Articulation entre Risk-management et audit interne : quels apports pour la cartographie des risques ?

PRMIA mai 2006

P R A A

Comit AMARIS du 2 mai 2006

Ordre du jour

! Le Risk-Management la Banque de France : les fondamentaux ! Audit et risk-management : articulations et synergies ! Quel outil ? quelles fins ?

P R A A C

PRMIA mai 2006

Page 2

Les objectifs stratgiques (2001)

! Renforcer le contrle interne de la Banque en se dotant dun cadre commun de matrise des risques oprationnels ! Etre exemplaire en cherchant se situer au niveau des meilleures pratiques prconises par le Comit de Ble
P R A A C

PRMIA mai 2006

Page 3

Dclinaisons

" Aider les Mtiers mieux identifier et surveiller leurs risques et

continuer renforcer et structurer leur contrle interne " Centraliser et hirarchiser linformation sur les risques et prparer des synthses lintention des organes dirigeants de la Banque en mettant en place un rseau permanent de management des risques en tablissant un canevas mthodologique danalyse et de matrise des risques commun lensemble des Mtiers en laborant une dmarche de consolidation globale des risques et de reporting destin au Gouvernement de la Banque
P R A A C

PRMIA mai 2006

Page 4

Quelques orientations importantes

" Dmarche de renforcement du contrle interne " Fonde sur lauto-valuation (des risques, du contrle interne) " Dmarche en profondeur : tous les mtiers oprationnels, toutes les activits, tous les risques significatifs (bruts et rsiduels) " Dmarche complte : cartographie des risques, incidents, consolidations " Dmarche plurielle : bottom-up et top down, qualitative enrichie de quantitatif " Calage avec normes et standards internationaux (COSO, Ble 2) " Dmarche progressive et outille
P R A A C

PRMIA mai 2006

Page 5

Articulation densemble du dispositif de riskmanagement

Comit audit

Comit de direction

Coordination gnrale Supervision

3CI
secrtariat Mtiers

PRAAC
Mthode Aide Consolidation
PRMIA mai 2006

RM
P R A A C

Page 6

Le Ple Risques : un rle pivot

" unit administrative part entire, distincte de lAudit " 3 missions :
# structurer une dmarche commune de matrise des risques # aider les mtiers mettre en uvre leur dispositif de matrise des risques # concevoir le processus de reporting consolid

" profil-type : spcialistes du contrle interne " membres dassociations professionnelles (IFACI, AMRAE, PRMIA) " benchmarking permanent, tenue dune documentation de rfrence, participation rgulire des confrences...
P R A A C

PRMIA mai 2006

Page 7

Les risk-managers dans les mtiers

Les mtiers sont responsables de la matrise de leurs risques : les RM en constituent les pivots au sein du mtier. Ils sont notamment chargs : de mettre en place le processus de recensement et dvaluation des risques oprationnels du mtier daider le chef de mtier laborer et mettre en uvre les plans daction de mesurer lefficacit du dispositif de matrise des risques daider llaboration de la cartographie consolide des risques de diffuser la culture de matrise du risque au sein du mtier

P R A A C

PRMIA mai 2006

Page 8

Le 3CI (Comit de Coordination du Contrle Interne) : linstance plnire

" prside par le Contrleur Gnral " participants : chefs de mtiers et Risk-Managers " 3 4 runions par an " dfinit les orientations stratgiques en matire de management du risque oprationnel " veille l avancement rgulier des travaux " est inform des choix pris par les mtiers " prpare l information du Comit de Direction

P R A A C

PRMIA mai 2006

Page 9

Dmarche de matrise des risques (AMARIS) : les tapes

tape 1 tape 2 tape 3 tape 4 tape 5

Identification et description des processus dactivit Identification et valuation des risques inhrents Identification et valuation du contrle interne Evaluation des risques residuels Acceptation des risques ou laboration de plans daction tape 6

Reporting et actualisation

P R A A C

PRMIA mai 2006

Page 10

Ordre du jour

! Le Risk-Management la Banque de France : les fondamentaux Audit et risk-management : articulations et synergies ! Quel outil ? quelles fins ?

P R A A C

PRMIA mai 2006

Page 11

Organisation : au sein du mme mtier, deux entits indpendantes

LE CONTRLEUR GNRAL
Conseiller pour la sret

Dtachements Inspection gnrale DPR Direction de la prvention des risques

RSI Scurit de l information Cabinet de l Inspection gnrale Audit des services centraux Contrle sur place des tablissements de crdit PRAAC Ple risques : assistance l analyse et la consolidation Audit gnral Audit informatique SRCCV

Audit du rseau

Division des recherches extrieures

SCCV

P R A A C

PRMIA mai 2006

Page 12

Positionnement du PRAAC Autorits de la Banque

Rapports de missions Cartographie gnrale des risques

AUDIT
Apprciation du contrle de 1er niveau
Mthodologie Assistance

PRAAC

Reporting Risques pour consolidation

Mtier 1

Mtier 2

Mtier 17

propritaires de leurs risques quils auto-valuent

P R A A C

PRMIA mai 2006

Page 13

Risques et contrle interne

CAC C. DES COMPTES

NIVEAU 3

Risque inhrent
Degr 2 Degr 1

AUDIT
ASSISTANCE AU CI (Ple risques)

NIVEAU 2
(ctrl priodique)

Risque rsiduel

RESPONSABLES
NIVEAU 1

OPERATIONNELS

(ctrl permanenent)

P R A A C

PRMIA mai 2006

Page 14

Audit et risk-management : des expressions du risque parfois diffrentes

! Le risque est exprim partir dun constat factuel et incontestable Le constat ngatif sexprime souvent un niveau trs dtaill $ lexpression du risque galement Difficult dutilisation des matrices de cotation globales ! Le risque correspond souvent au meilleur dire dexpert un instant donn Le niveau danalyse du risque est variable (progressivit des dmarches) auto-valuation $ tendance naturelle sur / sousvaluation, subjectivit

P R A A C

PRMIA mai 2006

Page 15

Le risk-management : un objet daudit essentiel

! Laudit apprcie : la qualit de la cartographie des risques (exhaustivit / valuation des risques, apprciation porte sur le contrle interne, plans dactions...) le dispositif de risk-management

! !

