3 CDR Carto Assurances 2 Vdef PDF

2
e
di ti on
Ralis par le Groupe Professionnel Assurance
LIFACI est affili
The Institute of Internal Auditors
IFACI 2
L A C ARTOGR APHI E DE S RI S QUE S
DANS LA MME COLLECTI ON
De la cartographie des risques au plan daudit, Groupe Professionnel Banque ( paratre)
Laudit du versement des subventions aux associations, Groupe Professionnel Collectivits
Territoriales (fvrier 2013)
Slectionner un outil informatique pour les services daudit et de contrle internes : un vritable
projet, Unit de Recherche Informatique IFACI (dcembre 2012)
Laccs et la conservation des dossiers relatifs aux missions daudit, Unit de Recherche IFACI (octobre
2012)
La dlgation de gestion en assurance de personnes : pistes pour un contrle interne efficace, Unit
de Recherche IFACI (juin 2012)
Les variables culturelles du contrle interne, Unit de Recherche IFACI (dcembre 2011)
Des cls pour la mise en uvre et loptimisation du contrle interne, Unit de Recherche IFACI (octo-
bre 2011)
Transposition des normes professionnelles de laudit interne et bonnes pratiques : Edition spciale
Administrations dEtat, Groupe Professionnel Administrations de lEtat (septembre 2011)
Transposition des normes professionnelles de laudit interne et bonnes pratiques : Edition spciale
Collectivits Territoriales, Groupe Professionnel Collectivits territoriales (avril 2011)
La fraude : Comment mettre en place un dispositif de lutte contre la fraude ? Unit de Recherche de
lIFACI (dcembre 2010)
La cration de valeur par le contrle interne, Unit de Recherche de lIFACI (octobre 2010)
Prise de Position du Groupe Professionnel Banque pour un urbanisme du contrle interne effi-
cient, Groupe Professionnel Banque (Avril 2010)
Laudit de la fraude dans le secteur bancaire et financier, Unit de Recherche de lIFACI (janvier 2010)
Cration et gestion dune petite structure daudit interne, Unit de Recherche IFACI (janvier 2009)
Une dmarche daudit de plan de continuit dactivit, Unit de Recherche IFACI (juillet 2008)
Guide daudit du dveloppement durable : comment auditer la stratgie et les pratiques de dve-
loppement durable ?, Unit de Recherche IFACI (juin 2008)
Contrle interne et qualit : pour un management intgr de la performance, Unit de Recherche
IFACI (mai 2008)
Evaluer et dvelopper les comptences des collaborateurs, Antenne rgionale Aquitaine IFACI (novem-
bre 2007)
Audit des prestations essentielles externalises par les tablissements de crdit et les entreprises
dinvestissement 2
me
Edition, Groupe Professionnel Banque (janvier 2007)
Laudit interne et le management des collectivits territoriales, Unit de Recherche IFACI (mai 2006)
Une dmarche de management des connaissances dans une direction daudit interne, Unit de
Recherche IFACI (mai 2006)
Lauto-valuation du contrle interne, Unit de Recherche IFACI (octobre 2005)
Cartographie des Risques, Groupe Professionnel Immobilier Locatif (septembre 2005)
tude du processus de management et de cartographie des risques, Groupe Professionnel Industrie
et commerce (janvier 2004)
Pour un bon audit du dispositif de lutte contre le blanchiment des capitaux, Groupe Professionnel
Banque (fvrier 2004)
Lefficacit des Comits daudit Les meilleures pratiques, PwC The IIA Research Foundation
Traduction IFACI PwC (mai 2002)
Gouvernement dentreprise et Conseil dadministration, PwC The IIA Research Foundation
Traduction IFACI PwC (mai 2002)
valuation de la comptence dans la pratique de laudit interne, Prise de position de lECIIA
Traduction IFACI (2001)
Management des risques, IIA UK Traduction Unit de Recherche IFACI (2001)
Le rle de lauditeur interne dans la prvention de la fraude, Prise de position de lECIIA Traduction
IFACI (2000)
Pour plus dinformations : www.ifaci.com
IFACI 3
REMERCI EMENTS
LIFACI tient remercier toutes les personnes qui ont contribu aux diffrentes tapes de llaboration
de ce Cahier.
Pilotage et revue densemble :
Groupe professionnel Assurance de lIFACI, prsid par Anne SAVEY, Responsable Contrle
Gnral, Groupe MMA
Animation et rdaction :
Philippe BERTOMEU, Manager Audit interne, Axa France
Wilfried BRIAND, Charg de mission du Directeur Gnral, CNP Assurances
Michel BUZEJIC, Responsable Audit interne, Quatrem, animateur de lunit de recherche
Guillaume KUCH, Responsable du service pilotage des Clientles Bancaires, CNP Assurances
Eric LHUISSIER, Responsable Contrle interne et conformit, MMA
Alain MARTEL, Directeur de la Matrise des Risques, MATMUT
Lamyaa NADARI, Auditeur interne / Inspecteur, Allianz IARD
Marine NGUYEN, Responsable du dpartement de politique indemnisation et contrle interne, Generali
Emmanuel RUFFIN, Responsable Contrle interne et Conformit, MATMUT
Christelle SAINATO, Responsable de la Matrise des Risques, Harmonie Mutuelle
Patrick SAINT-MAXENT, Responsable Pilotage des risques oprationnels et Qualit, AG2R LA
MONDIALE
Raphael SIFFERT, Coordinateur de contrle permanent, BNP Paribas Cardif
Lunit de recherche remercie Marina CRISTOFARI, Compliance & Control, BNP Paribas Assurance,
Sbastien SAIDANE, Responsable de module de Risque, MATMUT et Fabienne VIBOUD, Manager
Audit interne, COFACE pour leur contribution.
Comit de rdaction et de rvision :
Michel BUZEJIC, Responsable Audit interne, Quatrem, animateur de lunit de recherche
Vianney DUMONT, Responsable Audit interne, MAIF, Reprsentant du GP Assurances de lIFACI
Batrice KI-ZERBO, Directeur de la Recherche, IFACI
Alain MARTEL, Directeur de la Matrise des Risques, MATMUT
Patrick SAINT-MAXENT, Responsable Pilotage des risques oprationnels et Qualit, AG2R La
Mondiale
Raphael SIFFERT, Coordinateur de contrle permanent, BNP Paribas Cardif
Organisation des runions et mise en forme du document :
Perrine BNARD, Documentaliste, IFACI
NDella YATERA, Charge de missions Recherche, IFACI
Philippe MOCQUARD, Dlgu Gnral, IFACI
IFACI 4
SOMMAIRE
INTRODUCTION .................................................................................................................................... 7
1- LEXERCICE DE CARTOGRAPHIE DES RISQUES :
ETAT DES LIEUX ET PERSPECTIVES ................................................................................................ 9
1.1- Retour dexprience des membres de lunit de recherche .................................................... 10
1.2- Cadres normatifs et rglementaires .......................................................................................... 11
1.3- Cadre spcifique aux activits dassurance .............................................................................. 14
1.3.1- Les dcrets relatifs au contrle interne ........................................................................... 14
1.3.2- Les attentes de lAutorit de Contrle Prudentiel (ACP) ............................................. 15
1.3.3- La directive Solvabilit II ................................................................................................... 17
2- ACTEURS ET GOUVERNANCE ................................................................................................... 19
2.1- Les acteurs-cls de la cartographie des risques ....................................................................... 20
2.1.1- Les fonctions oprationnelles .......................................................................................... 21
2.1.2- Les fonctions support de matrise des risques ............................................................... 21
2.1.3- Laudit interne ................................................................................................................... 23
2.1.4- En synthse : six tapes cls et des responsabilits clairement dfinies ...................... 24
2.2- Les instances de gouvernance .................................................................................................. 25
2.2.1- Organe dadministration, de gestion ou de contrle ..................................................... 25
2.2.2- Gouvernance institutionnelle : comit daudit et/ou des risques ................................. 26
2.2.3- Gouvernance oprationnelle : comit managrial des risques ..................................... 26
2.2.4- Autres comits internes participant la gestion des risques dans le cadre
de dcisions oprationnelles ....................................................................................................... 27
3- IDENTIFICATION ET EVALUATION DES RISQUES .............................................................. 29
3.1- La notion de risque .................................................................................................................... 30
3.1.1- Dfinitions ......................................................................................................................... 30
3.1.2- Apptence pour les risques et seuil de tolrance ........................................................... 31
3.1.3- La nomenclature des risques ........................................................................................... 32
3.2- Mesure du risque ........................................................................................................................ 35
3.2.1- La frquence ...................................................................................................................... 36
3.2.2- Limpact .............................................................................................................................. 37
3.2.3- Le risque brut .................................................................................................................... 39
3.2.4- Les lments de matrise .................................................................................................. 39
3.2.5- Le risque rsiduel .............................................................................................................. 40
IFACI 5
3.3- Deux approches complmentaires ............................................................................................ 41
3.3.1- Lapproche bottom-up ........................................................................................................ 41
3.3.2- Lapproche top-down ......................................................................................................... 46
3.3.3- Intgration des deux dmarches ...................................................................................... 47
4- SUIVI PERMANENTDES RISQUES ............................................................................................. 53
4.1- Une modalit particulire de suivi partir de la base dincidents ......................................... 54
4.2- Une communication approprie ............................................................................................... 55
4.2.1- Reporting interne ............................................................................................................... 56
4.2.2- Reporting externe ............................................................................................................... 59
CONCLUSION ....................................................................................................................................... 61
ANNEXES ................................................................................................................................................ 63
1- Exemples de processus - Secteur assurances ............................................................................. 64
2- Nomenclature des risques ............................................................................................................ 65
3- Prsentation des risques de la formule standard du calcul du SCR ....................................... 109
4- Exemple dimpact financier ........................................................................................................ 118
5- Evaluation de limpact financier dun incident ......................................................................... 119
6- Illustration - Synthse du processus de collecte des vnements .......................................... 122
7- Directive Solvabilit II (Extraits) ................................................................................................. 123
8- Dcret n2006-287 du 13 mars 2006 relatif au contrle interne des entreprises d'assurance
et modifiant le Code des assurances (Extraits) .............................................................................. 127
9- Dcret n2008-468 du 19 mai 2008 relatif au contrle interne des institutions
de prvoyance, des mutuelles et de leurs unions .......................................................................... 128
10- Exemple de reporting ................................................................................................................. 130
BIBLIOGRAPHIE ................................................................................................................................. 135
IFACI 6
Avertissement aux lecteurs
Ce cahier de la recherche a t ralis partir de contributions de professionnels de laudit et du
contrle internes. Ce travail collectif, ralis sous lgide de lIFACI, fournit un tat des lieux des
pratiques professionnelles et des pistes damlioration qui nengagent pas les organisations repr-
sentes.
LAutorit de Contrle Prudentiel (ACP) est devenue lAutorit de Contrle Prudentiel et de
Rsolution (ACPR) par la loi n 2013-672 du 26 juillet 2013, de sparation et de rgulation des
activits bancaires. Le prsent ouvrage rdig durant le 1
er
semestre 2013, na donc pas intgr ce
changement de dnomination.
IFACI Paris septembre 2013 ISBN : 978-2-915042-56-6 ISSN : 1778-7327
Toute reprsentation ou reproduction, intgrale ou partielle, faite sans le consentement de lauteur, ou de ses ayants droits,
ou ayants cause, est illicite (loi du 11 mars 1957, alina 1
er
de larticle 40). Cette reprsentation ou reproduction, par
quelque procd que ce soit, constituerait une contrefaon sanctionne par les articles 425 et suivants du Code Pnal.
IFACI 7
I NTRODUCTI ON
Le premier ouvrage du Groupe Professionnel Assurance de lIFACI, publi en 2006, a t un outil
de rfrence pour la sensibilisation aux dmarches de cartographie des risques ou pour leur mise en
uvre. Ainsi, il a pu tre utilis dans des organismes dassurance qui formalisaient leur dispositif de
contrle interne (notamment dans le cadre de la Loi de Scurit Financire, ou Sarbanes-Oxley), mais
galement accompagner ceux qui ont engag des dmarches globales de gestion des risques du type
ERM (Entreprise Risk Management).
Les volutions rglementaires constantes, les demandes de plus en plus prcises de la part du super-
viseur, lintrt croissant des instances de gouvernance ainsi que la volont de faire progresser la
matrise des risques de chaque organisme dassurance ont conduit le Groupe Professionnel
Assurance actualiser le cahier de la recherche.
Cette mise jour a pu sappuyer sur la diversit des mtiers (contrle interne, gestion des risques, audit
interne) reprsents dans lunit de recherche pour identifier les axes damlioration des dmarches de
cartographies des risques existantes, notamment dans la perspective de la mise en uvre de la directive
Solvabilit II.
Lunit de recherche a fonctionn de faon pragmatique et collgiale. Pragmatique dans la mesure o
chacun y a particip sur une base volontaire afin dy apporter sa propre exprience et senrichir de celle
des autres participants. Collgiale car il sagissait de dfinir de faon consensuelle la position du groupe
de travail.
Les travaux se sont drouls en 2012, les contributeurs ont notamment :
tenu compte de lvolution du niveau de maturit des dmarches de cartographie des
risques et des retours dexpriences partages,
mieux pris en compte les risques conomiques, de solvabilit, et de rputation dans la mise
jour de la typologie des risques,
prcis les rles des acteurs des dmarches de cartographie des risques et les responsabilits
des organes de gouvernance,
mis laccent sur le reporting appropri permettant chacun de ces acteurs de jouer efficace-
ment leur rle,
attir lattention sur la ncessaire intgration de la cartographie des risques dans le dispo-
sitif de matrise des risques (lien avec les bases dincidents, les plans dactions, etc.),
fait rfrences aux risques spcifiques (blanchiment, protection de la clientle, etc.) et leur
prise en compte dans la dmarche globale de cartographie des risques,
introduit les principes thoriques de lORSA (qui sont en cours de mise en uvre actuelle-
ment) et leur impact sur les pratiques de cartographie des risques.
IFACI 8
En proposant des cls de lecture et des guides mthodologiques pour chaque tape de la cartographie
des risques, ce cahier de la recherche permettra aux diffrents acteurs des organismes dassurance
dapprhender leur rle dans ce processus. Dun abord didactique, il nest pas rserv aux experts de
la matrise des risques. En effet, la cartographie des risques nest pas une fin en soi. Les membres des
organes excutifs et les administrateurs y trouveront des principes fondamentaux pour assumer leurs
responsabilits de surveillance de ces dmarches et assurer leur intgration efficace au processus global
de gestion des risques.
IFACI 9
PARTI E 1
LEXERCI CE DE CARTOGRAPHI E DES RI SQUES :
TAT DES LI EUX ET PERSPECTI VES
Le prsent cahier de la recherche sinscrit dans le prolongement de la premire publication du
Groupe Professionnel Assurance de lIFACI. Il prend en compte les bonnes pratiques rsultant
des travaux de cartographie des risques dans les organismes dassurance depuis 2006. Il sintgre
galement dans la perspective de la mise en uvre de la directive Solvabilit II. Nanmoins, les
propositions formules cet gard devront sans doute tre revisites compte tenu du niveau de
dploiement de cette directive la date de finalisation du cahier.
IFACI 10
1.1 RETOUR DEXPRI ENCE DES MEMBRES DE LUNI T DE RECHERCHE
Un benchmark portant sur les dmarches de cartographies des risques montre que 83% des orga-
nismes dassurance reprsents dans lunit de recherche ont utilis la premire dition du cahier
de la recherche, aussi bien pour la mise en place des cartographies des risques que pour leurs
actualisations.
Il est utilis par diffrentes entits : directions des risques, directions de contrle interne ou direc-
tions de l'audit interne. Ces dernires lutilisent dans le cadre de l'laboration du plan d'audit ou
des programmes de travail d'une mission.
Les principaux apports mentionns par les utilisateurs concernent la description pdagogique de
la mthodologie ainsi que la nomenclature des risques.
Les premires dmarches structures et formalises de cartographies des risques ont t mises en
place partir de 2003 gnralement pour rpondre aux exigences de la Loi Sarbanes-Oxley, de la
Loi de Scurit Financire et du dcret du 13 mars 2006 relatif au contrle interne des entreprises
d'assurance
1
. Depuis 2010, des dmarches complmentaires ont t inities pour notamment assu-
rer le suivi des risques dits majeurs . Ainsi, certains organismes dassurance peuvent disposer de
plusieurs types de reprsentation de leurs risques.
Conformment la nomenclature propose en 2006, les principales familles de risques concernent
les risques oprationnels, les risques financiers, les risques dassurance et techniques. Les risques
stratgiques ou les risques externes (par exemple : volutions rglementaires, risque pays, concur-
rence, etc.) sont peu mentionns. Pourtant, ils font partie des proccupations majeures des direc-
tions gnrales des organismes dassurance.
Dans 54% des cas, llaboration des cartographies des risques est centralise au niveau d'une entit
ddie aux risques, qui donne la mthodologie, la trame, l'impulsion. La responsabilit de leur suivi
incombe aux directions et/ou entits oprationnelles, qui peuvent tre amenes nommer un
correspondant risques . Ce dispositif s'est mis en place progressivement dans les organismes et
traduit une certaine maturit sur ces sujets. Il concerne principalement les risques oprationnels
et/ou les processus mtiers.
La communication et le reporting sont principalement destination du management des entits,
des fonctions risques , du contrle interne , de laudit interne et des comits daudit ou des
risques. Le niveau et le format de restitution sont dclins en fonction de cette diversit de desti-
nataires.
1
Cf. Article R336-1 du code des assurances.
IFACI 11
48% des organismes ont fait lacquisition ou ont dvelopp des progiciels ddis la matrise des
risques
1
. La mise en place de tels outils peut faciliter une vision intgre de diffrents lments de
la matrise des risques (cartographies des risques, plans d'actions, suivi des incidents, recomman-
dations des audits internes et externes, etc.).
Les avances ralises par le secteur et la professionnalisation croissante des acteurs de la matrise
des risques sont notables. Elles sinsrent dans le cadre dune volution gnrale des organisations
et dexigences spcifiques au secteur de lassurance (notamment les exigences des autorits de
tutelle et de la directive Solvabilit II).
1.2 CADRES NORMATI FS ET RGLEMENTAI RES
Historiquement, les pratiques de cartographies des risques ont t portes par les projets de
contrle interne. Si le contrle interne est un sujet assez ancien, les crises (Enron, WorldCom ou
Parmalat) du dbut des annes 2000, ont donn naissance des rglementations dans de
nombreux pays, et ont contribu renforcer les pratiques de contrle interne et de matrise des
risques au sens large.
Ainsi, la loi Sarbanes Oxley, vote en 2002, requiert que les socits cotes New York documentent
les dispositifs de contrle interne des processus conduisant ltablissement des tats financiers.
Tests par les oprationnels eux-mmes, lexistence et le bon fonctionnement de ces dispositifs
sont attests par les commissaires aux comptes. La mise en uvre de cette loi sest clairement
appuye sur le rfrentiel COSO dont lune des composantes-cls
2
concerne lvaluation des
risques.
Vote en 2003, la loi de scurit financire sinscrit galement dans cette volont de renforcer la
transparence et le contrle interne des entreprises cotes. En 2006, lAMF (Autorit des Marchs
Financiers) propose aux metteurs un cadre de rfrence de contrle interne. Compatible avec les
principes du COSO, le cadre de rfrence a t actualis en 2010 pour intgrer les exigences de la
8
me
directive europenne en matire de suivi de lefficacit des systmes de gestion des risques et
de contrle interne par les comits daudit.
1
Cf. Cahier de la recherche Slectionner un outil informatique pour les services daudit et de contrle internes : un vritable projet et la
revue Audit & Contrle Internes - Ifaci - N212 - Novembre / dcembre 2012.
2
Les 5 composantes interdpendantes du contrle interne propos par le COSO sont : lenvironnement de contrle, lvaluation des risques,
les activits de contrle, linformation et la communication, les activits de pilotage. Le COSO dfinit le contrle interne comme un processus
mis en uvre par le Conseil, le management et les collaborateurs, et qui est destin fournir une assurance raisonnable quant
la ralisation d'objectifs lis aux oprations, au reporting et la conformit.
IFACI 12
Un processus de gestion des risques comprenant, au sein de son contexte interne et
externe la socit, trois tapes :
Identification des risques : tape permettant de recenser et de centraliser les principaux
risques, menaant latteinte des objectifs. Un risque reprsente une menace ou une oppor-
tunit manque. Il se caractrise par un vnement, une ou plusieurs sources et une ou
plusieurs consquences. Lidentification des risques sinscrit dans une dmarche continue.
Analyse des risques : tape consistant examiner les consquences potentielles des prin-
cipaux risques (consquences qui peuvent tre notamment financires, humaines, juri-
diques, ou de rputation) et apprcier leur possible occurrence. Cette dmarche est
continue.
Traitement du risque : tape permettant de choisir le(s) plan(s) daction le(s) plus
adapt(s) la socit. Pour maintenir les risques dans les limites acceptables, plusieurs
mesures peuvent tre envisages : la rduction, le transfert, la suppression ou lacceptation
dun risque. Le choix de traitement seffectue notamment en arbitrant entre les opportuni-
ts saisir et le cot des mesures de traitement du risque, prenant en compte leurs effets
possibles sur loccurrence et/ou les consquences du risque.
Cf. Les dispositifs de gestion des risques et de contrle interne : cadre de rfrence / AMF. - 2010.
Dautres rfrentiels de gestion des risques proposent des dfinitions et des principes dont lunit
de recherche sest inspire :
Le management des risques de lentreprise : COSO 2
Le rfrentiel publi par le COSO en 2004 promeut la notion de gestion globale des risques de len-
treprise, lEnterprise Risk Management ou ERM ; dont lun des enjeux consiste amener lentreprise
aligner sa stratgie et sa gestion des risques. Ainsi, ce rfrentiel (COSO 2) reprend les trois objec-
tifs et les cinq composantes du rfrentiel relatif au contrle interne, quil complte avec la prise en
compte des objectifs stratgiques et de trois composantes supplmentaires :
la fixation des objectifs,
lidentification des vnements,
le traitement des risques selon les 4 modalits classiques (lvitement, lacceptation, la
rduction, le partage).
Ces principes permettent de repositionner la cartographie des risques dans un dispositif plus global
de pilotage des activits. Il ncessite une identification pralable des niveaux de risque acceptables
au regard dobjectifs (par exemple : profiter de nouvelles opportunits, conserver des avantages)
dfinis par les instances dirigeantes et dclins tous les niveaux de lorganisation.
IFACI 13
ISO 31000 : 2009
La norme ISO 31000 vise galement un management global des risques. Elle propose de faire de
ce dispositif un vritable outil daide la dcision.
La norme ISO 31010 : 2009 relative aux techniques dvaluation des risques prcise lintrt de ces
approches pour :
apprhender les risques et leurs impacts potentiels sur les objectifs,
fournir des informations aux dcideurs et les aider tablir des priorits,
aider la slection de mesures de traitement appropries,
identifier les principaux facteurs de risques au sein des systmes de gestion et des organi-
sations,
comparer des options dorganisation, de dploiement de technologies,
contribuer la prvention des incidents par une meilleure comprhension des facteurs
dclencheurs et des impacts,
rpondre des exigences rglementaires,
sassurer que les niveaux de risque correspondent aux seuils accepts par lorganisation.
FERMA
Le FERMA (Federation of European
Risk Management Associations)
propose un cadre de rfrence de la
gestion des risques (2003) et orga-
nise les facteurs de risques internes
et externes comme suit :
Exemples de facteurs internes et externes (extrait
de Gestion des risques / FERMA. 2003)
13
O
R
I GI NE EXTER
N
E
O
R
I GI NE EXTER
N
E
RISQUES STRATEGIQUES RISQUES FINANCIERS
PERILS RISQUES OPERATIONNELS
TAUX D'INTERET
TAUX DE CHANGE
CREDIT
COMPETITION
CHANGEMENTS DES CLIENTS
CHANGEMENTS DANS L'ACTIVITE
DEMANDE DES CLIENTS
FUSION ACQUISITION
INTEGRATIONS
LIQUIDITE &
CASH FLOW
RECHERCHE & DEVELOPPEMENT
CAPITAL INTELLECTUEL
ORIGINE INTERNE
SYSTEME DE CONTROLE
DES COMPTES
SYSTEMES D'INFORMATION
RECRUTEMENT
CHAINE D'APPROVISIONNEMENT
EMPLOYES
MOBILIER
BIENS & SERVICES
REGLEMENTATIONS
CULTURE
COMPOSITION DE
L'INSTANCE DIRIGEANTE
CONTRATS
EVENEMENTS NATURELS
FOURNISSEURS
ENVIRONNEMENT
IFACI 14
1. 3 CADRE SPCI FI QUE AUX ACTI VI TS DASSURANCE
Des exigences propres au secteur de lassurance viennent prciser les attentes en matire de
contrle interne et de gestion des risques.
1.3.1 Les dcrets relat ifs au contrle interne
1. 3.1.1 Le dcret du 13 mars 2006 relati f au cont rl e int erne des ent repri ses d assu-
rance
Toute entreprise mentionne larticle L. 310-1 du code des assurances est tenue de mettre en
place un dispositif permanent de contrle interne. Le conseil dadministration ou le conseil de
surveillance approuve, au moins annuellement, un rapport sur le contrle interne, qui est transmis
lAutorit de Contrle Prudentiel (cf. annexe 8). [...] Toutefois, les entreprises faisant appel public
lpargne ne sont pas tenues de fournir ces lments lorsquelles transmettent lAutorit de
Contrle Prudentiel le rapport mentionn, selon les cas, larticle L. 225-37
1
ou larticle L. 225-
68 du code de commerce.
1. 3.1. 2 Le dcret du 19 mai 2008 rel at i f au contrl e i nterne des i nst it uti ons de
prvoyance, des mut uel l es et de l eurs uni ons
Pour les institutions de prvoyance ou unions : Toute institution ou union mentionne larticle
R. 931-43 du code de la scurit sociale est tenue de mettre en place un dispositif permanent de
contrle interne. Le conseil dadministration approuve, au moins annuellement, un rapport sur le
contrle interne, qui est transmis lAutorit de Contrle Prudentiel.
Pour les mutuelles ou unions : Toute mutuelle ou union mentionne larticle R. 211-28 du code
de la mutualit est tenue de mettre en place un dispositif permanent de contrle interne. Le conseil
dadministration approuve, au moins annuellement, un rapport sur le contrle interne, qui est
transmis lAutorit de Contrle Prudentiel. Un extrait du dcret est propos en annexe 9.
1
Dans les socits dont les titres financiers sont admis aux ngociations sur un march rglement, le prsident du conseil d'administration
rend compte, dans un rapport joint au rapport mentionn aux articles L. 225-100, L. 225-102, L. 225-102-1 et L. 233-26, de la composition
du conseil et de l'application du principe de reprsentation quilibre des femmes et des hommes en son sein, des conditions de prparation
et d'organisation des travaux du conseil, ainsi que des procdures de contrle interne et de gestion des risques mises en place par la
socit, en dtaillant notamment celles de ces procdures qui sont relatives l'laboration et au traitement de l'information comptable
et financire pour les comptes sociaux et, le cas chant, pour les comptes consolids. Sans prjudice des dispositions de l'article L. 225-
56, ce rapport indique en outre les ventuelles limitations que le conseil d'administration apporte aux pouvoirs du directeur gnral.
R
e
c
e
u
i
l

