Cartographie - Des - Risques (Opérat Risk)

Juillet 2008 JJ Mois Anne
laborer une Cartographie des risques Pourquoi, pour qui et comment ?
Ralis par : Hassan EL AMRANI
Sommaire
1. Le systme de contrle interne et sa place dans les AMC
Dfinition et objectif du C.I Principes fondamentaux du C.I Obligation de disposer du C.I Architecture du dispositif du C.I Obligation stricte de documentation et dinformation Les risques couvrir par le C.I
2. Rglementation Ble 2 et risques oprationnels

Focus sur les risques oprationnels Approche de couverture des risques
3. Cartographie des risques

Objectifs et attentes Dfinition de la cartographie des risques Utilisateurs de la cartographie Les fondements de lapproche Rfrentiels utiliss tapes cls Acteurs de la cartographie tapes dlaboration Cls de russite cueils viter
Juillet 2008 La Cartographie des risques
Objectifs du sminaire
Dvelopper le sens de la matrise des risques,
Apprhender les composantes du Dispositif du Contrle Interne,
Acqurir la mthodologie dlaboration de la Cartographie des risques,
Assimiler les techniques dvaluation du niveau dexposition aux risques,
valuer limpact de la gestion des risques sur la tarification et la mesure de la rentabilit.
Juillet 2008
La Cartographie des risques
Le systme de contrle interne & sa place dans lAMC
1. Pourquoi un Dispositif de Contrle Interne?
2. Quel est son primtre?
3. De quoi est-il compos?
Juillet 2008
Dfinition et objectifs du contrle interne
Dfinition : Le contrle interne est dfini comme lensemble des dispositifs visant la matrise des activits et des risques de toute nature, permettant la rgularit (au sens du respect de la rglementation externe et interne), la scurit et lefficacit des oprations.
Juillet 2008
Dfinition et objectifs du contrle interne
Le dploiement du dispositif de contrle interne rpond aux principaux objectifs suivant : Sassurer de la conformit aux lois et rglements et aux normes internes, Sassurer de la qualit de linformation comptable et financire, Prvenir et dtecter les fraudes et les erreurs, Veiller la performance financire, Porter la connaissance de la Direction Gnrale des donnes exhaustives, prcises et rgulires ncessaires la prise de dcision et la gestion des risques.
Juillet 2008
Principes fondamentaux du contrle interne
Implication direct de lorgane excutif dans lorganisation et le fonctionnement du dispositif du contrle interne, Responsabilit de lensemble des acteurs, Couverture exhaustive des activits et des risques, Dfinition claire des tches, de sparation effective des fonctions dengagements et de contrle,
Juillet 2008
Principes fondamentaux du contrle interne
Processus de dcision fond sur les dlgations formalises et jour comportant un double regard pour tout engagement significatif de quelque nature quil soit, pouvant se traduire par la ncessit dun accord pralable ou dun avis, le cas chant, de la part des fonctions de contrle ( ex :Nouvelles activits ou nouveau produits), Normes et procdures, Dploiement de fonctions de contrle spcialises, Information de lorgane dlibrant (Conseil de surveillance : stratgie et politique de risque limites globales oprationnelles fixes aux prises de risques, suivi de limites, activits, rsultats des contrles permanent et priodique )
Juillet 2008
Obligation de disposer du contrle interne
Disposer dun contrle interne est une obligation rglementaire dicte par : Comit de Ble de la BRI, Rglement CRBF 97-02 modifi en juin 2007(Applicable lensemble des filiales de banques et aux organismes de crdits franais), Circulaire BAM n40/G/2007 relative au Contrle Interne des tablissements de crdit.
Juillet 2008
Cette obligation a t renforce compter du 1er janvier 2006 en France et partir du mois daot 2007 au Maroc : Extension du dispositif de contrle interne aux activits essentielles externalises, Confirmation du rle primordial des managers et de leurs quipes dans les contrles permanents oprationnels. Il constitue un instrument de gestion et de matrise de lensemble des risques encourus.
Juillet 2008
10
Son rle doit tre : efficace, se concevoir sur base consolide, stendre aux succursales ltranger, concourir la fiabilit des tats financiers. Pour tre efficace, il faut que les systmes de contrle des oprations et des procdures : soient adapts au activits et la taille, aux implantations et aux risques, respectent certains principes comme la sparation des fonctions, lutilisation de moyens adapts (qualitatifs et quantitatifs), le rexamen priodique de la pertinence des systmes, une dure limite du cycle dinvestigations
Juillet 2008
11
Les rglementations imposent aux tablissements de crdits et aux entreprises dinvestissement :
Une obligation de moyens Mise en place dun dispositif
Une obligation de rsultat Dispositif adapt et efficace
Juillet 2008
12
Architecture du dispositif de contrle interne
Les quatre composantes essentielles du dispositif du contrle interne sont : Une organisation comptable et du traitement de linformation (comptabilit, systme dinformation),
Un systme de documentation et dinformation (procdures, reportings),
Un systme de mesure et de surveillance des risques et des flux,
Un systme de contrle qui comprend des contrles permanents, des contrles de conformit ainsi que des contrles priodiques.
13
Le systme de contrle inclut toutes les vrifications ralises tous les niveaux de lentreprise par lensemble des collaborateurs. Il a pour objectif de vrifier lexistence, ladquation et lefficacit du contrle interne et permet den apporter une justification probante. Il vise galement lamlioration constante de ce dispositif par la mise en uvre dactions correctrices appropries.
Juillet 2008
14
Juillet 2008
15
Il faut notamment 3 niveaux de contrles :
Permanent de 1er degr (au sein des units),
Permanent de 2me degr (units spcialises),
Priodiques (contrle des contrles),
Juillet 2008
16
Juillet 2008
17
Le contrle permanent est assur : Au 1er degr, de faon courante linitiation dune opration et en cours de validation de lopration, par les oprateurs, la hirarchie au sein de lunit ou par les systmes automatiss de traitement des oprations, Au 2me degr - 1er niveau, aprs validation de lopration, par des agents distincts de ceux ayant engag lopration, pouvant exercer des activits oprationnelles, Au 2me degr - 2me niveau, par des agents exclusivement ddis, sans pouvoir dengagement impliquant une prise de risque. Le contrle priodique (3me degr) : Vrifications ponctuelles de toutes les activits et fonctions de lentreprise y compris le contrle permanent et le contrle de la conformit par une unit indpendante (Audit Inspection).
Juillet 2008
18
Obligations strictes de documentation et dinformation
Ncessaire formalisation des procdures et documentation des programmes,
Mise disposition de tableaux de bord sur les risques et tats de synthse sur la mesure des risques,
Centralisation des informations chez le responsable des Contrles Permanents

