Beruflich Dokumente
Kultur Dokumente
2011
Cette publication est dite par la socit Optimind, 46 rue La Botie, 75008 Paris. galement disponible sur : www.optimind.fr
Risques oprationnels
L
Quelles rponses face un risque difficile apprhender ?
es risques oprationnels sont considrs comme nouveaux. Pourtant, bien quisols rcemment des autres risques par les rglementations des banques et assureurs, ils ont souvent fait la une de la presse la faillite de la Barings en tmoigne. Ainsi, derrire chaque vnement ayant branl fortement des entreprises se cachent des risques oprationnels. Cest dailleurs surtout lorsquils sont associs dautres types de risques quils sont susceptibles de prendre une ampleur significative. Cest pour ces raisons que lon cherche, depuis une dizaine dannes, mieux les apprhender et valuer plus finement leurs impacts. En effet, lenvironnement nouveau des entreprises accentue fortement leur exposition aux risques oprationnels avec notamment : une concentration des acteurs qui amne des volumtries et montants en jeu plus importants, une internationalisation des activits avec une multiplication des interconnexions, une sophistication des techniques financires, une sensibilit plus grande aux systmes dinformation, une inventivit des fraudes ou encore une judiciarisation progressive qui conduit de plus en plus les acteurs tre assigns en responsabilit. Quels sont les enjeux lis ces risques ? Comment mettre en place les dispositifs permettant dinnerver lorganisation, sensibiliser les acteurs, grer et piloter judicieusement ces risques ? Quels sont les leviers notre disposition pour y faire face? Autant de questions auxquelles ce dossier technique tend apporter un clairage.
Dan Chelly - Directeur mtier Dossier ralis par Benjamin Nahoumovitch et Fabien Tannhof, consultants, Emmanuel Berthel, Thibaud Hager, Vincent Meister, Gildas Robert et Magali Roujas, actuaires consultants.
Sommaire
Introduction. . . . . . . . . . . . . . . . . . . 1 Risques oprationnels : dfinition et enjeux. . . . . . . . . . . . . 2 Quels dispositifs pour grer les risques oprationnels . . . . . . . 5 Quel pilotage mettre en uvre ?. 10 Conclusion. . . . . . . . . . . . . . . . . . . . . 12
Il est souvent omis de complter ce dcoupage par la dfinition de processus transverses et multiactivit. Or, certains risques sattaquent par exemple aux immeubles, quelles que soient les activits qui y sont loges, alors que les consquences sont justement fortement lies aux activits abrites. Approche causale Lapproche causale consiste, quant elle, analyser le risque en lencadrant, dune part de la cause premire qui lui a donn naissance et, dautre part, des consquences et effets quil engendre. Cette approche, trs oriente risk management permet didentifier plus facilement les causes sur lesquelles il faut agir pour en limiter les occurrences et intervenir ainsi sur la frquence et les actions mettre en uvre pour en limiter les effets/consquences.
dans laquelle on se situe au sein dune mme famille : production, humain, commercial, organisation, systme dinformation, logistique hors SI ou relation avec les tiers ; 3. le troisime niveau offre un degr de dtail supplmentaire au sein de ces catgories. Quels que soient les choix en matire de structuration du rfrentiel de risques, lobjectif est que ces risques puissent tre clairement dfinis, comprhensibles par tous, et dun nombre limit pour viter les redondances et faciliter la classification et lanalyse agrge des pertes. Les natures dimpacts De par leur dfinition, les risques oprationnels sont vus comme entranant uniquement des pertes financires. Nanmoins, sils sont bien rels, les impacts qui dcoulent de la survenance dun risque oprationnel ne transparaissent pas toujours dans les comptes. Il sagit notamment de manques gagner : - les cots dopportunit non-placement de sommes importantes sur x jours ; - les pertes de revenus non rcuprables fermeture dagence suite un sinistre. Dautres nont pas deffet ngatif. Ainsi, des vnements de risques oprationnels peuvent ne pas causer une perte mais au contraire un gain. Par exemple, une erreur de saisie lors du passage dun ordre sur les marchs financiers est un risque oprationnel qui peut entraner un gain au moment du dbouclage favorable de la position lie lvolution du march. Il est galement important de tenir compte des vnements qui ont un cot nul pour lentreprise, appels near misses ou quasi-pertes, car mme si dans ce cas, la dfaillance ne produit pas de perte, il est souhaitable de les apprhender pour des questions de gestion des risques. Elles peuvent souligner un rel dysfonctionnement, susceptible de se reproduire, avec cette fois un impact financier rel. Limpact en termes dimage ou de rputation est lui aussi souvent retenu car limage dune entreprise grand public a une valeur inestimable et une dgradation peut occasionner des manques gagner indirects et ncessiter des campagnes de communication coteuses pour effacer le pass le Crdit Lyonnais devenu LCL en est un bon exemple.