p
u
b
l
i

p
a
r

l
A
C
P
R
g
l
e
m
e
n
t
a
t
i
o
n

S
o
f
t

l
a
w

IFACI 15
1. 3. 2 Les att ent es de l Autori t de Cont rle Prudenti el (ACP)
Par ses instruments juridiques et ses contrles permanents, lAutorit de Contrle Prudentiel (ACP)
donne des orientations quil convient de prendre en considration dans lexercice de cartographie
des risques.
1. 3. 2.1 Les recommandat ions et l es posi ti ons de l ACP
En complment des textes lgislatifs et rglementaires, lACP met des positions ou des recom-
mandations destination des organismes soumis son contrle et au public. L'ACP cre ainsi un
droit souple ou soft law pour exercer ses missions danalyse et de contrle concernant :
lapplication des lois et des rglements en matire prudentielle,
la vigilance permanente en matire de lutte contre le blanchiment des capitaux et le finan-
cement du terrorisme (LCB-FT),
le respect des rgles en matire de commercialisation de produits et protection de la clien-
tle.
LACP publie un recueil de l'ensemble des codes de conduite, rgles professionnelles et autres
bonnes pratiques constates ou recommandes dont elle assure le respect (article L612-29-1 du code
montaire et financier). Les organismes dassurance sont donc tenus dintgrer ces positions et
recommandations afin de se couvrir de tout risque de non-conformit ou dimage.
Schma rcapitulatif du corpus de textes de lACP
Dispositions sectorielles
Droit des assurances (contrats)
Droit de la distribution des produits dassurance
Fiscalit des produits dassurance
Lutte anti-blanchiment
Dispositions relevant du droit commun
Code civil, Droit de la consommation
CNIL (informatique et liberts)
Rgles de la concurrence (DGCCRF)
Droit du patrimoine
Droit de la proprit intellectuelle
Droit de limmobilier et de lenvironnement
Droit des socits
Codes de conduite homologus
I
n
s
t
r
u
m
e
n
t
s

e
t

p
o
u
v
o
i
r
s

p
a
r
t
i
c
u
l
i
r
e
m
e
n
t
a
d
a
p
t

l
a

p
r
o
t
e
c
t
i
o
n

d
e

l
a

c
l
i
e
n
t
l
e
Codes de bonne conduite approuvs :
approbation demande par les associations
professionnelles
Recommandations : prconisations de bonnes
pratiques adresses aux personnes contrles
Mise en garde : mesure de police administrative prise
lorsquune personne a des pratiques susceptibles de
mettre en danger les intrts de ses clients. LACP peut la
mettre en garde lencontre de la poursuite de ces
pratiques tant quelles portent atteinte aux rgles de
bonne pratique de la profession concerne
Sanctions disciplinaires
Codes de conduite approuvs par lACP
Bonnes pratiques professionnelles que lACP
constate ou recommande
Engagements des associations professionnelles
dans le cadre du CCSF, la demande du ministre
IFACI 16
1. 3. 2. 2 Le contrl e permanent de l ACP
LACP veille ce que les organismes dassurance soient en mesure de tenir tout moment les
engagements quils ont pris envers leurs assurs, adhrents et bnficiaires, et quils les tiennent
effectivement.
Pour mener bien ses missions, lACP sappuie notamment sur des diagnostics individualiss pour
chaque organisme. A titre dillustration, 531 organismes dassurance ont fait lobjet dune valua-
tion de leur profil de risque (cf. Rapport d'activit annuel 2011 de lACP).
Ces valuations portent sur les domaines suivants :
Le risque de souscription :
- engagements pris envers les assurs, adhrents et bnficiaires des contrats,
- tarification,
- surveillance du portefeuille,
- adaptation de la politique de rassurance.
La qualit et la suffisance des provisions :
- taux dactualisation et table employs,
- volution de la frquence des sinistres et des cots moyens,
- suivi des sinistres graves.
La diversification suffisante et lvaluation prudente des placements :
- classement rglementaire,
- comptabilisation des dprciations durables ncessaires,
- constitution de provision complmentaire le cas chant.
Le risque oprationnel li notamment au :
- risque de fraude ou derreur,
- dficience des systmes dinformation,
- risque de rputation.
La qualit de la gestion actif-passif et de la gestion du risque de taux dintrt.
La qualit de lorganisation du dispositif de conformit et de contrle interne, incluant les
modalits de surveillance et de matrise des risques.
La gouvernance dentreprise et le fonctionnement rgulier des organes dlibrants et
dirigeants.
La rentabilit des oprations dassurance et la formation du rsultat.
Le niveau, la structure et la prennit des fonds propres.
La situation de chaque organisme est analyse en se fondant sur :
des donnes quantitatives au regard de chacun des critres dvaluation, ainsi que de sa
situation financire ;
des donnes qualitatives visant valuer la qualit du dispositif de surveillance et de
matrise des risques.
IFACI 17
1. 3. 3 La directi ve Sol vabil it I I
Afin de garantir la capacit des organismes dassurance respecter les engagements qu'ils pren-
nent auprs de leurs clients, la directive Solvabilit II
1
poursuit plusieurs objectifs :
assurer la protection des assurs en renforant la solvabilit des assureurs ;
encourager une meilleure allocation des fonds propres face aux risques techniques, finan-
ciers, oprationnels, etc.
Pour ce faire, la directive retient une approche articule autour de trois piliers :
Pilier 1 - Exigences quantitatives :
- lments de calculs des provisions techniques,
- exigence minimale de fonds propres,
- exigence de marge de solvabilit,
- rgles dinvestissement.
Pilier 2 - Exigences qualitatives de bonne gouvernance :
- rgles dhonorabilit et de comptence,
- fonctions cls (de gestion des risques, de vrification de la conformit, actuarielle, dau-
dit interne),
- valuation interne du risque et de la solvabilit (ORSA Own Risk and Solvency
Assessment).
Pilier 3 - Discipline de march par une information rgulire des autorits de surveil-
lance et du public :
- communication financire,
- transparence.
Les travaux de lunit de recherche sintgrent plus particulirement dans le cadre du Pilier 2,
mme si une interaction existe avec les autres piliers. En effet, les fonctions cls participent active-
ment la dmarche. De mme, la cartographie des risques viendra alimenter lORSA.
1
Directive 2009/138/CE du 25 novembre 2009 sur laccs aux activits de lassurance et de la rassurance et leur exercice (Solvabilit II).
IFACI 18
IFACI 19
PARTI E 2
ACTEURS ET GOUVERNANCE
La gouvernance de la gestion des risques prsente une dimension stratgique et une dimension
oprationnelle, permettant une rpartition claire et une sparation approprie des responsabilits
des acteurs impliqus.
Un certain nombre dacteurs est amen intervenir dans lexercice de cartographie des risques, en
qualit de sponsor , de coordinateur , de contributeur , dutilisateur . Lallocation prcise
de ces rles devrait tre cohrente avec le modle des trois lignes de dfense (ou des lignes de
matrise) et le modle dorganisation de chaque organisme dassurance.
IFACI 20
2.1 LES ACTEURS-CLS DE LA CARTOGRAPHI E DES RI SQUES
En termes dorganisation, la directive et les documents associs instituent des fonctions cls. En
outre, des organisations professionnelles (ECIIA/FERMA, IIA, AMRAE /IFACI) proposent un pilo-
tage efficient des dispositifs de gestion des risques en sappuyant sur trois lignes de dfense, repr-
sentes dans le modle suivant :
Lgende : Fonctions cls (SII)
Autres fonctions support
Positionnement et rles de chaque ligne de dfense dans les systmes de gestion des risques et
de contrle interne :
la premire ligne de dfense correspond aux contrles pilots par le management opra-
tionnel ou mtier,
la deuxime ligne de dfense est celle des diffrentes fonctions institues par les organisa-
tions pour assurer le contrle et le suivi des risques. Les fonctions cls dfinies par la direc-
tive Solvabilit II bnficient dune certaine autonomie voire indpendance, par rapport aux
activits oprationnelles / mtiers afin de garantir la fiabilit de leurs valuations des
2
me
ligne de dfense
Conseil dadministration / Comit daudit
R
g
u
l
a
t
e
u
r
s
A
u
d
i
t

