gestion de bilan ou financire Risques lis lvolution des marchs financiers, de gestion de bilan ou financire Risques lis lvolution des marchs financiers, de gestion de bilan ou financire Risques lis lvolution des marchs financiers, de gestion de bilan ou financire Risques lis lvolution des marchs financiers, de gestion de bilan ou financire Risques lis lvolution des marchs financiers, de gestion de bilan ou financire
Niveau 2
R1
Financiers
R103
R1
Financiers
R103
Gestion d'actifs
R1
Financiers
R103
Gestion d'actifs Gestion d'actifs Gestion d'actifs Gestion d'actifs Gestion d'actifs
Risques relatifs la gestion des actifs Risques relatifs la gestion des actifs Risques relatifs la gestion des actifs Risques relatifs la gestion des actifs Risques relatifs la gestion des actifs
R1
Financiers
R103
ANNEXE
R1
Financiers
R103
R1
Financiers
R103
R1
Financiers
R103
R1
Financiers
R103
Gestion d'actifs
R1
Financiers
R103
Gestion d'actifs
R1
Financiers
R103
Gestion d'actifs
R1
Financiers
R103
Gestion d'actifs
R1
Financiers
R103
Gestion d'actifs
68
IFACI
Niveau 3
Catgorie S2 Dfinition Risques Niveau 3 Rsulte d'un manque de liquidits disponibles court terme pour faire face aux obligations de rglement Est la consquence d'une inadquation ou d'un dfaut de financement permettant d'obtenir les liquidits suffisantes pour faire face aux obligations de rglement Correspond un manque de diversification dans le placement des actifs qui conduit une exposition trop forte sur un risque particulier (actions, taux, crdit) Consquence d'une volution des taux d'intrt sur la valeur des actifs obligataires Est li la variation de valeur d'une devise par rapport l'euro, et l'impact de cette variation sur la valeur des actifs en devises Consquence d'une volution des marchs actions, ou d'une trop forte dpendance vis--vis de ce type d'actif Consquence d'une volution des marchs immobiliers et fonciers, ou d'une trop forte dpendance vis--vis de ce type d'actif Dcoule du dfaut de la contrepartie une opration, au moment o elle doit remplir ses obligations (absence de paiement l'chance, etc.) Li au dfaut de l'metteur pralablement la ralisation de ses obligations (remboursement d'un emprunt l'chance, etc.) Correspond la variation de la qualit de crdit d'un metteur conduisant l'augmentation de la prime de risque attendue par ses cranciers Module de risque March Sous module de risque Autres Liquidit
R10301
R10302
Risques de refinancement
March
Liquidit
R10303
Risques de concentration Risques de taux Risques de change Risques actions Risques immobiliers et fonciers
March
Concentration
R10304
March
Taux
R10306
March
Action
R10307
March
Immobilier
R10308
Risques de contrepartie
Contrepartie
R10309
Risques metteur
Contrepartie
R10310
Risques crdit
Contrepartie
R10311
Risques rsultant de la surestimation d'un lment d'actif, pouvant entraner Risques d'va- notamment une constatation de moinsluation d'actifs value en cas de cession ou d'ouverture de capital, ou un provisionnement suite rvision Risques de rentabilit insuffisante des participations et filiales Risques rsultant d'un niveau de rentabilit annuelle insuffisant pour amortir les cots d'acquisition
March
R10312
Stratgique
IFACI
ANNEXE
69
R10305
March
Change
Niveau 1
Famille
Dfinition Risques Niveau 1 Risques lis lvolution des marchs financiers, de gestion de bilan ou financire Risques lis lvolution des marchs financiers, de gestion de bilan ou financire Risques lis lvolution des marchs financiers, de gestion de bilan ou financire
Niveau 2
R1
Financiers
R103
R1
Financiers
R104
Risques rsultant d'un endettement important eu gard aux Endettement trop charges de remboursement ou aux taux des emprunts en cours Risques rsultant d'un endettement important eu gard aux Endettement trop charges de remboursement ou aux taux des emprunts en cours Risques rsultant de caractristiques des produits nuisant leur rentabilit (provenant ou non de la ralisation de risques production ou marketing) Risques rsultant de caractristiques des produits nuisant leur rentabilit (provenant ou non de la ralisation de risques production ou marketing) Risques rsultant de caractristiques des produits nuisant leur rentabilit (provenant ou non de la ralisation de risques production ou marketing) Risques relatifs la souscription de contrats d'assurance, ou l'acceptation de traits ou facultatives de rassurance, hors sinistralit et prestations Risques relatifs la souscription de contrats d'assurance, ou l'acceptation de traits ou facultatives de rassurance, hors sinistralit et prestations Risques relatifs la souscription de contrats d'assurance, ou l'acceptation de traits ou facultatives de rassurance, hors sinistralit et prestations Risques relatifs la souscription de contrats d'assurance, ou l'acceptation de traits ou facultatives de rassurance, hors sinistralit et prestations Risques relatifs la souscription de contrats d'assurance, ou l'acceptation de traits ou facultatives de rassurance, hors sinistralit et prestations
R1
Financiers
R104
R2
Assurances
R201
Technique
ANNEXE
R2
Assurances
R201
Technique
R2
Assurances
R201
Technique
R2
Assurances
R202
Souscription
R2
Assurances
R202
Souscription
R2
Assurances
R202
Souscription
R2
Assurances
R202
Souscription
R2
Assurances
R202
Souscription
70
IFACI
Niveau 3
Risques Niveau 3 Risques crdit rassureurs Risques d'endettement inadquat Risques de surendettement Risques de dfinition produit (contrat d'assurance ou trait de rassurance en acceptation) Risques de tarification (assurance ou rassurance accepte)
Catgorie S2 Dfinition Risques Niveau 3 Risque de dfaillance d'un rassureur rduisant ses capacits remplir ses engagements Niveau d'endettement du Groupe inexistant, l'empchant d'optimiser ses ressources ou sa rentabilit Niveau d'endettement du Groupe trop lev, pouvant entraner une crise de liquidit ou rendre impossible le financement de la croissance du Groupe Risques provenant d'une dfinition des conditions d'assurance ou de rassurance impropres une viabilit conomique (quelle que soit la tarification) Risques issus de tarifs soit insuffisants par rapport au cot rel des garanties et frais de gestion, soit trop levs et gnrateurs d'anti-slection Module de risque Contrepartie Sous module de risque Autres
R10313
R10401
Stratgique
R10402
Stratgique
R20101
Souscription
R20102
Souscription
Primes et rserves
R20103
Risques de nonrentabilit des produits d'assu- Risques de non-rentabilit moyen ou rance ou des long terme traits de rassurance accepts Risques de de mauvaise qualit, quant qualit insuffi- Souscriptions risques soucrits, malgr leur conforsante de l'ob- aux mit aux rgles jet risque Risques de cumul de souscription Dpassement des engagements acceptables sur un mme site, un mme client, ou un mme risque d'assurance
Souscription
Primes et rserves
R20201
Souscription
R20202
Souscription
R20203
Effets cumulatifs dus la dpendance ou la corrlation entre des risques de souscription et des risques sur les actifs
Souscription
Primes et rserves
R20204
Risques d'ap- Risques relatifs la gestion des coassurition rances ou des corassurances Risques de coassurance non apritrice ou corassurance suiveuse
Souscription
R20205
Souscription
IFACI
ANNEXE
71
Niveau 1
Famille
Niveau 2
Risques Niveau 2
Dfinition Risques Niveau 2 Risques relatifs la souscription de contrats d'assurance, ou l'acceptation de traits ou facultatives de rassurance, hors sinistralit et prestations Risques rsultant d'une dviation de la charge sinistres ou prestations compromettant l'quilibre attendu entre primes et charges techniques des portefeuilles Risques rsultant d'une dviation de la charge sinistres ou prestations compromettant l'quilibre attendu entre primes et charges techniques des portefeuilles Risques rsultant d'une dviation de la charge sinistres ou prestations compromettant l'quilibre attendu entre primes et charges techniques des portefeuilles Risques rsultant d'une dviation de la charge sinistres ou prestations compromettant l'quilibre attendu entre primes et charges techniques des portefeuilles Risques rsultant d'une dviation de la charge sinistres ou prestations compromettant l'quilibre attendu entre primes et charges techniques des portefeuilles Risques rsultant d'un provisionnement inadapt l'volution de la charge sinistres et prestations en cours ou venir Risques rsultant d'un provisionnement inadapt l'volution de la charge sinistres et prestations en cours ou venir Risques rsultant d'un provisionnement inadapt l'volution de la charge sinistres et prestations en cours ou venir Risques relatifs aux participations aux bnfices attribues aux assurs vie
R2
Assurances
R202
Souscription
R2
Assurances
R203
Sinistralit non vie / Prestations vie Sinistralit non vie / Prestations vie Sinistralit non vie / Prestations vie Sinistralit non vie / Prestations vie Sinistralit non vie / Prestations vie
R2
Assurances
R203
R2
Assurances
R203
ANNEXE
R2
Assurances
R203
R2
Assurances
R203
R2
Assurances
R204
Provisionnement
R2
Assurances
R204
Provisionnement
R2
Assurances
R204
Provisionnement
R2
Assurances
R205
R2
Assurances
R206
Rassurance Risques rsultant des conditions de protection ngocies avec les rassureurs
72
IFACI
Niveau 3
Catgorie S2 Dfinition Risques Niveau 3 Module de risque Sous module de risque Autres
R20206
Souscription
Rachat
R20301
Evolution dfavorable de la charge sinisRisques de tre dans une ou plusieurs catgories d'asdviation de la surance, d'une faon plus ou moins sinistralit rapide (augmentation de frquence ou d'intensit) Risques de frquence des sinistres de pointe Risques de cumul de sinistres Survenance plus frquente qu'attendue, de sinistres de montant lev
Souscription
Primes et rserves
R20302
Souscription
Primes et rserves
R20303
Survenance d'un sinistre catastrophique, d'un cumul RC ou sriel, ou d'un cumul de sinistres entre plusieurs branches
Souscription
Catastrophe
R20304
Souscription
Rachat
R20305
Dure de survie des rentiers suprieure ce qui avait t pris en compte dans les tarifs de rentes
Souscription
Longvit
R20401
Risques relatifs aux montants rsultant de provisions insuffide provisions de Risques santes devant la charge sinistres venir primes (hors PM) Risques relatifs aux montants de provisions mathmatiques (PM) Risques relatifs aux montants de provisions pour sinistres Risques relatifs au niveau de PB Risques d'inadquation des couvertures de rassurance Risques rsultant de provisions mathmatiques (PM) (vie et rente auto) insuffisantes face aux prestations rgler
Souscription
Primes et rserves
R20402
Souscription
R20403
Risques rsultant de provisions pour sinistres insuffisantes devant la charge en sinistres survenus Risques rsultant d'un niveau insuffisant des attributions de PB aux assurs (au vu de la conccurence, des caractristisques du produit, des attentes des assurs) Programme de rassurance insuffisant pour protger correctement un portefeuille, compte tenu de la rtention supportable par l'entreprise
Souscription
Primes et rserves
R20501
Souscription
R20601
Souscription
Primes et rserves
IFACI
ANNEXE
73
Niveau 1
Famille
