Avril Les dossiers techniques dinformation Optimind

2011

Cette publication est dite par la socit Optimind, 46 rue La Botie, 75008 Paris. galement disponible sur : www.optimind.fr

Risques oprationnels
L
Quelles rponses face un risque difficile apprhender ?
es risques oprationnels sont considrs comme nouveaux. Pourtant, bien quisols rcemment des autres risques par les rglementations des banques et assureurs, ils ont souvent fait la une de la presse la faillite de la Barings en tmoigne. Ainsi, derrire chaque vnement ayant branl fortement des entreprises se cachent des risques oprationnels. Cest dailleurs surtout lorsquils sont associs dautres types de risques quils sont susceptibles de prendre une ampleur significative. Cest pour ces raisons que lon cherche, depuis une dizaine dannes, mieux les apprhender et valuer plus finement leurs impacts. En effet, lenvironnement nouveau des entreprises accentue fortement leur exposition aux risques oprationnels avec notamment : une concentration des acteurs qui amne des volumtries et montants en jeu plus importants, une internationalisation des activits avec une multiplication des interconnexions, une sophistication des techniques financires, une sensibilit plus grande aux systmes dinformation, une inventivit des fraudes ou encore une judiciarisation progressive qui conduit de plus en plus les acteurs tre assigns en responsabilit. Quels sont les enjeux lis ces risques ? Comment mettre en place les dispositifs permettant dinnerver lorganisation, sensibiliser les acteurs, grer et piloter judicieusement ces risques ? Quels sont les leviers notre disposition pour y faire face? Autant de questions auxquelles ce dossier technique tend apporter un clairage.
Dan Chelly - Directeur mtier Dossier ralis par Benjamin Nahoumovitch et Fabien Tannhof, consultants, Emmanuel Berthel, Thibaud Hager, Vincent Meister, Gildas Robert et Magali Roujas, actuaires consultants.

Sommaire
Introduction. . . . . . . . . . . . . . . . . . . 1 Risques oprationnels : dfinition et enjeux. . . . . . . . . . . . . 2 Quels dispositifs pour grer les risques oprationnels . . . . . . . 5 Quel pilotage mettre en uvre ?. 10 Conclusion. . . . . . . . . . . . . . . . . . . . . 12

2 // Risques oprationnels // avril 2011

Risques oprationnels : dfinition et enjeux

Dfinition du risque oprationnel Les dossiers techniques dinformation Optimind De quoi sagit-il ?
Le jeudi 6 mai 2010, les marchs amricains connaissent quelques minutes dune intense panique, provoque par la chute brutale de 37% du cours de laction Procter & Gamble, et celle de lindice Dow Jones, qui perd 9%. Fort heureusement, lerreur est vite dtecte, et les ordres passs dans lintervalle sont annuls. Quelle a t la cause de cette dfaillance aussi soudaine que passagre ? Selon certaines rumeurs, il sagirait dun trader ayant malencontreusement confondu milliards et millions. Selon dautres sources, un dysfonctionnement informatique serait la cause du problme. Une fraude a galement t voque. Quimporte : dans un cas comme dans lautre, il sagit de la survenance dun risque oprationnel dont les impacts, loin dtre ngligeables, peuvent venir branler fortement une entreprise. Les vnements majeurs marquent souvent de ce fait les mmoires et le march sur le long terme. Ainsi, tout le monde a en tte lexemple dune filiale amricaine dun important groupe dassurances qui a dtect, en juin 2009, une erreur de programmation dans le calcul des risques associs ses portefeuilles dactifs layant conduit rcemment verser plus de 240 M$ pour solder le litige avec lautorit amricaine des marchs. Ces deux exemples illustrent bien limportance quil faut donner aux risques oprationnels, qui prennent dailleurs toute leur ampleur lorsquils sont associs dautres natures de risques. En effet, parce quils sont diffus et difficiles apprhender leurs impacts tant de natures varies, et souvent tals dans le temps ils sont parfois sous-estims dans le dispositif global de gestion des risques. Mais quentend-on exactement par risque oprationnel ? Ces deux dfinitions sont trs proches et sont appeles confluer du fait des convergences des rglementations prudentielles de la banque et de lassurance. Elles assignent au risque oprationnel les mmes provenances, rparties en deux catgories : celles qui viennent dlments internes lentreprise, comme ses procdures, son personnel ou ses systmes ; et celles provenant dlments extrieurs. Sont carts de ces dfinitions, les risques stratgiques puisque par dfinition les risques oprationnels sont subis et sans esprance de gain et les risques de rputation qui sont eux difficilement quantifiables et souvent indirects.

Comment apprhender les risques oprationnels ? Les diffrentes approches

Deux approches trs complmentaires pour apprhender les risques oprationnels peuvent tre distingues : une approche via les processus et une approche davantage causale. Approche par les processus Lapproche par les processus permet de prendre en compte les spcificits de lentreprise et ses mtiers multiples. On cherche alors rattacher les risques aux processus principaux, sources de valeur ajoute, et permettant de dlivrer au client le produit ou le service correspondant sa sollicitation initiale. On distingue habituellement trois catgories de processus : - les processus oprationnels au cur de lactivit, vente, souscription, gestion sinistres, etc.; - les processus de management ou de pilotage, dont la finalit est de fixer des orientations, dvaluer la situation et de dcider dactions correctives si ncessaire ; - les processus supports au cur de lactivit juridique et fiscal, informatique, logistique, etc.