e
x
t
e
r
n
e
Direction gnrale
1
re
ligne de dfense 3
me
ligne de dfense
Management
oprationnel
Audit
interne
Contrle interne
S.I.
Ressources humaines
Finance / Comptabilit
Qualit
Juridique
Contrle de gestion
Gestion des risques
Actuariat
Vrifcation de
la conformit
IFACI 21
risques, ladquation de leurs propositions de plans de remdiation et leur suivi. En tant que
fonctions support du management, elles peuvent directement intervenir dans la modifica-
tion et la mise au point des systmes de contrle interne et de gestion des risques la diff-
rence de laudit interne.
Outre les fonctions cls, des fonctions support plus traditionnelles participent la deuxime
ligne de dfense (directions financires, informatiques, ressources humaines, juridique,
qualit, etc.) ; elles-mmes amenes mettre des politiques et/ou directives applicables au
sein des organisations ; elles assurent galement des activits de contrles.
la troisime ligne de dfense est celle de lassurance indpendante fournie par laudit
interne. De plus, laudit interne bnficie de rgles dontologiques et professionnelles qui
confortent son indpendance et son objectivit.
Lunit de recherche a choisi de prciser les rles des acteurs de la cartographie des risques en
partant de ce modle.
2.1.1 Les fonct ions oprati onnell es
La premire ligne regroupe les oprationnels (par exemple, les directions mtiers charges de la
gestion des contrats dassurance, des sinistres, des cotisations, etc.). Leur connaissance des mtiers
les place dans un rle incontournable dans lidentification des risques inhrents leur activit, la
maintenance de cette cartographie des risques, sa primo-valuation et le dploiement des
contrles-cls destins matriser les risques identifis.
Ainsi, le management a la responsabilit de la matrise des risques sur son primtre. Il examine
les expositions de risques, dfinit les priorits la lumire de lanalyse des risques. Il doit promou-
voir la sensibilit aux risques dans les units et faire connatre les objectifs de gestion des risques.
2.1.2 Les fonct ions support de mat ri se des ri sques
Le suivi des risques, effectu par les directions oprationnelles et les structures de contrles hirar-
chiques, est renforc par les activits de la deuxime ligne de dfense dans laquelle se retrouvent
les fonctions cls gestion de risques, actuarielle et de vrification de la conformit.
2.1. 2.1 La fonct i on gesti on des ri sques
Celle-ci veille ce que le niveau de risque pris par lorganisme dassurance, soit cohrent avec les
orientations
1
et les objectifs dfinis par les organes dadministration, de gestion, de contrle. Ainsi,
1
La stratgie, la politique des risques en particulier le niveau dapptit pour les risques et les seuils de tolrance.
IFACI 22
la fonction gestion des risques propose aux dirigeants un profil des risques de lorganisme,
travers :
une vision holistique des risques de lorganisme,
une perspective largie lors de la prise de dcisions stratgiques,
des plans de matrise des risques.
Elle anime lensemble du dispositif didentification, de mesure, de traitement, de surveillance et de
reporting des risques, notamment ceux noncs par la directive Solvabilit II.
2.1. 2. 2 La foncti on actuari el l e
La fonction actuarielle contribue lamlioration du systme de gestion des risques. Elle donne
avec objectivit une opinion aux organes dirigeants et dlibrants, sur la fiabilit et le caractre
adquat du calcul des provisions techniques (opinion et marge dincertitude), sur les politiques de
souscription et les dispositifs de rassurance. Dans ce cadre, elle tablit un rapport annuel desti-
nation des organes dirigeants et dlibrants. A noter que le document de travail du CEIOPS
CP58
2
prcise que la fonction actuarielle doit disposer dun niveau suffisant dindpendance
fonctionnelle.
2.1. 2. 3 La foncti on de vri ficat i on de l a conformi t
La fonction de vrification de la conformit veille au respect des obligations dcoulant des
dispositions lgales et rglementaires, des normes professionnelles et dontologiques ainsi que des
rgles internes dictes par les organismes dassurance. Elle value les impacts probables des chan-
gements dans lenvironnement lgal et rglementaire.
Dans ce cadre, la fonction de vrification de la conformit doit identifier, valuer et contrler
lexposition aux risques lgaux, juridiques et rglementaires. Enfin, elle apporte un conseil aux
organes de gouvernance sur les problmatiques de conformit. Ses missions se traduisent dans un
plan de conformit dtermin en fonction des activits prsentant un risque de non-conformit. La
dfinition de ce plan sinscrit dans lanimation du dispositif de contrle interne des organismes
dassurance. Ce dernier permet aux organismes dassurance de renforcer la conduite des activits
par des moyens de contrles (organisations, indicateurs, procdures, etc.) lui permettant de matri-
ser ses risques ou de prvenir les zones de dfaillance.
2.1. 2. 4 Les autres foncti ons support
Outre les fonctions prvues dans la directive Solvabilit II, dautres fonctions participent la
deuxime ligne de dfense, telles que le contrle interne, la scurit des systmes (Responsabilit
1
CEIOPS Advice for Level 2 Implementing Measures on Solvency II: Supervisory Reporting and Public Disclosure Requirements (former
Consultation Paper 58).
IFACI 23
Scurit et Systme dInformation) ou la continuit des activits, elles compltent laction des
directions support plus traditionnelles (directions financires, informatiques, ressources humaines,
juridique, qualit, etc.) amenes mettre des politiques et/ou directives applicables au sein des
organisations.
Les services fonctionnels, responsables de domaines dexpertise
Les services fonctionnels jouent un rle particulier, parfois considrable, dans le dispositif de
contrle interne,
soit du fait quils ont reu une autorit et un pouvoir de contrle sur certaines oprations
ou certains processus,
soit du fait de lassistance effective, sur le terrain, quils sont en mesure dapporter aux diff-
rentes entits pour identifier, comprendre, valuer les principaux risques affrents leur
domaine, et les aider concevoir les contrles techniques les plus pertinents.
Les missions des services fonctionnels sont souvent analyses en quatre grandes familles :
missions oprationnelles : il convient dassurer des activits oprationnelles, dans lintrt
de lensemble du groupe. Exemples : produire les comptes consolids, raliser une augmen-
tation de capital, effectuer les achats dnergie ou de matires premires pour toutes les
filiales, etc. ;
missions normatives et rgaliennes : proposer les politiques du groupe, par domaines dac-
tivit, ainsi que les analyses de risque correspondantes et les meilleures procdures de
contrle obligatoires ou recommandes, dvelopper les meilleures pratiques et les
changes, benchmarker en externe et en interne ;
missions de conseil et dassistance : offrir ses services aux units qui en ont besoin, pour
mettre en place certaines procdures, tableaux de bord ou autres systmes ;
missions de supervision : cette 4
me
grande famille de missions qui consiste observer et
rendre compte du fonctionnement effectif des processus dont ils ont la charge dans les
diverses units de lentreprise ou du groupe, sest considrablement dveloppe depuis
quelques annes avec laffirmation dun fort degr de responsabilit des services fonction-
nels sur les rsultats et les performances des processus.
Extrait de la prise de position de lIFACI sur lUrbanisme du contrle interne, octobre 2008.
2.1.3 L audi t interne
Enfin, la 3
me
ligne de dfense est constitue de la fonction audit interne qui est exerce dune
manire objective et indpendante des autres fonctions. Par son rattachement au plus haut niveau
et la ralisation dun plan daudit fond sur une approche par les risques, laudit interne value
IFACI 24
notamment ladquation et lefficacit du systme de contrle interne et les autres lments du
systme de gouvernance en conformit avec larticle 47 de la directive Solvabilit II. Les autres
lments prendre en considration par laudit interne peuvent concerner le fonctionnement des
organes dlibrants et excutifs, les exigences de comptence et dhonorabilit, le processus dva-
luation interne du risque et de la solvabilit (ORSA), la matrise de la sous-traitance, etc.
Lexploitation des constats et des recommandations de laudit interne permet denrichir la carto-
graphie des risques et de la faire vivre.
Laudit interne rend compte de son valuation du niveau de matrise des risques aux organes dad-
ministration, de gestion ou de contrle.
Les services daudit exercent leurs missions conformment au cadre de rfrence international de
lIIA / IFACI.
2.1.4 En synthse : si x tapes cls et des responsabi lit s clai rement dfi ni es
Loutil de cartographie des risques permet aux diffrents acteurs davoir une vision systmatise et
rgulirement mise jour des risques de lorganisme dassurance. Si les managers prennent les
risques et les endossent, les 2
me
et 3
me
lignes sont plus directement impliques pour donner une
assurance sur la matrise des risques et mettre jour de la cartographie des risques.
Principales tapes
de la cartographie
Premire ligne Deuxime ligne Troisime ligne
Parties du cahier
de la recherche
Identifier et
valuer les risques
Sponsor
Coordinateur
Contributeur
Utilisateur
Sponsor
Coordinateur
Contributeur
Utilisateur
Sponsor
Coordinateur
Contributeur
Utilisateur
Partie 3.1
Partie 3.2
Partie 3.3
Dfinir des dispo-
sitifs de traitement
des risques
Sponsor
Coordinateur
Contributeur
Utilisateur
Sponsor
Coordinateur
Contributeur
Utilisateur
Sponsor
Coordinateur
Contributeur
Utilisateur
Partie 3.3.3.2
Partie 3.1
Mettre en uvre
les traitements des
risques
Sponsor
Coordinateur
Contributeur
Utilisateur
Sponsor
Coordinateur
Contributeur
Utilisateur
Sponsor
Coordinateur
Contributeur
Utilisateur
Partie 3.1
Partie 3.3.3.3
Assurer une
surveillance
permanente et le
pilotage du niveau
des risques rsi-
duels
Sponsor
Coordinateur
Contributeur
Utilisateur
Sponsor
Coordinateur
Contributeur
Utilisateur
Sponsor
Coordinateur
Contributeur
Utilisateur
Partie 4
IFACI 25
2.2 LES I NSTANCES DE GOUVERNANCE
La gestion des risques est guide et surveille par les diffrents acteurs des organes dadministra-
tion, de gestion, ou de contrle (ou AMSB - Admistrative, Management or Supervisory Body - en rf-
rence la directive Solvabilit II) ainsi que par les membres de comit daudit ou des risques, qui
forment le gouvernement dentreprise .
2. 2.1 Organe d admi ni strati on, de gesti on ou de contrle
Il dtermine les orientations stratgiques de lorganisme et cre lenvironnement et les structures
pour une gestion des risques efficace. Ses responsabilits portent, la fois, sur la surveillance et le
pilotage du systme de gestion des risques. Il impacte les dmarches de cartographies des risques
travers :
La dfinition de la stratgie et de la politique des risques (notamment lapptit pour les
risques et les seuils de tolrance).
Lapprobation annuelle des politiques crites concernant leur gestion des risques, leur
contrle interne, leur audit interne et, le cas chant, la sous-traitance (article 41 de la direc-
tive Solvabilit II). Les politiques de gestion des risques concernent notamment les
domaines cits larticle 44 : la souscription et le provisionnement, la gestion actif-passif,
les investissements, la gestion du risque de liquidit et de concentration, la gestion du
risque oprationnel, la rassurance et les autres techniques dattnuation du risque
(annexe 7).
Le suivi de ladquation des dispositifs de gestion des risques et du respect du niveau gn-
ral des risques dfinis par lorganisme.
Il doit disposer des comptences et des ressources pour exercer ses missions. En outre, lexercice de
ses missions peut tre ralis au travers de comits spcialiss.
Principales tapes
de la cartographie
Premire ligne Deuxime ligne Troisime ligne
Parties du cahier
de la recherche
Evaluer priodi-
quement le dispo-
sitif de gestion des
risques
Sponsor
Coordinateur
Contributeur
Utilisateur
Sponsor
Coordinateur
Contributeur
Utilisateur
Sponsor
Coordinateur
Contributeur
Utilisateur
Partie 4.2.1.3
Mettre jour la
cartographie des
risques
Sponsor
Coordinateur
Contributeur
Utilisateur
Sponsor
Coordinateur
Contributeur
Utilisateur
Sponsor
Coordinateur
Contributeur
Utilisateur
Partie 3
IFACI 26
En France, lorgane dadministration de gestion ou de contrle sera reprsent par le conseil
dadministration et le directeur gnral ou, dans le cas dune structure duale, par le conseil de
surveillance et le directoire .
Rapport dactivit annuel 2012 de lACP
Bien que la gestion des risques relve de la responsabilit collective de lorgane dadministration,
de gestion ou de contrle, celui-ci doit dsigner au moins un membre pour surveiller lefficacit du
systme de gestion des risques en place .
2.2.2 Gouvernance instit ut ionnel le : comit d audit et /ou des ri sques
Le comit daudit (et/ou des risques) est une manation du conseil, il joue un rle essentiel dans le
suivi de la qualit des dispositifs de gestion des risques et de contrle interne des organismes das-
surance et bnficie ce titre de reporting sappuyant parfois sur des cartographies des risques, dont
les travaux daudit interne.
Il apprcie toute dviance par rapport au cadre de tolrance aux risques, dfini par lorgane dad-
ministration, de gestion ou de contrle, sur la base notamment dtudes prospectives et de diff-
rents exposs techniques.
Le comit d'audit doit disposer de plusieurs sources d'information (cartographie des risques,
synthse des CAC, rapports d'audit interne, etc.) et veiller la cohrence globale de ces documents.
Le comit d'audit avec la mise en uvre de la directive Solvabilit II devra mettre des avis sur
plusieurs politiques et rapports (dont le rapport ORSA et le rapport actuariel qui comprend un avis
sur la politique de souscription et les provisions).
2.2.3 Gouvernance oprat ionnell e : comi t managrial des risques
Le comit des risques vis ici est un comit managrial interne dont le positionnement et le rle
sont tout fait diffrents de ceux du comit daudit et/ou des risques voqus ci-dessus. Sa prsi-
dence est assure par un membre de lorgane dirigeant et il est ddi la surveillance et au pilotage
de la solvabilit ainsi quau management de lensemble des risques significatifs et levs :
les risques viss dans la formule standard (souscription, march, oprationnel, etc.),
les autres risques non ou mal apprhends dans la formule standard : risques stratgiques,
de pilotage et dimage.
IFACI 27
Sur proposition de la direction des risques, le comit prend les principales dcisions concernant la
mise en uvre des dispositifs de gestion des risques et lencadrement des principaux risques. Il
assure le suivi de la mise en uvre des solutions de remdiation.
2. 2. 4 Aut res comit s i nt ernes parti cipant l a gesti on des ri sques dans le cadre
de dcisi ons oprat ionnell es
Pour assurer le dploiement oprationnel de la gestion des risques, les organismes dassurance
mettent en place des comits managriaux tels que :
le comit de gestion actif-passif (ALM - Asset and Liability Management)
le comit de souscription,
le comit des placements,
etc.
Ces comits managriaux doivent tre transverses. Les informations et les dcisions doivent circu-
ler de manire trs fluide entre les structures.
La gouvernance des comits doit tre formalise par un rglement intrieur (composition, mode de
fonctionnement, primtre, cration ventuelle de sous-comits, dispositif de remonte dinforma-
tion, etc.).
Tout comit doit mettre et archiver un ordre du jour, un compte rendu et les documents prsents
en sance.
Laudit interne doit avoir accs linformation, notamment pour llaboration du plan. Ainsi,laudit
interne doit tre destinataire des comptes rendus des comits et/ou tre invit aux comits, avec
voix consultative.
IFACI 28
IFACI 29
PARTI E 3
IDENTIFI CATI ON ET VALUATI ON DES RI SQUES
Le recensement des risques vise capter un instant donn, les risques qui peuvent porter atteinte
la ralisation des objectifs dune organisation, dun processus, ou dune activit.
IFACI 30
3.1 LA NOTI ON DE RI SQUE
Les rfrentiels de contrle interne et de gestion des risques proposs dans la partie 1 proposent
des dfinitions et des principes pour mieux apprhender les risques.
3.1.1 Dfi ni tions
Selon la norme ISO 31000 qui fait rfrence au Guide 73:2009 Management du risque
Vocabulaire , le risque est leffet de lincertitude sur l'atteinte des objectifs . A noter que cette
dfinition ne caractrise pas leffet, celui-ci peut donc tre un cart ngatif ou positif par rapport
aux attentes.
Les objectifs en questions peuvent avoir diffrents aspects (par exemple, objectifs financiers, de
conformit, oprationnels, etc.) et peuvent concerner diffrents niveaux (stratgique, projet,
produit, processus ou un organisme tout entier).
Le cadre de rfrence de lAMF considre que le risque reprsente la possibilit quun vnement
survienne et dont les consquences seraient susceptibles daffecter les personnes, les actifs, lenvi-
ronnement, les objectifs de la socit ou sa rputation .
Le COSO dfinit le risque comme tant la possibilit quun vnement se produise et affecte la
ralisation des objectifs
1
. Dans le cadre du processus d'identification et d'valuation des risques,
une organisation peut galement dceler des opportunits, qui sont des vnements susceptibles
daffecter positivement la ralisation des objectifs. Il est important de saisir ces opportunits et de
les communiquer au processus de dfinition des objectifs
2
.
Pour ses travaux, lunit de recherche sest base sur la dfinition du risque propose par le COSO
en 2013.
Ces rfrentiels proposent dapprhender les risques selon au moins deux dimensions : dune part,
par les notions de frquence, de probabilit, dalas, dincertitude, et dautre part, par les cons-
quences, les impacts sur les organisations, les individus ou les objectifs. Seule la combinaison de
ces deux composantes (par exemple, la frquence et limpact) permet destimer raisonnablement le
niveau de risque.
Enfin, il convient de distinguer :
le risque brut ou inhrent qui mesure le risque sans aucun lment de matrise : absence
de procdures, absence dactivits de contrle, absence de systme informatique, etc.
1
Cf. Internal Control - Integrated Framework / COSO. - mai 2013. La version franaise paratra dbut 2014.
2
Composante valuation des risques du COSO 2013.
IFACI 31
le risque rsiduel ou le risque net qui mesure le risque aprs mise en place des lments
de matrise : contrle interne, couverture financire, partage du risque, etc.
3.1.2 Apptence pour les risques et seui l de tol rance
Lapptence pour le risque est en gnral formule de faon quantitative ou qualitative. Dfinie par
les organes de gouvernance et de direction, elle encadre la prise de risque en fixant les limites des
impacts quun organisme est prt accepter. Ce concept se traduit pratiquement dans la gestion
quotidienne de lentreprise : par exemple, les politiques de souscription cadrent les produits auto-
riss la vente, ou les conditions de souscription acceptables, ou les engagements maximaux.
Elle est souvent complte par la notion de tolrance au risque dfinit dans le COSO 2 comme le
niveau de variation acceptable dans latteinte dun objectif . Par exemple, si lobjectif de satisfac-
tion des clients est fix 98%, lorganisation peut accepter une tolrance de 96 100%.
La mise en uvre oprationnelle de ces critres ncessite donc une identification pralable des
objectifs et des consquences des risques. Ils permettent de retenir les mesures de traitement
appropries pour maintenir les niveaux de risque en de de ces seuils. Ils sont donc utiliss dans
le cadre du contrle interne pour la conception et le suivi de lefficacit des lments de matrise.
Conception et suivi des indicateurs de risques
Des indicateurs de risques et des seuils dalerte sont conus et suivis chaque niveau du disposi-
tif :
Au niveau des instances de gouvernance, cest essentiellement lapptence globale pour les
risques qui est dtermine en fonction de la stratgie et des valeurs de lorganisation.
Lorgane dirigeant fixe les objectifs gnraux en prcisant une tolrance de dviation et un
horizon temporel. La direction gnrale sassure de la bonne dclinaison de ces mtriques
dans les diffrentes activits.
Les fonctions en charge du suivi des risques proposent, en lien avec les directions mtiers
concernes, des indicateurs permettant de vrifier ladquation des donnes remontes des
directions oprationnelles par rapport au profil de risque dfini (apptence et tolrance
dfinies par les instances de gouvernance). Pour ce faire, elles peuvent tre amenes
accompagner la spcification de ces limites et la mise en uvre des lments de matrise
des risques avec les directions mtiers. Elles rendent comptent, en autonomie par rapport
aux directions oprationnelles, aux instances de gouvernance, le cas chant, elles accom-
pagnent la mise en uvre des actions correctrices.
Les directions oprationnelles sapproprient les mtriques de la politique de risques. Pour
cette dclinaison et pour la matrise de leurs activits, elles peuvent sappuyer sur les fonc-
tions de la deuxime ligne de dfense, et en particulier les directions de la gestion des
risques, du contrle interne ou de la conformit.
IFACI 32
Laudit interne vrifie de faon indpendante que la politique des risques est clairement
dfinie pour tre mise en uvre par la premire et la deuxime ligne de dfense. Il sassure
priodiquement que le niveau de matrise des processus reste dans les limites acceptables.
Il fait des propositions pour amliorer la gestion globale du dispositif et la fiabilit des indi-
cateurs.
Bonne pratique concernant les indicateurs de risques :
Les indicateurs conus et utiliss aux diffrents niveaux du dispositif doivent tre cohrents les uns
avec les autres.
Les indicateurs doivent tre directement lis aux limites de risque dfinies. Ils constituent le lien
entre la ralit oprationnelle et le pilotage de lentreprise.
Ils doivent tre comprhensibles par des non techniciens et permettre la prise de dcision.
Des alertes doivent tre mise en place sur ces indicateurs pour vrifier que les limites ne sont pas
dpasses.
3.1.3 La nomenclat ure des risques
La typologie des risques propose par lunit de recherche facilite :
lidentification des risques,
la bonne couverture du recensement des risques,
ltablissement de liens entre les risques capts des niveaux diffrents,
le dialogue entre les diffrents acteurs,
la consolidation des diffrents reporting oprationnels ou rglementaires.
Deux principales natures de risques sont rencontres (cf. galement le modle FERMA dans la
partie 1.2) :
les risques endognes, propres lactivit de lorganisation, qui sont lis ses processus, son
organisation, son systme dinformation, son management, etc.
les risques exognes dont lorigine provient de lenvironnement de lorganisation : les
clients, les fournisseurs, les socitaires ou actionnaires, les concurrents, les marchs finan-
ciers, les catastrophes naturelles ; lorganisation ayant peu demprise sur cette nature de
risques, il est nanmoins ncessaire de mettre des lments de matrise et de surveillance
pour en limiter les impacts.
IFACI 33
3.1. 3.1 Une cl assi ficat i on en 4 grandes famil l es
Conu de manire arborescente selon trois niveaux de risques, la nomenclature de lunit de
recherche propose en annexe 2 permet de prciser les risques identifis et de les rattacher lune
des quatre familles de risques retenues
1
.
Cette nomenclature est construite sur trois niveaux de risques complmentaires :
le niveau 1 concerne les quatre grandes familles de risques :
- financiers : risques lis lvolution des marchs financiers, de gestion de bilan ou
financire ;
- assurances : risques spcifiques aux activits techniques dassurance (souscription, tari-
fication, provisionnement technique, etc.) ;
- oprationnels : risques de pertes rsultant de procdures internes, de membres du
personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs ;
- stratgiques et environnementaux : risques relatifs au pilotage de lentreprise, aux
risques de rputation directs et aux risques gnrs par lenvironnement de lentreprise
et aux risques mergents.
le niveau 2 permet de dfinir des catgories de risques au sein de chaque famille (exemple
pour les risques financiers : liquidit, march, crdit, etc.).
le niveau 3 offre un degr de dtail supplmentaire au sein de ces catgories (exemple :
pour le risque financier de crdit : rglement livraison, dfaut metteur, etc.).
Chacune de ces quatre familles a t dcline en 27 risques de niveau 2, lesquels ont t leur tour
dclins en 192 risques de niveau 3. Ainsi, selon le niveau de granularit souhait, elle permet
davoir un degr de finesse variable dans la vision des risques encourus.
De plus, cette nomenclature actualise intgre les risques dfinis pour la formule standard par la
directive Solvabilit II.
3.1. 3. 2 Focus sur l e ri sque oprat ionnel
Larticle 13 de la directive Solvabilit II (cf. annexe 7), dfinit le risque oprationnel comme le
risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes
inadquats ou dfaillants, ou dvnements extrieurs. Cette dfinition englobe une grande diver-
sit de risques. Hormis, la mention aux vnements externes, elle est trs proche de celle propose
par Ble 2 qui vise les pertes directes ou indirectes dues une inadquation ou une dfaillance
des procdures, du personnel et des systmes internes. Compte tenu de cette similitude, lunit de
recherche a repris la dclinaison en sept catgories du risque oprationnel de Ble 2 :
clients, produits et pratiques commerciales,
excution, livraison et gestion des processus,
1
Le prcdent rfrentiel comportait 6 familles de risques (assurance, financier, comptable, oprationnel, pilotage, externe), ce passage 4
familles de risques sexplique par le retour dexprience des membres de lunit de recherche Cf. Cartographie des risques / Groupe profes-
sionnel Assurance . IFACI, 2006.
IFACI 34
dysfonctionnements de lactivit et des systmes,
pratiques en matire demploi et de scurit sur le lieu de travail,
dommages aux actifs corporels,
fraude interne,
fraude externe.
En vertu de larticle 49.2.b de la directive Solvabilit II, la sous-traitance d'activits ou de fonc-
tions oprationnelles importantes ou critiques ne doit pas tre effectue d'une manire susceptible
daccrotre indment le risque oprationnel. Pour matriser les risques oprationnels, il est donc
indispensable de ne pas se limiter aux frontires de lorganisation. Pour mmoire, un groupe de
recherche de lIFACI a fait des propositions pour la matrise des activits en dlgation de gestion
1
.
Compte tenu de la palette des risques oprationnels, il nest pas rare de trouver des cartographies
thmatiques, par exemple, sur le risque de fraude ou les pratiques commerciales.
3.1. 3. 3 Focus sur l es ri sques de l a formul e st andard sous Sol vabi l i t I I
Sous le rgime Solvabilit II, le SCR
2
(capital de solvabilit requis) reprsente lexigence de capital.
Il correspond au montant de fonds propres dtenir pour permettre dviter la ruine 99,5 %
lhorizon dun an.
Le SCR est bas sur le profil de risque de lorganisme dassurance, le SCR peut tre calcul soit par
une formule standard calibre uniformment sur le march europen, soit par un modle interne
dvelopp par lorganisme dassurance et aprs autorisation par le superviseur, soit par une combi-
naison de ces deux mthodes.
Le SCR formule standard est calcul selon une approche modulaire (cf. schma ci-aprs).
Lorganisme doit calculer la perte subie en cas dvnement dfavorable li une trentaine de sous-
modules de risques, rpartie travers sept modules de risques
3
:
Le module risque de march ,
Le module risque de souscription en sant ,
Le module risque de contrepartie ,
Le module risque de souscription en vie ,
Le module risque de souscription en non-vie ,
Le module risque sur actifs incorporels ,
Le risque oprationnel.
1
La dlgation de gestion en assurances de personnes : pistes pour un contrle interne efficace [Cahier de la Recherche] / Unit de Recherche
de lIFACI. - IFACI, 2012.
2
Solvency Capital Requirement.
3
Cf. Annexe 3 : Prsentation des risques de la formule standard.
IFACI 35
Les risques dcrits pour dterminer la formule standard constituent donc une base pour cartogra-
phier les risques de lorganisme dassurance. Aussi, la nomenclature des risques prsente en
annexe 2, fait rfrence aux modules et sous modules de risques de cette formule.
Daprs le schma de la directive Solvabilit II.
3.2 MESURE DU RI SQUE
A minima, deux critres sont apprcis pour coter le risque brut : la frquence et limpact :
Risque brut = Frquence x Impact
Le risque rsiduel mesure le risque aprs mise en place des lments de matrise :
Risque rsiduel = Frquence x Impact x Elment de matrise
Les chelles dvaluation facilitent la hirarchisation des risques et in fine les arbitrages sur des