Certains risques plus complexes ncessitent la dfinition de rgles bien prcises pour les apprhender: les pertes de revenus, les litiges juridiques ou fiscaux, les indisponibilits informatiques, etc.
www.optimind.fr
Il en dcoule que le niveau de fonds propres allous aux risques oprationnels quil ne sagit pas daugmenter pour autant ne reflte pas toujours la ralit des enjeux. ce titre, le Comit europen des superviseurs bancaires, CEBS, soulignait en octobre 2010, que certains tablissements se sont concentrs sur les risques de march sans reconnatre suffisamment limportance dune gestion approprie des risques oprationnels or, les vnements passs et plus rcents montrent que [] la svrit des risques oprationnels associs aux risques de march peut tre trs leve, grevant les profits, lexistence de lignes dactivits ou encore lexistence de lentreprise tout entire. En effet, par dfinition, les risques de march correspondent lvolution dfavorable de la valeur dun portefeuille ou dune position. Cest pourquoi ils constituent souvent des circonstances aggravantes de risques oprationnels plutt que lorigine premire du dysfonctionnement. On peut ainsi identifier les pertes dues : - la dissimulation intentionnelle doprations, rogue trading du cas Kerviel ou de la Barings ; -d es erreurs oprationnelles telles que lerreur de saisie dun ordre ; -u ne mauvaise slection ou comprhension de modle de valorisation du produit et/ou du risque ; -u ne mauvaise conception, implmentation ou un mauvais paramtrage dun modle. Le risque de souscription des assureurs qui englobe les risques propres la sinistralit des produits dassurance, dcoule rgulirement dun risque oprationnel.
Risque de march
Risque de souscription
Risque oprationnel
Risque de contrepartie
Source : Optimind
Cest par exemple le cas si, lors de la tarification dun produit de prvoyance une erreur est commise sur le choix de la table de mortalit ou encore sur la saisie des coefficients de surprime en fonction de ltat de sant. Les pertes financires induites doivent ainsi tre imputes au risque oprationnel si les hypothses utilises dans les modles ne correspondent pas aux hypothses valides en raison dune erreur humaine ou informatique. Pour sa part, le risque de contrepartie risque quune contrepartie nhonore pas ses engagements financiers est rgulirement associ au risque oprationnel lorsquune opration se constitue sur la base de faux documents, fraude externe, ou lorsquune garantie devient inapplicable suite des dysfonctionnements. On le voit, seuls ou associs dautres risques, les risques oprationnels peuvent venir impacter latteinte des objectifs dune entreprise, voire mettre en question sa survie. Les enjeux lis la matrise des risques oprationnels sont donc bien rels.
Ces enjeux sont de diffrents ordres : - scuriser le compte de rsultat ; - optimiser lallocation des fonds propres, dans le cadre de lutilisation dun modle interne ddi ; - scuriser le cours de bourse et la rputation de la socit : on observe rgulirement lincidence ngative des sinistres majeurs sur les cours de bourse, autant pour des raisons financires que dimage. La fuite sur la plateforme BP au cours de lt 2010 en est une bonne illustration ; - amliorer ou conserver le rating fourni par les agences de notation, qui dfinit notamment le cot du refinancement sur les marchs lors dmissions demprunts ; - amliorer les organisations et rduire les risques ; - se conformer la rglementation de la profession et viter ainsi les sanctions, voire les retraits dagrment ou assimils, tels que celui prononc lencontre dEnnery Belance - Universal Assurances, le 28 fvrier 2011, invoquant linterdiction de pratiquer lactivit dintermdiation dassurance pendant 10 ans.