Banque/Assurance : des dfinitions trs proches

Les rglementations de la banque comme de lassurance donnent chacune une dfinition du risque oprationnel :

Dfinition de larrt du 20 fvrier 2007 [Banque]

Le risque de pertes rsultant dune inadaptation ou dune dfaillance imputable des procdures, personnels et systmes internes, ou des vnements extrieurs, y compris les vnements de faible probabilit doccurrence, mais risque de perte leve.

Dfinition de la directive Solvabilit II [Assurance]

Le risque de perte rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs.

Risques oprationnels // avril 2011 // 3

Il est souvent omis de complter ce dcoupage par la dfinition de processus transverses et multiactivit. Or, certains risques sattaquent par exemple aux immeubles, quelles que soient les activits qui y sont loges, alors que les consquences sont justement fortement lies aux activits abrites. Approche causale Lapproche causale consiste, quant elle, analyser le risque en lencadrant, dune part de la cause premire qui lui a donn naissance et, dautre part, des consquences et effets quil engendre. Cette approche, trs oriente risk management permet didentifier plus facilement les causes sur lesquelles il faut agir pour en limiter les occurrences et intervenir ainsi sur la frquence et les actions mettre en uvre pour en limiter les effets/consquences.

dans laquelle on se situe au sein dune mme famille : production, humain, commercial, organisation, systme dinformation, logistique hors SI ou relation avec les tiers ; 3.  le troisime niveau offre un degr de dtail supplmentaire au sein de ces catgories. Quels que soient les choix en matire de structuration du rfrentiel de risques, lobjectif est que ces risques puissent tre clairement dfinis, comprhensibles par tous, et dun nombre limit pour viter les redondances et faciliter la classification et lanalyse agrge des pertes. Les natures dimpacts De par leur dfinition, les risques oprationnels sont vus comme entranant uniquement des pertes financires. Nanmoins, sils sont bien rels, les impacts qui dcoulent de la survenance dun risque oprationnel ne transparaissent pas toujours dans les comptes. Il sagit notamment de manques gagner : - les cots dopportunit non-placement de sommes importantes sur x jours ; - les pertes de revenus non rcuprables fermeture dagence suite un sinistre. Dautres nont pas deffet ngatif. Ainsi, des vnements de risques oprationnels peuvent ne pas causer une perte mais au contraire un gain. Par exemple, une erreur de saisie lors du passage dun ordre sur les marchs financiers est un risque oprationnel qui peut entraner un gain au moment du dbouclage favorable de la position lie lvolution du march. Il est galement important de tenir compte des vnements qui ont un cot nul pour lentreprise, appels near misses ou quasi-pertes, car mme si dans ce cas, la dfaillance ne produit pas de perte, il est souhaitable de les apprhender pour des questions de gestion des risques. Elles peuvent souligner un rel dysfonctionnement, susceptible de se reproduire, avec cette fois un impact financier rel. Limpact en termes dimage ou de rputation est lui aussi souvent retenu car limage dune entreprise grand public a une valeur inestimable et une dgradation peut occasionner des manques gagner indirects et ncessiter des campagnes de communication coteuses pour effacer le pass le Crdit Lyonnais devenu LCL en est un bon exemple.

Les typologies de risques oprationnels

Les rfrentiels existants Fonds sur les dfinitions rglementaires, des rfrentiels de typologies de risques oprationnels ont t crs dans les mondes bancaire et de lassurance. Le rfrentiel le plus utilis est celui propos par le dispositif prudentiel bancaire de Ble II. Il a contribu le premier mieux cerner la notion de risque oprationnel, et sert rgulirement de niveau 1 pour les compagnies dassurance qui souhaitent dfinir une arborescence plusieurs niveaux de leurs propres risques oprationnels. Le rfrentiel de Ble est prsent selon trois niveaux de granularit, dont le premier est constitu des sept familles de risques suivantes : 1. fraude interne impliquant au moins un membre de lentreprise ; 2. fraude externe ; 3. insuffisance des pratiques internes concernant les ressources humaines et la scurit du lieu de travail ; 4. clients, produits et pratiques commerciales : manquement, dlibr ou non, une obligation professionnelle envers un client, la nature ou aux caractristiques dun produit ; 5. dommages aux actifs physiques ; 6. interruption dactivit et dysfonctionnement des systmes ; 7. dysfonctionnement des processus de traitement excution, passation dordre, livraison, gestion des processus intgrant les relations avec les contreparties commerciales et les fournisseurs. Un groupe de travail de lIFACI, Institut Franais dAudit et de Contrle Internes a, quant lui, labor une nomenclature des risques pour les entreprises dassurance. Le rfrentiel propos est constitu de trois niveaux : 1.  le premier niveau concerne les grandes familles de risques, dont le risque oprationnel ; 2. le deuxime niveau prcise la catgorie de risque

Certains risques plus complexes ncessitent la dfinition de rgles bien prcises pour les apprhender: les pertes de revenus, les litiges juridiques ou fiscaux, les indisponibilits informatiques, etc.