actions mener. Les chelles paires quatre niveaux sont privilgier.
SCR
Ajustement Oprationnel BSCR
Non-vie
Actifs
incorporels
NSLT
2
Taux dintrt
Actions
Actifs
Immobiliers
Marge
Change
Concentration
Contracyclique
SLT
1
Mortalit
Longvit
Incapacit
Invalidit
Rachat
Dpenses
Rvision
Catastrophe
Rachat
Prime et
rserve
Rachat
Catastrophe
Catastrophe
Mortalit
Longvit
Incapacit
Invalisit
Rachat
Dpenses
Rvision
Prime et
rserve
Ajustement d lefet
dabsorption des participations
aux bnfces futures
March Sant Contrepartie Vie
1
SLT (Similar to Life insurance Techniques) : Similaire aux techniques dassurance-vie
2
NSLT (Non Similar to Life insurance Techniques) : Non similaire aux techniques dassurance-vie
IFACI 36
3.2.1 La frquence
Comment dterminer la frquence de survenance du risque ? Par lestimation de loccurrence des
vnements pouvant tre lorigine du risque. Lchelle de mesure de la frquence doit tre tablie
et adapte la structure.
Ci-aprs sont proposes deux illustrations de mesure de la frquence.
Illustration 1 : Echelle de mesure de la frquence
Illustration 2 : Echelle de mesure de la frquence
Cotation Frquence Elment de mesure
1 Exceptionnel Occurrence quasi nulle (<1%) sur 2 ans
2 Rare Occurrence possible mais peu probable (1 10%) sur 2 ans
3 Probable Occurrence plausible (10 50%) sur 2 ans
4 Trs probable Occurrence trs probable (>50%) sur 2 ans
Cotation Frquence Elment de mesure
1 Rare Frquence de lordre d1 2 fois en 3 ans
2 Modr Frquence de lordre d1 fois par an
3 Occasionnel
Frquence pluriannuelle (quelques fois par an, de lordre du trimestre, du
mois)
4 Frquent Frquence quotidienne ou hebdomadaire
IFACI 37
Illustration 3 : Probabilit doccurrence - Menaces
Source : Cadre de rfrence de la Gestion des Risques / FERMA. 2003.
3. 2. 2 L impact
Quelle est la consquence si le risque se concrtise ? Lunit de recherche propose de dcliner les
impacts en 3 principales catgories
1
, savoir :
limpact financier (ex : perte financire, baisse des revenus, hausse des cots), direct ou indi-
rect, immdiat ou terme. Lannexe 4 vous propose une liste non-exhaustive dimpacts
financiers ;
limpact juridique (ex : responsabilit civile et/ou pnale, sanctions lgales et/ou profession-
nelles, etc.) ;
limpact sur limage (dgradation de limage, rputation remise en cause).
Une estimation systmatique des consquences financires, base sur des scnarios de risques
prcis peut tre un exercice trs lourd et complexe. Il est en effet difficile dexiger une valuation
financire prcise de tous les impacts (humains, conformit, rputation, etc.).
Pour faciliter lexercice dvaluation, il est toutefois souhaitable dtablir des critres objectifs pour
chaque niveau de gravit.
Estimation Description Indicateurs
Forte
(probable)
Susceptible de survenir chaque anne ou
plus de 25% de chances de survenir.
A le potentiel de survenir plusieurs fois dans la
priode considre (par exemple dix ans).
Sest produit rcemment.
Modre
(possible)
Susceptible de survenir dans les dix
prochaines annes ou moins de 25% de
chances de survenir.
Pourrait survenir plus dune fois dans la priode
considre (par exemple dix ans).
Peut tre difficile matriser en raison dinfluences
externes.
Y a-t-il un historique de survenance ?
Faible (peu
probable)
Peu susceptible de survenir dans les dix
prochaines annes ou moins de 2% de
chances de survenir.
Ne sest pas encore produit.
Peu susceptible de survenir.
1
Ces trois principales catgories dimpact sont adaptes au secteur assurantiel. En fonction du domaine dactivit des entreprises, dautres
catgories dimpact peuvent tre pertinentes. Par exemple, les impacts environnementaux peuvent tre appropris lindustrie (nuclaire,
minire, ptrolire) ou encore les impacts sur la vie humaine peuvent tre envisags dans les secteurs des travaux publics, de la scurit
(arme, police), ou lindustrie minire.
IFACI 38
Lchelle de mesure de limpact doit tre tablie et adapte lorganisme. Ci-aprs sont proposes
deux illustrations de mesure de limpact. Dautres valuations de limpact financier sont proposes
en annexe 4.
Illustration 1 : Echelle de mesure de limpact
Illustration 2 : Echelle de mesure de limpact
Comment dfinir les seuils financiers dans les chelles de mesure dimpact ?
Les diffrents seuils retenir doivent tre discriminants et permettre une distribution des
risques rgulire sur lensemble des seuils retenus : si tous les risques valus se situent sur le
mme niveau, l'chelle retenue ne sera pas utile la bonne hirarchisation des risques.
Impact Impact financier Impact image Impact lgal rglementaire
1 Faible < 10 000 euros Impact local Observation des autorits de tutelle
2 Modr
Entre 10 000
100 000 euros
Impact rgional
Avertissement des autorits de tutelle
Mise en cause juridique devant une juri-
diction autre que pnale
3 Significatif
Entre 100 000
500 000 euros
Impact national
Un seul canal
Blme des autorits de tutelle
Mise en cause devant une juridiction
pnale
4 Elev > 500 000 euros
Impact national
Couverture large
Sanction des autorits de tutelles
Condamnation pnale
Cotation Impact Financier (Rsultat) Image / rputation ou encore rglementaire
1 Limit
< 10% du rsultat
annuel
Attention de tiers (presse, groupes de pression, etc.)
sur des sujets jugs sensibles
2 Significatif
10% 50% du rsultat
annuel
Communication dfavorable dans des mdias sur
une partie de lentreprise et un niveau local
3 Majeur 50% 100%
Couverture mdiatique plus large, mais nentranant
pas deffet majeur
4 Critique > au rsultat annuel
Attaque mdiatique ayant des consquences signifi-
catives sur limage et la rputation du Groupe
IFACI 39
3. 2. 3 Le risque brut
Limpact et la frquence permettent de dterminer la cotation brute ou inhrente du risque.
Pour certains, cette tape est considre comme une tape intermdiaire. Ils prfrent directe-
ment raisonner sur le risque rsiduel, en intgrant les lments de matrise ds les premiers travaux
dvaluation des risques. Ils rsolvent ainsi une limite cognitive des acteurs qui narrivent pas
raisonner sur les risques en faisant abstraction des lments de matrise existants.
3. 2. 4 Les lments de mat rise
Llment de matrise se dfinit comme le moyen existant ou mettre en place pour permettre de
rduire ou dliminer le risque. Il peut porter aussi bien sur la frquence que sur limpact du risque
titre prventif ou correctif. Ainsi, chaque risque est associ un ou plusieurs lments de matrise.
Il est entendu quun mme lment de matrise peut venir agir sur plusieurs risques.
Ces lments de matrise sont constitus gnralement de :
missions, tches donnes aux collaborateurs,
manuels de procdures, modes opratoires,
niveaux de savoir-faire des collaborateurs,
tableaux de bord,
systmes informatiques,
organigrammes ou structures clairement dfinis et formaliss,
directives, consignes, rgles claires et crites,
actions de vrifications : auto-contrle, contrle humain, contrle automatique,
sparation des tches,
dlgations de pouvoirs formalises.
Lchelle dapprciation des lments de matrise doit tre tablie et adapte lorganisme.
F
r
q
u
e
n
c
e
S S E E F Risque Faible
M M S E M Risque Modr
F M S E S Risque Significatif
F F M S E Risque Elev
Impact
IFACI 40
Illustration 1 : Echelle dapprciation des lments de matrise
3.2.5 Le risque rsiduel
Le risque rsiduel est la criticit que prsente le risque aprs prise en compte de leffet protecteur
des lments de matrise en place.
Risque rsiduel = Frquence x Impact x Elment de matrise
Le poids du risque ainsi dtermin permet une hirarchisation des principaux risques et une prio-
risation des plans dactions peut tre tablie.
Illustration 1 : Echelle de mesure du risque rsiduel
Cotation Niveau de matrise Elment de mesure
1 Maitris
Dispositifs mis en place permettant de rduire la frquence ou limpact
du risque un niveau satisfaisant : rgles crites et dtailles, contrles
formaliss et appliqus (indicateurs de suivi et de contrle, valuation
des procdures, etc.).
2 Acceptable
Dispositifs mis en place permettant de rduire notablement la frquence
ou limpact du risque : rgles crites mais complter, lments de
matrise existants et pertinents, formaliss mais complter.
3 Insuffisant
Dispositifs mis en place ne permettant pas de rduire significativement
la frquence ou limpact du risque : rgles orales, lments de matrise
partiellement existants ou pertinents et peu formaliss.
4 Faible
Absence dlment de matrise : pas ou peu de rgle, on se fie lexp-
rience, pas ou peu de remontes dinformations, pas ou peu de sensibili-
sation du personnel aux risques.
L = risque faible, gr par les
procdures en place
Limpact sur latteinte des objectifs nest pas proccupant, le risque est
sous contrle
M = risque modre, un suivi
spcifique doit tre organis
Limpact sur latteinte des objectifs est limit. Des actions doivent tre
entreprises mais ne sont pas urgentes.
S = risque significatif, une alerte
au senior management est nces-
saire
Limpact sur latteinte des objectifs est significatif. Ncessit de prendre
des actions immdiates pour limiter le risque.
H = risque lev, action immdiate
requise
Limpact sur latteinte des objectifs est dune telle ampleur que les objec-
tifs ne seront trs probablement pas atteints. Ncessit de prendre des
actions immdiates pour limiter le risque, et alerter la direction.
IFACI 41
Les risk managers peuvent mobiliser des critres complmentaires limpact et la frquence
pour affiner lvaluation des risques. Par exemple :
la vlocit,
la volatilit,
le fait quil soit plus ou moins contrlable,
la capacit.
3.3 DEUX APPROCHES COMPLMENTAI RES
Du fait des volutions rapides de lenvironnement rglementaire et de la complexification des acti-
vits, les directions gnrales ont fait de la cartographie des risques un vritable outil global de pilo-
tage et en sont devenues les principaux commanditaires.
Lapprhension systmatique des risques se fait gnralement selon deux approches :
Lapproche bottom-up, partant de lanalyse des processus et permettant de mettre en
uvre les dispositifs de matrise des risques adquats.
Lapproche top-down, partant de la vision du top management et permettant daboutir
directement une valuation des expositions majeures pour lorganisation.
Le rapprochement entre ces deux approches doit permettre lorganisme dassurance didentifier
les risques pouvant avoir un impact sur les objectifs majeurs de lorganisation et daboutir une
cartographie globale des risques pour un pilotage efficace de lorganisation.
3. 3.1 L approche bot tom-up
Lapproche bottom-up (ou lapproche par les processus) didentification et dvaluation des risques
repose sur les tapes suivantes :
1. Identification des processus.
2. Identification et cotation des risques au niveau de chaque processus.
3. Identification et valuation des lments de matrise existants.
4. Cotation du risque rsiduel.
3. 3.1.1 Identi fi cat ion des processus
Un processus peut tre dfini comme lensemble des oprations ou activits ralises par des
IFACI 42
acteurs, avec des moyens et dans un cadre donn, partir d'un vnement dclencheur externe
(input) pour aboutir un rsultat, une finalit (ouput).
Partir des processus permet de sappuyer sur un cadre plus stable que les structures organisation-
nelles.
Le recensement des processus de lentreprise est fonction du modle conomique et est gnrale-
ment ralis par (ou en liaison avec) la direction de lorganisation ou de la qualit.
Pour les organismes dassurance ayant dj dcrit les processus dans le cadre de dmarches
connexes telles que la certification ISO ou encore de formalisation des procdures de lentreprise,
il est recommand de sappuyer sur les dmarches existantes afin dune part doptimiser les
moyens et dautre part assurer une homognit des dmarches dans les organisations.
Les processus peuvent tre classs en 2 grandes familles :
les processus relatifs la production quotidienne (processus mtiers ou oprationnel),
les processus relatifs au bon fonctionnement (processus supports).
Lannexe 1 propose une illustration des principaux processus dun organisme dassurance.
Le niveau de granularit retenu dpendra des objectifs de la cartographie et de la taille des organi-
sations. Ce niveau doit tre suffisamment fin pour identifier de faon pertinente les risques signi-
ficatifs mais ne doit pas conduire lister lensemble des tches de lorganisation.
La dfinition de la granularit est essentielle car plus le niveau de dtail est fin, et plus le travail
correspondant didentification des risques est important. Elle impacte donc llaboration de la
cartographie et sa maintenance ultrieure.
Input
Processus Sous-processus 1
- Activit 1
- Activit 2
- Activit 3
- ...
Sous-processus 2
- Activit 1
- Activit 2
- ...
Output
IFACI 43
Choisir le bon niveau de granularit est galement important afin de calibrer la dmarche aux
moyens disponibles et au planning souhait. Ainsi, cinq niveaux de granularit, en partant du plus
large au plus particulier, sont proposs :
le mtier : IARD, vie, assistance, rassurance, etc. ;
le domaine : pour le mtier IARD : habitat, auto, transport arien, etc. ;
le processus : processus de souscription, processus de paiement des prestations, etc. ;
lactivit : pour le processus de paiement des prestations : enregistrement, rglement du
sinistre, etc. ;
la tche lmentaire : pour lopration rglement du sinistre : envoi du chque.
Cest la granularit qui dterminera le niveau hirarchique adquat des interlocuteurs rencontrer
afin de collecter les informations.
Lunit de recherche sest accorde pour dsigner le niveau mdian processus comme le niveau
pertinent dune cartographie. En effet, celui-ci constitue dune part le meilleur compromis entre le
temps pass llaboration de la cartographie et le degr de pertinence de la vision des risques.
Dautre part, cest le niveau dquilibre permettant de faire converger et de relier les lments obte-
nus selon les deux principales mthodes (top-down et bottom-up).
Il est possible de limiter le primtre de la cartographie en ne retenant que des processus cls .
Il sagit, par exemple, des processus impact client fort ou identifis comme particulirement expo-
ss financirement.
Ecueils viter
La maturit de lorganisme dassurance en matire dapproche par les processus est un facteur cl
de succs : dfaut de processus suffisamment prcis et stabiliss, ltape suivante didentification
des risques peut vite devenir complexe avec des redondances inutiles. Dans ce cas, une entre
supplmentaire par entits / directions peut tre ncessaire.
3. 3.1. 2 Identi fi cat ion et cot at ion des ri sques au ni veau des processus
Une premire identification des risques est ralise au cours des entretiens ou dateliers avec les
oprationnels. Comme pour le recensement des processus, la description des risques peut se faire
soit sur la base dun questionnaire soit de manire ouverte, facilitant ainsi lidentification des
risques.
Cette premire identification est construite conjointement par le management de lactivit opra-
tionnelle et les quipes en charge de la cartographie des risques. Chaque risque est tabli partir
de la collecte dinformations sur le domaine concern, et le partage des enjeux et des problma-
IFACI 44
tiques avec le responsable du primtre. Un risque doit faire lobjet dune dfinition prcise. Il en
va de lefficacit du dispositif de matrise qui dcoulera de la cartographie.
Pour ce faire, le risque est gnralement document avec les caractristiques suivantes :
Le contexte dans lequel le risque sinscrit (ex. : matrise de la sinistralit dans un environ-
nement conomique conjoncturel difficile et concurrentiel fort).
La description du risque, (ex. : risque de paiement tort dune prestation, dans le processus
de gestion des prestations).
Les causes possibles du risque (ex. : absence de supervision).
Eventuellement les facteurs de risques, savoir les lments aggravants (ex. : changement
dorganisation rcent).
Les impacts ou les consquences possibles (ex. : paiement dune prestation tort => impact
financier : du montant de la prestation paye tort). Sa frquence, tablie le plus souvent
dire dexpert, de retour dexprience (ex. : probabilit de payer tort reprsente 2% des
dossiers traits).
Le recensement des risques tant ralis partir de diffrentes activits prises isolment, il est
important didentifier galement les risques lis aux interrelations entre ces activits.
Bote outils : Questions cls pour recenser les risques au niveau des processus
La dmarche consiste identifier tout ce qui pourrait empcher la ralisation des objectifs du
processus. Il convient donc davoir, pour chaque processus, une vision claire des objectifs et des
critres de performance attendus. Les informations recueillies lors de la description des processus
permettent de rpondre aux questions :
Quels sont les objectifs du processus ?
Quels sont les facteurs cls de succs ?
Quels sont les critres de performance attendus du processus ?
Rechercher les risques lis
aux lments intrinsques
au processus
Quels dysfonctionnements sont susceptibles dintervenir dans le droule-
ment du processus ?
Quelles sont les phases critiques du processus : quest-ce qui pourrait
chouer ?
Quest-ce qui doit imprativement fonctionner correctement ?
Quels sont les maillons faibles au sein du processus ?
Quelles sont les ressources cls protger ?
Quels sont les erreurs, omissions, actions ou incidents qui peuvent avoir un
impact significatif sur la performance du processus ?
Votre organisation est-elle adapte vos activits ? Prciser.
Votre systme dinformations est-il adapt vos besoins ? Prciser.
?
IFACI 45
Chercher avoir une vision exhaustive des risques mme si le risque est faible pour pouvoir
suivre son volution.
La documentation structure de chaque risque est un investissement pour lensemble du
dispositif. En effet, certains dentre eux peuvent tre repris pour tablir une cartographie sur
des primtres analogues bien que distincts (mme type dactivit, mme nature de probl-
matiques, etc.).
3. 3.1. 3 Identi fi cat ion et val uati on des l ment s de ma t rise exi st ant s
De mme que lors de lidentification et de lvaluation des risques, les lments de matrise doivent
tre documents et apprcis notamment partir de donnes sur :
lorganisation (par exemple, pour rpondre la question de lorganisation de la gestion des
prestations ; collecter les lments relatifs lorganisation, aux dfinitions de postes, aux
habilitations ouvertes dans les SI, aux rgles de sparation de fonction) ;
le management et lanimation ;
la documentation (ex. : existence de procdure et modes opratoires relatives la gestion
des prestations) ;
la formation (ex. : existence de formations rgulires et actualises) ;
les activits de contrle (quels types de contrles [humain, automatique] ? Par exemple,
contrles manuels, vrification par une tierce personne, en fonction de la nature et le
montant de la prestation, avant paiement de la prestation) ;
le reporting et le suivi dactivit (ex. : nombre de dossiers traits et montant pay, analyse
des carts ventuels dune priode sur lautre).
Cette analyse pourra se fonder sur des constats factuels de la ralit de lexistence et de lefficacit
des lments de matrise.
Identifier les risques prove-
nant de facteurs externes
au processus
En quoi les autres processus peuvent interfrer ngativement sur la perfor-
mance du processus ?
Quels sont les points de dpendance les plus critiques ? (systmes dinfor-
mation instables, qualit des informations reues insuffisante, etc.)
En quoi lenvironnement actuel peut empcher la ralisation des objec-
tifs du processus ?
En quoi une volution de lenvironnement peut empcher la ralisation
des objectifs du processus ?
Quelles causes externes rendent le processus plus vulnrable : volution de
lenvironnement lgal ou rglementaire, de lenvironnement concurrentiel,
de lenvironnement technologique, etc.
IFACI 46
3. 3.1. 4 Cotati on du ri sque rsiduel
Une fois les lments relatifs aux risques et aux lments de matrise identifis, la cotation du risque
rsiduel peut tre obtenue.
Risque rsiduel = Frquence x Impact x Elment de maitrise
Exemple : Risque de paiement tort associ au processus de gestion des prestations.
A partir des mtriques prsentes (Parties 3.2.1 / 3.2.2 / 3.2.4 / 3.2.5 - Illustrations 1).
Pour le rglement dun capital dcs (200 000 ).
La frquence de payer tort est estime comme occasionnelle => cotation = 3.
Limpact de 200 000 considr comme significatif => cotation = 3.
Les lments de matrise sont faibles : pas de procdure formalise, pas de contrle de supervision
pour les sinistres lourds, calcul des garanties et du montant de la prestation non intgr dans le SI
=> cotation = 4.
Risque rsiduel = 3x3x4 = 36, qui prsente un risque lev et ncessite la mise en place dactions
correctives et de mesures de matrise des risques.
Les cartographies thmatiques
Il existe de plus en plus de cartographies des risques thmatiques pour le diagnostic de sujets parti-
culiers. Les plus courantes sont les cartographies des risques lis aux systmes dinformation, aux
risques juridiques, aux risques de blanchiment des capitaux et du financement du terrorisme ou
encore aux risques de fraude. Les mthodes utilises sont similaires celles exposes ci-dessus
mais elles peuvent senrichir de critres spcifiques pour lvaluation des risques (par exemple,
temps dindisponibilit pour les systmes dinformation).
3.3.2 L approche t op-down
La cartographie des risques top-down est une dmarche qui consiste collecter au niveau du top
management, lensemble des grands risques pouvant limiter ou empcher latteinte des objectifs
stratgiques de lorganisation, ou menacer ses principaux actifs. Elle se droule selon les
tapes suivantes :
1. Lidentification des risques et leur valuation.
2. Le rapprochement de ces risques avec la nomenclature des risques de lorganisation.
3. Le rapprochement de ces risques avec les processus de lorganisation.
IFACI 47
3. 3. 2.1 Identi fi cat ion et val uati on des ri sques di re d expert
Le top management est en mesure de recenser les grands risques avec un impact fort ou/et une
frquence importante. Ce type danalyse aura donc un faible niveau de granularit.
Cet exercice de collecte, de formalisation et dvaluation des risques par les principaux responsables
dun organisme dassurance se fait gnralement par entretien et/ou questionnaire ouverts. Lide
tant que ces dirigeants sexpriment sur leur vision des risques pesant sur lorganisation et leur
domaine de responsabilit. Ce type danalyse peut-tre ralise travers la formalisation de scna-
rios.
Lexercice de normalisation (rattachement au rfrentiel des risques, et des processus de lorgani-
sation) et de hirarchisation pourra se faire dans un second temps.
3. 3. 2. 2 Rapprochement avec la nomenclature des ri sques de l organi sat i on
Gnralement, lidentification des risques se fait avec le top management par entretien, avec des
questions ouvertes (ex. : citer les 3 principaux risques pouvant affecter lentreprise, citer les 3 prin-
cipaux risques pouvant affecter votre domaine de responsabilit). Aussi, pour permettre de conso-
lider les rsultats et proposer une vision exhaustive des risques, le rattachement la nomenclature
des risques de lorganisation est prvoir.
3. 3. 2. 3 Li en avec l es processus de l organi sati on
Le rattachement des risques au processus est une tape ncessaire pour permettre les regroupe-
ments et les consolidations.
Au cours de cette phase, il sagit de remplir le double objectif de mise en cohrence des risques
identifis avec les activits de lentit et dexhaustivit de lanalyse.
3. 3. 3 I ntgrati on des deux dmarches
Les dmarches top-down et bottom-up sont des dmarches complmentaires qui doivent tre
combines et dveloppes dans les organisations afin de couvrir au mieux lensemble des risques.
Ces deux mthodes ont vocation alimenter et faire vivre la cartographie des risques de lorgani-
sation.
IFACI 48
En effet, ces deux approches, non seulement ne sopposent pas, mais sont complmentaires. Elles
peuvent tre conduites soit de faon successive, soit de faon simultane, la question du choix
pouvant se poser lors du dmarrage dun projet de cartographie, les avantages et les inconvnients
de ces dmarches sont rsumes ci-aprs.
La mthode bottom-up prsente au moins les trois avantages suivants :
Lapproche par les processus permet dobtenir une bonne connaissance des activits de
lentreprise et les rsultats peuvent ensuite tre utiliss dautres fins, dans le cadre dune
rorganisation ou loccasion dune dmarche qualit.
Lanalyse dans le dtail des activits permet damliorer lexhaustivit du recensement des
risques.
La consultation des oprationnels pour la ralisation de la cartographie permet dobtenir
une implication satisfaisante de leur part.
Approche Botton-up
Rapprochement &
Consolidation
Identification et
valuation des
risques des
activits
Risques non identifis
botton-up
Cartographie
des risques
Risques non identifis
top-down
Identification et
valuation des
risques majeurs
Approche Top-down
IFACI 49
En revanche, cest une dmarche consommatrice de temps dans la mesure o elle requiert la tenue
de nombreux entretiens et la collecte dinformations en masse. Par ailleurs, elle peut savrer
coteuse en termes de comptences et de systmes car la collecte de ces donnes ncessite souvent
le recours des outils informatiques.
Quant lapproche top-down, elle permet une mise en uvre plus lgre puisque les entretiens
ncessaires sont moins nombreux. Lexamen des risques stratgiques permet galement de sassu-
rer de la prise en compte plus immdiate des processus transversaux ou managriaux, ce qui peut
tre plus en adquation avec les attentes de la direction gnrale.
Cependant, elle prsente linconvnient dtre moins prcise, tant dans lidentification des risques
que dans leur quantification. Par ailleurs, les oprationnels ntant pas associs, ils peuvent avoir
du mal sapproprier la dmarche.
Enfin, il convient de prciser que, quelles que soient la ou les mthodes utilises, nous ne pouvons
jamais tre certains de couvrir l'exhaustivit des risques.
3. 3. 3.1 Consol i der et hirarchi ser l es pri ncipaux ri sques
Ces deux dmarches complmentaires doivent alimenter et faire vivre la cartographie des risques
de lorganisation. Le rapprochement et la consolidation des lments issus de ces deux mthodes
seront facilits par lutilisation dun corpus commun et cohrent en termes de nomenclature des
risques, de rfrentiel des processus de lorganisation et de rgles de quantification.
Cette consolidation permettra de hirarchiser les risques, didentifier les principaux risques (signi-
ficatifs et/ou levs) et de fournir les lments ncessaires la prise de dcision.
3. 3. 3. 2 Dci der des mesures de t rai tements
Face un risque, quatre types de dcision peuvent tre prises :
1. Acceptation : le risque est accept soit lorsque celui-ci entre dans la politique de gestion
des risques de lorganisation (par exemple, acquisition dun nouveau portefeuille de
contrats, sachant que celui-ci prsente un risque de drive de la sinistralit connue) ; soit
lorsque les cots de mises en uvre des lments de matrise deviennent trop excessif au
regard du risque encouru.
IFACI 50
2. Rduction : cette mesure vise rduire le risque sans ncessairement le faire totalement
disparaitre. En effet, des actions correctives ou prventives peuvent tre mises en place pour
rduire ou maitriser le risque.
3. Evitement : cette action consiste liminer le risque, c'est--dire sa probabilit de surve-
nance. Par exemple, la dcision de ne pas acqurir un portefeuille de contrats dficitaire
apportant des pertes financires suprieures aux gains escompts.
4. Partage : certains risques peuvent tre partags, par exemple par la souscription dune
couverture dassurance (ex. : garantie perte dexploitation en cas de sinistre dans un bti-
ment de lentreprise), la mise en place dun trait de rassurance (ex. : pour cder un risque
de souscription) ou encore la sous-traitance de certaines activits (ex. : externalisation de la
gestion dune tche afin de garantir les dlais).
Le traitement dun risque peut gnrer dautres risques, il est donc important de prendre en
considration les effets en cascade.
3. 3. 3. 3 Concevoi r, met t re en pl ace et sui vre les pl ans d act ions
Les dcisions prises font lobjet de la dfinition et de la mise en place de plans dactions. Ces
derniers devront tre formaliss et rattachs aux risques identifis. Un dispositif de suivi de ces
plans dactions devra tre mis en place, et constituera ainsi un des lments de suivi permanent des
risques.
BOITE OUTILS
?
Un Sponsor au niveau de la direction gnrale assure linterface et
la promotion du projet.
Un Comit de Pilotage peut intgrer des reprsentants de fonctions
impliques dans la dmarche de cartographie. Son rle sera de suivre
le dploiement et de valider les orientations, dcisions et livrables qui
lui seront proposs.
Une quipe projet prend en charge la ralisation de la dmarche et
aura pour tche essentielle de coordonner l'ensemble des moyens
matriels et humains ncessaires la russite du projet.
Une liste d interlocuteurs cls , identifier pour participer aux