Dfinition Risques Niveau 1 Risques spcifiques aux activits techniques d'assurance Risques spcifiques aux activits techniques d'assurance Risques spcifiques aux activits techniques d'assurance Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs
Niveau 2
Risques Niveau 2
R2
Assurances
R206
Rassurance Risques rsultant des conditions de protection ngocies avec les rassureurs Rassurance Risques rsultant des conditions de protection ngocies avec les rassureurs Matrise des Rsultats Risques lis la matrise des rsultats Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit
R2
Assurances
R206
R2
Assurances
R207
R3
Oprationnels
R301
ANNEXE
R3
Oprationnels
R301
R3
Oprationnels
R301
R3
Oprationnels
R301
R3
Oprationnels
R301
R3
Oprationnels
R301
74
IFACI
Niveau 3
Risques Niveau 3 Risques de surcot de la rassurance Risques de litige avec les rassureurs Risque de drive du ratio S/C et/ou diminution du CA Conformit, diffusion d'informations et devoir fiduciaire - Acte commercial Conformit, diffusion d'informations et devoir fiduciaire - Secret professionnel
Catgorie S2 Dfinition Risques Niveau 3 Module de risque Souscription Sous module de risque Primes et rserves Primes et rserves Autres
R20602
Traits de rassurance tarifs trop cher Risques de contestation de garantie par un rassureur
R20603
Souscription
R20701
Souscription
Primes et rserves
R30101
Oprationnel
R30102
Oprationnel
R30103
Conformit, diffusion d'informations et Non-respect des dispositions relatives devoir fiduciaire la protection des donnes personnelles - Protection des des personnes physiques (CNIL) donnes personnelles Conformit, diffusion d'informations et Utilisation abusive d'informations confidevoir fiduciaire dentielles - Informations confidentielles Conformit, diffusion d'informations et Pratiques de ventes agressives devoir fiduciaire - Vente agressive
Oprationnel
R30104
Oprationnel
R30105
Oprationnel
R30106
Oprationnel
IFACI
ANNEXE
75
Niveau 1
Famille
Dfinition Risques Niveau 1 Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs
Niveau 2
Risques Niveau 2
Dfinition Risques Niveau 2 Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit
R3
Oprationnels
R301
R3
Oprationnels
R301
R3
Oprationnels
R301
ANNEXE
R3
Oprationnels
R301
R3
Oprationnels
R301
R3
Oprationnels
R301
R3
Oprationnels
R301
R3
Oprationnels
R301
76
IFACI
Niveau 3
Risques Niveau 3 Pratiques commerciales / de place incorrectes Agrment rglementaire Pratiques commerciales / de place incorrectes LCB-FT Pratiques commerciales / de place incorrectes Marchs financiers Pratiques commerciales / de place incorrectes Meilleure excution
Catgorie S2 Dfinition Risques Niveau 3 Module de risque Sous module de risque Autres
R30107
Oprationnel
R30108
Non-respect des rglementations relatives au blanchiment de capitaux et au financement du terrorisme et aux obligations s'y rapportant (TRACFIN)
Oprationnel
R30109
Non-respect des rgles de fonctionnement des marchs financiers (dclaration en matire d'oprations suspectes, principe de l'intgrit du march)
Oprationnel
R30110
Oprationnel
R30111
Pratiques commerciales / de place incorrectes Pratiques commerciales / de place incorrectes Sgrgation des avoirs des clients
Oprationnel
R30112
Conflits d'intrts entre deux ou plusieurs clients concerns par une mme opration
Oprationnel
R30113
Pratiques commerciales / de place Non-respect de l'galit de traitement incorrectes des clients Egalit de traitement des clients Pratiques commerciales / de place incorrectes
Oprationnel
R30114
Oprationnel
IFACI
ANNEXE
77
Niveau 1
Famille
Dfinition Risques Niveau 1 Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs
Niveau 2
Risques Niveau 2
Dfinition Risques Niveau 2 Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit
R3
Oprationnels
R301
R3
Oprationnels
R301
R3
Oprationnels
R301
ANNEXE
R3
Oprationnels
R301
R3
Oprationnels
R301
R3
Oprationnels
R301
R3
Oprationnels
R301
R3
Oprationnels
R301
78
IFACI
Niveau 3
Risques Niveau 3 Pratiques commerciales / de place incorrectes Primaut de l'intrt du client Pratiques commerciales / de place incorrectes Franchissement de seuil
Catgorie S2 Dfinition Risques Niveau 3 Module de risque Sous module de risque Autres
R30115
Oprationnel
R30116
Oprationnel
R30117
Oprationnel
R30118
Oprationnel
R30119
Oprationnel
R30120
Dfauts dans les produits Procdure de validation des nouveaux produit Dfauts dans les produits Oprations complexes et sensibles
Oprationnel
R30121
Oprationnel
R30122
Contreparties commerciales
Oprationnel
IFACI
ANNEXE
79
Niveau 1
Famille
Dfinition Risques Niveau 1 Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs
Niveau 2
Risques Niveau 2
Dfinition Risques Niveau 2 Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit
R3
Oprationnels
R301
R3
Oprationnels
R301
R3
Oprationnels
R301
ANNEXE
R3
Oprationnels
R301
R3
Oprationnels
R301
Clients / tiers, Risques rsultant de dfaillance de produits et qualit dans les relations avec les pratiques commerciales tiers Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs
R3
Oprationnels
R301
R3
Oprationnels
R302
Excution, livraison et gestion des processus Excution, livraison et gestion des processus
R3
Oprationnels
R302
80
IFACI
Niveau 3
Risques Niveau 3
Catgorie S2 Dfinition Risques Niveau 3 Module de risque Sous module de risque Autres
R30123
Sponsorship exposure
Oprationnel
R30124
Oprationnel
R30125
Risques de d'absence de formalisation des contractualisa- Risques rapports avec un tiers ou de contractualition insuffisation insuffisante sante
Oprationnel
R30126
Activits de conseil
Oprationnel
R30127
Risques de notation
Rputation
R30128
Oprationnel
R30201
Oprationnel
R30202
Saisie, excution et suivi des transacNon-respect ou mauvaise interprtation tions - Respect des procdures des procdures
Oprationnel
IFACI
ANNEXE
81
Niveau 1
Famille
Dfinition Risques Niveau 1 Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs
Niveau 2
Risques Niveau 2
R3
Oprationnels
R302
Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs
R3
Oprationnels
R302
Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus
R3
Oprationnels
R302
ANNEXE
R3
Oprationnels
R302
R3
Oprationnels
R302
R3
Oprationnels
R302
R3
Oprationnels
R302
R3
Oprationnels
R302
R3
Oprationnels
R302
82
IFACI
Niveau 3
Risques Niveau 3
Catgorie S2 Dfinition Risques Niveau 3 Module de risque Sous module de risque Autres
R30203
Saisie, excution et suivi des transactions Dficiences dans l'organisation et les Dficiences procdures internes de traitement ou de dans l'organisa- contrle tion et les procdures Risques d'interface interservices Saisie, excution et suivi des transactions Inadquation des systmes d'informations Saisie, excution et suivi des transactions Gestion des rfrentiels Saisie, excution et suivi des transactions Paramtrage Saisie, excution et suivi des transactions Affectation comptable Saisie, excution et suivi des transactions - Piste d'audit Saisie, excution et suivi des transactions Communication Saisie, excution et suivi des transactions Dlais et obligations envers les clients Risques de dysfonctionnement des interfaces entre plusieurs fonctions, qu'elles s'appuient sur des moyens humains, de connectique, informatiques ou autres moyens logistiques Problmes dus l'inadquation des systmes d'information aux activits et produits
Oprationnel
R30204
Oprationnel
R30205
Oprationnel
R30206
Oprationnel
R30207
Oprationnel
R30208
Oprationnel
R30209
Oprationnel
R30210
Problmes de communication
Oprationnel
R30211
Non-respect des dlais et/ou des obligations envers les clients et/ou les fournisseurs
Oprationnel
IFACI
ANNEXE
83
Niveau 1
Famille
Dfinition Risques Niveau 1 Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs
Niveau 2
Risques Niveau 2 Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus
Dfinition Risques Niveau 2 Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs
R3
Oprationnels
R302
R3
Oprationnels
R302
R3
Oprationnels
R302
ANNEXE
R3
Oprationnels
R302
R3
Oprationnels
R302
R3
Oprationnels
R302
R3
Oprationnels
R302
R3
Oprationnels
R302
R3
Oprationnels
R302
84
IFACI
Niveau 3
Risques Niveau 3 Saisie, excution et suivi des transactions Surveillance des comptes et/ou oprations Saisie, excution et suivi des transactions Traitement des rclamations Saisie, excution et suivi des transactions - Autres Monitoring et reporting Inexactitude d'informations communiques l'extrieur Monitoring et reporting Manquement une obligation dclarative Monitoring et reporting Risque de rsultats errons Documents contractuels clients Imprcis, inadquats ou manquants Documents contractuels clients Collecte et conservation Gestion des comptes clients
Catgorie S2 Dfinition Risques Niveau 3 Module de risque Oprationnel Sous module de risque Autres
R30212
R30213
Oprationnel
R30214
Oprationnel
R30215
R30216
Oprationnel
R30217
Oprationnel
R30218
Oprationnel
R30219
Dfaillance dans la collecte et la conservation des dossiers et des documents relatifs aux clients
Oprationnel
R30220
Oprationnel
IFACI
ANNEXE
85
Oprationnel
Niveau 1
Famille
Dfinition Risques Niveau 1 Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs
Niveau 2
Risques Niveau 2 Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus
Dfinition Risques Niveau 2 Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs
R3
Oprationnels
R302
R3
Oprationnels
R302
R3
Oprationnels
R302
ANNEXE
R3
Oprationnels
R302
R3
Oprationnels
R302
R3
Oprationnels
R302
R3
Oprationnels
R302
R3
Oprationnels
R302
R3
Oprationnels
R302
86
IFACI
Niveau 3
Risques Niveau 3 Gestion des comptes clients Donnes Fournisseurs Mauvaise excutions des prestations
Catgorie S2 Dfinition Risques Niveau 3 Module de risque Oprationnel Sous module de risque Autres
R30221
R30222
Oprationnel
R30223
Absence de dispositions contractuelles encadrant les obligations et les engagements pris en matire de performance par les sous-traitants
Oprationnel
R30224
R30225
Risques judiciaires
Oprationnel
R30226
Risques de rseau insuffisant Risques de non-respect des limites de dlgation commerciale Risques de commissionnement inadapt
Oprationnel
R30227
Oprationnel
R30228
Risques gnrs par un systme ou une grille de commissionnement des intermdiaires non conforme avec les objectifs de vente ou de rentabilit
Oprationnel
R30229
Oprationnel
IFACI
ANNEXE
87
Fournisseurs Litiges
Oprationnel
Niveau 1
Famille
Dfinition Risques Niveau 1 Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs
Niveau 2
Risques Niveau 2 Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus
Dfinition Risques Niveau 2 Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Risques rsultant de l'intervention humaine dans les activits Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs
R3
Oprationnels
R302
R3
Oprationnels
R302
R3
Oprationnels
R302
ANNEXE
R3
Oprationnels
R302
R3
Oprationnels
R302
R3
Oprationnels
R302
R3
Oprationnels
R302
R3
Oprationnels
R302
R3
Oprationnels
R302
88
IFACI
Niveau 3
Risques Niveau 3
Catgorie S2 Dfinition Risques Niveau 3 Module de risque Oprationnel Sous module de risque Autres
R30230
Mauvaise attribution de pouvoir de dlgation (dfaut de comptence, incohrence avec l'organisation, etc.)