Les risques frontires

Les risques oprationnels peuvent survenir seuls ou bien tre associs dautres risques. tant donne la nature des risques oprationnels, ces liens sont parfois difficiles distinguer, ceci pouvant conduire la classification incorrecte dun vnement de perte.

www.optimind.fr

4 // Risques oprationnels // avril 2011

Il en dcoule que le niveau de fonds propres allous aux risques oprationnels quil ne sagit pas daugmenter pour autant ne reflte pas toujours la ralit des enjeux. ce titre, le Comit europen des superviseurs bancaires, CEBS, soulignait en octobre 2010, que certains tablissements se sont concentrs sur les risques de march sans reconnatre suffisamment limportance dune gestion approprie des risques oprationnels or, les vnements passs et plus rcents montrent que [] la svrit des risques oprationnels associs aux risques de march peut tre trs leve, grevant les profits, lexistence de lignes dactivits ou encore lexistence de lentreprise tout entire. En effet, par dfinition, les risques de march correspondent lvolution dfavorable de la valeur dun portefeuille ou dune position. Cest pourquoi ils constituent souvent des circonstances aggravantes de risques oprationnels plutt que lorigine premire du dysfonctionnement. On peut ainsi identifier les pertes dues : - la dissimulation intentionnelle doprations, rogue trading du cas Kerviel ou de la Barings ; -d  es erreurs oprationnelles telles que lerreur de saisie dun ordre ; -u  ne mauvaise slection ou comprhension de modle de valorisation du produit et/ou du risque ; -u  ne mauvaise conception, implmentation ou un mauvais paramtrage dun modle. Le risque de souscription des assureurs qui englobe les risques propres la sinistralit des produits dassurance, dcoule rgulirement dun risque oprationnel.

Risque de march

Les dossiers techniques dinformation Optimind

Risque de souscription

Risque oprationnel
Risque de contrepartie

Source : Optimind

Cest par exemple le cas si, lors de la tarification dun produit de prvoyance une erreur est commise sur le choix de la table de mortalit ou encore sur la saisie des coefficients de surprime en fonction de ltat de sant. Les pertes financires induites doivent ainsi tre imputes au risque oprationnel si les hypothses utilises dans les modles ne correspondent pas aux hypothses valides en raison dune erreur humaine ou informatique. Pour sa part, le risque de contrepartie risque quune contrepartie nhonore pas ses engagements financiers est rgulirement associ au risque oprationnel lorsquune opration se constitue sur la base de faux documents, fraude externe, ou lorsquune garantie devient inapplicable suite des dysfonctionnements. On le voit, seuls ou associs dautres risques, les risques oprationnels peuvent venir impacter latteinte des objectifs dune entreprise, voire mettre en question sa survie. Les enjeux lis la matrise des risques oprationnels sont donc bien rels.

Les enjeux lis aux risques oprationnels

Le facteur humain dans la gestion des risques oprationnels

Une tude mene en 2008 par la BRI, Banque de Rglements Internationaux, a rvl que la plupart des cas de ralisation du risque oprationnel sont lis une erreur dexcution et que leurs impacts sont suprieurs ceux du risque de fraude. Dans un monde financier port par linformatique et ltre humain, lhomme savre tre facilement le maillon faible expliquant les dysfonctionnements dune activit. Cela peut paratre vident en matire de dfauts de conseil, fautes, erreurs ou omissions mais cest galement le cas en matire de systmes dinformation rgulirement fragiliss par des erreurs humaines. Ce nest pas pour autant une fatalit car un top management et des collaborateurs sensibiliss disposeront des outils de gouvernance appropris et des ncessaires rflexes en matire didentification des risques et de gestion des alertes. En effet, on ne voit souvent que ce que lon a appris voir.

Ces enjeux sont de diffrents ordres : - scuriser le compte de rsultat ; - optimiser lallocation des fonds propres, dans le cadre de lutilisation dun modle interne ddi ; - scuriser le cours de bourse et la rputation de la socit : on observe rgulirement lincidence ngative des sinistres majeurs sur les cours de bourse, autant pour des raisons financires que dimage. La fuite sur la plateforme BP au cours de lt 2010 en est une bonne illustration ; - amliorer ou conserver le rating fourni par les agences de notation, qui dfinit notamment le cot du refinancement sur les marchs lors dmissions demprunts ; - amliorer les organisations et rduire les risques ; - se conformer la rglementation de la profession et viter ainsi les sanctions, voire les retraits dagrment ou assimils, tels que celui prononc lencontre dEnnery Belance - Universal Assurances, le 28 fvrier 2011, invoquant linterdiction de pratiquer lactivit dintermdiation dassurance pendant 10 ans.

Risques oprationnels // avril 2011 // 5

Quels dispositifs pour grer les risques oprationnels ?

La mise en uvre de la gestion des risques oprationnels constitue un vritable projet dentreprise et de conduite du changement. Ce projet ncessite le concours de lensemble du personnel et il convient de laccompagner dans le cadre de son dploiement. Des changements sont oprer pour prvoir, dfinir et mettre en uvre une vritable dmarche de pilotage de ces risques. Un tel projet poursuit la dmarche suivante : La mise en place dapproches qualitatives didentification et dvaluation des risques oprationnels, qui permettent simultanment de sensibiliser et de responsabiliser les agents oprationnels sur la gestion des risques. Llaboration dapproches quantitatives consistant : - mettre en vidence le cot des risques oprationnels ; - identifier les expositions aux risques et donc la consommation de fonds propres. Dans ce cadre, il est ncessaire de combiner la fois lexprience du pass avec une vision prospective du futur proche tout en disposant au quotidien doutils dalertes. Dans le cadre dune bonne gouvernance, il est ncessaire de dfinir une procdure descalade qui permette la remonte des alertes pour gestion selon leur criticit.

Bases externes
Les entreprises sont forcment galement exposes des vnements extrmes et particulirement rares. Or, elles ne disposent heureusement pas dans leur base incident de lensemble de La mise en place ces vnements. Cest pourquoi lutilisation de bases de donnes en mode projet du externes offre une relle valeur dispositif rejoint ajoute pour apprhender ces rapidement la risques rares, en sappuyant sur lexprience des autres engestion au quotidien, treprises. Aussi, il existe en la lanimation de la filire matire : puis le pilotage global - des bases de donnes commerciales qui utilisent des donnes du risque. publiques collectes partir de diffrentes sources issues de la presse, de rgulateurs, ou encore de rapports annuels ; - des consortiums de banques internationales, tel ORX ou dassureurs, tel ORIC, dans lesquels les donnes anonymises sont collectes auprs des membres, selon un processus norm.