entretiens et ateliers.
Pour la mise en
place dune
dmarche de carto-
graphie des risques :
une structure projet
indispensable
IFACI 51
Exemples dlments prsenter pour la validation de la cartographie des risques pour :
BOITE OUTILS
?
Pass le premier exercice de cartographie, la question de son utilisation
effective et de sa prennisation se pose. Lorganisation suivante
contribue cette prennisation :
Un point central, le risk manager , qui anime le dispositif dans le
temps et assure la cohrence des dmarches et les reporting.
Un rseau de propritaire de risques peut complter le dispositif.
Un comit de suivi des principaux risques et des plans dactions asso-
cis doit tre dfini et mis en uvre.
?
La cartographie des risques doit faire lobjet dune approbation formelle
au niveau des diffrents responsables concerns, puis au niveau de la
direction gnrale. Cette validation peut intervenir sur prsentation dun
dossier de synthse pouvant contenir des lments tels que :
La synthse des travaux.
Une prsentation dtaille des travaux.
Pour prenniser la
dmarche : dfinir
une organisation
Pour une approba-
tion de la cartogra-
phie des risques et
de la dmarche
La synthse des travaux lobjectif de la dmarche,
le primtre analys,
une prsentation synthtique du rsultat des travaux (nombre de
risques, leur nature, leur valuation, etc.).
Une prsentation dtaille
des travaux
une description des processus,
un focus sur les risques critiques,
une prsentation des lments de matrise,
une prsentation des plans dactions.
IFACI 52
IFACI 53
PARTI E 4
SUI VI PERMANENT DES RI SQUES
Dans le cadre du suivi permanent des risques, il est ncessaire de mettre en uvre et de sappuyer
sur un certain nombre doutils :
le suivi de la mise en uvre des plans dactions ;
la ralisation de plan de contrles ou de tests , afin de vrifier que les lments de
matrise ont effectivement t conformment mis en uvre ;
la mise en place dune base dincidents afin de recenser les vnements susceptibles davoir
un impact ngatif pour lorganisation ;
la dfinition et la mise en place de ratios conomiques ou dindicateurs de suivi de lvolu-
tion des risques.
Ces lments sont ncessaires dune part lactualisation de la cartographie des risques et dautre
part alimenter des reporting internes ou externes.
Avoir finalis la cartographie des risques reprsente une tape essentielle dans la mise en
uvre du dispositif de contrle interne. Encore faut-il, ensuite, faire vivre cette cartographie des
risques, en lactualisant rgulirement. A dfaut, et compte tenu de la rapidit de lvolution de la
vie de lentreprise, cette cartographie deviendrait rapidement inoprante et lorganisme dassu-
rance perdrait le bnfice de linvestissement ralis au dpart. Mais, l aussi, cela ncessite dal-
louer un minimum de ressources la maintenance de cet outil.
Enfin, des facteurs tels que les volutions rglementaires, les nouveaux risques, les incertitudes
croissantes lies l'environnement, rendent indispensables cette actualisation.
IFACI 54
4.1 UNE MODALI T PARTI CULI RE DE SUI VI PARTI R DE LA BASE D I NCI DENTS
Un incident est un vnement dorigine interne ou externe ayant un impact ngatif pour lorgani-
sation. Labsence ou le dysfonctionnement des procdures peut se traduire par :
des pertes financires ;
une atteinte limage ou la rputation ;
des incidences juridiques ou de conformit (une mise en cause judiciaire ou une sanction
pour non-respect des rglementations applicables).
L'objectif dune base dincidents n'est pas d'identifier les responsables personnes physiques
dun incident dans le but de les sanctionner. De ce fait, ce titre, elle doit tre dpourvue de toute
donne nominative.
La base dincidents permet :
de recenser et centraliser lensemble des incidents survenus ;
de dtecter des lments de matrise inefficaces ou des risques non identifis dans la carto-
graphie des risques ;
denregistrer et suivre les mesures correctives prises en consquence ;
de contribuer la connaissance des principaux risques de lorganisme dassurance ;
didentifier les zones de vulnrabilit et de permettre la mise en place de dispositifs de
contrles adquats ;
dalimenter les modles statistiques qui permettent de dimensionner plus prcisment les
montants de fonds propres mobiliser pour couvrir le risque oprationnel dans le cadre de
Solvabilit II ;
de mettre ainsi jour galement la cartographie des risques.
Les donnes collectes sont classes de faon structure : cause, vnement, impact, et les actions
et/ou solutions mises en uvre effet immdiat ou prvues.
Lexploitation de la base dincidents sinscrit dans
une logique de cercle vertueux en sappuyant
notamment sur la cartographie des risques en
vrifiant que le risque survenu a t identifi, et
en apprciant la performance des lments de
matrise rputs en place, et sur les actions correc-
tives relatives lincident.
Base
incidents
Identifcation
de la cause
Revue
cartographique
des risques
Recherche
de laction
corrective
Suivi
daction
corrective
Analyse
des faits
IFACI 55
Une fiche de restitution peut tre tablie afin dinformer de manire transverse les diffrents
acteurs concerns directement ou indirectement par la problmatique rsultant dun incident trait.
Ce principe de fiche de restitution sinscrit dans un objectif de non-reproduction de l'incident,
empruntant ainsi une dmarche damlioration continue.
Lalimentation de la base repose sur lorganisation dun maillage adquat des entits qui permettra
lidentification, lanalyse, la remonte et la validation des vnements. Ds lors, il convient de dfi-
nir avec prcision :
les typologies ncessaires la description de lincident (origine, dtection, consquences,
impact) ;
le dispositif, les rles et responsabilits de chacun ainsi que les modalits de remonte des
incidents :
une attention particulire doit tre accorde au rle des activits connexes au contrle
interne (contrle qualit, par exemple) en matire de remonte dincident,
- les incidents transverses (incidents dtects par une entit mais relevant dune autre)
doivent faire lobjet dune procdure spcifique ;
- les modalits denregistrement ;
les modalits de chiffrage de limpact financier ;
les rgles de rapprochement avec la cartographie des risques (imputer lincident au risque
selon le rfrentiel en place et le lier au processus concern).
A propos de la gestion des incidents informatiques, se reporter au GTAG 6 : Grer et auditer les
vulnrabilits des technologies de linformation et lannexe 6.
4.2 UNE COMMUNI CATI ON APPROPRI E
Une cartographie des risques naurait aucune raison dtre si son contenu ne servait fournir des
informations appropries un certain nombre de destinataires. Le reporting permet donc de rendre
compte des travaux et de faire vivre la dmarche.
Illustrations des modes de reporting en annexe 10.
Ces remontes dinformations matrialisent linsertion de la cartographie des risques dans le
dispositif de gestion des risques. Elles sont intgres aux informations ncessaires un pilotage
adapt et ractif des activits. Elles participent galement la production de reporting de plus en
plus dtaills et denses requis par la rglementation, et plus particulirement par lACP.
Ces reporting interne et externe doivent tre adapts aux destinataires.
IFACI 56
4.2.1 Reporti ng interne
Pour un dploiement des cartographies des risques dans la dure et pour accrotre leur fiabilit, il
est indispensable quelles trouvent des clients.
4. 2.1.1 Rpondre aux at tent es des managers
Acteur cl des dispositifs de gestion des risques et de contrle interne, le management sappuie sur
diffrents lments et indicateurs cls pour diffuser la sensibilit aux risques dans son primtre
de responsabilit, et ainsi faire connatre les objectifs de gestion des risques.
Les managers ont gnralement besoin davoir accs des synthses concernant :
les travaux de cartographies relatifs leur domaine de responsabilit avec un zoom sur :
- les risques majeurs identifis et/ou faisant lobjet dune matrise insuffisante,
- les mmes risques classs par nature en lien avec le rfrentiel de risque (technique,
oprationnels, externes, etc.),
- les plans doptimisation de la matrise par ordre de priorit et le suivi du respect des
chances associes.
les contrles cls leur permettant notamment de suivre :
- les taux de ralisation,
- les taux danomalie (notamment par rapport au seuil de tolrance),
- les corrections apportes.
les incidents :
- le nombre et la rcurrence des incidents,
- le dlai de traitement,
- les pertes financires directes ou indirectes gnres.
les plans dactions :
- les actions chues,
- les actions ralises,
- le respect des chances,
- le taux davancement global des actions en-cours, etc.
En complment, le management organise le suivi dindicateurs sur les risques cls (KRI Key Risk
Indicators), et sur des points sensibles des activits dont il porte la responsabilit.
4. 2.1. 2 Report i ng l usage des act eurs de l a seconde l i gne
Laction des managers oprationnels est renforce par celles des acteurs de la deuxime ligne de
dfense. Certains de ces acteurs sont amens communiquer le niveau de matrise des risques aux
instances dirigeantes de lorganisme via notamment :
IFACI 57
une vision consolide des cartographies des risques (nombre de risques, leur nature, leur
valuation, etc.) ;
un focus sur les risques critiques insuffisamment matriss ;
une prsentation des plans dactions et un suivi du respect des chances.
La fonction gestion des risques joue un rle cl en laborant des reporting sur le respect des
mtriques dfinit par lorganisme dassurance :
Indicateurs par famille de risques sur la base des limites fixes (apptence et seuils de tol-
rance aux risques).
Alerte dploye en cas de dpassement de lallocation de capital dfinie dans lapptence
aux risques.
Au titre de lanimation permanente du contrle interne, il sagit de recueillir des informations sur
les incidents, les contrles-cls et les plans dactions associs. Cest la consolidation de ces infor-
mations qui permettra dalimenter le reporting aux managers.
En fonction des besoins, lorganisme dassurance pourra laborer des reporting par grand domaine
tel que :
la fraude ;
la protection de la clientle dont le suivi des rclamations ;
la protection des donnes confidentielles ;
la scurit des biens et des personnes ;
la lutte contre le blanchiment et le financement du terrorisme (LCB-FT),
etc.
Autant que possible, ces reporting seront conus de manire pouvoir optimiser la production des
reporting externes.
En outre, la fonction actuarielle pourra laborer des reporting concernant :
la qualit des provisions techniques ;
le caractre appropri des mthodologies, des modles sous-jacents et des hypothses utili-
ss ;
la qualit des donnes et des hypothses retenues.
Selon les structures, la fonction actuarielle peut galement sassurer que les stratgies dinves-
tissement dployes dcoulent dune analyse des quilibres actifs / passifs : elle produit alors des
tudes sur les flux de trsorerie et de rendement, sur ladquation des durations entre actifs et
passifs, sur lvolution dindicateurs financiers, et des tudes de scnarios de risques.
IFACI 58
4. 2.1. 3 Source d i nformat i on pour l audi t i nt erne
Sur la base dun plan daudit fond sur une approche par les risques, laudit interne apporte une
opinion sur lefficacit des processus de contrle interne, de gestion des risques et de gouvernance.
En particulier, laudit interne, peut partir de la cartographie des risques de lorganisme dassu-
rance (y compris lanalyse de la base dincidents) :
prendre en compte les principaux risques identifis ;
utiliser les donnes concernant les risques associs aux processus quil value au cours de
ses missions.
Laudit interne contribue galement au reporting interne sur les risques en :
sassurant du niveau de couverture de lidentification des risques ;
vrifiant lexistence et le bon fonctionnement des lments de matrise ;
rendant compte de ses travaux la direction gnrale, au comit daudit et au Conseil.
Ces lments permettent dactualiser la cartographie des risques.
4. 2.1. 4 Report i ng dest i nati on des organes di ri geants et dli brants
Pour mener bien leurs missions, les organes dirigeants et dlibrants sappuient sur diffrents
reporting et indicateurs. Il sagit dadapter la conduite de lorganisme son environnement interne
et externe, et au niveau de risque associ.
La directive oblige chaque organisme dassurance mettre en place un systme de gestion des
risques efficace
1
, parfaitement intgr la structure organisationnelle et aux procdures de prise de
dcision. Il doit donc tre dment pris en compte par les dirigeants. Cela ncessite donc une int-
gration aux tableaux de bords des organismes dassurance de tous les lments relatifs la
gestion des risques (agrgats conomiques macro, analyse des principaux risques existants et
potentiels auxquels est expos lorganisme).
De plus, les tableaux de bords devront intgrer une dimension prospective : laide de modles de
simulations, chaque organisme dassurance devra projeter sa situation financire sur lhorizon du
plan stratgique en prenant en compte plusieurs hypothses dvolution du contexte conomique
(projections des bilans, comptes de rsultat, SCR Solvency Capital Requirement, MCR Minimum
Capital Requirement, indicateurs du profil de risques, etc.).
Ces projections serviront doutil daide la dcision pour lorgane dirigeant afin dassurer sur le
long terme ladquation entre la prise de risque et la solvabilit.
1
Article 44 de la directive Solvabilit II (cf. annexe 7)
IFACI 59
4. 2. 2 Reporti ng ext erne
Compte tenu du cadre rglementaire rappel dans la partie 1.3, les organismes dassurance sont
soumis des obligations de reporting de plus en plus prcis.
4. 2. 2.1 Reporti ng en rponse aux exi gences de l ACP
Actuellement, les lments ci-aprs doivent tre tablis et communiqus lACP. Ces lments
intgrent pour partie les rsultats et les travaux oprs dans les dmarches de cartographies des
risques :
rapports rglementaires (tats financiers, rapport de gestion, rapport de solvabilit, rapport
sur le contrle interne, rapport dintermdiation) ;
tats prudentiels.
Un point sur la directive Solvabilit II est propos ci-aprs, afin didentifier les principales volutions
venir sur ce domaine.
4. 2. 2. 2 Prparer Sol vabi li t II
Les lments de reporting externes sont dfinis dans le Pilier 3 de la directive et le primtre des
reporting concerns est celui dcrit dans le document de travail du CEIOPS CP58
1
.
Les organismes dassurance devront produire un ensemble de rapports annuels, qualitatifs et
quantitatifs ; destination du rgulateur et du public, remplacement de certains tats de reporting
prudentiel et les rapports narratifs de solvabilit et de contrle interne :
1- RSR (Regular supervisory report) : Rapport destin lACP comprenant un rapport narratif
et les tats quantitatifs (annuels et trimestriels, notamment les QRT - Quantitative Reporting
Template). Lobjectif du RSR est double : servir de base aux ventuels contrles et mesurer
les risques systmiques.
2- SFCR (Solvency and financial condition report) : Rapport diffus au public comportant la
structure du RSR sans les informations destination des rgulateurs. Lobjectif est daccro-
tre galement la transparence des informations, et de renforcer la discipline de march.
3- Rapport ORSA (Own Risk and Solvency Assesment) : Rapport prsentant :
les rsultats qualitatifs et quantitatifs du dispositif ORSA,
les mthodes et principales hypothses utilises,
1
CEIOPS Advice for Level 2 Implementing Measures on Solvency II: Supervisory Reporting and Public Disclosure Requirements (former
Consultation Paper 58)
IFACI 60
des informations sur le besoin global de solvabilit valu par lORSA,
une comparaison entre le besoin global en solvabilit, les exigences rglementaires de
capital (SCR et MCR) et les fonds propres,
une information si besoin sur les risques non compris dans la formule standard comme
les risques stratgiques, de rputation ou encore extrmes.
IFACI 61
CONCLUSI ON
IFACI 62
La cartographie nest pas une fin en soi. Elle doit sinscrire dans le cadre du pilotage global de lor-
ganisation tout en contribuant la conformit rglementaire.
Mme si les dirigeants et les managers ont une vision globale des risques inhrents leurs activits,
construire une cartographie des risques leur apportera de nouveaux lments dobservation desti-
ns mieux matriser et orienter leurs objectifs.
Ainsi, la dimension risques vient enrichir la vision des dirigeants en complment des axes stra-
tgiques et oprationnels et devient un lment de management part entire.
Les applications dune cartographie des risques sont nombreuses et conduisent les utilisateurs
privilgier tel ou tel aspect des rsultats obtenus afin de redfinir leurs priorits.
Du conseil dadministration la direction gnrale, en passant par les responsables oprationnels,
les risk managers, les contrleurs internes et les auditeurs internes, chacun pourra utiliser la carto-
graphie comme support des actions propres leur organisation.
Pour ce faire, les organismes dassurance doivent instaurer un environnement permettant daboutir
des cartographies des risques fidles et dynamiques.
Les facteurs cls de succs pour faire de la cartographie des risques un outil au service du pilotage
du dispositif de gestion des risques et un lment daide la dcision sont :
une clarification des acteurs et de la gouvernance ;
un sponsoring par la direction gnrale et le comit de direction ;
une sensibilisation et la diffusion de la culture des risques tout niveau ;
une documentation du fonctionnement de lentreprise ( qui fait quoi ? , procdures, fiches
de fonction, etc.) ;
la formalisation de la stratgie de lorganisme dassurance et dun plan daffaires moyen
terme ;
une responsabilisation des managers sur ces questions ;
une organisation en mode projet lors du lancement de toute dmarche.
Conscient de lapport potentiel des outils informatiques dans ce type de dmarche, le groupe de
travail attire nanmoins lattention sur limportance dune identification pralable des besoins
spcifiques chaque organisme. Lorsque loption retenue est dacqurir un progiciel plutt que de
dvelopper en interne une solution informatique, le dialogue avec les diteurs et la gestion de lou-
til devront sappuyer sur les fondamentaux de la gestion de projets et les changes de bonnes
pratiques avec des pairs
1
.
Le succs dune cartographie des risques rside dans son utilisation effective, dans la capacit des
utilisateurs la faire vivre dans le temps. Cest dans ce sens que le rfrentiel commun qui vous a
t prsent a t construit.
1
Cf. les bonnes pratiques proposes dans le cahier Slectionner un outil informatique pour les services daudit et de contrle internes de lunit
de recherche Informatique de lIFACI (2013), les clubs dutilisateurs ou les articles dans la revue de lIFACI.
IFACI
A
N
N
E
X
E
63
ANNEXES
IFACI
A
N
N
E
X
E
64
ANNEXE 1
Exemples de processus - Secteur assurances
Dvelopper
l'offre
Analyse du march : concurrence, besoins des clients, tendance,
nouveaux marchs
Dfinition du produit : quel type de produit, destination de qui,
pour quel vecteur de distribution
Elaboration du produit : conditions gnrales ; tarifaires
Lancement de l'offre : communication externe, publicit, vne-
mentiel, formation des forces de ventes)
Vendre
Dclinaison de la politique commerciale et pilotage
Animation des rseaux de distribution
Etablissement des propositions tarifaires
Ngociation
Enregistrement et mission des pices contractuelles
Envoi et archivage
Grer le
contrat
Enregistement du contrat dans l'outil de gestion
Appel de cotisations
Encaissement des cotisations
Gestion de la trsorerie
Mise jour des donnes contrat
Gestion des avenants (analyse du dossier, avis mdical, enregis-
trement et mission, envoi et archivage)
Gestion des bnficiaires
Suivi des impays (relance, contentieux)
Rmunration des tiers (intermdiaires, gestionnaires)
Traitement
de fin
d'anne
Etablissement des attestations fiscales (Madelin, rentiers, appor-
teurs)
Revalorisation annuelle (dont hausse tarifaire)
Inventaire
Grer les
prestations
Paramtrage des garanties
Instruction et contrle
Constitution du dossier
Contrles mdicaux
Calcul du montant
Rglement
Rassureur
Recours contre tiers
Actualisation des dossiers (maintien, clture, demande de justifi-
catif )
Provisionnement
Matriser
les rsultats
des contrats
Inventaire
Statisitques
Rvisions tarifaires
Redressement
Nouvelle
offre
Pices
contractuelles
Chiffre
daffaires
Etats
Paiement
sinistres
Contrats
rengocis
IFACI
A
N
N
E
X
E
65
ANNEXE 2
Nomenclat ure des ri sques
IFACI
A
N
N
E
X
E
66
Niveau
1
Famille
Dfinition Risques
Niveau 1
Niveau
2
Risques
Niveau 2
Dfinition Risques Niveau 2
R1 Financiers
Risques lis lvolution des
marchs financiers, de
gestion de bilan ou financire
R101
Risques de
solvabilit
Risques rsultant d'un niveau des
fonds propres et quasi-fonds
propres infrieur au minimum
rglementaire
R1 Financiers
R101
Risques de
solvabilit
rglementaire
R1 Financiers
R101
Risques de
solvabilit
rglementaire
R1 Financiers
R102
Adquation
Actif / Passif
Risques rsultant d'une inadqua-
tion, en montant ou en structure,
entre le passif correspondant aux
engagements pris envers les clients
et l'actif mis en reprsentation
R1 Financiers
R102
Adquation
Actif / Passif
R1 Financiers
R102
Adquation
Actif / Passif
R1 Financiers
R102
Adquation
Actif / Passif
R1 Financiers
R102
Adquation
Actif / Passif
R1 Financiers
R102
Adquation
Actif / Passif
R1 Financiers
R102
Adquation
Actif / Passif
R1 Financiers
R102
Adquation
Actif / Passif
IFACI
A
N
N
E
X
E
67
Niveau
3
Risques
Niveau 3
Catgorie S2
Module de
risque
Sous module
de risque
Autres
R10101
Risques de
solvabilit
rglementaire
en social
Risques rsultant d'un niveau des fonds
propres et quasi-fonds propres infrieur
au minimum rglementaire en social
pour chaque entit
Solvabilit
globale
R10102
Risques de
solvabilit
rglementaire
en consolid
au minimum rglementaire dans les
comptes consolids (solvabilit ajuste)
Solvabilit
globale
R10103
Risques de
solvabilit de
march
au montant estim par les analystes ou
les marchs financiers entranant un seuil
de dclenchement de "triggers"
Solvabilit
globale
R10201
Risques de
liquidit
Correspond une volution du passif
court terme engendrant des insuffisances
d'actifs ralisables
March ALM
R10202
Risques de
limitation par
catgorie d'ac-
tif ou de passif
Correspond un manque de diversifica-
tion, tant l'actif qu'au passif, qui conduit
une exposition trop forte sur un risque
particulier (type de risque assur, risque
de taux, risque actions, etc.)
March ALM
R10203
Risques de
disparits de
lignes de
passifs
Correspond une structure de passif
clate et difficile mettre en adquation
avec des actifs
March ALM
R10204
Risques de
couverture
imparfaite
Se matrialise par une inadaptation ou
une insuffisance de la structure des actifs
au regard de celle des passifs
March ALM
R10205
Risques de
taux
Risques d'inadquation actif / passif
provenant du comportement des
marchs de taux
March ALM
R10206
Risques
actions
marchs d'actions
March ALM
R10207
Risques de
change
marchs de devises
March ALM
R10208
Risques
immobiliers
marchs immobiliers
March ALM
IFACI
A
N
N
E
X
E
68
Niveau
1
Famille
Dfinition Risques
Niveau 1
Niveau
2
Risques
Niveau 2
R1 Financiers
R103
Gestion
d'actifs
Risques relatifs la gestion des
actifs
R1 Financiers
R103
Gestion
d'actifs
actifs
R1 Financiers
R103
Gestion
d'actifs
actifs
R1 Financiers
R103
Gestion
d'actifs
actifs
R1 Financiers
R103
Gestion
d'actifs
actifs
R1 Financiers
R103
Gestion
d'actifs
actifs
R1 Financiers
R103
Gestion
d'actifs
actifs
R1 Financiers
R103
Gestion
d'actifs
actifs
R1 Financiers
R103
Gestion
d'actifs
actifs
R1 Financiers
R103
Gestion
d'actifs
actifs
R1 Financiers
R103
Gestion
d'actifs
actifs
R1 Financiers
R103
Gestion
d'actifs
actifs
IFACI
A
N
N
E
X
E
69
Niveau
3
Risques
Niveau 3
Catgorie S2
Module de
risque
Sous module
de risque
Autres
R10301
Risques de
trsorerie
Rsulte d'un manque de liquidits dispo-
nibles court terme pour faire face aux
obligations de rglement
March Liquidit
R10302
Risques de
refinancement
Est la consquence d'une inadquation
ou d'un dfaut de financement permet-
tant d'obtenir les liquidits suffisantes
pour faire face aux obligations de rgle-
ment
March Liquidit
R10303
Risques de
concentration
Correspond un manque de diversifica-
tion dans le placement des actifs qui
conduit une exposition trop forte sur
un risque particulier (actions, taux, crdit)
March
Concentra-
tion
R10304
Risques de
taux
Consquence d'une volution des taux
d'intrt sur la valeur des actifs obliga-
taires
March Taux
R10305
Risques de
change
Est li la variation de valeur d'une
devise par rapport l'euro, et l'impact
de cette variation sur la valeur des actifs
en devises
March Change
R10306
Risques
actions
Consquence d'une volution des
marchs actions, ou d'une trop forte
dpendance vis--vis de ce type d'actif
March Action
R10307
Risques
immobiliers et
fonciers
Consquence d'une volution des
marchs immobiliers et fonciers, ou
d'une trop forte dpendance vis--vis de
ce type d'actif
March Immobilier
R10308
Risques de
contrepartie
Dcoule du dfaut de la contrepartie
une opration, au moment o elle doit
remplir ses obligations (absence de paie-
ment l'chance, etc.)
Contrepartie
R10309
Risques met-
teur
Li au dfaut de l'metteur pralable-
ment la ralisation de ses obligations
(remboursement d'un emprunt
l'chance, etc.)
Contrepartie
R10310 Risques crdit
Correspond la variation de la qualit de
crdit d'un metteur conduisant l'aug-
mentation de la prime de risque attendue
par ses cranciers
Contrepartie
R10311
Risques d'va-
luation d'actifs
Risques rsultant de la surestimation
d'un lment d'actif, pouvant entraner
notamment une constatation de moins-
value en cas de cession ou d'ouverture de
capital, ou un provisionnement suite
rvision
March
Allocation
d'actif
(concerne le
non cot)
R10312
Risques de
rentabilit
insuffisante
des participa-
tions et filiales
Risques rsultant d'un niveau de rentabi-
lit annuelle insuffisant pour amortir les
cots d'acquisition
Stratgique
IFACI
A
N
N
E
X
E
70
Niveau
1
Famille
Dfinition Risques
Niveau 1
Niveau
2
Risques
Niveau 2
R1 Financiers
R103
Gestion
d'actifs
actifs
R1 Financiers
R104 Endettement
Risques rsultant d'un endettement
trop important eu gard aux
charges de remboursement ou aux
taux des emprunts en cours
R1 Financiers
R104 Endettement
Risques rsultant d'un endettement
trop important eu gard aux
charges de remboursement ou aux
taux des emprunts en cours
R2 Assurances
Risques spcifiques aux acti-
vits techniques d'assurance
R201 Technique
Risques rsultant de caractris-
tiques des produits nuisant leur
rentabilit (provenant ou non de la
ralisation de risques production
ou marketing)
R2 Assurances
R201 Technique
ou marketing)
R2 Assurances
R201 Technique
ou marketing)
R2 Assurances
R202 Souscription
Risques relatifs la souscription de
contrats d'assurance, ou l'accep-
tation de traits ou facultatives de
rassurance, hors sinistralit et
prestations
R2 Assurances
R202 Souscription
prestations
R2 Assurances
R202 Souscription
prestations
R2 Assurances
R202 Souscription
prestations
R2 Assurances
R202 Souscription
prestations
IFACI
A
N
N
E
X
E
71
Niveau
3
Risques
Niveau 3
Catgorie S2
Module de
risque
Sous module
de risque
Autres
R10313
Risques crdit
rassureurs
Risque de dfaillance d'un rassureur
rduisant ses capacits remplir ses
engagements
Contrepartie
R10401
Risques d'en-
dettement
inadquat
Niveau d'endettement du Groupe inexis-
tant, l'empchant d'optimiser ses
ressources ou sa rentabilit
Stratgique
R10402
Risques de
surendette-
ment
Niveau d'endettement du Groupe trop
lev, pouvant entraner une crise de
liquidit ou rendre impossible le finance-
ment de la croissance du Groupe
Stratgique
R20101
Risques de dfi-
nition produit
(contrat d'assu-
rance ou trait
de rassurance
en acceptation)
Risques provenant d'une dfinition des
conditions d'assurance ou de rassurance
impropres une viabilit conomique
(quelle que soit la tarification)
Souscription
R20102
Risques de
tarification
(assurance ou
rassurance
accepte)
Risques issus de tarifs soit insuffisants
par rapport au cot rel des garanties et
frais de gestion, soit trop levs et gn-
rateurs d'anti-slection
Souscription
Primes et
rserves
R20103
Risques de non-
rentabilit des
produits d'assu-
rance ou des
traits de ras-
surance accepts
Risques de non-rentabilit moyen ou
long terme
Souscription
Primes et
rserves
R20201
Risques de
qualit insuffi-
sante de l'ob-
jet risque
Souscriptions de mauvaise qualit, quant
aux risques soucrits, malgr leur confor-
mit aux rgles
Souscription
R20202
Risques de
cumul de
souscription
Dpassement des engagements accepta-
bles sur un mme site, un mme client,
ou un mme risque d'assurance
Souscription
R20203
Risques de
cumul sous-
cription / actif
Effets cumulatifs dus la dpendance ou
la corrlation entre des risques de sous-
cription et des risques sur les actifs