Bases externes
Les entreprises sont forcment galement exposes des vnements extrmes et particulirement rares. Or, elles ne disposent heureusement pas dans leur base incident de lensemble de La mise en place ces vnements. Cest pourquoi lutilisation de bases de donnes en mode projet du externes offre une relle valeur dispositif rejoint ajoute pour apprhender ces rapidement la risques rares, en sappuyant sur lexprience des autres engestion au quotidien, treprises. Aussi, il existe en la lanimation de la filire matire : puis le pilotage global - des bases de donnes commerciales qui utilisent des donnes du risque. publiques collectes partir de diffrentes sources issues de la presse, de rgulateurs, ou encore de rapports annuels ; - des consortiums de banques internationales, tel ORX ou dassureurs, tel ORIC, dans lesquels les donnes anonymises sont collectes auprs des membres, selon un processus norm.
Vivre au prsent : dtecter les sources de dysfonctionnement ou de modification du profil de risque Les indicateurs de risque - KRI
Les indicateurs de risque, ou KRI Key Risk Indicators mettent en vidence lvolution de lexposition dune entreprise un risque. Ils permettent danticiper la ralisation dun risque par le biais du systme dalerte associ. Pouvant tre de deux natures, ils offrent une valuation rgulire de lvolution du risque lui-mme ou encore de lenvironnement de prvention et de contrle. Ils permettent ainsi de dtecter une situation anormale avant quun incident ne survienne. En assurance, un taux important de rclamationsclient peut indiquer une dfaillance au niveau de la gestion des contrats ou un dfaut dans la conception du produit ncessitant une raction rapide de lassureur via ventuellement une revue des conditions gnrales. Des tableaux de bord dindicateurs permettent ensuite lexploitation des rsultats, tant par les acteurs mtier, qui peuvent trouver ainsi un moyen dobjectiver leurs dcisions, que par le responsable des risques oprationnels.
www.optimind.fr
Afin de garantir la pertinence et lefficacit de ce type doutil, le responsable des risques oprationnels doit sassurer que : - les indicateurs de risques refltent rellement et significativement lexposition au risque des mtiers concerns ; -l es indicateurs de risques sont fonds sur des donnes fiables ; -l a frquence de rafrachissement est suffisamment leve et adapte pour garantir une information fluide, permettant de prendre rapidement des dcisions; -l es indicateurs sont comprhensibles et pertinents pour ceux qui les exploitent.
Le dispositif de contrle
Le dispositif de contrle est compos de lensemble des oprations de contrle effectues par lentreprise. Ces oprations sont de diffrentes natures, telles quindiques dans le schma ci-dessous. Ainsi, ces contrles remplissent notamment les missions suivantes de scurisation de lactivit : - exercer un rle dalerte en dtectant la survenance danomalies un taux anormal, afin denrayer cette survenance et diminuer ainsi la frquence des incidents ; - garantir lintgrit de lorganisation, en assurant par exemple la sparation des fonctions ; - scuriser lactivit ; - mesurer lefficacit du dispositif de matrise du risque oprationnel, afin de loptimiser. Le dernier objectif joue en quelque sorte un rle de garde-fou, lorsque les indicateurs de risque, qui sont ncessairement en nombre limit, nont pas ou peu jou leur rle dalerte pralable. Ces contrles sintgrent dans un processus itratif et dynamique de gestion des risques visant une amlioration en continu de lorganisation et sa scurisation.
Contrle priodique
Contrles de 3e niveau
Audit Inspection Contrles rguliers effectus par des acteurs indpendants Fonction contrle interne, juridique, RSSI, etc.