Apprendre tirer les leons du pass

Toute organisation se doit dapprendre de ses expriences ou incidents passs, afin de capitaliser, viter et mieux grer les incidents. Une approche discipline et structure de collecte des incidents contribue ltablissement de la culture du risque dans lentreprise. Cette dmarche joue en effet un rle important au niveau de la vigilance des acteurs, de gestion des incidents, du traitement des alertes, de la conduite et du suivi des plans dactions. Par ailleurs, pour les risques dits de frquence , lanalyse des incidents avrs permet dobjectiver lvaluation des risques potentiels propre la cartographie.

Vivre au prsent : dtecter les sources de dysfonctionnement ou de modification du profil de risque Les indicateurs de risque - KRI
Les indicateurs de risque, ou KRI Key Risk Indicators mettent en vidence lvolution de lexposition dune entreprise un risque. Ils permettent danticiper la ralisation dun risque par le biais du systme dalerte associ. Pouvant tre de deux natures, ils offrent une valuation rgulire de lvolution du risque lui-mme ou encore de lenvironnement de prvention et de contrle. Ils permettent ainsi de dtecter une situation anormale avant quun incident ne survienne. En assurance, un taux important de rclamationsclient peut indiquer une dfaillance au niveau de la gestion des contrats ou un dfaut dans la conception du produit ncessitant une raction rapide de lassureur via ventuellement une revue des conditions gnrales. Des tableaux de bord dindicateurs permettent ensuite lexploitation des rsultats, tant par les acteurs mtier, qui peuvent trouver ainsi un moyen dobjectiver leurs dcisions, que par le responsable des risques oprationnels.

Base interne de collecte des incidents

La mise en uvre dune base incident ncessite de: - organiser la base de collecte des donnes dincidents en dfinissant les rles et responsabilits dans la dtection et caractrisation des incidents; - dfinir le primtre de la notion dincidents seuil de collecte, quasi-pertes, manques gagner, etc.; - proposer des mthodes dvaluation des impacts et de prise en compte des incidents complexes .

www.optimind.fr

6 // Risques oprationnels // avril 2011

Les dossiers techniques dinformation Optimind

Afin de garantir la pertinence et lefficacit de ce type doutil, le responsable des risques oprationnels doit sassurer que : - les indicateurs de risques refltent rellement et significativement lexposition au risque des mtiers concerns ; -l  es indicateurs de risques sont fonds sur des donnes fiables ; -l  a frquence de rafrachissement est suffisamment leve et adapte pour garantir une information fluide, permettant de prendre rapidement des dcisions; -l  es indicateurs sont comprhensibles et pertinents pour ceux qui les exploitent.

Anticiper lavenir : lapproche prospective

Les seules pertes internes ne suffisent pas parfaitement apprhender les risques oprationnels. La cartographie et les scnarios permettent dapporter une vision complmentaire et prospective sur les risques potentiels auxquels lorganisation est expose.

La cartographie des risques

La cartographie des risques constitue un processus vivant didentification, dvaluation et de hirarchisation des risques oprationnels susceptibles davoir un impact sur un processus ou une ligne mtier. ce titre, cet outil constitue un lment fondamental du dispositif de gestion des risques et de contrle interne de lentreprise. La cartographie contient lensemble des informations ncessaires, permettant de prendre des dcisions en termes dactions correctrices par rapport des expositions aux risques trop importantes ou insuffisamment matrises. Lapprciation de lexposition aux risques repose sur lvaluation de la frquence de survenance des risques et de limpact financier au regard du dispositif de matrise mis en uvre. De ce fait, lvaluation des risques dbute souvent par celle des risques bruts, ou intrinsques, qui sont les risques qui psent sur lactivit, abstraction faite de tout dispositif de matrise existant. La prise en considration des dispositifs de matrise conduit ensuite rvaluer ces risques, que lon appelle alors les risques nets, ou risques rsiduels. La priodicit de revue des valuations se fait le plus souvent annuellement. Pour autant, la mise jour de la cartographie des risques peut tre anticipe lors de la survenance dvnements considrs comme remarquables, ds lors quils sont susceptibles de

Le dispositif de contrle
Le dispositif de contrle est compos de lensemble des oprations de contrle effectues par lentreprise. Ces oprations sont de diffrentes natures, telles quindiques dans le schma ci-dessous. Ainsi, ces contrles remplissent notamment les missions suivantes de scurisation de lactivit : - exercer un rle dalerte en dtectant la survenance danomalies un taux anormal, afin denrayer cette survenance et diminuer ainsi la frquence des incidents ; - garantir lintgrit de lorganisation, en assurant par exemple la sparation des fonctions ; - scuriser lactivit ; - mesurer lefficacit du dispositif de matrise du risque oprationnel, afin de loptimiser. Le dernier objectif joue en quelque sorte un rle de garde-fou, lorsque les indicateurs de risque, qui sont ncessairement en nombre limit, nont pas ou peu jou leur rle dalerte pralable. Ces contrles sintgrent dans un processus itratif et dynamique de gestion des risques visant une amlioration en continu de lorganisation et sa scurisation.

Diffrentes natures de contrle

Contrle priodique

Contrles de 3e niveau

Audit Inspection Contrles rguliers effectus par des acteurs indpendants Fonction contrle interne, juridique, RSSI, etc.