R30231
Risques d'ordonnancement Risques relatifs la diffusion de l'information et des donnes en interne Risques relatifs au rgime de TVA et la facturation Risques relatifs la taxation des contrats
Mauvaise attribution de pouvoir d'ordonnancement (dfaut de comptence, incohrence avec l'organisation, etc.)
Oprationnel
R30232
Risques de carences ou maladresses dans la diffusion des messages et des donnes en interne (hors logistique courrier interne)
Oprationnel
R30233
R30234
Risques de non respect des obligations en matire de taxation des contrats dassurance
Oprationnel
R30235
Risque li l'absence de procdure en matire de Contrle Fiscal des Comptabilits Informatises (CFCI)
Oprationnel
R30236
Etats rglementaires
Oprationnel
R30237
Risques d'en- Risques que certains engagements reus gagements sur sur actifs soient survalus ou ne puisvalorisation sent tre recouvrs d'actifs Risques d'en- Risques que certains engagements gagements sur donns sur passifs soient insuffisamment valorisation de estims ou non recenss au bilan passifs
Oprationnel
R30238
Oprationnel
IFACI
ANNEXE
89
Oprationnel
Niveau 1
Famille
Dfinition Risques Niveau 1 Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs
Niveau 2
Dfinition Risques Niveau 2 Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs
R3
Oprationnels
R302
R3
Oprationnels
R303
Dysfonction Pertes rsultant d'interruptions de nements de l'activit ou de dysfonctionnement l'activit et des systmes des systmes Dysfonction Pertes rsultant d'interruptions de nements de l'activit ou de dysfonctionnement l'activit et des systmes des systmes Dysfonction Pertes rsultant d'interruptions de nements de l'activit ou de dysfonctionnement l'activit et des systmes des systmes Dysfonction Pertes rsultant d'interruptions de nements de l'activit ou de dysfonctionnement l'activit et des systmes des systmes Dysfonction Pertes rsultant d'interruptions de nements de l'activit ou de dysfonctionnement l'activit et des systmes des systmes Dysfonction Pertes rsultant d'interruptions de nements de l'activit ou de dysfonctionnement l'activit et des systmes des systmes Dysfonction Pertes rsultant d'interruptions de nements de l'activit ou de dysfonctionnement l'activit et des systmes des systmes Dysfonction Pertes rsultant d'interruptions de nements de l'activit ou de dysfonctionnement l'activit et des systmes des systmes
R3
Oprationnels
R303
ANNEXE
R3
Oprationnels
R303
R3
Oprationnels
R303
R3
Oprationnels
R303
R3
Oprationnels
R303
R3
Oprationnels
R303
R3
Oprationnels
R303
90
IFACI
Niveau 3
Risques Niveau 3
Catgorie S2 Dfinition Risques Niveau 3 Module de risque Oprationnel Sous module de risque Autres
R30239
Risques que les garanties, avals ou cautions ne soient pas suffisamment valus ou recenss dans les comptes
R30301
Systmes Perte ou altration irrm- Perte ou altration irrmdiable de diable de donnes informatiques (accidentelle) donnes informatiques Systmes Dveloppement
Oprationnel
R30302
Erreurs de dveloppement
Oprationnel
R30303
R30304
Oprationnel
R30305
Oprationnel
R30306
Systmes Autres causes Autres causes d'origine technologiques d'origine tech- ( prciser) nologiques Systmes Disponibilit d'une ressource Dfaillance ou indisponibilit d'une (nergie, tlressource (nergie, tlcommunication) communication) Transports et autres perturbations Interruption totale ou partielle de l'activit
Oprationnel
R30307
Oprationnel
R30308
Oprationnel
IFACI
ANNEXE
91
Oprationnel
Niveau 1
Famille
Dfinition Risques Niveau 1 Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs
Niveau 2
Dfinition Risques Niveau 2 Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs
R3
Oprationnels
R302
R3
Oprationnels
R303
Dysfonction Pertes rsultant d'interruptions de nements de l'activit ou de dysfonctionnement l'activit et des systmes des systmes Dysfonction Pertes rsultant d'interruptions de nements de l'activit ou de dysfonctionnement l'activit et des systmes des systmes Dysfonction Pertes rsultant d'interruptions de nements de l'activit ou de dysfonctionnement l'activit et des systmes des systmes Dysfonction Pertes rsultant d'interruptions de nements de l'activit ou de dysfonctionnement l'activit et des systmes des systmes Pratiques en matire d'emploi et de scurit sur le lieu de travail Pratiques en matire d'emploi et de scurit sur le lieu de travail Pratiques en matire d'emploi et de scurit sur le lieu de travail Pratiques en matire d'emploi et de scurit sur le lieu de travail Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale
R3
Oprationnels
R303
ANNEXE
R3
Oprationnels
R303
R3
Oprationnels
R303
R3
Oprationnels
R304
R3
Oprationnels
R304
R3
Oprationnels
R304
R3
Oprationnels
R304
92
IFACI
Niveau 3
Risques Niveau 3
Catgorie S2 Dfinition Risques Niveau 3 Module de risque Oprationnel Sous module de risque Autres
R30309
Systmes Rgression
Rgression suite la livraison et la mise en production de nouveaux programmes informatiques ou suite la mise jour de programmes ou fonctionnalits existants Risques de prennit de l'outil informatique : correspond un outil informatique pour lequel la dure de vie est incertaine
R30310
Systmes Prennit
Oprationnel
R30311
Systmes Donnes
Oprationnel
R30312
R30313
Systmes Recette Scurit du lieu de travail - Accidents du travail / maladies professionnelles Scurit du lieu de travail Responsabilit civile
Correspond des tests, jeux d'essais incomplets qui peuvent induire des erreurs plus ou moins graves en production
Oprationnel
R30401
Non-respect des rgles de sant et de scurit sur le lieu de travail => accidents du travail / maladies professionnelles
Oprationnel
R30402
Responsabilit civile => accidents de tiers (clients, partenaires, fournisseurs, autres, etc.)
Oprationnel
R30403
Relations de travail Grve, contes- Grve, contestation syndicale tation syndicale Relations de travail Litiges avec les employs / Litiges avec les Indemnisation du personnel employs
Oprationnel
R30404
Oprationnel
IFACI
ANNEXE
93
Non-continuit de l'exploitation par absence de procdures de secours en cas de difficults graves dans le fonctionnement des systmes informatiques
Oprationnel
Niveau 1
Famille
Dfinition Risques Niveau 1 Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs
Niveau 2
Risques Niveau 2 Pratiques en matire d'emploi et de scurit sur le lieu de travail Pratiques en matire d'emploi et de scurit sur le lieu de travail Pratiques en matire d'emploi et de scurit sur le lieu de travail Pratiques en matire d'emploi et de scurit sur le lieu de travail Pratiques en matire d'emploi et de scurit sur le lieu de travail Pratiques en matire d'emploi et de scurit sur le lieu de travail Pratiques en matire d'emploi et de scurit sur le lieu de travail Pratiques en matire d'emploi et de scurit sur le lieu de travail Pratiques en matire d'emploi et de scurit sur le lieu de travail
Dfinition Risques Niveau 2 Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale
R3
Oprationnels
R304
R3
Oprationnels
R304
R3
Oprationnels
R304
ANNEXE
R3
Oprationnels
R304
R3
Oprationnels
R304
R3
Oprationnels
R304
R3
Oprationnels
R304
R3
Oprationnels
R304
R3
Oprationnels
R304
94
IFACI
Niveau 3
Risques Niveau 3
Catgorie S2 Dfinition Risques Niveau 3 Module de risque Oprationnel Sous module de risque Autres
R30405
Egalit et discrimination
R30406
Gestion des ressources humaines Recrutements inadapts Gestion des ressources humaines Formation inadapte Gestion des ressources humaines Gestion des emplois et des comptences Gestion des ressources humaines Politique salariale Gestion des ressources humaines Politique de rmunration et d'valuation des collaborateurs Gestion des ressources humaines Turnover Gestion des ressources humaines Ressource cl Gestion des ressources humaines Protection de la vie prive
Recrutements inadapts
Oprationnel
R30407
Formation inadapte
Oprationnel
R30408
R30409
Oprationnel
R30410
Oprationnel
R30411
Turnover excessif
Oprationnel
R30412
Oprationnel
R30413
Violation des dispositions concernant la protection de la vie prive et des donnes personnelles des salaris
Oprationnel
IFACI
ANNEXE
95
Oprationnel
Niveau 1
Famille
Dfinition Risques Niveau 1 Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs
Niveau 2
Risques Niveau 2 Pratiques en matire d'emploi et de scurit sur le lieu de travail Pratiques en matire d'emploi et de scurit sur le lieu de travail Pratiques en matire d'emploi et de scurit sur le lieu de travail Pratiques en matire d'emploi et de scurit sur le lieu de travail Pratiques en matire d'emploi et de scurit sur le lieu de travail Dommages aux actifs corporels
Dfinition Risques Niveau 2 Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale Pertes rsultant de la perte ou du dommage sur un actif corporel la suite d'une catastrophe naturelle ou d'un autre sinistre Pertes rsultant de la perte ou du dommage sur un actif corporel la suite d'une catastrophe naturelle ou d'un autre sinistre Pertes rsultant de la perte ou du dommage sur un actif corporel la suite d'une catastrophe naturelle ou d'un autre sinistre Pertes rsultant de la perte ou du dommage sur un actif corporel la suite d'une catastrophe naturelle ou d'un autre sinistre
R3
Oprationnels
R304
R3
Oprationnels
R304
R3
Oprationnels
R304
ANNEXE
R3
Oprationnels
R304
R3
Oprationnels
R304
R3
Oprationnels
R305
R3
Oprationnels
R305
R3
Oprationnels
R305
R3
Oprationnels
R305
96
IFACI
Niveau 3
Risques Niveau 3 Gestion des ressources humaines Rglementation sociale Gestion des ressources humaines Autre
Catgorie S2 Dfinition Risques Niveau 3 Module de risque Oprationnel Sous module de risque Autres
R30414
R30415
Autres problmes lis la gestion des ressources humaines Risques d'un niveau de salaire globalement plus lev que ce qu'il ne devrait tre compte tenu de l'tat du march du travail, conduisant des surcots portant prjudice la comptitivit de l'entreprise
Oprationnel
R30416
Oprationnel
R30417
R30418
Risques relade la dontologie des relatifs aux rgles Non-respect de dontologie tions avec un rseau d'apporteurs
Oprationnel
R30501
Catastrophes et autres sinis- Catastrophes et autres sinistres tres Catastrophes et autres sinistres - Autres dommages causs aux actifs corporels Catastrophes et autres sinistres Destruction, malveillante de biens
Oprationnel
R30502
Oprationnel
R30503
Oprationnel
R30504
Catastrophes et autres sinis- Litiges lis aux immeubles et infrastructres - Litiges immeubles et tures infrastructures
Oprationnel
IFACI
ANNEXE
97
Risques relaNon-respect par un membre du persontifs aux rgles nel des rgles rgissant la profession en de dontologie matire d'thique