Contrles de 2e niveau
Contrle permanent
Contrles de 1er niveau
Contrles intgrs aux processus, effectus par la hirarchie ou les oprationnels, manuels ou automatiques
Source : Optimind
modifier le profil de risque de lentreprise. Parmi ces vnements, on peut citer lvolution substantielle de la lgislation applicable lentreprise intgration en France par exemple de class actions ou la modification du fonctionnement interne de lentreprise telle que lautomatisation dun processus laide dun systme dinformation. Les axes danalyse des rsultats issus de la cartographie des risques conduisent notamment tudier au cas par cas si le risque rsiduel qui subsiste est acceptable ou non. Les approches de classification des risques alors mises en uvre, permettent de dterminer les priorits afin damliorer le dispositif existant via llaboration de plans dactions. La cartographie, schma A, fait ressortir majoritairement : - les risques exognes, rares et fort impact pour lesquels lentreprise na pas la matrise sur loccur-
rence de lvnement mais peut en limiter limpact avec notamment un plan de continuit de lactivit, PCA ; - les risques au cur de lactivit dont limpact peut tre fort et pour lesquels une bonne matrise est ncessaire au quotidien. Il sagit alors, avec la mise en place dindicateurs dalerte, de sassurer que ce dispositif reste tout moment oprationnel et sans dfaillance. Il est noter que certaines dmarches de restitution introduisent des biais danalyse non ngligeables sappuyant sur des matrices dites de chaleur mal conues et aboutissant une analyse errone des risques, matrice 4 par 4 de frquences et svrits, scores issus de formules non justifies, etc. La matrice ci-dessous, schma B, est lexemple mme de ce quil vaut mieux viter de raliser. www.optimind.fr
Schma a
% Efficacit du DMR
53%
de risques soit faibles, soit bien matriss 5 faible 10
38% 9%
de risques de niveau lev et dont la matrise est renforcer 15 modr 20 25 moyen 30 35 svre 40 45 critique 50
0 Risque
Schma B
leve Trs leve
Priorit 3
Priorit 1
Probabilit
1x3=3
Modre
Zone de surveillance
Priorit 2
Faible
3x1=3
Risque mineur
Mineure
Modre Svrit
Majeure
Svre
Source : Optimind
Ensemble des Couples ri risques thorique s sques x p rocessus > 2 000 Base di 600 coup ncidents les envis ageables Cartogra phie 200 coup les significa tifs Scnario 15
- les risques oprationnels rcurrents frquents peuvent tre valus par une approche frquence cot classique en assurance, ralise sur la base incidents et les historiques. Cette approche ncessite daccorder une importance particulire la profondeur de lhistorique, la survenance dun incident devant alors tre trace et qualifie convenablement ; - les risques extrmes constituent la deuxime catgorie. Ils prennent une part essentielle lorsque lon sintresse la solvabilit. Il sagit des risques majeurs comme par exemple les catastrophes naturelles, les risques industriels, les fraudes de grande ampleur, les indisponibilits majeures et durables du systme dinformation ou encore les risques frontires. Pour ces risques, trs peu dhistoriques sont disponibles. Il est donc indispensable de recourir des expertises ou des modles trs complexes qui ncessitent, de plus, de disposer dune trs bonne visibilit sur son exposition. Dans tous les cas, le caractre diffus des risques oprationnels, li leur nature en lien troit avec lorganisation de la socit, aura des consquences fortes sur les modles dvaluation. Les difficults didentification de lensemble des cots les rendent galement complexes apprhender : les impacts peuvent tre tals dans le temps, en cas de contentieux client par exemple, limpact financier peut survenir longtemps aprs le fait gnrateur. Enfin, les ncessaires approches par auto-dclaration et auto-valuation sont susceptibles dtre lorigine de biais dans les valuations, mme si des dmarches existent pour les fiabiliser au mieux.
Pertes externes
Source : Optimind
de rester vigilant et de ragir face lvolution ou lmergence de risques oprationnels. Ces lments nouveaux sont voquer en Comit RO.
Les analyses de scnarios sur les risques significatifs sinscrivent donc dans la finalit de cette dmarche itrative de risk management. Elles doivent permettre didentifier les cheminements possibles du risque, les facteurs damplifiLe risk manager se doit cation ventuels et ainsi optimiser les leviers de rduction. Dans leur mise en uvre, les analyses de scnarios impliquent donc de forts niveaux dexpertises ncessitant, comme dans lanalyse de tout systme complexe, lassociation de comptences internes voire externes trs diffrentes dans le cadre dateliers bien structurs.
Les scnarios sont souvent associs au modle interne sur les risques forfaitaires oprationnels. Or, complter une dmarche par lutilisation de scnarios, savre tre rellement pertinent.