Contrles de 2e niveau

Contrle permanent
Contrles de 1er niveau

Contrles intgrs aux processus, effectus par la hirarchie ou les oprationnels, manuels ou automatiques

Source : Optimind

Risques oprationnels // avril 2011 // 7

modifier le profil de risque de lentreprise. Parmi ces vnements, on peut citer lvolution substantielle de la lgislation applicable lentreprise intgration en France par exemple de class actions ou la modification du fonctionnement interne de lentreprise telle que lautomatisation dun processus laide dun systme dinformation. Les axes danalyse des rsultats issus de la cartographie des risques conduisent notamment tudier au cas par cas si le risque rsiduel qui subsiste est acceptable ou non. Les approches de classification des risques alors mises en uvre, permettent de dterminer les priorits afin damliorer le dispositif existant via llaboration de plans dactions. La cartographie, schma A, fait ressortir majoritairement : - les risques exognes, rares et fort impact pour lesquels lentreprise na pas la matrise sur loccur-

rence de lvnement mais peut en limiter limpact avec notamment un plan de continuit de lactivit, PCA ; - les risques au cur de lactivit dont limpact peut tre fort et pour lesquels une bonne matrise est ncessaire au quotidien. Il sagit alors, avec la mise en place dindicateurs dalerte, de sassurer que ce dispositif reste tout moment oprationnel et sans dfaillance. Il est noter que certaines dmarches de restitution introduisent des biais danalyse non ngligeables sappuyant sur des matrices dites de chaleur mal conues et aboutissant une analyse errone des risques, matrice 4 par 4 de frquences et svrits, scores issus de formules non justifies, etc. La matrice ci-dessous, schma B, est lexemple mme de ce quil vaut mieux viter de raliser. www.optimind.fr

Schma a

Efficacit du Dispositif des Risques - DMR

100% 90% 80% 70%

Zone sensible surveiller 10% Zone damlioration 20%

% Efficacit du DMR

60% 50% 40% 30% 20% 10% 0%

53%
de risques soit faibles, soit bien matriss 5 faible 10

38% 9%
de risques de niveau lev et dont la matrise est renforcer 15 modr 20 25 moyen 30 35 svre 40 45 critique 50

Zone daction prioritaire 10%

0 Risque

Risque brut, inhrent lactivit

Source : Optimind

Schma B
leve Trs leve

Priorit 3

Priorit 1

Probabilit

1x3=3

Lgende Risque critique

Modre

Zone de surveillance

Priorit 2

Risque lev Risque modr

Faible

3x1=3

Risque mineur

Mineure

Modre Svrit

Majeure

Svre

Source : Optimind

8 // Risques oprationnels // avril 2011

Les analyses de scnarios sur les risques significatifs :

Comme lindique la pyramide inverse ci-aprs, lanalyse de scnarios constitue le filtre ultime dapprofondissement des risques identifis par lentreprise.

Les dossiers techniques dinformation Optimind

Pyramide inverse : identification des risques significatifs

Ensemble des Couples ri risques thorique s sques x p rocessus > 2 000 Base di 600 coup ncidents les envis ageables Cartogra phie 200 coup les significa tifs Scnario 15

- les risques oprationnels rcurrents frquents peuvent tre valus par une approche frquence cot classique en assurance, ralise sur la base incidents et les historiques. Cette approche ncessite daccorder une importance particulire la profondeur de lhistorique, la survenance dun incident devant alors tre trace et qualifie convenablement ; - les risques extrmes constituent la deuxime catgorie. Ils prennent une part essentielle lorsque lon sintresse la solvabilit. Il sagit des risques majeurs comme par exemple les catastrophes naturelles, les risques industriels, les fraudes de grande ampleur, les indisponibilits majeures et durables du systme dinformation ou encore les risques frontires. Pour ces risques, trs peu dhistoriques sont disponibles. Il est donc indispensable de recourir des expertises ou des modles trs complexes qui ncessitent, de plus, de disposer dune trs bonne visibilit sur son exposition. Dans tous les cas, le caractre diffus des risques oprationnels, li leur nature en lien troit avec lorganisation de la socit, aura des consquences fortes sur les modles dvaluation. Les difficults didentification de lensemble des cots les rendent galement complexes apprhender : les impacts peuvent tre tals dans le temps, en cas de contentieux client par exemple, limpact financier peut survenir longtemps aprs le fait gnrateur. Enfin, les ncessaires approches par auto-dclaration et auto-valuation sont susceptibles dtre lorigine de biais dans les valuations, mme si des dmarches existent pour les fiabiliser au mieux.

Pertes externes

Source : Optimind

de rester vigilant et de ragir face lvolution ou lmergence de risques oprationnels. Ces lments nouveaux sont voquer en Comit RO.

Les analyses de scnarios sur les risques significatifs sinscrivent donc dans la finalit de cette dmarche itrative de risk management. Elles doivent permettre didentifier les cheminements possibles du risque, les facteurs damplifiLe risk manager se doit cation ventuels et ainsi optimiser les leviers de rduction. Dans leur mise en uvre, les analyses de scnarios impliquent donc de forts niveaux dexpertises ncessitant, comme dans lanalyse de tout systme complexe, lassociation de comptences internes voire externes trs diffrentes dans le cadre dateliers bien structurs.