Oprationnel
Niveau 1
Famille
Dfinition Risques Niveau 1 Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs
Niveau 2
Risques Niveau 2
R3
Oprationnels
R305
Pertes rsultant de la perte ou du dommage sur un actif corporel la suite d'une catastrophe naturelle ou d'un autre sinistre Pertes rsultant de la perte ou du dommage sur un actif corporel la suite d'une catastrophe naturelle ou d'un autre sinistre Pertes rsultant de la perte ou du dommage sur un actif corporel la suite d'une catastrophe naturelle ou d'un autre sinistre Pertes dues un acte intentionnel de fraude, de dtournement de biens, d'infractions la lgislation ou aux rgles de l'entreprise qui implique au moins une personne en interne Pertes dues un acte intentionnel de fraude, de dtournement de biens, d'infractions la lgislation ou aux rgles de l'entreprise qui implique au moins une personne en interne Pertes dues un acte intentionnel de fraude, de dtournement de biens, d'infractions la lgislation ou aux rgles de l'entreprise qui implique au moins une personne en interne Pertes dues un acte intentionnel de fraude, de dtournement de biens, d'infractions la lgislation ou aux rgles de l'entreprise qui implique au moins une personne en interne Pertes dues un acte intentionnel de fraude, de dtournement de biens, d'infractions la lgislation ou aux rgles de l'entreprise qui implique au moins une personne en interne Pertes dues un acte intentionnel de fraude, de dtournement de biens, d'infractions la lgislation ou aux rgles de l'entreprise qui implique au moins une personne en interne
R3
Oprationnels
R305
R3
Oprationnels
R305
ANNEXE
R3
Oprationnels
R306
Fraude interne
R3
Oprationnels
R306
Fraude interne
R3
Oprationnels
R306
Fraude interne
R3
Oprationnels
R306
Fraude interne
R3
Oprationnels
R306
Fraude interne
R3
Oprationnels
R306
Fraude interne
98
IFACI
Niveau 3
Risques Niveau 3
Catgorie S2 Dfinition Risques Niveau 3 Module de risque Oprationnel Sous module de risque Autres
R30505
Catastrophes et autres sinistres Autres causes lies l'indisponibilit des Indisponibilit immeubles et infrastructures immeubles et infrastructures Catastrophes et autres sinis- Pandmie tres Pandmie Risques gnrs par les immeubles d'exploitation (en proprit ou en location) Activit non autorise Dissimulation volontaire de position Activit non autorise Transactions non notifies Activit non autorise Abus de pouvoir Activit non autorise Fausses dclarations Vol et fraude Vol / dtournement de fonds Vol et fraude Vol / dtournement de biens Risques de sinistre (incendie, dommages des tiers, etc.), risques relatifs la continuit des oprations, risques relatifs la gestion des immeubles (hors scurit du personnel)
R30506
Oprationnel
R30507
Oprationnel
R30601
R30602
Oprationnel
R30603
Oprationnel
R30604
Oprationnel
R30606
Oprationnel
R30607
Oprationnel
IFACI
ANNEXE
99
Oprationnel
Niveau 1
Famille
Dfinition Risques Niveau 1 Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs
Niveau 2
Risques Niveau 2
Dfinition Risques Niveau 2 Pertes dues un acte intentionnel de fraude, de dtournement de biens, d'infractions la lgislation ou aux rgles de l'entreprise qui implique au moins une personne en interne Pertes dues un acte intentionnel de fraude, de dtournement de biens, d'infractions la lgislation ou aux rgles de l'entreprise qui implique au moins une personne en interne Pertes dues un acte intentionnel de fraude, de dtournement de biens, d'infractions la lgislation ou aux rgles de l'entreprise qui implique au moins une personne en interne Pertes dues un acte intentionnel de fraude, de dtournement de biens, d'infractions la lgislation ou aux rgles de l'entreprise qui implique au moins une personne en interne Pertes dues un acte intentionnel de fraude, de dtournement de biens, d'infractions la lgislation ou aux rgles de l'entreprise qui implique au moins une personne en interne Pertes dues un acte intentionnel de fraude, de dtournement de biens, d'infractions la lgislation ou aux rgles de l'entreprise qui implique au moins une personne en interne Pertes dues un acte intentionnel de fraude, de dtournement de biens, d'infractions la lgislation ou aux rgles de l'entreprise qui implique au moins une personne en interne Pertes dues un acte intentionnel de fraude, de dtournement de biens, d'infractions la lgislation ou aux rgles de l'entreprise qui implique au moins une personne en interne Pertes dues un acte intentionnel de fraude, de dtournement de biens, d'infractions la lgislation ou aux rgles de l'entreprise qui implique au moins une personne en interne
R3
Oprationnels
R306
Fraude interne
R3
Oprationnels
R306
Fraude interne
R3
Oprationnels
R306
Fraude interne
ANNEXE
R3
Oprationnels
R306
Fraude interne
R3
Oprationnels
R306
Fraude interne
R3
Oprationnels
R306
Fraude interne
R3
Oprationnels
R306
Fraude interne
R3
Oprationnels
R306
Fraude interne
R3
Oprationnels
R306
Fraude interne
100
IFACI
Niveau 3
Risques Niveau 3
Catgorie S2 Dfinition Risques Niveau 3 Module de risque Oprationnel Sous module de risque Autres
R30608
Contrefaon de documents
R30609
Oprationnel
R30610
Oprationnel
R30605
R30611
Oprationnel
R30612
Oprationnel
R30613
Oprationnel
R30614
Oprationnel
R30615
Risque de faire usage sciemment de biens, du crdit de la socit, ou des pouvoirs possds par des dirigeants sociaux (droits reconnus par la loi ou les statuts aux dirigeants sociaux) contraire aux intrts de la socit et dans un intrt personnel, intrt du dirigeant social, des membres de sa famille, de ses proches.
Oprationnel
IFACI
ANNEXE
101
Oprationnel
Niveau 1
Famille
Dfinition Risques Niveau 1 Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risques relatifs au pilotage de lentreprise, aux risques de rputation directe et aux risques gnrs par lenvironnement de lentreprise et aux risques mergents
Niveau 2
Risques Niveau 2
R3
Oprationnels
R307
Fraude externe
Pertes dues un acte intentionnel de fraude, de dtournement de biens, deffractions la lgislation ou aux rgles par une tierce partie Pertes dues un acte intentionnel de fraude, de dtournement de biens, deffractions la lgislation ou aux rgles par une tierce partie Pertes dues un acte intentionnel de fraude, de dtournement de biens, deffractions la lgislation ou aux rgles par une tierce partie Pertes dues un acte intentionnel de fraude, de dtournement de biens, deffractions la lgislation ou aux rgles par une tierce partie Pertes dues un acte intentionnel de fraude, de dtournement de biens, deffractions la lgislation ou aux rgles par une tierce partie Pertes dues un acte intentionnel de fraude, de dtournement de biens, deffractions la lgislation ou aux rgles par une tierce partie Pertes dues un acte intentionnel de fraude, de dtournement de biens, deffractions la lgislation ou aux rgles par une tierce partie Pertes dues un acte intentionnel de fraude, de dtournement de biens, deffractions la lgislation ou aux rgles par une tierce partie
R3
Oprationnels
R307
Fraude externe
R3
Oprationnels
R307
Fraude externe
ANNEXE
R3
Oprationnels
R307
Fraude externe
R3
Oprationnels
R307
Fraude externe
R3
Oprationnels
R307
Fraude externe
R3
Oprationnels
R307
Fraude externe
R3
Oprationnels
R307
Fraude externe
R4
Stratgiques et environnementaux
R401
March de l'assurance
102
IFACI
Niveau 3
Risques Niveau 3
Catgorie S2 Dfinition Risques Niveau 3 Module de risque Oprationnel Sous module de risque Autres
R30701
R30702
Contrefaon de documents
Oprationnel
R30703
Vol
Oprationnel
R30704
R30705
Vol et fraude Usurpation de compte / d'identit Scurit des systmes Malveillance informatique
Oprationnel
R30706
Oprationnel
R30707
Oprationnel
R30708
Risques de corruption
Risques de corruption active ou passive de membres du personnel, de commerciaux mandataires, salaris ou indpendants (courtiers)
Oprationnel
R40101
Risques rsultant de la pression du march pratiquer des taux tarifaires bas (cyclique en gnral)
Stratgique
IFACI
ANNEXE
103
Oprationnel
Niveau 1
Famille
Dfinition Risques Niveau 1 Risques relatifs au pilotage de lentreprise, aux risques de rputation directe et aux risques gnrs par lenvironnement de lentreprise et aux risques mergents Risques relatifs au pilotage de lentreprise, aux risques de rputation directe et aux risques gnrs par lenvironnement de lentreprise et aux risques mergents Risques relatifs au pilotage de lentreprise, aux risques de rputation directe et aux risques gnrs par lenvironnement de lentreprise et aux risques mergents Risques relatifs au pilotage de lentreprise, aux risques de rputation directe et aux risques gnrs par lenvironnement de lentreprise et aux risques mergents Risques relatifs au pilotage de lentreprise, aux risques de rputation directe et aux risques gnrs par lenvironnement de lentreprise et aux risques mergents Risques relatifs au pilotage de lentreprise, aux risques de rputation directe et aux risques gnrs par lenvironnement de lentreprise et aux risques mergents Risques relatifs au pilotage de lentreprise, aux risques de rputation directe et aux risques gnrs par lenvironnement de lentreprise et aux risques mergents Risques relatifs au pilotage de lentreprise, aux risques de rputation directe et aux risques gnrs par lenvironnement de lentreprise et aux risques mergents Risques relatifs au pilotage de lentreprise, aux risques de rputation directe et aux risques gnrs par lenvironnement de lentreprise et aux risques mergents
Niveau 2
Risques Niveau 2
R4
Stratgiques et environnementaux
R401
March de l'assurance
R4
Stratgiques et environnementaux
R402
Pilotage
R4
Stratgiques et environnementaux
R402
Pilotage
ANNEXE
R4
Stratgiques et environnementaux
R402
Pilotage
R4
Stratgiques et environnementaux
R403
Marketing
R4
Stratgiques et environnementaux
R403
Marketing
R4
Stratgiques et environnementaux
R404
R4
Stratgiques et environnementaux
R405
Rputation
R4
Stratgiques et environnementaux
R405
Rputation
104
IFACI
Niveau 3
Risques Niveau 3
Catgorie S2 Dfinition Risques Niveau 3 Module de risque Sous module de risque Autres
R40102
Risques de concurrence
Stratgique
R40201
Dcalage entre la stratgie dfinie et sa mise en oeuvre, du fait d'erreurs d'apprciation ou de non-adquation des moyens
Stratgique
R40202