Souscription
Primes et
rserves
R20204
Risques d'ap-
rition
Risques relatifs la gestion des coassu-
rances ou des corassurances
Souscription
R20205
Risques de
coassurance
non apritrice
ou corassu-
rance suiveuse
Risques de mauvaise gestion ou d'infor-
mations insuffisantes manant de l'apri-
teur ou du corassureur leader
Souscription
IFACI
A
N
N
E
X
E
72
Niveau
1
Famille
Dfinition Risques
Niveau 1
Niveau
2
Risques
Niveau 2
R2 Assurances
R202 Souscription
prestations
R2 Assurances
R203
Sinistralit
non vie /
Prestations
vie
Risques rsultant d'une dviation
de la charge sinistres ou prestations
compromettant l'quilibre attendu
entre primes et charges techniques
des portefeuilles
R2 Assurances
R203
Sinistralit
non vie /
Prestations
vie
des portefeuilles
R2 Assurances
R203
Sinistralit
non vie /
Prestations
vie
des portefeuilles
R2 Assurances
R203
Sinistralit
non vie /
Prestations
vie
des portefeuilles
R2 Assurances
R203
Sinistralit
non vie /
Prestations
vie
des portefeuilles
R2 Assurances
R204
Provision-
nement
Risques rsultant d'un provisionne-
ment inadapt l'volution de la
charge sinistres et prestations en
cours ou venir
R2 Assurances
R204
Provision-
nement
cours ou venir
R2 Assurances
R204
Provision-
nement
cours ou venir
R2 Assurances
R205
Participa-
tions aux
bnfices
Risques relatifs aux participations
aux bnfices attribues aux assu-
rs vie
R2 Assurances
R206
Rassurance
de protection
Risques rsultant des conditions
ngocies avec les rassureurs
IFACI
A
N
N
E
X
E
73
Niveau
3
Risques
Niveau 3
Catgorie S2
Module de
risque
Sous module
de risque
Autres
R20206
Risques d'an-
nulation, de
rsiliation, de
rduction
Frquence leve de chute ou de rduc-
tions de contrats (arrt du paiement des
primes)
Souscription Rachat
R20301
Risques de
dviation de la
sinistralit
Evolution dfavorable de la charge sinis-
tre dans une ou plusieurs catgories d'as-
surance, d'une faon plus ou moins
rapide (augmentation de frquence ou
d'intensit)
Souscription
Primes et
rserves
R20302
Risques de
frquence des
sinistres de
pointe
Survenance plus frquente qu'attendue,
de sinistres de montant lev
Souscription
Primes et
rserves
R20303
Risques de
cumul de
sinistres
Survenance d'un sinistre catastrophique,
d'un cumul RC ou sriel, ou d'un cumul
de sinistres entre plusieurs branches
Souscription Catastrophe
R20304
Risques de
rachat (vie)
Frquence leve de rachats de contrats
"pargne"
Souscription Rachat
R20305
Risques de
longvit
(rentes
viagres)
Dure de survie des rentiers suprieure
ce qui avait t pris en compte dans les
tarifs de rentes
Souscription Longvit
R20401
Risques relatifs
aux montants
de provisions de
primes (hors
PM)
Risques rsultant de provisions insuffi-
santes devant la charge sinistres venir
Souscription
Primes et
rserves
R20402
Risques relatifs
aux montants
de provisions
mathmatiques
(PM)
Risques rsultant de provisions math-
matiques (PM) (vie et rente auto) insuffi-
santes face aux prestations rgler
Souscription
Mortalit/
Rachat/
Rvision/
Longvit
R20403
Risques rela-
tifs aux
montants de
provisions
pour sinistres
Risques rsultant de provisions pour
sinistres insuffisantes devant la charge en
sinistres survenus
Souscription
Primes et
rserves
R20501
Risques rela-
tifs au niveau
de PB
Risques rsultant d'un niveau insuffisant
des attributions de PB aux assurs (au vu
de la conccurence, des caractristisques
du produit, des attentes des assurs)
Souscription
R20601
Risques d'ina-
dquation des
couvertures de
rassurance
Programme de rassurance insuffisant
pour protger correctement un porte-
feuille, compte tenu de la rtention
supportable par l'entreprise
Souscription
Primes et
rserves
IFACI
A
N
N
E
X
E
74
Niveau
1
Famille
Dfinition Risques
Niveau 1
Niveau
2
Risques
Niveau 2
R2 Assurances
R206
Rassurance
de protection
R2 Assurances
R206
Rassurance
de protection
R2 Assurances
R207
Matrise des
Rsultats
Risques lis la matrise des rsul-
tats
R3
Opration-
nels
Risque de pertes rsultant de
procdures internes, de
membres du personnel ou de
systmes inadquats ou
dfaillants, ou dvnements
extrieurs
R301
Clients / tiers,
produits et
pratiques
commerciales
Pertes rsultant d'un acte non inten-
tionnel ou d'une ngligence dans l'exer-
cice d'une obligation professionnelle
face au client (incluant les exigences en
matire fiduciaire et de conformit) ou
pertes rsultant de la nature ou de la
conception d'un produit
R3
Opration-
nels
extrieurs
R301
Clients / tiers,
produits et
pratiques
commerciales
R3
Opration-
nels
extrieurs
R301
Clients / tiers,
produits et
pratiques
commerciales
R3
Opration-
nels
extrieurs
R301
Clients / tiers,
produits et
pratiques
commerciales
R3
Opration-
nels
extrieurs
R301
Clients / tiers,
produits et
pratiques
commerciales
R3
Opration-
nels
extrieurs
R301
Clients / tiers,
produits et
pratiques
commerciales
IFACI
A
N
N
E
X
E
75
Niveau
3
Risques
Niveau 3
Catgorie S2
Module de
risque
Sous module
de risque
Autres
R20602
Risques de
surcot de la
rassurance
Traits de rassurance tarifs trop cher Souscription
Primes et
rserves
R20603
Risques de
litige avec les
rassureurs
Risques de contestation de garantie par
un rassureur
Souscription
Primes et
rserves
R20701
Risque de
drive du ratio
S/C et/ou
diminution du
CA
Souscription
Primes et
rserves
R30101
Conformit,
diffusion d'in-
formations et
devoir fidu-
ciaire - Acte
commercial
Non-respect de la rglementation appli-
cable l'acte commercial
Opration-
nel
R30102
Conformit,
diffusion d'in-
formations et
devoir fidu-
ciaire - Secret
professionnel
Non-respect des rgles relatives aux
informations privilgies et au secret
professionnel
Opration-
nel
R30103
Conformit,
diffusion d'infor-
mations et
devoir fiduciaire
- Protection des
donnes
personnelles
Non-respect des dispositions relatives
la protection des donnes personnelles
des personnes physiques (CNIL)
Opration-
nel
R30104
Conformit,
diffusion d'infor-
mations et
devoir fiduciaire
- Informations
confidentielles
Utilisation abusive d'informations confi-
dentielles
Opration-
nel
R30105
Conformit,
diffusion d'infor-
mations et
devoir fiduciaire
- Vente agressive
Pratiques de ventes agressives
Opration-
nel
R30106
Pratiques
commerciales
/ de place
incorrectes -
Concurrence
Infraction la lgislation sur la concur-
rence
Opration-
nel
IFACI
A
N
N
E
X
E
76
Niveau
1
Famille
Dfinition Risques
Niveau 1
Niveau
2
Risques
Niveau 2
R3
Opration-
nels
extrieurs
R301
Clients / tiers,
produits et
pratiques
commerciales
R3
Opration-
nels
extrieurs
R301
Clients / tiers,
produits et
pratiques
commerciales
R3
Opration-
nels
extrieurs
R301
Clients / tiers,
produits et
pratiques
commerciales
R3
Opration-
nels
extrieurs
R301
Clients / tiers,
produits et
pratiques
commerciales
R3
Opration-
nels
extrieurs
R301
Clients / tiers,
produits et
pratiques
commerciales
R3
Opration-
nels
extrieurs
R301
Clients / tiers,
produits et
pratiques
commerciales
R3
Opration-
nels
extrieurs
R301
Clients / tiers,
produits et
pratiques
commerciales
R3
Opration-
nels
extrieurs
R301
Clients / tiers,
produits et
pratiques
commerciales
IFACI
A
N
N
E
X
E
77
Niveau
3
Risques
Niveau 3
Catgorie S2
Module de
risque
Sous module
de risque
Autres
R30107
Pratiques
commerciales
/ de place
incorrectes -
Agrment
rglementaire
Dfaut d'agrment rglementaire
Opration-
nel
R30108
Pratiques
commerciales
/ de place
incorrectes -
LCB-FT
Non-respect des rglementations rela-
tives au blanchiment de capitaux et au
financement du terrorisme et aux obliga-
tions s'y rapportant (TRACFIN)
Opration-
nel
R30109
Pratiques
commerciales
/ de place
incorrectes -
Marchs
financiers
Non-respect des rgles de fonctionne-
ment des marchs financiers (dclaration
en matire d'oprations suspectes, prin-
cipe de l'intgrit du march)
Opration-
nel
R30110
Pratiques
commerciales
/ de place
incorrectes -
Meilleure
excution
Non-respect des rgles de meilleure
excution des ordres
Opration-
nel
R30111
Pratiques
commerciales
/ de place
incorrectes
Non-respect des rgles lies la sgr-
gation des avoirs des clients
Opration-
nel
R30112
Pratiques
commerciales
/ de place
incorrectes -
Sgrgation
des avoirs des
clients
Conflits d'intrts entre deux ou
plusieurs clients concerns par une
mme opration
Opration-
nel
R30113
Pratiques
commerciales
/ de place
incorrectes -
Egalit de trai-
tement des
clients
Non-respect de l'galit de traitement
des clients
Opration-
nel
R30114
Pratiques
commerciales
/ de place
incorrectes
Non-respect du principe de primaut de
l'intrt du client
Opration-
nel
IFACI
A
N
N
E
X
E
78
Niveau
1
Famille
Dfinition Risques
Niveau 1
Niveau
2
Risques
Niveau 2
R3
Opration-
nels
extrieurs
R301
Clients / tiers,
produits et
pratiques
commerciales
R3
Opration-
nels
extrieurs
R301
Clients / tiers,
produits et
pratiques
commerciales
R3
Opration-
nels
extrieurs
R301
Clients / tiers,
produits et
pratiques
commerciales
R3
Opration-
nels
extrieurs
R301
Clients / tiers,
produits et
pratiques
commerciales
R3
Opration-
nels
extrieurs
R301
Clients / tiers,
produits et
pratiques
commerciales
R3
Opration-
nels
extrieurs
R301
Clients / tiers,
produits et
pratiques
commerciales
R3
Opration-
nels
extrieurs
R301
Clients / tiers,
produits et
pratiques
commerciales
R3
Opration-
nels
extrieurs
R301
Clients / tiers,
produits et
pratiques
commerciales
IFACI
A
N
N
E
X
E
79
Niveau
3
Risques
Niveau 3
Catgorie S2
Module de
risque
Sous module
de risque
Autres
R30115
Pratiques
commerciales
/ de place
incorrectes -
Primaut de
l'intrt du
client
Non-respect des dispositifs de muraille
de Chine et non application des proc-
dures
Opration-
nel
R30116
Pratiques
commerciales
/ de place
incorrectes -
Franchisse-
ment de seuil
Franchissement de seuil et seuils de
dtention non dclars
Opration-
nel
R30117
Dfauts dans
les produits
Mauvaise implmentation des modles
(modules de tarification, pricers, etc.)
Opration-
nel
R30118
Dfauts dans
les produits -
Politique de
tarification
Non-respect de la politique de tarifica-
tion
Opration-
nel
R30119
Dfauts dans
les produits -
Conformit
des produits
Non-conformit des produits
Opration-
nel
R30120
Dfauts dans
les produits -
Procdure de
validation des
nouveaux
produit
Non-respect de la procdure de valida-
tion des nouveaux produits et nouvelles
activits
Opration-
nel
R30121
Dfauts dans
les produits -
Oprations
complexes et
sensibles
Non-respect des procdures relatives aux
oprations complexes et sensibles
Opration-
nel
R30122
Contreparties
commerciales
Non-respect de ses obligations par une
contrepartie / un tiers (hors clientle)
Opration-
nel
IFACI
A
N
N
E
X
E
80
Niveau
1
Famille
Dfinition Risques
Niveau 1
Niveau
2
Risques
Niveau 2
R3
Opration-
nels
extrieurs
R301
Clients / tiers,
produits et
pratiques
commerciales
R3
Opration-
nels
extrieurs
R301
Clients / tiers,
produits et
pratiques
commerciales
R3
Opration-
nels
extrieurs
R301
Clients / tiers,
produits et
pratiques
commerciales
R3
Opration-
nels
extrieurs
R301
Clients / tiers,
produits et
pratiques
commerciales
R3
Opration-
nels
extrieurs
R301
Clients / tiers,
produits et
pratiques
commerciales
Risques rsultant de dfaillance de
qualit dans les relations avec les
tiers
R3
Opration-
nels
extrieurs
R301
Clients / tiers,
produits et
pratiques
commerciales
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
Pertes rsultant d'un problme
dans le traitement d'une transac-
tion ou dans la gestion des proces-
sus ou pertes subies avec les
contreparties commerciales et les
fournisseurs
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
IFACI
A
N
N
E
X
E
81
Niveau
3
Risques
Niveau 3
Catgorie S2
Module de
risque
Sous module
de risque
Autres
R30123
Sponsorship
exposure
Dpassement des limites d'exposition
d'un client (en gestion d'actifs)
Opration-
nel
R30124
Slection /
Analyse clien-
tle
Insuffisance de l'analyse client
Opration-
nel
R30125
Risques de
contractualisa-
tion insuffi-
sante
Risques d'absence de formalisation des
rapports avec un tiers ou de contractuali-
sation insuffisante
Opration-
nel
R30126
Activits de
conseil
Informations inappropries, fausses ou
obsoltes dlivres aux clients
Opration-
nel
R30127
Risques de
notation
Risques de mauvaise notation par une
agence spcialise
Rputation
R30128
Risques rela-
tifs aux infor-
mations
disponibles
sur le march
Risques de non-disponibilit des infor-
mations ncessaires la gestion des
actifs
Opration-
nel
R30201
Saisie, excu-
tion et suivi
des transac-
tions - Erreur
Erreurs dans la saisie, le suivi ou le char-
gement des donnes
Opration-
nel
R30202
Saisie, excu-
tion et suivi
des transac-
tions - Respect
des proc-
dures
Non-respect ou mauvaise interprtation
des procdures
Opration-
nel
IFACI
A
N
N
E
X
E
82
Niveau
1
Famille
Dfinition Risques
Niveau 1
Niveau
2
Risques
Niveau 2
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
IFACI
A
N
N
E
X
E
83
Niveau
3
Risques
Niveau 3
Catgorie S2
Module de
risque
Sous module
de risque
Autres
R30203
Saisie, excution
et suivi des
transactions -
Dficiences
dans l'organisa-
tion et les proc-
dures
Dficiences dans l'organisation et les
procdures internes de traitement ou de
contrle
Opration-
nel
R30204
Risques d'in-
terface inter-
services
Risques de dysfonctionnement des inter-
faces entre plusieurs fonctions, qu'elles
s'appuient sur des moyens humains, de
connectique, informatiques ou autres
moyens logistiques
Opration-
nel
R30205
Saisie, excution
et suivi des
transactions -
Inadquation
des systmes
d'informations
Problmes dus l'inadquation des
systmes d'information aux activits et
produits
Opration-
nel
R30206
Saisie, excu-
tion et suivi
des transac-
tions -
Gestion des
rfrentiels
Mauvaise gestion des rfrentiels
Opration-
nel
R30207
Saisie, excu-
tion et suivi
des transac-
tions -
Paramtrage
Erreur de manipulation ou de param-
trage d'un modle / systme
Opration-
nel
R30208
Saisie, excu-
tion et suivi
des transac-
tions -
Affectation
comptable
Erreur d'affectation comptable (compte,
entit, etc.)
Opration-
nel
R30209
Saisie, excu-
tion et suivi
des transac-
tions - Piste
d'audit
Dfaut de preuve (archivage, traabilit) /
piste d'audit (SOX)
Opration-
nel
R30210
Saisie, excu-
tion et suivi
des transac-
tions -
Communica-
tion
Problmes de communication
Opration-
nel
R30211
Saisie, excution
et suivi des
transactions -
Dlais et obliga-
tions envers les
clients
Non-respect des dlais et/ou des obliga-
tions envers les clients et/ou les fournis-
seurs
Opration-
nel
IFACI
A
N
N
E
X
E
84
Niveau
1
Famille
Dfinition Risques
Niveau 1
Niveau
2
Risques
Niveau 2
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
IFACI
A
N
N
E
X
E
85
Niveau
3
Risques
Niveau 3
Catgorie S2
Module de
risque
Sous module
de risque
Autres
R30212
Saisie, excution
et suivi des
transactions -
Surveillance des
comptes et/ou
oprations
Insuffisance de surveillance des comptes
et/ou des oprations
Opration-
nel
R30213
Saisie, excu-
tion et suivi
des transac-
tions -
Traitement des
rclamations
Dfaillance dans le traitement des rcla-
mations
Opration-
nel
R30214
Saisie, excu-
tion et suivi
des transac-
tions - Autres
Autres causes lies aux traitements et
procdures ( prciser)
Opration-
nel
R30215
Monitoring et
reporting -
Inexactitude
d'informations
communiques
l'extrieur
Inexactitude d'informations communi-
ques l'extrieur (occasionnant des
pertes)
Opration-
nel
R30216
Monitoring et
reporting -
Manquement
une obliga-
tion dclara-
tive
Manquement une obligation dclara-
tive (comptable ou rglementaire)
Opration-
nel
R30217
Monitoring et
reporting -
Risque de
rsultats erro-
ns
Risque de rsultat comptable et ou fiscal
erron
Opration-
nel
R30218
Documents
contractuels
clients -
Imprcis,
inadquats ou
manquants
Documents contractuels imprcis, inad-
quats ou manquants
Opration-
nel
R30219
Documents
contractuels
clients -
Collecte et
conservation
Dfaillance dans la collecte et la conser-
vation des dossiers et des documents
relatifs aux clients
Opration-
nel
R30220
Gestion des
comptes
clients
Non scurisation des accs aux comptes
clients - Scurisation
Opration-
nel
IFACI
A
N
N
E
X
E
86
Niveau
1
Famille
Dfinition Risques
Niveau 1
Niveau
2
Risques
Niveau 2
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
IFACI
A
N
N
E
X
E
87
Niveau
3
Risques
Niveau 3
Catgorie S2
Module de
risque
Sous module
de risque
Autres
R30221
Gestion des
comptes
clients -
Donnes
Donnes errones communiques aux
clients
Opration-
nel
R30222
Fournisseurs -
Mauvaise
excutions des
prestations
Mauvaise excution des prestations, y
compris dlgataires de gestion externes
Opration-
nel
R30223
Fournisseurs -
Dispositions
contractuelles
Absence de dispositions contractuelles
encadrant les obligations et les engage-
ments pris en matire de performance
par les sous-traitants
Opration-
nel
R30224
Fournisseurs -
Litiges
Litiges avec les fournisseurs
Opration-
nel
R30225
Risques judi-
ciaires
Risques lis l'volution du droit et aux
dcisions des tribunaux
Opration-
nel
R30226
Risques de
rseau insuffi-
sant
Nombre insuffisant de vendeurs pour
atteindre les objectifs de vente
Opration-
nel
R30227
Risques de
non-respect
des limites de
dlgation
commerciale
Abus ou non-respect de pouvoir de dl-
gation de la part d'un dlgataire
commercial ou mandataire
Opration-
nel
R30228
Risques de
commission-
nement
inadapt
Risques gnrs par un systme ou une
grille de commissionnement des inter-
mdiaires non conforme avec les objectifs
de vente ou de rentabilit
Opration-
nel
R30229
Risques de
dfaillance
d'un courtier
Risques gnrs par la faillite d'un cour-
tier
Opration-
nel
IFACI
A
N
N
E
X
E
88
Niveau
1
Famille
Dfinition Risques
Niveau 1
Niveau
2
Risques
Niveau 2
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
Risques rsultant de l'intervention
humaine dans les activits
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
IFACI
A
N
N
E
X
E
89
Niveau
3
Risques
Niveau 3
Catgorie S2
Module de
risque
Sous module
de risque
Autres
R30230
Risques de
dlgation de
pouvoir
Mauvaise attribution de pouvoir de dl-
gation (dfaut de comptence, incoh-
rence avec l'organisation, etc.)
Opration-
nel
R30231
Risques d'or-
donnance-
ment
Mauvaise attribution de pouvoir d'or-
donnancement (dfaut de comptence,
incohrence avec l'organisation, etc.)
Opration-
nel
R30232
Risques relatifs
la diffusion de
l'information et
des donnes en
interne
Risques de carences ou maladresses dans
la diffusion des messages et des donnes
en interne (hors logistique courrier
interne)
Opration-
nel
R30233
Risques rela-
tifs au rgime
de TVA et la
facturation
Risque li l'omission de facturation de
TVA ou de dclaration
Opration-
nel
R30234
Risques rela-
tifs la taxa-
tion des
contrats
Risques de non respect des obligations
en matire de taxation des contrats das-
surance
Opration-
nel
R30235
Risques rela-
tifs aux proc-
dures CFCI
Risque li l'absence de procdure en
matire de Contrle Fiscal des
Comptabilits Informatises (CFCI)
Opration-
nel
R30236
Etats rgle-
mentaires
Risques lis la prsentation d'tats
rglementaires inexacts ou la non-
prsentation d'tats rglementaires
Opration-
nel
R30237
Risques d'en-
gagements sur
valorisation
d'actifs
Risques que certains engagements reus
sur actifs soient survalus ou ne puis-
sent tre recouvrs
Opration-
nel
R30238
Risques d'en-
gagements sur
valorisation de
passifs
Risques que certains engagements
donns sur passifs soient insuffisamment
estims ou non recenss au bilan
Opration-
nel
IFACI
A
N
N
E
X
E
90
Niveau
1
Famille
Dfinition Risques
Niveau 1
Niveau
2
Risques
Niveau 2
R3
Opration-
nels
extrieurs
R302
Excution,
livraison et
gestion des
processus
fournisseurs
R3
Opration-
nels
extrieurs
R303
Dysfonction
nements de
l'activit et
des systmes
Pertes rsultant d'interruptions de
l'activit ou de dysfonctionnement
des systmes
R3
Opration-
nels
extrieurs
R303
Dysfonction
nements de
l'activit et
des systmes
des systmes
R3
Opration-
nels
extrieurs
R303
Dysfonction
nements de
l'activit et
des systmes
des systmes
R3
Opration-
nels
extrieurs
R303
Dysfonction
nements de
l'activit et
des systmes
des systmes
R3
Opration-
nels
extrieurs
R303
Dysfonction
nements de
l'activit et
des systmes
des systmes
R3
Opration-
nels
extrieurs
R303
Dysfonction
nements de
l'activit et
des systmes
des systmes
R3
Opration-
nels
extrieurs
R303
Dysfonction
nements de
l'activit et
des systmes
des systmes
R3
Opration-
nels
extrieurs
R303
Dysfonction
nements de
l'activit et
des systmes
des systmes
IFACI
A
N
N
E
X
E
91
Niveau
3
Risques
Niveau 3
Catgorie S2
Module de
risque
Sous module
de risque
Autres
R30239
Risques de
caution ou
assimils
Risques que les garanties, avals ou
cautions ne soient pas suffisamment
valus ou recenss dans les comptes
Opration-
nel
R30301
Systmes -
Perte ou alt-
ration irrm-
diable de
donnes infor-
matiques
Perte ou altration irrmdiable de
donnes informatiques (accidentelle)
Opration-
nel
R30302
Systmes -
Dveloppe-
ment
Erreurs de dveloppement
Opration-
nel
R30303
Systmes -
Scurit
logique
Atteinte involontaire la scurit logique
Opration-
nel
R30304
Systmes -
Ressources
informatiques
Inadquation de ressources informa-
tiques
Opration-
nel
R30305
Systmes -
Disponibilit
des systmes
Panne systme, insuffisance, indisponibi-
lit passagre de ressources informa-
tiques
Opration-
nel
R30306
Systmes -
Autres causes
d'origine tech-
nologiques
Autres causes d'origine technologiques
( prciser)
Opration-
nel
R30307
Systmes -
Disponibilit
d'une ressource
(nergie, tl-
communica-
tion)
Dfaillance ou indisponibilit d'une
ressource (nergie, tlcommunication)
Opration-
nel
R30308
Transports et
autres pertur-
bations
Interruption totale ou partielle de l'acti-
vit
Opration-
nel
IFACI
A
N
N
E
X
E
92
Niveau
1
Famille
Dfinition Risques
Niveau 1
Niveau
2
Risques
Niveau 2
R3
Opration-
nels
extrieurs
R302
Excution,
Livraison et
gestion des
processus
fournisseurs
R3
Opration-
nels
extrieurs
R303
Dysfonction
nements de
l'activit et
des systmes
des systmes
R3
Opration-
nels
extrieurs
R303
Dysfonction
nements de
l'activit et
des systmes
des systmes
R3
Opration-
nels
extrieurs
R303
Dysfonction
nements de
l'activit et
des systmes
des systmes
R3
Opration-
nels
extrieurs
R303
Dysfonction
nements de
l'activit et
des systmes
des systmes
R3
Opration-
nels
extrieurs
R304
Pratiques en
matire
d'emploi et
de scurit
sur le lieu de
travail
Pertes rsultant d'actes incompati-
bles au regard de la loi en matire
d'emploi, de lgislation relative la
sant ou la scurit, du paiement
d'indemnits ou de discrimination
sociale
R3
Opration-
nels
extrieurs
R304
Pratiques en
matire
d'emploi et
de scurit
sur le lieu de
travail
sociale
R3
Opration-
nels
extrieurs
R304
Pratiques en
matire
d'emploi et
de scurit
sur le lieu de
travail
sociale
R3
Opration-
nels
extrieurs
R304
Pratiques en
matire
d'emploi et
de scurit
sur le lieu de
travail
sociale
IFACI
A
N
N
E
X
E
93
Niveau
3
Risques
Niveau 3
Catgorie S2
Module de
risque
Sous module
de risque
Autres
R30309
Systmes -
Rgression
Rgression suite la livraison et la mise
en production de nouveaux programmes
informatiques ou suite la mise jour de
programmes ou fonctionnalits existants
Opration-
nel
R30310
Systmes -
Prennit
Risques de prennit de l'outil informa-
tique : correspond un outil informa-
tique pour lequel la dure de vie est
incertaine
Opration-
nel
R30311
Systmes -
Donnes
Donnes informatiques errones, non
conformes aux attentes
Opration-
nel
R30312
Risques de
plan de conti-
nuit informa-
tique
Non-continuit de l'exploitation par
absence de procdures de secours en cas
de difficults graves dans le fonctionne-
ment des systmes informatiques
Opration-
nel
R30313
Systmes -
Recette
Correspond des tests, jeux d'essais
incomplets qui peuvent induire des
erreurs plus ou moins graves en produc-
tion
Opration-
nel
R30401
Scurit du
lieu de travail
- Accidents du
travail / mala-
dies profes-
sionnelles
Non-respect des rgles de sant et de
scurit sur le lieu de travail => accidents
du travail / maladies professionnelles
Opration-
nel
R30402
Scurit du
lieu de travail
-
Responsabilit
civile
Responsabilit civile => accidents de tiers
(clients, partenaires, fournisseurs, autres,
etc.)
Opration-
nel
R30403
Relations de
travail -
Grve, contes-
tation syndi-
cale
Grve, contestation syndicale
Opration-
nel
R30404
Relations de
travail -
Litiges avec les
employs
Litiges avec les employs /
Indemnisation du personnel
Opration-
nel
IFACI
A
N
N
E
X
E
94
Niveau
1
Famille
Dfinition Risques
Niveau 1
Niveau
2
Risques
Niveau 2
R3
Opration-
nels
extrieurs
R304
Pratiques en
matire
d'emploi et
de scurit
sur le lieu de
travail
sociale
R3
Opration-
nels
extrieurs
R304
Pratiques en
matire
d'emploi et
de scurit
sur le lieu de
travail
sociale
R3
Opration-
nels
extrieurs
R304
Pratiques en
matire
d'emploi et
de scurit
sur le lieu de
travail
sociale
R3
Opration-
nels
extrieurs
R304
Pratiques en
matire
d'emploi et
de scurit
sur le lieu de
travail
sociale
R3
Opration-
nels
extrieurs
R304
Pratiques en
matire
d'emploi et
de scurit
sur le lieu de
travail
sociale
R3
Opration-
nels
extrieurs
R304
Pratiques en
matire
d'emploi et
de scurit
sur le lieu de
travail
sociale
R3
Opration-
nels
extrieurs
R304
Pratiques en
matire
d'emploi et
de scurit
sur le lieu de
travail
sociale
R3
Opration-
nels
extrieurs
R304
Pratiques en
matire
d'emploi et
de scurit
sur le lieu de
travail
sociale
R3
Opration-
nels
extrieurs
R304
Pratiques en
matire
d'emploi et
de scurit
sur le lieu de
travail
sociale
IFACI
A
N
N
E
X
E
95
Niveau
3
Risques
Niveau 3
Catgorie S2
Module de
risque
Sous module
de risque
Autres
R30405
Egalit et
discrimination
Comportement impropre : discrimination
/ harclement
Opration-
nel
R30406
Gestion des
ressources
humaines -
Recrutements
inadapts
Recrutements inadapts
Opration-
nel
R30407
Gestion des
ressources
humaines -
Formation
inadapte
Formation inadapte
Opration-
nel
R30408
Gestion des
ressources
humaines -
Gestion des
emplois et des
comptences
Gestion des emplois et des comptences
inadapte
Opration-
nel
R30409
Gestion des
ressources
humaines -
Politique sala-
riale
Politique salariale inadapte
Opration-
nel
R30410
Gestion des
ressources
humaines -
Politique de
rmunration et
d'valuation des
collaborateurs
Inadaptation de la politique de rmun-
ration variable et d'valuation annuelle
des collaborateurs
Opration-
nel
R30411
Gestion des
ressources
humaines -
Turnover
Turnover excessif
Opration-
nel
R30412
Gestion des
ressources
humaines -
Ressource cl
Dpart / absence d'une ressource cl
Opration-
nel
R30413
Gestion des
ressources
humaines -
Protection de
la vie prive
Violation des dispositions concernant la
protection de la vie prive et des donnes
personnelles des salaris
Opration-
nel
IFACI
A
N
N
E
X
E
96
Niveau
1
Famille
Dfinition Risques
Niveau 1
Niveau
2
Risques
Niveau 2
R3
Opration-
nels
extrieurs
R304
Pratiques en
matire
d'emploi et
de scurit
sur le lieu de
travail
sociale
R3
Opration-
nels
extrieurs
R304
Pratiques en
matire
d'emploi et
de scurit
sur le lieu de
travail
sociale
R3
Opration-
nels
extrieurs
R304
Pratiques en
matire
d'emploi et
de scurit
sur le lieu de
travail
sociale
R3
Opration-
nels
extrieurs
R304
Pratiques en
matire
d'emploi et
de scurit
sur le lieu de
travail
sociale
R3
Opration-
nels
extrieurs
R304
Pratiques en
matire
d'emploi et
de scurit
sur le lieu de
travail
sociale
R3
Opration-
nels
extrieurs
R305
Dommages
aux actifs
corporels
Pertes rsultant de la perte ou du
dommage sur un actif corporel la
suite d'une catastrophe naturelle
ou d'un autre sinistre
R3
Opration-
nels
extrieurs
R305
Dommages
aux actifs
corporels
R3
Opration-
nels
extrieurs
R305
Dommages
aux actifs
corporels
R3
Opration-
nels
extrieurs
R305
Dommages
aux actifs
corporels
IFACI
A
N
N
E
X
E
97
Niveau
3
Risques
Niveau 3
Catgorie S2
Module de
risque
Sous module
de risque
Autres
R30414
Gestion des
ressources
humaines -
Rglementa-
tion sociale
Non-respect de la rglementation sociale
(code du travail, conventions collectives,
etc.)
Opration-
nel
R30415
Gestion des
ressources
humaines -
Autre
Autres problmes lis la gestion des
ressources humaines
Opration-
nel
R30416
Risques rela-
tifs aux cots
salariaux
Risques d'un niveau de salaire globale-
ment plus lev que ce qu'il ne devrait
tre compte tenu de l'tat du march du
travail, conduisant des surcots portant
prjudice la comptitivit de l'entre-
prise
Opration-
nel
R30417
Risques rela-
tifs aux rgles
de dontologie
Non-respect par un membre du person-
nel des rgles rgissant la profession en
matire d'thique
Opration-
nel
R30418
Risques rela-
tifs aux rgles
de dontologie
Non-respect de la dontologie des rela-
tions avec un rseau d'apporteurs
Opration-
nel
R30501
Catastrophes
et autres sinis-
tres
Catastrophes et autres sinistres
Opration-
nel
R30502
Catastrophes
et autres sinis-
tres - Autres
dommages
causs aux
actifs corporels
Autres dommages causs aux actifs
corporels
Opration-
nel
R30503
Catastrophes
et autres sinis-
tres -
Destruction,
malveillante
de biens
Destruction malveillante de biens /
vandalisme
Opration-
nel
R30504
Catastrophes
et autres sinis-
tres - Litiges
immeubles et