Les modles dvaluation

Lapproche LDA Loss Distribution Approach est lapproche statistique la plus frquemment utilise pour lagrgation de distributions de pertes. Concernant les risques oprationnels, elle sappuie sur la base incidents contenant les donnes des pertes collectes au sein de lentreprise. Lapproche consiste tablir, pour chaque ligne mtier et chaque type dvnement de pertes, la courbe de distribution des montants de pertes et la courbe de distribution des frquences sur un intervalle de temps donn. Les modlisateurs cherchent ensuite ajuster une loi de probabilit sur chaque distribution obtenue en utilisant des tests dadquation statistique. Ces deux distributions sont ensuite combines grce un algorithme numrique tel que les simulations de Monte-Carlo, lapproche rcursive de Panjer ou encore en inversant la fonction caractristique, car il nexiste en gnral pas dexpression analytique de la distribution compose. Le montant des fonds propres recherch correspond alors la Value at Risk un quantile donn VaR99,5% pour lassurance, VaR99,9% pour la banque sur un horizon dun an.

Les scnarios sont souvent associs au modle interne sur les risques forfaitaires oprationnels. Or, complter une dmarche par lutilisation de scnarios, savre tre rellement pertinent.

Quelle mesure/quantification du risque oprationnel ? Les difficults dvaluation du risque oprationnel

En termes dvaluation des risques oprationnels, deux catgories de risques peuvent tre distingues:

Risques oprationnels // avril 2011 // 9

Donnes
Frquence
- pertes internes - scnarios

Probabilit

Distribution de frquence
Effectif

Distribution de pertes agrges

Probabilit

Simulations Monte Carlo

Calibration Svrit
- pertes internes - scnarios
Probabilit

Distribution de svrit
Montant

VaR 99,5%

Montant

quivalent Fonds propres

Source : daprs Risques oprationnels De la mise en place du dispositif son audit, C. Jimenez, P. Merlier et D. Chelly, 2008.

Bien quelle soit la mthode la plus communment utilise par les tablissements bancaires et les organismes assureurs pour modliser les risques oprationnels, cette approche renferme plusieurs inconvnients : - lhypothse de pertes indpendantes et identiquement distribues, impose par cette mthode implique que la VaR soit calcule sur un primtre reprsent par lintersection dune ligne mtier et dun type de risque ; - en considrant les incidents comme compltement indpendants, on ne tient pas compte des ventuelles corrlations ou liens de cause effet qui pourraient entraner un effet cumulatif ou attnuateur ; - ces calculs sont raliss sur des donnes historiques qui non seulement sont des donnes dchantillonnage et peuvent tre rares, disperses et soumises nombre dapprciations subjectives mais de plus, ces donnes historiques ne permettent pas dintgrer les changements dans le profil de risque de lentreprise suite la survenance dun incident. Pour pallier certains de ces inconvnients, lapproche LDA sur les pertes internes est souvent combine des modles quantifis de scnarios. Une autre alternative est la mthode des scorecards qui sappuie non pas sur des donnes de pertes effectivement constates, mais sur des indicateurs de

risque, qui incorporent donc une vision a priori des risques oprationnels. Dans tous les cas, les modles dvaluation des risques oprationnels intgreront toujours des limites, quil faut garder lesprit. En premier lieu, les modles utilisant des lois statistiques prsupposent indirectement que les vnements et comportements futurs peuvent tre globalement dduits des vnements et comportements passs. Bien sr, une utilisation de choc, y compris fictif, permet de limiter cette insuffisance conceptuelle. Toutefois, le modle se trouve limit la seule vision de son crateur. Dautre part, quels que soient les lments modliss, il convient de se placer un niveau de granularit et de sophistication adapts. En effet, la sophistication excessive dun modle engendre gnralement un besoin important en termes dhypothses associ naturellement un manque de robustesse potentiel du modle. Il est donc important de se baser au niveau de granularit suffisant permettant une modlisation fiable et raliste de lactivit et de tester la capacit prdictive du modle, ou mieux, de ses diffrentes composantes. www.optimind.fr

Le choix entre la formule standard et le modle interne en assurance

Dans Solvabilit II, les assureurs ont le choix entre la formule standard et le modle interne pour calculer leur capital rglementaire. Lapproche modle interne comporte linconvnient majeur dtre beaucoup plus coteuse : dune part la formule standard devra galement tre mise en uvre, mais dautre part le modle interne comporte des exigences de validation et de maintenance trs fortes. Toutefois, sur les risques oprationnels, la formule standard a retenu ce stade une approche trs forfaitaire loigne de la ralit des risques sous-jacents : des facteurs par secteur dactivit sont appliqus aux encours et aux primes. Lapproche par modle interne permettra alors : - dconomiser des capitaux rglementaires : cet intrt nest bien entendu pas acquis car il dpend des risques rels de lassureur et dans tous les cas ne peut pas constituer lunique argument pour un assureur. - damliorer la connaissance des risques, et donc de permettre le lancement de plans dactions en vue de la rduction et de la matrise des risques oprationnels. Cet avantage apparat la fois sur les risques frquents de faible impact, par exemple par la modification des processus ou la mise en place de contrles adapts. Il sinscrit galement sur les risques extrmes du fait de lanalyse pousse qui en est faite lors de la construction du modle. - de bnficier davantages concurrentiels, notamment en termes de communication sur le march. En particulier, les modles internes sont pris en compte par les agences de notation.

10 // Risques oprationnels // avril 2011

Quel pilotage mettre en uvre ?