Risques relatifs au pilotage Risques provenant de dficiences du stratgique des activits et pilotage des filiales Risque de drive des cots Risque de drive des cots pour des postes trs importants comme le personnel, les immeubles, les systmes dinformation Risques provenant d'une mauvaise identification des besoins, d'une mauvaise segmentation clientle, etc., conduisant l'laboration de produits inadapts Dcalage entre le contenu d'un message et sa comprhension, ou sa prise en compte, par le destinaire de l'information, et risques de publicit trompeuse Risques d'inadquation de l'organisation fonctionnelle aux activits, la mise en oeuvre de la stratgie, au profil des comptences disponibles, la gestion des relations avec les intermdiaires et avec les clients, etc. Risques rsultant de la mise en cause publique de pratiques particulires d'une ou plusieurs compagnies (hors entente), ou d'erreurs de communication publique
Stratgique
R40203
Stratgique
R40301
Risques de mauvaise analyse des marchs cibles Risques d'erreur de communication marketing Risques d'inadquation de l'organisation fonctionnelle Risques d'image du secteur de l'assurance Risques d'image Risques provenant d'un manquement aux rgles de bonne conduite
Stratgique
R40302
Stratgique
R40101
Stratgique
R40501
Rputation
R40502
Risques provenant d'un manquement aux rgles de bonne conduite, aux normes professionnelles ou aux valeurs de la socit
Rputation
IFACI
ANNEXE
105
Niveau 1
Famille
Dfinition Risques Niveau 1 Risques relatifs au pilotage de lentreprise, aux risques de rputation directe et aux risques gnrs par lenvironnement de lentreprise et aux risques mergents Risques relatifs au pilotage de lentreprise, aux risques de rputation directe et aux risques gnrs par lenvironnement de lentreprise et aux risques mergents Risques relatifs au pilotage de lentreprise, aux risques de rputation directe et aux risques gnrs par lenvironnement de lentreprise et aux risques mergents Risques relatifs au pilotage de lentreprise, aux risques de rputation directe et aux risques gnrs par lenvironnement de lentreprise et aux risques mergents Risques relatifs au pilotage de lentreprise, aux risques de rputation directe et aux risques gnrs par lenvironnement de lentreprise et aux risques mergents Risques relatifs au pilotage de lentreprise, aux risques de rputation directe et aux risques gnrs par lenvironnement de lentreprise et aux risques mergents
Niveau 2
Risques Niveau 2
R4
Stratgiques et environnementaux
R405
Rputation
R4
Stratgiques et environnementaux
R405
Rputation
R4
Stratgiques et environnementaux
R405
Rputation
ANNEXE
R4
Stratgiques et environnementaux
R406
Lgislatifs, Risques lis l'apparition de rglemenlois ou rglements, et taires et judi- nouvelles leur application ciaires Autres risques systmiques et exognes Autres risques systmiques et exognes
R4
Stratgiques et environnementaux
R407
R4
Stratgiques et environnementaux
R407
106
IFACI
Niveau 3
Risques Niveau 3 Risques d'image Risques juridiques et de mise en cause Risques d'image Risques de communication externe Risques d'image Risques lis aux mdias sociaux
Catgorie S2 Dfinition Risques Niveau 3 Risques de mise en cause judiciaire ou non, par une association de consommateurs, par la presse, ou par un client important, de litige sur l'application d'un contrat Politique de communication sur l'identit de l'entreprise inadquate au march, aux intermdiaires, aux interlocuteurs financiers ou institutionnels, etc. Risques lis aux mdias sociaux qui affectent court, moyen ou long terme la confiance envers un organisme dassurance Module de risque Sous module de risque Autres
R40503
Stratgique
R40504
Rputation
R40505
Rputation
R40601
Rputation
R40701
Risques conomiques
Stratgique
R40702
Risques politiques
Risques externes
IFACI
ANNEXE
107
Lgislatifs, lis l'apparition de nouvelles rglementaires Risques lois ou rglements, et leur application et judiciaires
tiquettes de lignes Assurances Maitrse des Rsultats Participations aux bnfices Provisionnement Rassurance de protection Sinistralit non vie / Prestations vie Souscription Technique Financiers Adquation Actif/Passif Endettement Gestion d'actifs Risques de solvabilit Oprationnels Clients / tiers, produits et pratiques commerciales Dommages aux actifs corporels Dysfonctionnements de l'activit et des systmes Excution, Livraison et gestion des processus Fraude externe Fraude interne Pratiques en matire d'emploi et de scurit sur le lieu de travail Stratgiques et environnementals Autres risques systmiques et exognes Lgislatifs, rglementaires et judiciaires March de l'assurance Marketing Organisation Pilotage Rputation Total gnral
ANNEXE
108
IFACI
ANNEXE 3
Prsentation des risques de la formule standard du calcul du SCR
IFACI
ANNEXE
109
Module
Dfinition
Commentaire
ANNEXE
Risque de march
Le module risque de march reflte le risque li au niveau ou la volatilit de la valeur de march des instruments financiers ayant un impact sur la valeur des actifs et des passifs de lentreprise concerne. Il reflte de manire adquate toute inadquation structurelle entre les actifs et les passifs, en particulier au regard de leur duration
Le risque de march rsulte du niveau ou de la volatilit des cours de march des instruments financiers qui ont un impact sur la valeur des actifs et des passifs de lentreprise concerne. Lexposition au risque de march est mesure par limpact des mouvements dans le niveau des variables financires tel que le cours des actions, les taux dintrt, les cours de limmobilier et les taux de change
110
IFACI
Dfinition Risque li la sensibilit de la valeur des actifs, des passifs et des instruments financiers aux changements affectant la courbe des taux dintrt ou la volatilit des taux dintrt Risque li la sensibilit de la valeur des actifs, des passifs et des instruments financiers aux changements affectant le niveau ou la volatilit de la valeur de march des actions Risque li la sensibilit de la valeur des actifs, des passifs et des instruments financiers aux changements affectant le niveau ou la volatilit de la valeur de march des actifs immobiliers Risque li la sensibilit de la valeur des actifs, des passifs et des instruments financiers aux changements affectant le niveau ou la volatilit des marges (spreads) de crdit par rapport la courbe des taux dintrt sans risque Risque li la sensibilit de la valeur des actifs, des passifs et des instruments financiers aux changements affectant le niveau ou la volatilit des taux de change Risques supplmentaires supports par lentreprise dassurance ou de rassurance du fait soit dun manque de diversification de son portefeuille dactifs, soit dune exposition importante au risque de dfaut dun seul metteur de valeurs mobilires ou dun groupe dmetteurs lis
Commentaire
1.1
1.2
1.3
1.4
1.5
Risque de change
1.6
1.7
Contracyclique
IFACI
ANNEXE
111
Module
Dfinition
Commentaire
ANNEXE
Le module risque de souscription en sant reflte le risque dcoulant de la souscription dengagements dassurance sant, quil sexerce ou non sur une base technique similaire celle de lassurance vie, compte tenu des prils couverts et des procds appliqus dans lexercice de cette activit
Le risque de souscription Sant couvre le risque de souscription pour toutes les garanties sant et accidents du travail ; il se divise en trois sous modules : sant long terme pratique sur une base similaire celle de lassurance vie (qui nexiste quen Allemagne et Autriche), sant court terme et accidents du travail.
112
IFACI
Sous module
Dfinition
Commentaire Le risque de mortalit est le risque que les assurs meurent plus vite que ne le prvoyaient les hypothses initiales. Il s'applique tous les engagements pour lesquels les prestations payer en cas de dcs excdent les provisions techniques, et pour lesquels une hausse de la mortalit conduira donc une augmentation des provisions techniques. Le risque de longvit s'applique aux contrats pour lesquels une baisse de la mortalit conduirait une hausse des provisions techniques, tels que les contrats de retraite supplmentaire.
2.1
Risque de mortalit
Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de fluctuations affectant le niveau, lvolution tendancielle ou la volatilit des taux de mortalit, lorsquune augmentation de ces taux entrane une augmentation de la valeur des engagements dassurance
2.2
Risque de longvit
Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de fluctuations affectant le niveau, lvolution tendancielle ou la volatilit des taux de mortalit, lorsquune baisse de ces taux entrane une augmentation de la valeur des engagements dassurance. Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de fluctuations affectant le niveau, lvolution tendancielle ou la volatilit des taux dinvalidit, de maladie et de morbidit Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de fluctuations affectant le niveau ou la volatilit des taux de cessation, dchance, de renouvellement et de rachat des polices Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de fluctuations affectant le niveau, lvolution tendancielle ou la volatilit des dpenses encourues pour la gestion des contrats dassurance ou de rassurance Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de fluctuations affectant le niveau, lvolution tendancielle ou la volatilit des taux de rvision applicables aux rentes, sous leffet dun changement de lenvironnement juridique ou de ltat de sant de la personne assure Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de lincertitude importante, lie aux pidmies majeures et laccumulation inhabituelle de risques qui se produit dans ces circonstances extrmes, qui pse sur les hypothses retenues en matire de prix et de provisionnement Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de fluctuations affectant la date de survenance, la frquence et la gravit des vnements assurs, ainsi que la date et le montant des rglements de sinistres au moment du provisionnement
2.3
2.4
Risque de rachat
2.5
Risque de dpenses
2.6
Risque de rvision
2.7
2.8
IFACI
ANNEXE
113
Module
Dfinition Le module risque de contrepartie reflte les pertes possibles que pourrait entraner le dfaut inattendu, ou la dtrioration de la qualit de crdit, des contreparties et dbiteurs de lentreprise dassurance ou de rassurance durant les douze mois venir. Le module risque de contrepartie couvre les contrats dattnuation des risques, tels que les accords de rassurance, les titrisations et les instruments drivs, et les paiements recevoir des intermdiaires ainsi que tout autre risque de crdit ne relevant pas du sous-module risque li la marge . Il prend en compte, de manire approprie, les garanties ou autres srets dtenues par lentreprise dassurance ou de rassurance ou pour son compte, et les risques qui y sont lis.