Il a accs la base risques dans le cadre de ses missions Il utilise le mme vocabulaire que les risk-managers % Laudit confirme / infirme les auto-valuations ralises par les mtiers, sur la base de constats factuels % Le risk-management est objet daudit
P R A A C

PRMIA mai 2006

Page 16

Audit et Risk-management : des apports mutuels ! Pour la cartographie : principe de cohrence entre les apprciations exprimes par laudit dans les FAR (sur les risques, les dci) et les cartographies tablies par les RM :
systmatique pour les Far de niveau lev souhaite pour les Far de niveau moyen

Pour la planification des missions : exploitation de la cartographie pour identifier les zones risques de lentreprise
P R A A C

PRMIA mai 2006

Page 17

Audit et Risk-management : une ncessaire collaboration % Dcision du comit de direction : le RM est dsormais associ la validation du niveau de risque dfini par laudit et au suivi des plans daction conduits sous lautorit du Directeur les modalits pratiques dassociation du RM aux responsables oprationnels demeurent la main des mtiers laudit souhaite, a minima, rencontrer le RM :
& lors de la runion de lancement & Lors de la restitution des conclusions de laudit
P R A A C

PRMIA mai 2006

Page 18

FAR N
FAR dpose le : Constat valid le : Plan daction valid par lAudit le :
Thme :

date de dpt date de validation date de validation

Typologie du risque 10 risques (niveau 2 de Amaris)

Apprciation du risque Fort, moyen ou faible

Contexte Rfrentiel Constat Risques Causes Recommandation n X

Service responsable de la mise en uvre : Autre(s) Service(s) responsable(s) de la validation des constats : Service(s) destinataire(s) pour information : nom du service nom du(es) service(s) nom du(es) service(s)

Rponse du service responsable de la mise en oeuvre Accepte : Plan d'action : Responsable : chance : mois et anne Description des mesures :
P R A A C

Refuse :
Motif du refus :

PRMIA mai 2006

Page 19

Rle du risk-manager au regard des rapports daudit

! ! RM reoit tous les rapports daudit concernant son mtier Il actualise sa cartographie en tenant compte des conclusions de laudit : ! risques manquants, mal dcrits, sous ou sur-valus.. apprciation du contrle interne (efficacit, pertinence) complte les plans daction ...

Actualisation souhaite au fil de leau , a minima tous les 6 mois ( loccasion des exercices de consolidation) %
P R A A C

Le RM exploite tous les lments disponibles pour enrichir la cartographie des risques de son mtier (brainstorming, dialogue avec autres RM, incidents internes et externes , audits)
PRMIA mai 2006

Page 20

Rle du Ple Risques vis--vis des Risk-managers et de laudit

! Pour les RM : ! conduit des expertises rgulires des cartographies (analyse au fond et sur la forme) restitution formelle analyse tous les rapports daudit de tous les mtiers, et vrifie cohrence avec les cartographies peut tre rencontr par laudit tout moment de la mission peut recevoir des recommandations pour amlioration du cadre mthodologique peut tre audit

Vis--vis de laudit :

%
P R A A C

Le Ple Risques challenge les Mtiers pour garantir la qualit densemble des cartographies des Mtiers et, par voie de consquence, la cartographie globale de la BdF.
PRMIA mai 2006

Page 21

Ordre du jour

! Le Risk-Management la Banque de France : les fondamentaux ! Audit et risk-management : articulations et synergies Quel outil ? quelles fins ?

P R A A C

PRMIA mai 2006

Page 22

SIRIS / FrontRisk : le logiciel de gestion des risques oprationnels de la Banque de France

Les principales fonctionnalits :

La description de larborescence des processus des Mtiers La description de lvaluation des risques, des dispositifs de contrle interne et des plans daction Le recensement des incidents des Mtiers Ltablissement automatis de nombreux rapports Lmission et la gestion des questionnaires dautovaluation Enrichissement quantitatif en cours
Une exploitation totalement automatise par les centres informatiques
PRMIA mai 2006

!
P R A A C

Page 23

SIRIS / FrontRisk : le logiciel de gestion des risques oprationnels de la Banque de France

! ! ! ! ! ! ! !
P R A A C

Logiciel mis en production le 14/10/2005 Logiciel fonctionnant en mode WEB = Suppression de la contrainte du nombre de licences (550 utilisateurs ce jour vs 40 licences Orcas) Base de donnes multiutilisateurs, garantissant lintgrit des donnes Gestion intgre des flux de dclaration / validation des incidents ( work-flow ), adapte au contexte des mtiers Historisation de nombreux champs (piste daudit) Gestion des actions correctives et prventives (cellules qualit) cloisonnement des donnes permettant la gestion de la confidentialit inter-mtiers Gestion de profils permettant la spcialisation des utilisateurs SIRIS

PRMIA mai 2006

Page 24

Un exemple : lcran des processus

Tableau interactif

Rpartition des risques

P R A A C

PRMIA mai 2006

Page 25

Merci pour votre attention

michel.pozzodiborgo@banque-france.fr

P R A A

Comit AMARIS du 2 mai 2006