Linsertion oprationnelle Le day to day management Les dossiers techniques dinformation Optimind
Loin de ntre quune exigence rglementaire, la gestion des risques oprationnels peut constituer un vritable levier de management. Cest tout lenjeu dun pilotage quotidien de la gestion des risques oprationnels, qui doit sinsrer de faon harmonieuse dans les activits oprationnelles. On parle alors de mode de management par les risques, cest--dire intgrant ce prisme dans les prises de dcision importantes. Pour autant, la complte insertion de la gestion des risques Le paramtrage et le oprationnels dans lactivit ne doit pas devenir dploiement dune solution quotidienne une routine, ou encore donner GRC qui vient innerver un sentiment de fausse scurit, lorganisation doivent au point de faire oublier dexerune vigilance accrue dans les saccompagner dune relle cer situations qui le ncessitent. gestion du changement : Il ne suffit pas en effet de sapcommunication, formation, puyer sur le dispositif existant, ladapter aux volutions etc. mais de lentreprise. Cest pourquoi il convient dintgrer laspect risque oprationnel dans les prises de dcision porteuses de risques telles que le lancement dun nouveau produit, la cration dune nouvelle activit ou encore lautomatisation dun processus. Le risk manager exerce alors un rle de conseil en analysant les risques avant la prise de dcision, afin de garantir, non pas la suppression totale du risque, mais lidentification et la prise en compte de ces risques dans les arbitrages qui sont oprs. Schma C

Lintrt de loutil GRC pour piloter au quotidien

Pour garantir la fluidit du dispositif de gestion et de pilotage du risque oprationnel, un systme dinformation spcifique savre souvent indispensable. Un systme dinformation efficace permet de structurer et dagrger aisment les donnes pour analyser les informations sous diffrents angles. Or, depuis plusieurs annes, de nombreux diteurs proposent des systmes dinformation de gestion des risques SIGR plus couramment appels outils GRC gouvernance, risques et contrles. Ils permettent, comme indiqu sur le schma C ci-dessous, de dployer et de piloter lensemble du dispositif de gestion des risques oprationnels et de contrle interne.

Le pilotage Les tableaux de bord

Les tableaux de bord constituent des outils indispensables au suivi des risques. En fournissant une vision globale, synthtique et agrge, ils permettent au top management dassurer des prises de dcision adaptes dans une logique de bonne gouvernance des risques. La dfinition et la slection des informations et indicateurs constituent les phases critiques de ralisation de ces tableaux de bord : ils doivent la fois correspondre aux besoins de lorgane dirigeant qui devra se les approprier parfaitement, et tre suffisamment pragmatique afin que leur alimentation puisse tre ralise de manire rcurrente sans impacter trop fortement lactivit oprationnelle. Enfin, ils doivent possder une certaine souplesse pour sadapter au caractre changeant du risque et permettre didentifier les risques mergents. Ils peuvent galement avoir vocation tre transmis en externe, au rgulateur et aux auditeurs, notamment afin de justifier de lexistence des processus de suivi des risques, conformment lORSA dans le cadre de Solvabilit II.

Modlisation des processus Audit OUTILS GRC, GOUVERNANCE, RISQUES, CONTRLES Gestion des habilitations Gestion des rfrentiels dition de reportings Cartographie des risques

Ils doivent sappuyer sur une dfinition de seuils de significativit adapts aux enjeux, cest--dire la taille et la complexit de lentreprise.

Gestion des plans de contrle

Suivi des indicateurs de risques

Le suivi des plans dactions

Chaque lment du dispositif peut souligner des points amliorer et donc amener proposer des plans dactions. Cela peut intervenir la suite : - dun risque majeur rsiduel issu de la cartographie ; - dun incident avr susceptible de se rpter ; - de la dgradation soudaine dun indicateur de risque; - de la dcouverte dune mauvaise adquation de certains contrles. Un comit risques oprationnels doit alors assurer notamment un suivi de ces plans dactions et observer lvolution des risques lis.

Gestion des plans de continuit dactivit

Gestion des incidents

Gestion des plans dactions et des dispositifs de matrise

Source : Optimind

Risques oprationnels // avril 2011 // 11

Les leviers complmentaires face aux risques oprationnels LEnterprise Risk Management
Le risque oprationnel tant aux confins dautres risques, il sinscrit idalement dans une dmarche plus globale dite dERM, Enterprise Risk Management. Cette dmarche consiste en un ensemble de processus conduisant identifier, quantifier et grer les risques auxquels est expose lentreprise, qui peuvent mettre en pril latteinte de ses objectifs stratgiques. Il sagit alors de construire une vritable politique de gestion des risques sur tous les risques significatifs. Lobjectif de lERM nest pas forcment de rduire le risque au minimum mais de le contenir au mieux afin doptimiser le cot du risque, et ce, toujours en lien avec la stratgie de lentreprise qui oblige prendre en compte, certes les pertes, mais galement le cot des mesures de prvention, de protection et de financement du risque. La liste des risques entrant dans le primtre du risk management nest videmment jamais ferme. Une bonne dmarche ERM doit aussi et surtout dterminer le plus tt possible tous les nouveaux risques pouvant influencer, plus ou moins long terme, latteinte des objectifs stratgiques.

Le Plan de Continuit dActivit, PCA

Les entreprises ne peuvent empcher la survenance de certains risques exognes, tels que la crue dun fleuve, mais elles peuvent dfaut en limiter les impacts. Cest alors quintervient notamment le plan de continuit dactivit. En effet, quels que soient les vnements et leurs niveaux de gravit, lentreprise doit tre en mesure dassurer au mieux Une direction les prestations de services attendus par gnrale doit pouvoir les acteurs du march, que ce soient ces rapidement visualiser clients, actionnaires, investisseurs ou encore les autorits de tutelle. les risques significatifs Dans le cas particulier des banquiers susceptibles dbranler et assureurs, il est impratif dassurer lentreprise et prendre tout moment le maintien en condition oprationnelle, via des tests, de les dcisions qui la continuit des activits dites crisimposent, y compris tiques . Ces dernires devront tre prdaccepter le risque alablement identifies, pour dfinir les besoins de continuit et les ressources en ltat. ncessaires leur fonctionnement.