Commentaire
Le risque de dfaut ou de contrepartie reprsente le risque quun dbiteur ou une contrepartie de la socit d'assurance ou de rassurance nhonore pas ses engagements dans les conditions initialement prvues.
ANNEXE
Le module risque de souscription en vie reflte le risque dcoulant des engagements dassurance vie, compte tenu des prils couverts et des procds appliqus dans lexercice de cette activit.
Le risque de souscription Vie regroupe lensemble des risques li une tarification insuffisamment prudente lors de la souscription ou le rachat du contrat (comprenant le risque de mortalit, de longvit, de rachat, etc.).
114
IFACI
Sous module
Dfinition
Commentaire
4.1
Risque de mortalit
4.2
Risque de longvit
4.3
Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de fluctuations affectant le niveau, lvolution tendancielle ou la volatilit des taux de mortalit, lorsquune augmentation de ces taux entrane une augmentation de la valeur des engagements dassurance Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de fluctuations affectant le niveau, lvolution tendancielle ou la volatilit des taux de mortalit, lorsquune baisse de ces taux entrane une augmentation de la valeur des engagements dassurance. Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de fluctuations affectant le niveau, lvolution tendancielle ou la volatilit des taux dinvalidit, de maladie et de morbidit Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de fluctuations affectant le niveau, lvolution tendancielle ou la volatilit des dpenses encourues pour la gestion des contrats dassurance ou de rassurance. Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de fluctuations affectant le niveau, lvolution tendancielle ou la volatilit des taux de rvision applicables aux rentes, sous leffet dun changement de lenvironnement juridique ou de ltat de sant de la personne assure Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de fluctuations affectant le niveau ou la volatilit des taux de cessation, dchance, de renouvellement et de rachat des polices Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de lincertitude importante, lie aux vnements extrmes ou irrguliers, qui pse sur les hypothses retenues en matire de prix et de provisionnement
4.4
4.5
Risque de rvision
4.6
Risque de rachat
4.7
IFACI
ANNEXE
115
Module
Dfinition
Commentaire
Le module risque de souscription en non-vie reflte le risque dcoulant des engagements dassurance non-vie, compte tenu des prils couverts et des procds appliqus dans lexercice de cette activit. Il tient compte de lincertitude pesant sur les rsultats des entreprises dassurance et de rassurance dans le cadre de leurs engagements dassurance et de rassurance existants, ainsi que du nouveau portefeuille dont la souscription est attendue dans les douze mois venir.
Le risque de souscription Non vie reprsente le risque dassurance spcifique rsultant des contrats dassurance. Il fait rfrence lincertitude concernant les rsultats de la souscription de lassureur (montants et dlais de rglements des sinistres, taux de primes ncessaires pour couvrir les passifs, etc.).
ANNEXE
Risque de perte, ou de changement dfavorable de la situation financire, rsultant de fluctuations affectant le niveau ou la volatilit de la valeur des actifs incorporels (logiciels, brevets, marques, etc.) prsents au bilan de l'organisme d'assurance.
Le risque d'actifs incorporels porte sur les actifs incorporels qui sont exposs deux types de risques : le risque de march et le risque interne inhrent la nature mme de ces lments. Les actifs incorporels reprsentent les actifs immatriels de l'entreprise tels que le "goodwill", les brevets, les licences, les marques,
Risque oprationnel
Le risque oprationnel est le risque de perte rsultant de procdures internes inadaptes ou dfaillantes, du personnel, des systmes ou dvnements extrieurs. Il comprend galement les risques juridiques, mais il exclut les risques de rputation et les risques rsultant de dcisions stratgiques. Le module Risque oprationnel tient compte des risques oprationnels non explicitement couverts dans dautres modules de risque. Le besoin en capital pour couvrir le risque oprationnel est calcul de faon forfaitaire.
116
IFACI
Sous module
Dfinition Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de fluctuations affectant la date de survenance, la frquence et la gravit des vnements assurs, ainsi que la date et le montant des rglements de sinistres Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de lincertitude importante, lie aux vnements extrmes ou exceptionnels, qui pse sur les hypothses retenues en matire de prix et de provisionnement. Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de fluctuations affectant le niveau ou la volatilit des taux de cessation, dchance, de renouvellement et de rachat des polices
Commentaire
5.1
5.2
5.3
Risque de rachat
IFACI
ANNEXE
117
ANNEXE 4
Exemple dimpact financier
Type deffets Dprciation
(Write-down)
Description Dprciation dactifs dans les comptes suite un vnement de risque oprationnel. Par exemple : Vol au sein de la socit, fraude interne ou externe, erreur tarifaire aboutissant un revers infrieur aux prvisions. Paiements des tiers suite des vnements oprationnels dont la socit est lgalement responsable. Par exemple : Rclamations de clients suite un arrt dactivit de la socit ou des erreurs tarifaires, intrts verss suite un retard dans un paiement, fraude de salari sur compte client. Cela ninclut pas la rduction du propre revenu de la socit en raison dun arrt dactivit, les pertes rsultant dune atteinte la rputation de la socit. Pertes rsultant de lincapacit de la socit mettre en uvre des rclamations / recours auprs dun tiers. La perte peut tre encourue quand un tiers ne respecte pas ou ne peut pas respecter ses obligations, causes par un vnement oprationnel. Par exemple : Un double paiement fait un tiers qui ne peut pas tre rcupr. Frais encourus dans le cadre de litiges, de procs (y compris frais davocat, rglements judiciaires, condamnations). Par exemple : Rglements lamiable, cots juridiques et autres dpenses y affrentes. Cela ninclut pas les cots relatifs lamlioration de la documentation ou des traitements. Amendes ou rglements imposs par les autorits / organismes rglementaires la suite dactions non conformes faites par la socit. Par exemple : Amendes verses pour rgler des contraventions la rglementation, etc. Cela ne comprend pas la perte de revenu suite la rvocation dune licence, les honoraires davocat, etc., de recherche dun changement dune disposition rglementaire qui serait favorable lentreprise. Pertes encourues en raison de paiements dimpts supplmentaires auxquels la socit doit faire face. Par exemple : Pnalits fiscales ou taxes supplmentaires Dprciation des actifs corporels en raison de la survenance dun vnement oprationnel (ngligence, incendie, accident, tremblement de terre). Par exemple : Cots de remplacement du matriel vol ou endommag, cot de la reprise immdiate dactivits, cots associs aux rparations des actifs ; pertes de biens incorporels (donnes, etc.). Cela ninclut pas les amliorations apportes au cours de la reconstruction aprs un incendie, une inondation ou une catastrophe naturelle (amliorations par rapport la situation initiale avant lvnement). Pertes et/ou cots non concerns par les natures prcdentes. Par exemple : Cot des consultants externes / personnel temporaire pour enquter ou rsoudre le problme, les cots de reproduction ou de remplacement, etc. Cela ninclut pas le temps consacr lanalyse et la rsolution de problmes, les cots de support interne (support informatique, audit interne), lamlioration des contrles de prvention, baisse de revenus en raison dun impact sur la rputation.
Ddommagements
(Compensation)
Pertes de recours
ANNEXE
(Loss of Recourse)
Responsabilits juridiques
(Legal Liability)
Actions rglementaires
(Regulatory Action)
Dpenses fiscales
(Tax Expenses)
118
IFACI
ANNEXE 5
Evaluation de limpact financier dun incident
Exemples dvnement et leur retranscription en termes dimpact financier
1) Passation par pertes et profits de valeurs immobilises suite une destruction dactifs
Passation en compte de perte et profit de valeurs immobilises corporelles suite une destruction dactifs, destruction de locaux et matriels suite un sinistre. Cot externe de remise en ltat de valeurs immobilises suite une dgradation. Passation en compte de perte et profit de valeurs immobilises incorporelles suite labandon dun projet informatique. Cot dachat ou de remise en ltat de biens non immobiliss suite une destruction ou un vol.
4) Perte sche lie la compensation de tiers en cas derreur imputable lorganisme dassurance
Indemnisation du client ou intrts de retard verss une contrepartie, y compris les avoirs sur factures et commissions. Indemnisation et prises en charge en cas de responsabilit de lorganisme dassurance sans quil soit en faute : indemnisation du personnel en cas daccident.
IFACI
ANNEXE
119
ANNEXE
Autres cas
Manque gagner (non objectivement vrifiable) correspondant la perte dopportunits commerciales lie la suspension temporaire dactivit (sanction ou inaccessibilit du site). Manque gagner correspondant une perte de chiffre daffaires rcurrent, donc prvisible et objectivement vrifiable suite une dfaillance des systmes dinformation ou un sinistre. Exemple : panne prolonge ou rpte des applicatifs de souscription.
120
IFACI
Manque gagner correspondant des commissions dues mais non perues (dfaut dans le processus de facturation ou de recouvrement) Incident vit en labsence de contrle et sans consquence financire (voir section 3.2.1 sur les quasi-pertes / near misses) : - Erreur rattrape dans des dlais suffisants pour ne pas engendrer de pnalits ; - Sommes verses par erreur mais rcupres dans les meilleurs dlais ; - Fraude djoue. Geste commercial ne venant pas compenser une erreur de lorganisme dassurance. Dpassement de budget de projets.
IFACI
ANNEXE
121
ANNEXE 6
Illustration Synthse du processus de collecte des vnements
Processus
Tches Notification de lvnement Description de lvnement et de la cause Estimation des consquences financires Dfinition de la catgorie du risque li Analyse des cas dclars Enregistrement dans la base des vnements / impacts ligibles la collecte Vrification compltude et qualit Validation de la cohrence
Dclarant
ANNEXE
Loss identifier
Consolidation des donnes Validation des vnements dclars Analyse et diffusion des donnes
122
ANNEXE 7
Directive Solvabilit II (extraits)
Directive du parlement europen et du conseil sur l'accs aux activits de l'assurance et de la rassurance et leur exercice (Solvabilit II). Version consolide du 25 novembre 2009.