Donnes
Frquence
- pertes internes - scnarios
Probabilit
Distribution de frquence
Effectif
Calibration Svrit
- pertes internes - scnarios
Probabilit
Distribution de svrit
Montant
VaR 99,5%
Montant
Source : daprs Risques oprationnels De la mise en place du dispositif son audit, C. Jimenez, P. Merlier et D. Chelly, 2008.
Bien quelle soit la mthode la plus communment utilise par les tablissements bancaires et les organismes assureurs pour modliser les risques oprationnels, cette approche renferme plusieurs inconvnients : - lhypothse de pertes indpendantes et identiquement distribues, impose par cette mthode implique que la VaR soit calcule sur un primtre reprsent par lintersection dune ligne mtier et dun type de risque ; - en considrant les incidents comme compltement indpendants, on ne tient pas compte des ventuelles corrlations ou liens de cause effet qui pourraient entraner un effet cumulatif ou attnuateur ; - ces calculs sont raliss sur des donnes historiques qui non seulement sont des donnes dchantillonnage et peuvent tre rares, disperses et soumises nombre dapprciations subjectives mais de plus, ces donnes historiques ne permettent pas dintgrer les changements dans le profil de risque de lentreprise suite la survenance dun incident. Pour pallier certains de ces inconvnients, lapproche LDA sur les pertes internes est souvent combine des modles quantifis de scnarios. Une autre alternative est la mthode des scorecards qui sappuie non pas sur des donnes de pertes effectivement constates, mais sur des indicateurs de
risque, qui incorporent donc une vision a priori des risques oprationnels. Dans tous les cas, les modles dvaluation des risques oprationnels intgreront toujours des limites, quil faut garder lesprit. En premier lieu, les modles utilisant des lois statistiques prsupposent indirectement que les vnements et comportements futurs peuvent tre globalement dduits des vnements et comportements passs. Bien sr, une utilisation de choc, y compris fictif, permet de limiter cette insuffisance conceptuelle. Toutefois, le modle se trouve limit la seule vision de son crateur. Dautre part, quels que soient les lments modliss, il convient de se placer un niveau de granularit et de sophistication adapts. En effet, la sophistication excessive dun modle engendre gnralement un besoin important en termes dhypothses associ naturellement un manque de robustesse potentiel du modle. Il est donc important de se baser au niveau de granularit suffisant permettant une modlisation fiable et raliste de lactivit et de tester la capacit prdictive du modle, ou mieux, de ses diffrentes composantes. www.optimind.fr
Modlisation des processus Audit OUTILS GRC, GOUVERNANCE, RISQUES, CONTRLES Gestion des habilitations Gestion des rfrentiels dition de reportings Cartographie des risques
Ils doivent sappuyer sur une dfinition de seuils de significativit adapts aux enjeux, cest--dire la taille et la complexit de lentreprise.
Source : Optimind
Les leviers complmentaires face aux risques oprationnels LEnterprise Risk Management
Le risque oprationnel tant aux confins dautres risques, il sinscrit idalement dans une dmarche plus globale dite dERM, Enterprise Risk Management. Cette dmarche consiste en un ensemble de processus conduisant identifier, quantifier et grer les risques auxquels est expose lentreprise, qui peuvent mettre en pril latteinte de ses objectifs stratgiques. Il sagit alors de construire une vritable politique de gestion des risques sur tous les risques significatifs. Lobjectif de lERM nest pas forcment de rduire le risque au minimum mais de le contenir au mieux afin doptimiser le cot du risque, et ce, toujours en lien avec la stratgie de lentreprise qui oblige prendre en compte, certes les pertes, mais galement le cot des mesures de prvention, de protection et de financement du risque. La liste des risques entrant dans le primtre du risk management nest videmment jamais ferme. Une bonne dmarche ERM doit aussi et surtout dterminer le plus tt possible tous les nouveaux risques pouvant influencer, plus ou moins long terme, latteinte des objectifs stratgiques.