infrastructures
Litiges lis aux immeubles et infrastruc-
tures
Opration-
nel
IFACI
A
N
N
E
X
E
98
Niveau
1
Famille
Dfinition Risques
Niveau 1
Niveau
2
Risques
Niveau 2
R3
Opration-
nels
extrieurs
R305
Dommages
aux actifs
corporels
R3
Opration-
nels
extrieurs
R305
Dommages
aux actifs
corporels
R3
Opration-
nels
extrieurs
R305
Dommages
aux actifs
corporels
R3
Opration-
nels
extrieurs
R306
Fraude
interne
Pertes dues un acte intentionnel
de fraude, de dtournement de
biens, d'infractions la lgislation
ou aux rgles de l'entreprise qui
implique au moins une personne
en interne
R3
Opration-
nels
extrieurs
R306
Fraude
interne
en interne
R3
Opration-
nels
extrieurs
R306
Fraude
interne
en interne
R3
Opration-
nels
extrieurs
R306
Fraude
interne
en interne
R3
Opration-
nels
extrieurs
R306
Fraude
interne
en interne
R3
Opration-
nels
extrieurs
R306
Fraude
interne
en interne
IFACI
A
N
N
E
X
E
99
Niveau
3
Risques
Niveau 3
Catgorie S2
Module de
risque
Sous module
de risque
Autres
R30505
Catastrophes
et autres sinis-
tres -
Indisponibilit
immeubles et
infrastructures
Autres causes lies l'indisponibilit des
immeubles et infrastructures
Opration-
nel
R30506
Catastrophes
et autres sinis-
tres -
Pandmie
Pandmie
Opration-
nel
R30507
Risques gn-
rs par les
immeubles
d'exploitation
(en proprit
ou en location)
Risques de sinistre (incendie, dommages
des tiers, etc.), risques relatifs la
continuit des oprations, risques relatifs
la gestion des immeubles (hors scurit
du personnel)
Opration-
nel
R30601
Activit non
autorise -
Dissimulation
volontaire de
position
Dissimulation volontaire de position
Opration-
nel
R30602
Activit non
autorise -
Transactions
non notifies
Transactions intentionnellement non
notifies
Opration-
nel
R30603
Activit non
autorise -
Abus de
pouvoir
Abus de pouvoir, activit intentionnelle
non autorise
Opration-
nel
R30604
Activit non
autorise -
Fausses dcla-
rations
Fausses dclarations intentionnelles
Opration-
nel
R30606
Vol et fraude -
Vol / dtour-
nement de
fonds
Vol / dtournement de fonds
Opration-
nel
R30607
Vol et fraude -
Vol / dtour-
nement de
biens
Vol / dtournement de biens
Opration-
nel
IFACI
A
N
N
E
X
E
100
Niveau
1
Famille
Dfinition Risques
Niveau 1
Niveau
2
Risques
Niveau 2
R3
Opration-
nels
extrieurs
R306
Fraude
interne
en interne
R3
Opration-
nels
extrieurs
R306
Fraude
interne
en interne
R3
Opration-
nels
extrieurs
R306
Fraude
interne
en interne
R3
Opration-
nels
extrieurs
R306
Fraude
interne
en interne
R3
Opration-
nels
extrieurs
R306
Fraude
interne
en interne
R3
Opration-
nels
extrieurs
R306
Fraude
interne
en interne
R3
Opration-
nels
extrieurs
R306
Fraude
interne
en interne
R3
Opration-
nels
extrieurs
R306
Fraude
interne
en interne
R3
Opration-
nels
extrieurs
R306
Fraude
interne
en interne
IFACI
A
N
N
E
X
E
101
Niveau
3
Risques
Niveau 3
Catgorie S2
Module de
risque
Sous module
de risque
Autres
R30608
Vol et fraude -
Contrefaon
de documents
Contrefaon de documents
Opration-
nel
R30609
Vol et fraude -
Usurpation de
compte /
d'identit
Usurpation de compte / d'identit
Opration-
nel
R30610
Vol et fraude -
Fraude fiscale
Fraude fiscale / vasion dlibre
Opration-
nel
R30605
Vol et fraude -
Autre
Autres fraudes internes
Opration-
nel
R30611
Vol et fraude -
Dlits d'initis
Non-respect des rgles en matire
d'oprations financires personnelles /
dlits d'initis
Opration-
nel
R30612
Vol et fraude -
Cadeaux et
invitations
Non-respect des rgles dontologiques
relatives aux cadeaux et aux invitations
Opration-
nel
R30613
Scurit des
systmes -
Malveillance
informatique
Malveillance informatique (virus,
destruction de fichiers, piratages, etc.)
Opration-
nel
R30614
Scurit des
systmes -
Donnes
Vol et divulgation de donnes
Opration-
nel
R30615
Vol et fraude -
abus de biens
sociaux
Risque de faire usage sciemment de
biens, du crdit de la socit, ou des
pouvoirs possds par des dirigeants
sociaux (droits reconnus par la loi ou les
statuts aux dirigeants sociaux) contraire
aux intrts de la socit et dans un
intrt personnel, intrt du dirigeant
social, des membres de sa famille, de ses
proches.
Opration-
nel
IFACI
A
N
N
E
X
E
102
Niveau
1
Famille
Dfinition Risques
Niveau 1
Niveau
2
Risques
Niveau 2
R3
Opration-
nels
extrieurs
R307
Fraude
externe
biens, deffractions la lgislation
ou aux rgles par une tierce partie
R3
Opration-
nels
extrieurs
R307
Fraude
externe
R3
Opration-
nels
extrieurs
R307
Fraude
externe
R3
Opration-
nels
extrieurs
R307
Fraude
externe
R3
Opration-
nels
extrieurs
R307
Fraude
externe
R3
Opration-
nels
extrieurs
R307
Fraude
externe
R3
Opration-
nels
extrieurs
R307
Fraude
externe
R3
Opration-
nels
extrieurs
R307
Fraude
externe
R4
Stratgiques
et environ-
nementaux
Risques relatifs au pilotage de
lentreprise, aux risques de
rputation directe et aux
risques gnrs par lenviron-
nement de lentreprise et aux
risques mergents
R401
March de
l'assurance
Risques rsultant du comportement
des acteurs du march de l'assu-
rance
IFACI
A
N
N
E
X
E
103
Niveau
3
Risques
Niveau 3
Catgorie S2
Module de
risque
Sous module
de risque
Autres
R30701
Vol et fraude -
Fausses dcla-
rations
Fausses dclarations intentionnelles
Opration-
nel
R30702
Vol et fraude -
Contrefaon
de documents
Contrefaon de documents
Opration-
nel
R30703
Vol et fraude -
Vol
Vol
Opration-
nel
R30704
Vol et fraude -
Autre
Autres fraudes externes
Opration-
nel
R30705
Vol et fraude -
Usurpation de
compte /
d'identit
Usurpation de compte / d'identit
Opration-
nel
R30706
Scurit des
systmes -
Malveillance
informatique
Malveillance informatique (virus,
destruction de fichiers, piratages, etc.)
Opration-
nel
R30707
Scurit des
systmes -
Donnes
Vol et divulgation de donnes
Opration-
nel
R30708
Risques de
corruption
Risques de corruption active ou passive
de membres du personnel, de commer-
ciaux mandataires, salaris ou indpen-
dants (courtiers)
Opration-
nel
R40101
Risques rela-
tifs aux cycles
tarifaires
Risques rsultant de la pression du
march pratiquer des taux tarifaires bas
(cyclique en gnral)
Stratgique
IFACI
A
N
N
E
X
E
104
Niveau
1
Famille
Dfinition Risques
Niveau 1
Niveau
2
Risques
Niveau 2
R4
Stratgiques
et environ-
nementaux
risques mergents
R401
March de
l'assurance
Risques rsultant du comportement
des acteurs du march de l'assu-
rance
R4
Stratgiques
et environ-
nementaux
risques mergents
R402 Pilotage
Risques de choix stratgiques, de
moyens associs ou de pilotage de
la mise en oeuvre inadquats
R4
Stratgiques
et environ-
nementaux
risques mergents
R402 Pilotage
R4
Stratgiques
et environ-
nementaux
risques mergents
R402 Pilotage
R4
Stratgiques
et environ-
nementaux
risques mergents
R403 Marketing
Risques rsultant d'une mauvaise
dmarche marketing assurance
R4
Stratgiques
et environ-
nementaux
risques mergents
R403 Marketing
Risques rsultant d'une mauvaise
dmarche marketing assurance
R4
Stratgiques
et environ-
nementaux
risques mergents
R404 Organisation
Risques rsultant de dfauts dans
l'organisation de l'entreprise et de
ses procdures
R4
Stratgiques
et environ-
nementaux
risques mergents
R405 Rputation
Risques lis une perception nga-
tive de l'entreprise
R4
Stratgiques
et environ-
nementaux
risques mergents
R405 Rputation
IFACI
A
N
N
E
X
E
105
Niveau
3
Risques
Niveau 3
Catgorie S2
Module de
risque
Sous module
de risque
Autres
R40102
Risques de
concurrence
Risques rsultant de l'exercice d'activits
similaires par d'autres entreprises
Stratgique
R40201
Risques sur la
mise en
oeuvre de la
stratgie
Dcalage entre la stratgie dfinie et sa
mise en oeuvre, du fait d'erreurs d'appr-
ciation ou de non-adquation des
moyens
Stratgique
R40202
Risques rela-
tifs au pilotage
stratgique
des activits et
des filiales
Risques provenant de dficiences du
pilotage
Stratgique
R40203
Risque de
drive des
cots
Risque de drive des cots pour des
postes trs importants comme le person-
nel, les immeubles, les systmes dinfor-
mation
Stratgique
R40301
Risques de
mauvaise
analyse des
marchs cibles
Risques provenant d'une mauvaise iden-
tification des besoins, d'une mauvaise
segmentation clientle, etc., conduisant
l'laboration de produits inadapts
Stratgique
R40302
Risques d'er-
reur de
communica-
tion marketing
Dcalage entre le contenu d'un message
et sa comprhension, ou sa prise en
compte, par le destinaire de l'informa-
tion, et risques de publicit trompeuse
Stratgique
R40101
Risques d'ina-
dquation de
l'organisation
fonctionnelle
Risques d'inadquation de l'organisation
fonctionnelle aux activits, la mise en
oeuvre de la stratgie, au profil des
comptences disponibles, la gestion des
relations avec les intermdiaires et avec
les clients, etc.
Stratgique
R40501
Risques
d'image du
secteur de
l'assurance
Risques rsultant de la mise en cause
publique de pratiques particulires d'une
ou plusieurs compagnies (hors entente),
ou d'erreurs de communication publique
Rputation
R40502
Risques
d'image -
Risques prove-
nant d'un
manquement
aux rgles de
bonne
conduite
Risques provenant d'un manquement
aux rgles de bonne conduite, aux
normes professionnelles ou aux valeurs
de la socit
Rputation
IFACI
A
N
N
E
X
E
106
Niveau
1
Famille
Dfinition Risques
Niveau 1
Niveau
2
Risques
Niveau 2
R4
Stratgiques
et environ-
nementaux
risques mergents
R405 Rputation
R4
Stratgiques
et environ-
nementaux
risques mergents
R405 Rputation
R4
Stratgiques
et environ-
nementaux
risques mergents
R405 Rputation
R4
Stratgiques
et environ-
nementaux
risques mergents
R406
Lgislatifs,
rglemen-
taires et judi-
ciaires
Risques lis l'apparition de
nouvelles lois ou rglements, et
leur application
R4
Stratgiques
et environ-
nementaux
risques mergents
R407
Autres
risques
systmiques
et exognes
Autres risques provenant de l'envi-
ronnement externe de l'entreprise
R4
Stratgiques
et environ-
nementaux
risques mergents
R407
Autres
risques
systmiques
et exognes
Autres risques provenant de l'envi-
ronnement externe de l'entreprise
IFACI
A
N
N
E
X
E
107
Niveau
3
Risques
Niveau 3
Catgorie S2
Module de
risque
Sous module
de risque
Autres
R40503
Risques
d'image -
Risques juri-
diques et de
mise en cause
Risques de mise en cause judiciaire ou
non, par une association de consomma-
teurs, par la presse, ou par un client
important, de litige sur l'application d'un
contrat
Stratgique
R40504
Risques
d'image -
Risques de
communica-
tion externe
Politique de communication sur l'identit
de l'entreprise inadquate au march,
aux intermdiaires, aux interlocuteurs
financiers ou institutionnels, etc.
Rputation
R40505
Risques
d'image -
Risques lis
aux mdias
sociaux
Risques lis aux mdias sociaux qui affec-
tent court, moyen ou long terme la
confiance envers un organisme dassu-
rance
Rputation
R40601
Lgislatifs,
rglementaires
et judiciaires
Risques lis l'apparition de nouvelles
lois ou rglements, et leur application
Rputation
R40701
Risques
conomiques
Risques d'inflation, de dpression, d'vo-
lution de la demande
Stratgique
R40702
Risques poli-
tiques
Risques de guerre civile, d'meutes, de
guerre trangre, d'attentats et de terro-
risme
Risques
externes
IFACI
A
N
N
E
X
E
108
tiquettes de lignes
Nombre de Risques
Niveau 3
Assurances 22
Maitrse des Rsultats 1
Participations aux bnfices 1
Provisionnement 3
Rassurance de protection 3
Sinistralit non vie / Prestations vie 5
Souscription 6
Technique 3
Financiers 26
Adquation Actif/Passif 8
Endettement 2
Gestion d'actifs 13
Risques de solvabilit 3
Oprationnels 128
Clients / tiers, produits et pratiques commerciales 28
Dommages aux actifs corporels 7
Dysfonctionnements de l'activit et des systmes 13
Excution, Livraison et gestion des processus 39
Fraude externe 8
Fraude interne 15
Pratiques en matire d'emploi et de scurit sur le lieu de
travail
18
Stratgiques et environnementals 16
Autres risques systmiques et exognes 2
Lgislatifs, rglementaires et judiciaires 1
March de l'assurance 2
Marketing 2
Organisation 1
Pilotage 3
Rputation 5
Total gnral 192
IFACI
A
N
N
E
X
E
109
ANNEXE 3
Prsentat ion des ri sques de la formule standard du calcul du SCR
IFACI
A
N
N
E
X
E
110
N Module Dfinition Commentaire
1 Risque de march
Le module risque de march reflte
le risque li au niveau ou la volatilit
de la valeur de march des instruments
financiers ayant un impact sur la valeur
des actifs et des passifs de lentreprise
concerne. Il reflte de manire
adquate toute inadquation structu-
relle entre les actifs et les passifs, en
particulier au regard de leur duration
Le risque de march rsulte du niveau
ou de la volatilit des cours de march
des instruments financiers qui ont un
impact sur la valeur des actifs et des
passifs de lentreprise concerne.
Lexposition au risque de march est
mesure par limpact des mouvements
dans le niveau des variables financires
tel que le cours des actions, les taux
dintrt, les cours de limmobilier et
les taux de change
IFACI
A
N
N
E
X
E
111
N Sous module Dfinition Commentaire
1.1
Risque de taux
dintrt
Risque li la sensibilit de la valeur des actifs,
des passifs et des instruments financiers aux
changements affectant la courbe des taux din-
trt ou la volatilit des taux dintrt
1.2 Risque sur actions
changements affectant le niveau ou la volatilit
de la valeur de march des actions
1.3
Risque sur actifs
immobiliers
de la valeur de march des actifs immobiliers
1.4
Risque li la
marge
(spread)
des marges (spreads) de crdit par rapport la
courbe des taux dintrt sans risque
1.5 Risque de change
des taux de change
1.6
Concentrations du
risque de march
Risques supplmentaires supports par lentre-
prise dassurance ou de rassurance du fait soit
dun manque de diversification de son porte-
feuille dactifs, soit dune exposition importante
au risque de dfaut dun seul metteur de
valeurs mobilires ou dun groupe dmetteurs
lis
1.7 Contracyclique
IFACI
A
N
N
E
X
E
112
2
Risque de sous-
cription en sant
Le module risque de souscription en
sant reflte le risque dcoulant de la
souscription dengagements dassu-
rance sant, quil sexerce ou non sur
une base technique similaire celle de
lassurance vie, compte tenu des prils
couverts et des procds appliqus
dans lexercice de cette activit
Le risque de souscription Sant couvre
le risque de souscription pour toutes les
garanties sant et accidents du travail ;
il se divise en trois sous modules :
sant long terme pratique sur une
base similaire celle de lassurance vie
(qui nexiste quen Allemagne et
Autriche), sant court terme et acci-
dents du travail.
IFACI
A
N
N
E
X
E
113
2.1
Risque de morta-
lit
Risque de perte, ou de changement dfavorable
de la valeur des engagements dassurance,
rsultant de fluctuations affectant le niveau,
lvolution tendancielle ou la volatilit des taux
de mortalit, lorsquune augmentation de ces
taux entrane une augmentation de la valeur
des engagements dassurance
Le risque de mortalit est le
risque que les assurs meurent
plus vite que ne le prvoyaient
les hypothses initiales. Il s'ap-
plique tous les engagements
pour lesquels les prestations
payer en cas de dcs excdent
les provisions techniques, et
pour lesquels une hausse de la
mortalit conduira donc une
augmentation des provisions
techniques.
2.2
Risque de long-
vit
de mortalit, lorsquune baisse de ces taux
entrane une augmentation de la valeur des
engagements dassurance.
Le risque de longvit s'ap-
plique aux contrats pour
lesquels une baisse de la
mortalit conduirait une
hausse des provisions tech-
niques, tels que les contrats de
retraite supplmentaire.
2.3
Risque dinvalidit
de morbidit
dinvalidit, de maladie et de morbidit
2.4 Risque de rachat
rsultant de fluctuations affectant le niveau ou
la volatilit des taux de cessation, dchance,
de renouvellement et de rachat des polices
2.5
Risque de
dpenses
lvolution tendancielle ou la volatilit des
dpenses encourues pour la gestion des
contrats dassurance ou de rassurance
2.6 Risque de rvision
de rvision applicables aux rentes, sous leffet
dun changement de lenvironnement juridique
ou de ltat de sant de la personne assure
2.7
Risque de catas-
trophe en sant
rsultant de lincertitude importante, lie aux
pidmies majeures et laccumulation inhabi-
tuelle de risques qui se produit dans ces
circonstances extrmes, qui pse sur les hypo-
thses retenues en matire de prix et de provi-
sionnement
2.8
Risque de primes
et de rserve en
sant
rsultant de fluctuations affectant la date de
survenance, la frquence et la gravit des
vnements assurs, ainsi que la date et le
montant des rglements de sinistres au
moment du provisionnement
Dans sous module NSLT :
pratiqu en Allemagne et
Autriche
IFACI
A
N
N
E
X
E
114
3
Risque de dfaut
ou de contrepartie
Le module risque de contrepartie
reflte les pertes possibles que pourrait
entraner le dfaut inattendu, ou la
dtrioration de la qualit de crdit, des
contreparties et dbiteurs de lentre-
prise dassurance ou de rassurance
durant les douze mois venir. Le
module risque de contrepartie
couvre les contrats dattnuation des
risques, tels que les accords de rassu-
rance, les titrisations et les instruments
drivs, et les paiements recevoir des
intermdiaires ainsi que tout autre
risque de crdit ne relevant pas du
sous-module risque li la marge . Il
prend en compte, de manire appro-
prie, les garanties ou autres srets
dtenues par lentreprise dassurance
ou de rassurance ou pour son compte,
et les risques qui y sont lis.
Le risque de dfaut ou de
contrepartie reprsente le risque quun
dbiteur ou une contrepartie de la
socit d'assurance ou de rassurance
nhonore pas ses engagements dans les
conditions initialement prvues.
4
Risque de sous-
cription en vie
vie reflte le risque dcoulant des
engagements dassurance vie, compte
tenu des prils couverts et des procds
appliqus dans lexercice de cette acti-
vit.
Le risque de souscription Vie regroupe
lensemble des risques li une tarifi-
cation insuffisamment prudente lors de
la souscription ou le rachat du contrat
(comprenant le risque de mortalit, de
longvit, de rachat, etc.).
IFACI
A
N
N
E
X
E
115
4.1
Risque de morta-
lit
de mortalit, lorsquune augmentation de ces
taux entrane une augmentation de la valeur
des engagements dassurance
4.2
Risque de long-
vit
de mortalit, lorsquune baisse de ces taux
entrane une augmentation de la valeur des
engagements dassurance.
4.3
Risque dinvalidit
de morbidit
dinvalidit, de maladie et de morbidit
4.4
Risque de
dpenses en vie
lvolution tendancielle ou la volatilit des
dpenses encourues pour la gestion des
contrats dassurance ou de rassurance.
4.5 Risque de rvision
de rvision applicables aux rentes, sous leffet
dun changement de lenvironnement juridique
ou de ltat de sant de la personne assure
4.7
Risque de catas-
trophe en vie
vnements extrmes ou irrguliers, qui pse
sur les hypothses retenues en matire de prix
et de provisionnement
IFACI
A
N
N
E
X
E
116
5
Risque de sous-
cription en non-
vie
non-vie reflte le risque dcoulant des
engagements dassurance non-vie,
compte tenu des prils couverts et des
procds appliqus dans lexercice de
cette activit. Il tient compte de lincer-
titude pesant sur les rsultats des
entreprises dassurance et de rassu-
rance dans le cadre de leurs engage-
ments dassurance et de rassurance
existants, ainsi que du nouveau porte-
feuille dont la souscription est attendue
dans les douze mois venir.
Le risque de souscription Non vie
reprsente le risque dassurance spci-
fique rsultant des contrats dassu-
rance. Il fait rfrence lincertitude
concernant les rsultats de la souscrip-
tion de lassureur (montants et dlais
de rglements des sinistres, taux de
primes ncessaires pour couvrir les
passifs, etc.).
6
Risque sur actifs
incorporels
Risque de perte, ou de changement
dfavorable de la situation financire,
rsultant de fluctuations affectant le
niveau ou la volatilit de la valeur des
actifs incorporels (logiciels, brevets,
marques, etc.) prsents au bilan de l'or-
ganisme d'assurance.
Le risque d'actifs incorporels porte sur
les actifs incorporels qui sont exposs
deux types de risques : le risque de
march et le risque interne inhrent
la nature mme de ces lments. Les
actifs incorporels reprsentent les actifs
immatriels de l'entreprise tels que le
"goodwill", les brevets, les licences, les
marques,
7
Risque opration-
nel
Le risque oprationnel est le risque de
perte rsultant de procdures internes
inadaptes ou dfaillantes, du person-
nel, des systmes ou dvnements
extrieurs. Il comprend galement les
risques juridiques, mais il exclut les
risques de rputation et les risques
rsultant de dcisions stratgiques. Le
module Risque oprationnel tient
compte des risques oprationnels non
explicitement couverts dans dautres
modules de risque. Le besoin en capital
pour couvrir le risque oprationnel est
calcul de faon forfaitaire.
IFACI
A
N
N
E
X
E
117
5.1
Risque de primes
et de rserve en
non-vie
rsultant de fluctuations affectant la date de
survenance, la frquence et la gravit des
vnements assurs, ainsi que la date et le
montant des rglements de sinistres
5.2
Risque de catas-
trophe en non-vie
vnements extrmes ou exceptionnels, qui
pse sur les hypothses retenues en matire de
prix et de provisionnement.
IFACI
A
N
N
E
X
E
118
ANNEXE 4
Exemple di mpact fi nanci er
Type deffets Description
Dprciation
(Write-down)
Dprciation dactifs dans les comptes suite un vnement de risque opra-
tionnel.
Par exemple : Vol au sein de la socit, fraude interne ou externe, erreur tarifaire
aboutissant un revers infrieur aux prvisions.
Ddommagements
(Compensation)
Paiements des tiers suite des vnements oprationnels dont la socit est
lgalement responsable.
Par exemple : Rclamations de clients suite un arrt dactivit de la socit ou
des erreurs tarifaires, intrts verss suite un retard dans un paiement, fraude
de salari sur compte client.
Cela ninclut pas la rduction du propre revenu de la socit en raison dun
arrt dactivit, les pertes rsultant dune atteinte la rputation de la socit.
Pertes de recours
(Loss of Recourse)
Pertes rsultant de lincapacit de la socit mettre en uvre des
rclamations / recours auprs dun tiers. La perte peut tre encourue quand un
tiers ne respecte pas ou ne peut pas respecter ses obligations, causes par un
vnement oprationnel.
Par exemple : Un double paiement fait un tiers qui ne peut pas tre rcupr.
Responsabilits
juridiques
(Legal Liability)
Frais encourus dans le cadre de litiges, de procs (y compris frais davocat,
rglements judiciaires, condamnations).
Par exemple : Rglements lamiable, cots juridiques et autres dpenses y
affrentes.
Cela ninclut pas les cots relatifs lamlioration de la documentation ou des
traitements.
Actions
rglementaires
(Regulatory Action)
Amendes ou rglements imposs par les autorits / organismes rglementaires
la suite dactions non conformes faites par la socit.
Par exemple : Amendes verses pour rgler des contraventions la rglementa-
tion, etc.
Cela ne comprend pas la perte de revenu suite la rvocation dune licence, les
honoraires davocat, etc., de recherche dun changement dune disposition
rglementaire qui serait favorable lentreprise.
Dpenses fiscales
(Tax Expenses)
Pertes encourues en raison de paiements dimpts supplmentaires auxquels la
socit doit faire face.
Par exemple : Pnalits fiscales ou taxes supplmentaires
Pertes ou dommages
sur des actifs
(Loss / Damage to Physical
Asset)
Dprciation des actifs corporels en raison de la survenance dun vnement
oprationnel (ngligence, incendie, accident, tremblement de terre).
Par exemple : Cots de remplacement du matriel vol ou endommag, cot de
la reprise immdiate dactivits, cots associs aux rparations des actifs ;
pertes de biens incorporels (donnes, etc.).
Cela ninclut pas les amliorations apportes au cours de la reconstruction
aprs un incendie, une inondation ou une catastrophe naturelle (amliorations
par rapport la situation initiale avant lvnement).
Autres cots ou pertes
(Other Losses and/or Costs)
Pertes et/ou cots non concerns par les natures prcdentes.
Par exemple : Cot des consultants externes / personnel temporaire pour
enquter ou rsoudre le problme, les cots de reproduction ou de remplace-
ment, etc.
Cela ninclut pas le temps consacr lanalyse et la rsolution de problmes,
les cots de support interne (support informatique, audit interne), lamliora-
tion des contrles de prvention, baisse de revenus en raison dun impact sur la
rputation.
IFACI
A
N
N
E
X
E
119
ANNEXE 5
Eval uat ion de l impact financier d un incident
Exemples dvnement et leur retranscription en termes dimpact financier
1) Passati on par pertes et profi ts de val eurs i mmobi l i ses sui te une destructi on d ac-
ti fs
Passation en compte de perte et profit de valeurs immobilises corporelles suite
une destruction dactifs, destruction de locaux et matriels suite un sinistre.
Cot externe de remise en ltat de valeurs immobilises suite une dgradation.
Passation en compte de perte et profit de valeurs immobilises incorporelles suite
labandon dun projet informatique.
Cot dachat ou de remise en ltat de biens non immobiliss suite une destruc-
tion ou un vol.
2) Di mi nuti on d acti fs due l a fraude, au vol ou une erreur d excuti on
Diminution dactifs due au vol, la fraude, aux activits non autorises, aux pertes
de march.
Passation en compte de perte et profit de suspens comptables rsultant de la surve-
nance dun risque oprationnel.
3) Perte sche due une sorti e de fonds non rcupre
Fonds transfrs par erreur, virements raliss en double et non rcuprs
auprs du bnficiaire.
Charges externes supplmentaires :
- cot de relogement temporaire des activits suite un sinistre,
- recours des intrimaires ou prestataires externes en situation de crise ou pour
rsoudre des problmes suite des dfaillances.
4) Perte sche l i e l a compensati on de ti ers en cas d erreur i mputabl e l organi sme
d assurance
Indemnisation du client ou intrts de retard verss une contrepartie, y compris
les avoirs sur factures et commissions.
Indemnisation et prises en charge en cas de responsabilit de lorganisme dassu-
rance sans quil soit en faute : indemnisation du personnel en cas daccident.
IFACI
A
N
N
E
X
E
120
5) Condamnati on payer et autres frai s j uri di ques
Condamnation payer et autres dommages et intrts attachs une procdure
judiciaire.
Cots juridiques attachs la procdure judiciaire (honoraires davocat, etc.).
6) Pnal i t ou amende rgl ementai re ou fi scal e
Pnalit ou amende rglementaire ou fiscale payer.
Intrts de retard fiscaux payer, dans tous les cas, que lentreprise se considre
dfaillante ou non (vnement externe).
Redressement fiscal correspondant limpt qui aurait d tre pay (TIMING
IMPACT).
7) Autres cots de trsoreri e
Cots de trsorerie lorsquils permettent de traduire leffet dune crise majeure et
fondent une demande dindemnisation (erreur dans les transferts de fonds, erreur
dans les livraisons de titres, erreur dans la mise en place de couvertures, etc.).
Augmentation des frais gnraux :
- cots de communication pour rsolution de crise,
- cots de reconstitution, rdition, rexpdition de documents.
Heures supplmentaires internes et astreintes consacres la rsolution dinci-
dents relevant du risque oprationnel.
8) Surcot i nterne de rparati on
Temps pass par le personnel affect la rsolution de dysfonctionnements dans le
cadre de lhoraire lgal (cot standard).
Surcot interne li linactivit : heures non travailles dues lindisponibilit des
locaux ou postes de travail.
9) Consquence posi ti ve d une erreur
Dnouement positif dune erreur de bourse suite une volution favorable des
cours.
Aut res cas
Manque gagner (non objectivement vrifiable) correspondant la perte doppor-
tunits commerciales lie la suspension temporaire dactivit (sanction ou inacces-
sibilit du site).
Manque gagner correspondant une perte de chiffre daffaires rcurrent, donc
prvisible et objectivement vrifiable suite une dfaillance des systmes dinforma-
tion ou un sinistre.
Exemple : panne prolonge ou rpte des applicatifs de souscription.
IFACI
A
N
N
E
X
E
121
Manque gagner correspondant des commissions dues mais non perues (dfaut
dans le processus de facturation ou de recouvrement)
Incident vit en labsence de contrle et sans consquence financire (voir
section 3.2.1 sur les quasi-pertes / near misses) :
- Erreur rattrape dans des dlais suffisants pour ne pas engendrer de pnalits ;
- Sommes verses par erreur mais rcupres dans les meilleurs dlais ;
- Fraude djoue.
Geste commercial ne venant pas compenser une erreur de lorganisme dassurance.
Dpassement de budget de projets.
IFACI
A
N
N
E
X
E
122
ANNEXE 6
I ll ust rati on Synt hse du processus de col lecte des vnements
Processus Tches Acteurs
Identification
des vnements
Notification de lvnement
Description de lvnement et de la
cause
Estimation des consquences finan-
cires
Dfinition de la catgorie du risque
li
Dclarant
S
e
r
v
i
c
e
s
o
p
r
a
t
i
o
n
n
e
l
s
Enregistrement et
validation des
vnements
(niveau 1)
Analyse des cas dclars
Enregistrement dans la base des
vnements / impacts ligibles la
collecte
Vrification compltude et qualit
Validation de la cohrence
Loss identifier
Loss Assessor
(superviseur)
C
o
n
t
r
l
e