Article 13 - Dfinitions
30. risque de souscription : le risque de perte ou de changement dfavorable de la valeur des engagements dassurance, en raison dhypothses inadquates en matire de tarification et de provisionnement ; 31. risque de march : le risque de perte, ou de changement dfavorable de la situation financire, rsultant, directement ou indirectement, de fluctuations affectant le niveau et la volatilit de la valeur de march des actifs, des passifs et des instruments financiers ; 32. risque de crdit : le risque de perte, ou de changement dfavorable de la situation financire, rsultant de fluctuations affectant la qualit de crdit dmetteurs de valeurs mobilires, de contreparties ou de tout dbiteur, auquel les entreprises dassurance et de rassurance sont exposes sous forme de risque de contrepartie, de risque li la marge ou de concentration du risque de march ; 33. risque oprationnel : le risque de perte rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs ; 34. risque de liquidit : le risque, pour les entreprises dassurance et de rassurance, de ne pas pouvoir raliser leurs investissements et autres actifs en vue dhonorer leurs engagements financiers au moment o ceux-ci deviennent exigibles ; 35. risque de concentration : toutes les expositions au risque qui sont assorties dun potentiel de perte suffisamment important pour menacer la solvabilit ou la situation financire des entreprises dassurance et de rassurance.
IFACI
ANNEXE
123
Ce systme comprend au moins une structure organisationnelle transparente adquate, avec une rpartition claire et une sparation approprie des responsabilits, ainsi qu'un dispositif efficace de transmission des informations. Il satisfait aux exigences nonces aux articles 42 49. Le systme de gouvernance fait l'objet d'un rexamen interne rgulier. 2. Le systme de gouvernance est proportionn la nature, lampleur et la complexit des oprations de lentreprise dassurance ou de rassurance. 3. Les entreprises dassurance et de rassurance disposent de politiques crites concernant au moins leur gestion des risques, leur contrle interne, leur audit interne et, le cas chant, la sous-traitance. Elles veillent ce que ces politiques soient mises en uvre. Ces politiques crites sont rexamines au moins une fois par an. Elles sont soumises lapprobation pralable de lorgane dadministration, de gestion ou de contrle et elles sont adaptes compte tenu de tout changement important affectant le systme ou le domaine concern.
ANNEXE
124
4. Les entreprises dassurance et de rassurance prennent des mesures raisonnables afin de veiller la continuit et la rgularit dans laccomplissement de leurs activits, y compris par llaboration de plans durgence. cette fin, elles utilisent des systmes, des ressources et des procdures appropris et proportionns. 5. Les autorits de contrle disposent des moyens, mthodes et pouvoirs appropris pour vrifier le systme de gouvernance des entreprises dassurance et de rassurance et pour valuer les risques mergents dtects par ces entreprises et susceptibles daffecter leur solidit financire. Les tats membres veillent ce que les autorits de contrle disposent des pouvoirs ncessaires pour exiger que le systme de gouvernance soit amlior et renforc de faon satisfaire aux exigences nonces aux articles 42 49.
IFACI
2. Le systme de gestion des risques couvre les risques prendre en considration dans le calcul du capital de solvabilit requis conformment larticle 101, paragraphe 4, ainsi que les risques nentrant pas ou nentrant pas pleinement dans ce calcul. Le systme de gestion des risques couvre au moins les domaines suivants : a) la souscription et le provisionnement ; b) la gestion actif-passif ; c) les investissements, en particulier dans les instruments drivs et engagements similaires ; d) la gestion du risque de liquidit et de concentration ; e) la gestion du risque oprationnel ; f) la rassurance et les autres techniques dattnuation du risque. Les politiques crites concernant la gestion des risques vises larticle 41, paragraphe 3, comprennent des politiques concernant le deuxime alina, points a) f), du prsent paragraphe.
4. Les entreprises dassurance et de rassurance prvoient une fonction de gestion des risques, qui est structure de faon faciliter la mise en uvre du systme de gestion des risques. 5. Pour les entreprises dassurance et de rassurance utilisant un modle interne partiel ou intgral qui a t approuv conformment aux articles 112 et 113, la fonction de gestion des risques recouvre les tches supplmentaires suivantes : a) conception et mise en uvre du modle interne ; b) test et validation du modle interne ; c) suivi documentaire du modle interne et de toute modification qui lui est apporte ; d) analyse de la performance du modle interne et production de rapports de synthse concernant cette analyse ; e) information de lorgane dadministration, de gestion ou de contrle concernant la performance du modle interne en suggrant des lments amliorer, et communication cet organe de ltat davancement des efforts dploys pour remdier aux faiblesses prcdemment dtectes.
IFACI
ANNEXE
125
3. En ce qui concerne le risque dinvestissement, les entreprises dassurance et de rassurance dmontrent quelles satisfont aux dispositions du chapitre VI, section 6.
Cette valuation porte au moins sur les lments suivants : a) le besoin global de solvabilit, compte tenu du profil de risque spcifique, des limites approuves de tolrance au risque et de la stratgie commerciale de lentreprise ; b) le respect permanent des exigences de capital prvues au chapitre VI, sections 4 et 5, et des exigences concernant les provisions techniques prvues au chapitre VI, section 2; c) la mesure dans laquelle le profil de risque de lentreprise scarte des hypothses qui sous-tendent le capital de solvabilit requis prvu larticle 101, paragraphe 3,calcul laide de la formule standard conformment au chapitre VI, section 4, sous-section 2, ou avec un modle interne partiel ou intgral conformment au chapitre VI, section 4, sous-section 3. 2. Aux fins du paragraphe 1, point a), lentreprise concerne met en place des procdures qui sont proportionnes la nature, lampleur et la complexit des risques inhrents son activit et qui lui permettent didentifier et dvaluer de manire adquate les risques auxquels elle est expose court et long terme, ainsi que ceux auxquels elle est expose, ou pourrait tre expose. Lentreprise dmontre la pertinence des mthodes quelle utilise pour cette valuation. 3. Dans le cas vis au paragraphe 1, point c), lorsquun modle interne est utilis, lvaluation est effectue paralllement au recalibrage qui aligne les rsultats du modle interne sur la mesure de risque et le calibrage qui sous-tendent le capital de solvabilit requis. 4. Lvaluation interne des risques et de la solvabilit fait partie intgrante de la stratgie commerciale et il en est tenu systmatiquement compte dans les dcisions stratgiques de lentreprise. 5. Les entreprises dassurance et de rassurance procdent lvaluation vise au paragraphe 1 sur une base rgulire et immdiatement la suite de toute volution notable de leur profil de risque. 6. Les entreprises dassurance et de rassurance informent les autorits de contrle des conclusions de chaque valuation interne des risques et de la solvabilit, dans le cadre des informations fournir en vertu de larticle 35. 7. Lvaluation interne des risques et de la solvabilit ne sert pas calculer un montant de capital requis. Le capital de solvabilit requis nest ajust que conformment aux articles 37, 231 233 et 238.
ANNEXE
126
IFACI
ANNEXE 8
Dcret n2006-287 du 13 mars 2006 relatif au contrle interne des entreprises d'assurance et modifiant le Code des assurances (extraits)
Les entreprises dassurance doivent rendre compte dans une premire partie des conditions de prparation et dorganisation des travaux du Conseil de surveillance, et dans une seconde partie les procdures de contrle interne mises en place. La seconde partie de ce rapport dtaille donc : a) Les objectifs, la mthodologie, la position et l'organisation gnrale du contrle interne au sein de l'entreprise ; les mesures prises pour assurer l'indpendance et l'efficacit du contrle interne et notamment la comptence et l'exprience des quipes charges de le mettre en uvre, ainsi que les suites donnes aux recommandations des personnes ou instances charges du contrle interne ; b) Les procdures permettant de vrifier que les activits de l'entreprise sont menes selon les politiques et stratgies tablies par les organes dirigeants et les procdures permettant de vrifier la conformit des oprations d'assurance aux dispositions lgislatives et rglementaires ; c) Les mthodes utilises pour assurer la mesure, l'valuation et le contrle des placements, en particulier en ce qui concerne l'valuation de la qualit des actifs et de la gestion actif-passif, le suivi des oprations sur instruments financiers terme et l'apprciation des performances et des marges des intermdiaires financiers utiliss ; d) Le dispositif interne de contrle de la gestion des placements, ce qui inclut la rpartition interne des responsabilits au sein du personnel, les personnes charges d'effectuer les transactions ne pouvant tre galement charges de leur suivi, les dlgations de pouvoir, la diffusion de l'information, les procdures internes de contrle ou d'audit ; e) Les procdures et dispositifs permettant d'identifier, d'valuer, de grer et de contrler les risques lis aux engagements de l'entreprise et de dtenir des capitaux suffisants pour ces risques, ainsi que les mthodes utilises pour vrifier la conformit des pratiques en matire d'acceptation et de tarification du risque, de cession en rassurance et de provisionnement des engagements rglements la politique de l'entreprise dans ces domaines, dfinie dans les rapports mentionns l'article L. 322-2-4 et l'article R. 336-5 ; f) Les mesures prises pour assurer le suivi de la gestion des sinistres, le suivi des filiales, la matrise des activits externalises et des modes de commercialisation des produits de l'entreprise, et les risques qui pourraient en rsulter ; g) Les procdures d'laboration et de vrification de l'information financire.
Dcret n 2006-287 du 13 mars 2006 relatif au contrle interne des entreprises d'assurance et modifiant le code des assurances (partie rglementaire)
IFACI
ANNEXE
127
ANNEXE 9
Dcret n2008-468 du 19 mai 2008 relatif au contrle interne des institutions de prvoyance, des mutuelles et de leurs unions
Art. R. 931-43.- L'institution ou l'union est tenue de mettre en place un dispositif permanent de contrle interne. Le conseil d'administration approuve, au moins annuellement, un rapport sur le contrle interne, qui est transmis l'Autorit de contrle des assurances et des mutuelles. 1 La premire partie de ce rapport dtaille les conditions de prparation et d'organisation des travaux du conseil d'administration et, le cas chant, les pouvoirs ncessaires la gestion de l'institution ou de l'union dlgus au directeur gnral par le conseil d'administration dans le cadre de l'article R. 931-3-11. 2 La seconde partie de ce rapport dtaille : a) Les objectifs, la mthodologie, la position et l'organisation gnrale du contrle interne au sein de l'institution ou de l'union ; les mesures prises pour assurer l'indpendance et l'efficacit du contrle interne et notamment la comptence et l'exprience des quipes charges de le mettre en uvre, ainsi que les suites donnes aux recommandations des personnes ou instances charges du contrle interne ; b) Les procdures permettant de vrifier que les activits de l'institution ou de l'union sont conduites selon les politiques et stratgies tablies par les organes dirigeants et les procdures permettant de vrifier la conformit des oprations d'assurance aux dispositions lgislatives et rglementaires ; c) Les mthodes utilises pour assurer la mesure, l'valuation et le contrle des placements, en particulier en ce qui concerne l'valuation de la qualit des actifs et de la gestion actif-passif, le suivi des oprations sur instruments financiers terme et l'apprciation des performances et des marges des intermdiaires financiers utiliss ; d) Le dispositif interne de contrle de la gestion des placements, ce qui inclut la rpartition interne des responsabilits au sein du personnel, les personnes charges d'effectuer les transactions ne pouvant tre galement charges de leur suivi, les dlgations de pouvoir, la diffusion de l'information, les procdures internes de contrle ou d'audit ; e) Les procdures et dispositifs permettant d'identifier, d'valuer, de grer et de contrler les risques lis aux engagements de l'institution ou de l'union et de dtenir des capitaux suffisants pour ces risques, ainsi que les mthodes utilises pour vrifier la conformit des pratiques en matire d'acceptation et de tarification du risque, de cession en rassurance et de provisionnement des engagements rglements la politique de l'institution ou de l'union dans ces domaines, dfinie dans le rapport mentionn l'article L. 322-2-4 du code des assurances ;
ANNEXE
128
IFACI
f) Les mesures prises pour assurer le suivi de la gestion des sinistres, le suivi des filiales, la matrise des activits externalises et des modes de commercialisation des produits de l'institution ou de l'union, et les risques qui pourraient en rsulter ; g) Les procdures d'laboration et de vrification de l'information financire et comptable.