Lassurance
La souscription de polices dassurance permet dassurer le financement dune perte par un tiers assureur. Elle constitue donc galement un levier de matrise du risque oprationnel avec notamment lutilisation de polices dassurance responsabilits civiles professionnelle, exploitation ou mandataires sociaux, fraude, perte dexploitation ou de revenu, et dommages aux biens et personnes. La plupart de ces polices dassurance couvrent des risques oprationnels purs ou lis dautres risques. Tous les risques ne sont cependant pas assurables, ils doivent vrifier les conditions classiques des risques dassurance, savoir, tre issus dvnements alatoires, futurs, licites et dont la survenance est indpendante de la volont de lassur. noter que le fait dassurer un risque ne ddouane pas lentreprise de mettre en uvre une gestion des risques et un contrle interne efficients permettant de prvenir la survenance du risque oprationnel. Enfin, les risques doivent tre raisonnablement assurables compte tenu de la prime et de la franchise eu gard au niveau de couverture. Ainsi, chaque exercice, lentreprise value son apptence au risque et peut envisager un transfert des risques quelle ne parvient pas elle-mme mutualiser ou dont la survenance aurait des consquences trop importantes sur son rsultat ou sa solvabilit. Elle considre alors le profil de chacun des risques afin de dfinir une limite de risque acceptable. Dans le cadre des banques en approche avance AMA, il est possible de diminuer les fonds propres rglementaires allous au titre des risques oprationnels hauteur de 20%, si les polices rpondent des critres dligibilit, notamment le rating de lassureur. En effet, externalis via une police dassurance, le financement dun risque oprationnel transforme une grande part de ce risque en risque de contrepartie, dfaillance de lassureur, refus dindemnisation, etc.
Source : Optimind
www.optimind.fr
Conclusion
Les risques oprationnels peuvent la fois survenir au quotidien dans le cadre dune activit commune mais galement intervenir trs ponctuellement et de faon dvastatrice dans des cas extrmes. Face cette diversit de manifestation du risque oprationnel, les dispositifs prsents dans ce dossier technique offrent un panorama complet permettant de les apprhender et de les rduire. Pour pouvoir les apprcier finement, il est absolument ncessaire den comprendre les contours et donc de disposer de formation ou de sensibilisation cible cest--dire adapte aux mtiers concerns. Bien sr, ces dispositifs, bien que rglementaires, dpassent largement les seuls objectifs de conformit ou de calcul des fonds propres et sinscrivent davantage dans une relle dynamique de scurisation de lactivit. Cest l, tout lenjeu dune dmarche de gestion et de pilotage des risques oprationnels. Dans le monde des assurances, la directive Solvabilit II nest pas encore trs prcise sur ces attentes en matire de risque oprationnel. Les mesures dexcution de niveau 2 et 3 devraient y remdier. Dans cette attente, la majorit des organismes assureurs se sont appuys sur les textes et les expriences de leurs homologues bancaires pour mettre en place les diffrentes approches et dployer leurs dispositifs. Le monde bancaire continue dailleurs lui-mme ajuster ses attentes au regard des annes dexprience. Les consultative papers trs riches et prcis publis par le Comit de Ble en dcembre 2010 le confirment. Les dmarches risques oprationnels mrissent et voluent donc au fil du temps. Les assureurs, de plus en plus actifs, sinscrivent en ordre de marche pour relever ce nouveau dfi. En effet, 2013 nest quun premier jalon pour une dmarche prenne qui va bien au-del du projet Solvabilit II.
Qui sommes-nous ?
Socit de conseil en actuariat et gestion des risques, OPTIMIND est un interlocuteur de rfrence pour les assureurs, mutuelles, banques et grandes entreprises qui souhaitent un partenaire mtier les accompagnant dans leurs projets. thique, dontologie, expertise, mthode, pragmatisme et investissement sont les valeurs clefs qui animent les soixante-quinze consultants, actuaires et experts mtier dOPTIMIND. Nos clients bnficient ainsi dune prestation de qualit associe la signature dune socit de conseil reconnue. OPTIMIND sorganise autour des mtiers suivants : > Actuariat Conseil > Actuariat Entreprise > Projets & Matrise dOuvrage > Risk Management > Audit & Contrle interne
www.optimind.fr
Les Dossiers Techniques Optimind sont produits selon des processus respectueux de lenvironnement. Ils sont imprims sur des papiers certifis par des labels de qualit environnementaux et sont imprims par un prestataire certifi ImprimVert.
Ralisation :