Lassurance
La souscription de polices dassurance permet dassurer le financement dune perte par un tiers assureur. Elle constitue donc galement un levier de matrise du risque oprationnel avec notamment lutilisation de polices dassurance responsabilits civiles professionnelle, exploitation ou mandataires sociaux, fraude, perte dexploitation ou de revenu, et dommages aux biens et personnes. La plupart de ces polices dassurance couvrent des risques oprationnels purs ou lis dautres risques. Tous les risques ne sont cependant pas assurables, ils doivent vrifier les conditions classiques des risques dassurance, savoir, tre issus dvnements alatoires, futurs, licites et dont la survenance est indpendante de la volont de lassur. noter que le fait dassurer un risque ne ddouane pas lentreprise de mettre en uvre une gestion des risques et un contrle interne efficients permettant de prvenir la survenance du risque oprationnel. Enfin, les risques doivent tre raisonnablement assurables compte tenu de la prime et de la franchise eu gard au niveau de couverture. Ainsi, chaque exercice, lentreprise value son apptence au risque et peut envisager un transfert des risques quelle ne parvient pas elle-mme mutualiser ou dont la survenance aurait des consquences trop importantes sur son rsultat ou sa solvabilit. Elle considre alors le profil de chacun des risques afin de dfinir une limite de risque acceptable. Dans le cadre des banques en approche avance AMA, il est possible de diminuer les fonds propres rglementaires allous au titre des risques oprationnels hauteur de 20%, si les polices rpondent des critres dligibilit, notamment le rating de lassureur. En effet, externalis via une police dassurance, le financement dun risque oprationnel transforme une grande part de ce risque en risque de contrepartie, dfaillance de lassureur, refus dindemnisation, etc.

Lajustement du dispositif de contrle

Parmi les diffrents moyens de matrise disposition des risk managers, il faut citer la mise en place de points de contrle complmentaires ou rajusts. Ainsi, en rponse certains risques, il est possible de dcider dassurer : - la validation systmatique par le dpartement juridique de la plaquette commerciale dun nouveau produit avant son lancement ; - le blocage automatique de la saisie sur le systme dinformation pour viter le dpassement dun seuil de montant pour une transaction. Le processus de mise en place des points de contrle est un processus itratif damlioration.

Identification et valuation des risques

volution du profil de risque de lentreprise

Contrle de 1er et de 2e niveau

Mesures correctrices et plans dactions

Dtection des anomalies

Identification des sources de dysfonctionnement

Source : Optimind

www.optimind.fr

12 // Risques oprationnels // avril 2011

Conclusion
Les risques oprationnels peuvent la fois survenir au quotidien dans le cadre dune activit commune mais galement intervenir trs ponctuellement et de faon dvastatrice dans des cas extrmes. Face cette diversit de manifestation du risque oprationnel, les dispositifs prsents dans ce dossier technique offrent un panorama complet permettant de les apprhender et de les rduire. Pour pouvoir les apprcier finement, il est absolument ncessaire den comprendre les contours et donc de disposer de formation ou de sensibilisation cible cest--dire adapte aux mtiers concerns. Bien sr, ces dispositifs, bien que rglementaires, dpassent largement les seuls objectifs de conformit ou de calcul des fonds propres et sinscrivent davantage dans une relle dynamique de scurisation de lactivit. Cest l, tout lenjeu dune dmarche de gestion et de pilotage des risques oprationnels. Dans le monde des assurances, la directive Solvabilit II nest pas encore trs prcise sur ces attentes en matire de risque oprationnel. Les mesures dexcution de niveau 2 et 3 devraient y remdier. Dans cette attente, la majorit des organismes assureurs se sont appuys sur les textes et les expriences de leurs homologues bancaires pour mettre en place les diffrentes approches et dployer leurs dispositifs. Le monde bancaire continue dailleurs lui-mme ajuster ses attentes au regard des annes dexprience. Les consultative papers trs riches et prcis publis par le Comit de Ble en dcembre 2010 le confirment. Les dmarches risques oprationnels mrissent et voluent donc au fil du temps. Les assureurs, de plus en plus actifs, sinscrivent en ordre de marche pour relever ce nouveau dfi. En effet, 2013 nest quun premier jalon pour une dmarche prenne qui va bien au-del du projet Solvabilit II.

Les dossiers techniques dinformation Optimind

Qui sommes-nous ?
Socit de conseil en actuariat et gestion des risques, OPTIMIND est un interlocuteur de rfrence pour les assureurs, mutuelles, banques et grandes entreprises qui souhaitent un partenaire mtier les accompagnant dans leurs projets. thique, dontologie, expertise, mthode, pragmatisme et investissement sont les valeurs clefs qui animent les soixante-quinze consultants, actuaires et experts mtier dOPTIMIND. Nos clients bnficient ainsi dune prestation de qualit associe la signature dune socit de conseil reconnue. OPTIMIND sorganise autour des mtiers suivants : > Actuariat Conseil > Actuariat Entreprise > Projets & Matrise dOuvrage > Risk Management > Audit & Contrle interne

Actuariat, Risk Management, Conformit & Projets

Optimind 46 rue La Botie 75008 Paris T / 01.48.01.91.66 F / 01.48.01.08.82

www.optimind.fr

Les Dossiers Techniques Optimind sont produits selon des processus respectueux de lenvironnement. Ils sont imprims sur des papiers certifis par des labels de qualit environnementaux et sont imprims par un prestataire certifi ImprimVert.

Ralisation :

Crdit photos : Shutterstock.