Dcret n 2008-468 du 19 mai 2008 relatif au contrle interne des institutions de prvoyance, des mutuelles et de leurs unions
IFACI
ANNEXE
129
ANNEXE 10
Exemples de reporting
10.1 Carte des risques prioritaires mettre sous contrle
ANNEXE
Risque 7
Risque 8
Risque 15
Risque 2
Risque 9
Risque 16
Risque 3
Risque 1
Risque 18
130
IFACI
10.2
Exemple FERMA
1. Nom du risque Description qualitative des vnements, taille, type, nombre et interdpendances En gnral stratgique, oprationnelle, financire, lie aux connaissances ou la conformit Parties prenantes et leurs attentes
2. Porte du risque
3. Nature du risque
4. Parties prenantes
5. Qualification du risque
Importance et probabilit Perte potentielle et impact financier du risque Valeur risque Probabilit et amplitude des gains / pertes potentielles Objectif(s) de la matrise des risques et niveau dsir de performance Principaux moyens par quoi le risque est actuellement gr Degr de confiance dans les moyens de matrise en place Identification des protocoles pour la surveillance des risques et leur examen Recommandations pour rduire le risque
IFACI
ANNEXE
131
10.3
Cette valuation peut par exemple sorienter selon les critres suivants :
Optimis Niveau 5
les activits du SCI sont harmonises avec dautres fonctions de contrle. La gestion des risques et le SCI sont exploits comme un systme intgr. Les activits de contrle sont largement automatises et lutilisation doutils permet des ajustements rapides lorsque les conditions voluent. les principes dexploitation du SCI sont dcrits de manire dtaille. Lexcution des activits de contrle est surveille rgulirement et la traabilit assure. Les contrles sont adapts en permanence aux risques et la documentation est tenue jour. Une fois par an, la direction reoit un rapport sur lvaluation du SCI (e cacit, traabilit, e cience). Les activits de contrle sont documentes selon un processus standardis. Un responsable SCI coordonne et surveille les activits de contrle. des principes simples dexploitation du SCI sont d nis. Les processus (activits et contrles) sont documents. La traabilit des contrles e ectus est assure. Les contrles sont rgulirement ajusts lorsque les risques voluent. Une formation de base des collaborateurs a t organise.
Surveill Niveau 4
ANNEXE
Standardis Niveau 3
Informel Niveau 2
des contrles internes existent mais ils ne sont pas standardiss. Les contrles existants ne sont existants ne sont excuts que rarement ou ne le sont pas du tout. Ils dpendent fortement des personnes ; il ny a ni formation, ni communication les concernant.
il nexiste pas ou pratiquement pas de contrles internes. Selon les circonstances, les contrles existants sont peu ables.
Niveau de maturit dun SCI (extrait de Mise en place dun systme de contrle interne (SCI), 2e d. / Contrle fdral des finances suisse. p. 14).
132
IFACI
Optimis Niveau 5
Qualit
Informel Niveau 2
Temps Exigence de qualit en matire de SCI A Processus avec une valuation continue de la qualit du contrle B Contrles ponctuels (processus damlioration non integr) C A aiblissement normal de la qualit du contrle auf l du temps
Evolution dun SCI (extrait de Mise en place dun systme de contrle interne (SCI), 2e d. / Contrle fdral des finances suisse. p. 15).
IFACI
ANNEXE
133
10.4
Illustration
140
120 100 80 60 41 40 33 20 20 0 1- Minor 2- Signi cant 3- Major 4- Critical 1- Unlikely 8 3- Possible 2- Rare 44 8 7 29 9 46 13 44 43 5 1 4- Likely
ANNEXE
Limpact sur latteinte des objectifs nest pas proccupant, le risque est sous contrle.
Limpact sur latteinte des objectifs est limit. Des actions doivent tre entreprises mais ne sont pas urgentes.
S = risque significatif, une alerte Limpact sur latteinte des objectifs est significatif. Ncessit de prenau senior management est ncesdre des actions immdiates pour limiter le risque. saire Limpact sur latteinte des objectifs est dune telle ampleur que les objectifs ne seront trs probablement pas atteints. Ncessit de prendre des actions immdiates pour limiter le risque, et alerter la direction.
134
IFACI
B IBLIOGRAPHIE
Lgislation
Directive 2009/138/CE du Parlement europen et du conseil 25 novembre 2009 sur laccs aux activits de lassurance et de la rassurance et leur exercice (Solvabilit II) Dcret n 2008-468 du 19 mai 2008 relatif au contrle interne des institutions de prvoyance, des mutuelles et de leurs unions Dcret n 2006-287 du 13 mars 2006 relatif au contrle interne des entreprises d'assurance et modifiant le code des assurances (partie rglementaire) Loi n 2003-706 du 1er aot 2003 de scurit financire. 2003 Public law 107-204 [Sarbanes-Oxley Act]. 2002 Loi n 2001-420 du 15 mai 2001 relative aux nouvelles rgulations conomiques Rglement n 97-02 du 21 fvrier 1997 relatif au contrle interne des tablissements de crdit et des entreprises dinvestissement Code des assurances Code de la scurit sociale Code de la mutualit
Rfrentiel
Internal Control-Integrated Framework / COSO. - 2013. [version franaise attendue pour dbut 2014] Trois lignes de matrise pour une meilleure performance : fiabiliser la stratgie par une gestion organise des risques / AMRAE, IFACI. [ paratre en 2013]. IIA position paper: The Three Lines of Defense in Effective Risk Management and Control / IIA. 2013. Prise de position de l'IIA : Les trois lignes de matrise pour une gestion des risques et une contrle efficaces / IIA, IFACI, trad. 2013. Guidance on the 8th EU company law directive: Part 2: implementing the 8th EU company law directive / ECIIA ; FERMA. 2011. Guidance on the 8th EU company law directive: Article 41 / ECIIA ; FERMA. 2010. Les Dispositifs de gestion des risques et de contrle interne : Cadre de rfrence. / AMF. 2010. Management du risque - Principes et lignes directrices : Norme internationale ISO 31000:2009 / ISO. 2009. Gestion des risques - Techniques d'valuation des risques : Norme internationale ISO 31010:2009 / ISO. 2009. Le Dispositif de contrle interne : cadre de rfrence : Rsultats des travaux du Groupe de Place tabli sous l'gide de l'AMF. IFACI, 2007. Le Management des risques de l'entreprise : Cadre de rfrence - techniques d'application : COSO II report / IFACI ; Price Waterhouse Coopers ; Landwell& Associs. Ed. d'organisation, 2005. Cadre de rfrence de la Gestion des Risques (2003) / AIRMIC ; ALARM ; IRM : FERMA, trad. 2003.
IFACI
135
Monographies
Slectionner un outil informatique pour les services daudit et de contrle internes : un vritable projet [Cahier de la Recherche]/ Unit de Recherche Informatique de lIFACI. IFACI, 2013. Explanatory text on the proposal for guidelines on the system of governance / EIOPA. 2013. Rapport annuel 2012 / ACP 2013. Guide 73:2009 : Management du risque Vocabulaire / ISO. 2013. Enterprise Risk Management: Understanding and Communicating Risk Appetite. COSO, 2012. Rapport annuel 2011 / ACP. 2012. Grer les risques sous solvabilit 2 / Dan Chelly ; Gildas Robert. Argus de lassurance, 2012. La Dlgation de gestion en assurances de personnes : pistes pour un contrle interne efficace [Cahier de la Recherche] / Unit de Recherche de lIFACI. IFACI, 2012. L'Efficacit des conseils d'administration : les meilleures pratiques / IIA ; traduit de l'anglais par IFACI et PWC. Paris : IFACI, 2012. Board effectiveness: What works best, 2nd ed. / Catherine L. BROMILOW ; et al.. IIA, 2011. L'Efficacit des comits d'audit : les meilleures pratiques / traduit de l'anglais par IFACI et PWC. IFACI, 2011. Audit committee effectiveness: What works best, 4th ed.. / Catherine L. BROMILOW ; et al.. IIA, 2011. Solvency II: consultation paper on the proposal for guidelines on own risk and solvency assessment [CP 008/2011]. CEIOPS, 2011. Prise de position IFA - IFACI sur le rle de l'audit interne dans le gouvernement d'entreprise : Mai 2009 / Groupe de travail IFA - IFACI. IFACI, 2009. Le rle de l'audit interne dans le gouvernement d'entreprise / IFA ; IFACI. IFACI, 2009. Le rle de l'administrateur dans la matrise des risques / IFA ; AMRAE. IFA, 2009. CEIOPS Advice for Level 2 Implementing Measures on Solvency II: Supervisory Reporting and Public Disclosure Requirements (former Consultation Paper 58) / CEIOPS. 2009. La gestion des risques, 2e d. / Olivier Hassid. Dunod, 2008. Mise en place dun systme de contrle interne (SCI), 2e d. / Contrle fdral des finances suisse. 2007. GTAG 6 : Grer et auditer les vulnrabilits des technologies de linformation / Sasha ROMANOSKY ; et al. . IIA ; IFACI, 2006. La cartographie des risques [Cahier de la Recherche] / Groupe Professionnel Assurance de lIFACI. IFACI, 2006.
Priodiques
Les Outils informatiques au service des auditeurs et des contrleurs internes : Leurs fonctionnalits et leurs atouts. Audit & Contrle internes , n212 dcembre 2012.
136
IFACI
Ralisation :