i
n
t
e
r
n
e
C
o
n
t
r
l
e

p
e
r
m
a
n
e
n
t
Validation des
vnements
(niveau 2)
Consolidation des donnes
Validation des vnements dclars
Analyse et diffusion des donnes
Loss Approver
(valideur)
D
i
r
e
c
t
i
o
n
d
e
s

r
i
s
q
u
e
s
IFACI
A
N
N
E
X
E
123
ANNEXE 7
Di rect ive Sol vabil it I I (extrait s)
Directive du parlement europen et du conseil sur l'accs aux activits de l'assurance et de la
rassurance et leur exercice (Solvabilit II). Version consolide du 25 novembre 2009.
Article 13 - Dfinitions
30. risque de souscription : le risque de perte ou de changement dfavorable de la valeur
des engagements dassurance, en raison dhypothses inadquates en matire de tarifi-
cation et de provisionnement ;
31. risque de march : le risque de perte, ou de changement dfavorable de la situation
financire, rsultant, directement ou indirectement, de fluctuations affectant le niveau et
la volatilit de la valeur de march des actifs, des passifs et des instruments financiers ;
32. risque de crdit : le risque de perte, ou de changement dfavorable de la situation
financire, rsultant de fluctuations affectant la qualit de crdit dmetteurs de valeurs
mobilires, de contreparties ou de tout dbiteur, auquel les entreprises dassurance et de
rassurance sont exposes sous forme de risque de contrepartie, de risque li la marge
ou de concentration du risque de march ;
33. risque oprationnel : le risque de perte rsultant de procdures internes, de membres
du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs ;
34. risque de liquidit : le risque, pour les entreprises dassurance et de rassurance, de ne
pas pouvoir raliser leurs investissements et autres actifs en vue dhonorer leurs engage-
ments financiers au moment o ceux-ci deviennent exigibles ;
35. risque de concentration : toutes les expositions au risque qui sont assorties dun
potentiel de perte suffisamment important pour menacer la solvabilit ou la situation
financire des entreprises dassurance et de rassurance.
Article 41 - Exigences gnrales en matire de gouvernance
1. Les tats membres exigent de toutes les entreprises d'assurance et de rassurance
qu'elles mettent en place un systme de gouvernance efficace, qui garantisse une gestion
saine et prudente de l'activit.
IFACI
A
N
N
E
X
E
124
Ce systme comprend au moins une structure organisationnelle transparente adquate,
avec une rpartition claire et une sparation approprie des responsabilits, ainsi qu'un
dispositif efficace de transmission des informations. Il satisfait aux exigences nonces
aux articles 42 49.
Le systme de gouvernance fait l'objet d'un rexamen interne rgulier.
2. Le systme de gouvernance est proportionn la nature, lampleur et la complexit
des oprations de lentreprise dassurance ou de rassurance.
3. Les entreprises dassurance et de rassurance disposent de politiques crites concernant
au moins leur gestion des risques, leur contrle interne, leur audit interne et, le cas
chant, la sous-traitance. Elles veillent ce que ces politiques soient mises en uvre.
Ces politiques crites sont rexamines au moins une fois par an. Elles sont soumises
lapprobation pralable de lorgane dadministration, de gestion ou de contrle et elles
sont adaptes compte tenu de tout changement important affectant le systme ou le
domaine concern.
4. Les entreprises dassurance et de rassurance prennent des mesures raisonnables afin de
veiller la continuit et la rgularit dans laccomplissement de leurs activits, y
compris par llaboration de plans durgence. cette fin, elles utilisent des systmes, des
ressources et des procdures appropris et proportionns.
5. Les autorits de contrle disposent des moyens, mthodes et pouvoirs appropris pour
vrifier le systme de gouvernance des entreprises dassurance et de rassurance et pour
valuer les risques mergents dtects par ces entreprises et susceptibles daffecter leur
solidit financire.
Les tats membres veillent ce que les autorits de contrle disposent des pouvoirs
ncessaires pour exiger que le systme de gouvernance soit amlior et renforc de faon
satisfaire aux exigences nonces aux articles 42 49.
Article 44 - Gestion des risques.
1. Les entreprises dassurance et de rassurance mettent en place un systme de gestion des
risques efficace, qui comprenne les stratgies, processus et procdures dinformation
ncessaires pour dceler, mesurer, contrler, grer et dclarer, en permanence, les risques,
aux niveaux individuel et agrg, auxquels elles sont ou pourraient tre exposes ainsi
que les interdpendances entre ces risques. Ce systme de gestion des risques est efficace,
parfaitement intgr la structure organisationnelle et aux procdures de prise de dci-
sion de lentreprise dassurance ou de rassurance et dment pris en compte par les
personnes qui dirigent effectivement lentreprise ou qui occupent dautres fonctions cls.
IFACI
A
N
N
E
X
E
125
2. Le systme de gestion des risques couvre les risques prendre en considration dans le
calcul du capital de solvabilit requis conformment larticle 101, paragraphe 4, ainsi
que les risques nentrant pas ou nentrant pas pleinement dans ce calcul.
Le systme de gestion des risques couvre au moins les domaines suivants :
a) la souscription et le provisionnement ;
b) la gestion actif-passif ;
c) les investissements, en particulier dans les instruments drivs et engagements simi-
laires ;
d) la gestion du risque de liquidit et de concentration ;
e) la gestion du risque oprationnel ;
f) la rassurance et les autres techniques dattnuation du risque.
Les politiques crites concernant la gestion des risques vises larticle 41, paragraphe 3,
comprennent des politiques concernant le deuxime alina, points a) f), du prsent
paragraphe.
3. En ce qui concerne le risque dinvestissement, les entreprises dassurance et de rassu-
rance dmontrent quelles satisfont aux dispositions du chapitre VI, section 6.
4. Les entreprises dassurance et de rassurance prvoient une fonction de gestion des
risques, qui est structure de faon faciliter la mise en uvre du systme de gestion des
risques.
5. Pour les entreprises dassurance et de rassurance utilisant un modle interne partiel ou
intgral qui a t approuv conformment aux articles 112 et 113, la fonction de gestion
des risques recouvre les tches supplmentaires suivantes :
a) conception et mise en uvre du modle interne ;
b) test et validation du modle interne ;
c) suivi documentaire du modle interne et de toute modification qui lui est apporte ;
d) analyse de la performance du modle interne et production de rapports de synthse
concernant cette analyse ;
e) information de lorgane dadministration, de gestion ou de contrle concernant la
performance du modle interne en suggrant des lments amliorer, et communi-
cation cet organe de ltat davancement des efforts dploys pour remdier aux
faiblesses prcdemment dtectes.
Article 45 - valuation interne des risques et de la solvabilit
1. Dans le cadre de son systme de gestion des risques, chaque entreprise dassurance et de
rassurance procde une valuation interne des risques et de la solvabilit.
IFACI
A
N
N
E
X
E
126
Cette valuation porte au moins sur les lments suivants :
a) le besoin global de solvabilit, compte tenu du profil de risque spcifique, des limites
approuves de tolrance au risque et de la stratgie commerciale de lentreprise ;
b) le respect permanent des exigences de capital prvues au chapitre VI, sections 4 et 5,
et des exigences concernant les provisions techniques prvues au chapitre VI, section
2 ;
c) la mesure dans laquelle le profil de risque de lentreprise scarte des hypothses qui
sous-tendent le capital de solvabilit requis prvu larticle 101, paragraphe 3,calcul
laide de la formule standard conformment au chapitre VI, section 4, sous-section
2, ou avec un modle interne partiel ou intgral conformment au chapitre VI, section
4, sous-section 3.
2. Aux fins du paragraphe 1, point a), lentreprise concerne met en place des procdures
qui sont proportionnes la nature, lampleur et la complexit des risques inhrents
son activit et qui lui permettent didentifier et dvaluer de manire adquate les
risques auxquels elle est expose court et long terme, ainsi que ceux auxquels elle est
expose, ou pourrait tre expose. Lentreprise dmontre la pertinence des mthodes
quelle utilise pour cette valuation.
3. Dans le cas vis au paragraphe 1, point c), lorsquun modle interne est utilis, lvalua-
tion est effectue paralllement au recalibrage qui aligne les rsultats du modle interne
sur la mesure de risque et le calibrage qui sous-tendent le capital de solvabilit requis.
4. Lvaluation interne des risques et de la solvabilit fait partie intgrante de la stratgie
commerciale et il en est tenu systmatiquement compte dans les dcisions stratgiques
de lentreprise.
5. Les entreprises dassurance et de rassurance procdent lvaluation vise au para-
graphe 1 sur une base rgulire et immdiatement la suite de toute volution notable
de leur profil de risque.
6. Les entreprises dassurance et de rassurance informent les autorits de contrle des
conclusions de chaque valuation interne des risques et de la solvabilit, dans le cadre des
informations fournir en vertu de larticle 35.
7. Lvaluation interne des risques et de la solvabilit ne sert pas calculer un montant de
capital requis. Le capital de solvabilit requis nest ajust que conformment aux articles
37, 231 233 et 238.
IFACI
A
N
N
E
X
E
127
ANNEXE 8
Dcret n2006-287 du 13 mars 2006 rel ati f au contrle interne des
entreprises d' assurance et modi fiant l e Code des assurances (ext rai ts)
Les entreprises dassurance doivent rendre compte dans une premire partie des conditions
de prparation et dorganisation des travaux du Conseil de surveillance, et dans une seconde
partie les procdures de contrle interne mises en place.
La seconde partie de ce rapport dtaille donc :
a) Les objectifs, la mthodologie, la position et l'organisation gnrale du contrle
interne au sein de l'entreprise ; les mesures prises pour assurer l'indpendance et l'ef-
ficacit du contrle interne et notamment la comptence et l'exprience des quipes
charges de le mettre en uvre, ainsi que les suites donnes aux recommandations
des personnes ou instances charges du contrle interne ;
b) Les procdures permettant de vrifier que les activits de l'entreprise sont menes
selon les politiques et stratgies tablies par les organes dirigeants et les procdures
permettant de vrifier la conformit des oprations d'assurance aux dispositions
lgislatives et rglementaires ;
c) Les mthodes utilises pour assurer la mesure, l'valuation et le contrle des place-
ments, en particulier en ce qui concerne l'valuation de la qualit des actifs et de la
gestion actif-passif, le suivi des oprations sur instruments financiers terme et l'ap-
prciation des performances et des marges des intermdiaires financiers utiliss ;
d) Le dispositif interne de contrle de la gestion des placements, ce qui inclut la rpar-
tition interne des responsabilits au sein du personnel, les personnes charges d'ef-
fectuer les transactions ne pouvant tre galement charges de leur suivi, les
dlgations de pouvoir, la diffusion de l'information, les procdures internes de
contrle ou d'audit ;
e) Les procdures et dispositifs permettant d'identifier, d'valuer, de grer et de contr-
ler les risques lis aux engagements de l'entreprise et de dtenir des capitaux suffi-
sants pour ces risques, ainsi que les mthodes utilises pour vrifier la conformit des
pratiques en matire d'acceptation et de tarification du risque, de cession en rassu-
rance et de provisionnement des engagements rglements la politique de l'entre-
prise dans ces domaines, dfinie dans les rapports mentionns l'article L. 322-2-4
et l'article R. 336-5 ;
f) Les mesures prises pour assurer le suivi de la gestion des sinistres, le suivi des filiales,
la matrise des activits externalises et des modes de commercialisation des produits
de l'entreprise, et les risques qui pourraient en rsulter ;
g) Les procdures d'laboration et de vrification de l'information financire.
Dcret n 2006-287 du 13 mars 2006 relatif au contrle interne des entreprises d'assurance
et modifiant le code des assurances (partie rglementaire)
IFACI
A
N
N
E
X
E
128
ANNEXE 9
Dcret n2008-468 du 19 mai 2008 relat if au cont rle i nt erne des
inst it uti ons de prvoyance, des mut uelles et de l eurs unions
Art. R. 931-43.- L'institution ou l'union est tenue de mettre en place un dispositif permanent
de contrle interne. Le conseil d'administration approuve, au moins annuellement, un
rapport sur le contrle interne, qui est transmis l'Autorit de contrle des assurances et des
mutuelles.
1 La premire partie de ce rapport dtaille les conditions de prparation et d'organisation
des travaux du conseil d'administration et, le cas chant, les pouvoirs ncessaires la gestion
de l'institution ou de l'union dlgus au directeur gnral par le conseil d'administration
dans le cadre de l'article R. 931-3-11.
2 La seconde partie de ce rapport dtaille :
a) Les objectifs, la mthodologie, la position et l'organisation gnrale du contrle
interne au sein de l'institution ou de l'union ; les mesures prises pour assurer l'indpen-
dance et l'efficacit du contrle interne et notamment la comptence et l'exprience des
quipes charges de le mettre en uvre, ainsi que les suites donnes aux recommanda-
tions des personnes ou instances charges du contrle interne ;
b) Les procdures permettant de vrifier que les activits de l'institution ou de l'union
sont conduites selon les politiques et stratgies tablies par les organes dirigeants et les
procdures permettant de vrifier la conformit des oprations d'assurance aux disposi-
tions lgislatives et rglementaires ;
c) Les mthodes utilises pour assurer la mesure, l'valuation et le contrle des place-
ments, en particulier en ce qui concerne l'valuation de la qualit des actifs et de la
gestion actif-passif, le suivi des oprations sur instruments financiers terme et l'appr-
ciation des performances et des marges des intermdiaires financiers utiliss ;
d) Le dispositif interne de contrle de la gestion des placements, ce qui inclut la rpar-
tition interne des responsabilits au sein du personnel, les personnes charges d'effectuer
les transactions ne pouvant tre galement charges de leur suivi, les dlgations de
pouvoir, la diffusion de l'information, les procdures internes de contrle ou d'audit ;
e) Les procdures et dispositifs permettant d'identifier, d'valuer, de grer et de contr-
ler les risques lis aux engagements de l'institution ou de l'union et de dtenir des capi-
taux suffisants pour ces risques, ainsi que les mthodes utilises pour vrifier la
conformit des pratiques en matire d'acceptation et de tarification du risque, de cession
en rassurance et de provisionnement des engagements rglements la politique de
l'institution ou de l'union dans ces domaines, dfinie dans le rapport mentionn l'arti-
cle L. 322-2-4 du code des assurances ;
IFACI
A
N
N
E
X
E
129
f) Les mesures prises pour assurer le suivi de la gestion des sinistres, le suivi des filiales,
la matrise des activits externalises et des modes de commercialisation des produits de
l'institution ou de l'union, et les risques qui pourraient en rsulter ;
g) Les procdures d'laboration et de vrification de l'information financire et comp-
table.
Dcret n 2008-468 du 19 mai 2008 relatif au contrle interne des institutions de prvoyance,
des mutuelles et de leurs unions
IFACI
A
N
N
E
X
E
130
ANNEXE 10
Exemples de reporti ng
10.1 Cart e des risques pri ori t ai res met tre sous cont rl e
Zone 3 : action de
surveillance
Zone 2 : action d'amlioration Zone 1 : action prioritaire
Risque 16
Risque 14
Risque 7
Risque 4
Risque 2
Risque 17
Risque 12
Risque 3
Risque 18
Risque 13
Risque 10
Risque 6
Risque 8
Risque 15
Risque 1
Risque 5
Risque 11
Synthse des risques rsiduels consolidation
Risque 9
IFACI
A
N
N
E
X
E
131
10. 2 Exemple FERMA
Table - Description des risques
1. Nom du risque
2. Porte du risque
Description qualitative des vnements, taille, type, nombre et interd-
pendances
3. Nature du risque
En gnral stratgique, oprationnelle, financire, lie aux connais-
sances ou la conformit
4. Parties prenantes Parties prenantes et leurs attentes
5. Qualification du risque Importance et probabilit
6. Tolrance / apptence pour
le risque
Perte potentielle et impact financier du risque
Valeur risque
Probabilit et amplitude des gains / pertes potentielles
Objectif(s) de la matrise des risques et niveau dsir de performance
7. Traitement du risque &
mcanismes de matrise
Principaux moyens par quoi le risque est actuellement gr
Degr de confiance dans les moyens de matrise en place
Identification des protocoles pour la surveillance des risques et leur
examen
8. Actions damlioration
possibles
Recommandations pour rduire le risque
9. Dveloppement de la strat-
gie et de la politique face au
risque
Identification de la fonction responsable de dvelopper la stratgie et la
politique face ce risque
Cadre de rfrence de la gestion des risques / FERMA (2003)
IFACI
A
N
N
E
X
E
132
10. 3 Cont rl es proporti onns l a mat uri t du ni veau de ma t rise des ri sques
Cette valuation peut par exemple sorienter selon les critres suivants :
Niveau de maturit dun SCI (extrait de Mise en place dun systme de contrle interne
(SCI), 2
e
d. / Contrle fdral des finances suisse. p. 14).
Peu fable
Niveau 1
Informel
Niveau 2
Standardis
Niveau 3
Surveill
Niveau 4
Optimis
Niveau 5
les activits du SCI sont harmonises avec dautres fonctions de contrle. La
gestion des risques et le SCI sont exploits comme un systme intgr. Les
activits de contrle sont largement automatises et lutilisation doutils
permet des ajustements rapides lorsque les conditions voluent.
les principes dexploitation du SCI sont dcrits de manire dtaille. Lexcution
des activits de contrle est surveille rgulirement et la traabilit assure.
Les contrles sont adapts en permanence aux risques et la documentation
est tenue jour. Une fois par an, la direction reoit un rapport sur lvaluation
du SCI (efcacit, traabilit, efcience). Les activits de contrle sont
documentes selon un processus standardis. Un responsable SCI coordonne
et surveille les activits de contrle.
des principes simples dexploitation du SCI sont dfnis. Les processus
(activits et contrles) sont documents. La traabilit des contrles efectus
est assure. Les contrles sont rgulirement ajusts lorsque les risques
voluent. Une formation de base des collaborateurs a t organise.
des contrles internes existent mais ils ne sont pas standardiss. Les contrles
existants ne sont existants ne sont excuts que rarement ou ne le sont pas du
tout. Ils dpendent fortement des personnes ; il ny a ni formation, ni
communication les concernant.
il nexiste pas ou pratiquement pas de contrles internes. Selon les
circonstances, les contrles existants sont peu fables.
IFACI
A
N
N
E
X
E
133
Evolution dun SCI (extrait de Mise en place dun systme de contrle interne
(SCI), 2
e
d. / Contrle fdral des finances suisse. p. 15).
Informel
Niveau 2
Standardis
Niveau 3
Surveill
Niveau 4
Optimis
Niveau 5
Q
u
a
l
i
t
Temps
A
B
C
Exigence de qualit en matire de SCI
Processus avec une valuation continue de la qualit du contrle
Contrles ponctuels (processus damlioration non integr)
Afaiblissement normal de la qualit du contrle auf fl du temps
A
B
C
Peu fable
Niveau 1
IFACI
A
N
N
E
X
E
134
1- Minor
2- Signifcant
3- Major
4- Critical
4- Likely
3- Possible
2- Rare
1- Unlikely
0
20
40
60
80
100
120
140
20
33
8
8
9
7
29
41
44
44
43
13
5
1
46
10. 4 Il lust rat ion
L = risque faible, gr par les
procdures en place
Limpact sur latteinte des objectifs nest pas proccupant, le risque
est sous contrle.
M = risque modre, un suivi
spcifique doit tre organis
Limpact sur latteinte des objectifs est limit. Des actions doivent tre
entreprises mais ne sont pas urgentes.
S = risque significatif, une alerte
au senior management est nces-
saire
Limpact sur latteinte des objectifs est significatif. Ncessit de pren-
dre des actions immdiates pour limiter le risque.
H = risque lev, action imm-
diate requise
Limpact sur latteinte des objectifs est dune telle ampleur que les
objectifs ne seront trs probablement pas atteints. Ncessit de pren-
dre des actions immdiates pour limiter le risque, et alerter la direc-
tion.
IFACI 135
BI BLI OGRAPHI E
Lgislation
Directive 2009/138/CE du Parlement europen et du conseil 25 novembre 2009 sur laccs aux
activits de lassurance et de la rassurance et leur exercice (Solvabilit II)
Dcret n 2008-468 du 19 mai 2008 relatif au contrle interne des institutions de prvoyance,
des mutuelles et de leurs unions
Dcret n 2006-287 du 13 mars 2006 relatif au contrle interne des entreprises d'assurance et
modifiant le code des assurances (partie rglementaire)
Loi n 2003-706 du 1
er
aot 2003 de scurit financire. 2003
Public law 107-204 [Sarbanes-Oxley Act]. 2002
Loi n 2001-420 du 15 mai 2001 relative aux nouvelles rgulations conomiques
Rglement n 97-02 du 21 fvrier 1997 relatif au contrle interne des tablissements de crdit
et des entreprises dinvestissement
Code des assurances
Code de la scurit sociale
Code de la mutualit
Rfrentiel
Internal Control-Integrated Framework / COSO. - 2013. [version franaise attendue pour dbut
2014]
Trois lignes de matrise pour une meilleure performance : fiabiliser la stratgie par une gestion
organise des risques / AMRAE, IFACI. [ paratre en 2013].
IIA position paper: The Three Lines of Defense in Effective Risk Management and Control / IIA.
2013.
Prise de position de l'IIA : Les trois lignes de matrise pour une gestion des risques et une
contrle efficaces / IIA, IFACI, trad. 2013.
Guidance on the 8
th
EU company law directive: Part 2: implementing the 8
th
EU company law
directive / ECIIA ; FERMA. 2011.
Guidance on the 8t
h
EU company law directive: Article 41 / ECIIA ; FERMA. 2010.
Les Dispositifs de gestion des risques et de contrle interne : Cadre de rfrence. / AMF. 2010.
Management du risque - Principes et lignes directrices : Norme internationale ISO 31000:2009
/ ISO. 2009.
Gestion des risques - Techniques d'valuation des risques : Norme internationale ISO
31010:2009 / ISO. 2009.
Le Dispositif de contrle interne : cadre de rfrence : Rsultats des travaux du Groupe de Place
tabli sous l'gide de l'AMF. IFACI, 2007.
Le Management des risques de l'entreprise : Cadre de rfrence - techniques d'application :
COSO II report / IFACI ; Price Waterhouse Coopers ; Landwell& Associs. Ed. d'organisation,
2005.
Cadre de rfrence de la Gestion des Risques (2003) / AIRMIC ; ALARM ; IRM : FERMA, trad.
2003.
IFACI 136
R
a
l
i
s
a
t
i
o
n

:

E
b
z
o
n
e

C
o
m
m
u
n
i
c
a
t
i
o
n

(
w
w
w
.
e
b
z
o
n
e
.
f
r
)
Monographies
Slectionner un outil informatique pour les services daudit et de contrle internes : un vritable
projet [Cahier de la Recherche]/ Unit de Recherche Informatique de lIFACI. IFACI, 2013.
Explanatory text on the proposal for guidelines on the system of governance / EIOPA. 2013.
Rapport annuel 2012 / ACP 2013.
Guide 73:2009 : Management du risque Vocabulaire / ISO. 2013.
Enterprise Risk Management: Understanding and Communicating Risk Appetite. COSO,
2012.
Rapport annuel 2011 / ACP. 2012.
Grer les risques sous solvabilit 2 / Dan Chelly ; Gildas Robert. Argus de lassurance, 2012.
La Dlgation de gestion en assurances de personnes : pistes pour un contrle interne efficace
[Cahier de la Recherche] / Unit de Recherche de lIFACI. IFACI, 2012.
L'Efficacit des conseils d'administration : les meilleures pratiques / IIA ; traduit de l'anglais par
IFACI et PWC. Paris : IFACI, 2012.
Board effectiveness: What works best, 2
nd
ed. / Catherine L. BROMILOW ; et al.. IIA, 2011.
L'Efficacit des comits d'audit : les meilleures pratiques / traduit de l'anglais par IFACI et
PWC. IFACI, 2011.
Audit committee effectiveness: What works best, 4
th
ed.. / Catherine L. BROMILOW ; et al..
IIA, 2011.
Solvency II: consultation paper on the proposal for guidelines on own risk and solvency assess-
ment [CP 008/2011]. CEIOPS, 2011.
Prise de position IFA - IFACI sur le rle de l'audit interne dans le gouvernement d'entreprise :
Mai 2009 / Groupe de travail IFA - IFACI. IFACI, 2009.
Le rle de l'audit interne dans le gouvernement d'entreprise / IFA ; IFACI. IFACI, 2009.
Le rle de l'administrateur dans la matrise des risques / IFA ; AMRAE. IFA, 2009.
CEIOPS Advice for Level 2 Implementing Measures on Solvency II: Supervisory Reporting and
Public Disclosure Requirements (former Consultation Paper 58) / CEIOPS. 2009.
La gestion des risques, 2
e
d. / Olivier Hassid. Dunod, 2008.
Mise en place dun systme de contrle interne (SCI), 2
e
d. / Contrle fdral des finances
suisse. 2007.
GTAG 6 : Grer et auditer les vulnrabilits des technologies de linformation / Sasha ROMA-
NOSKY ; et al. . IIA ; IFACI, 2006.
La cartographie des risques [Cahier de la Recherche] / Groupe Professionnel Assurance de
lIFACI. IFACI, 2006.
Priodiques
Les Outils informatiques au service des auditeurs et des contrleurs internes : Leurs fonction-
nalits et leurs atouts. Audit & Contrle internes , n212 dcembre 2012.

3 CDR Carto Assurances 2 Vdef PDF

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

3 CDR Carto Assurances 2 Vdef PDF

Hochgeladen von

Copyright:

Verfügbare Formate

2

Das könnte Ihnen auch gefallen