19
Les risques couvrir par le contrle interne
Les risques prendre en compte au titre de la rglementation sont : Risque de crdit, y compris le risque de concentration et le risque rsiduel, Risques de march, Risques financiers structurels (risques de taux dintrt global, risque de liquidit intraday, et risque rglement/ livraison), Risques oprationnels (y compris le plan de continuit des activits, scurit des moyens de paiements, externalisation), Risques de non-conformit, Risques juridiques. Le risque dimage et le risque stratgique bien quils ne soient pas intgrs dans les rglementations, ils doivent faire lobjet dune surveillance particulire compte tenu de leurs impacts financiers sous-jacents et de leurs consquences.
Juillet 2008
20
Les banques est les tablissements de crdits sont principalement soumis aux risques de crdit, de march et aux risques oprationnels : Le risque de crdit se dfinit comme lincertitude dune contrepartie daccomplir ses obligations. Ce risque existe pour toute crance client. Le risque de march, existe ds quun portefeuille est expos aux fluctuations des paramtres des marchs. Le risque oprationnel quant lui se divise en deux catgories : risques endognes et risques exognes. Les premiers sont internes ltablissement et comprennent les risques humains (erreurs doprateur de saisie par exemple), inhrents au processus (cas ou il ny a pas de mcanisme de gestion de crise dans le processus) ou inhrents au systme lui-mme (cas de systme dinformation indisponible pendant un jour par exemple). Les seconds sont externes lactivit (incendie dans les locaux, inondation des salles serveurs)
Juillet 2008
21
Le tableau suivant reprend les principales catgories de risques et les causes de leurs survenances :
TYPES DE RISQUES
RISQUES DE CREDIT RISQUES DE MARCHE RISQUES OPERATIONNELS STRATEGIES/ BUSINESS & REPUTATION
EXTERNES
Dfaut de paiement des: - Clients - Contreparties - Emetteurs - ...
Evolution dfavorable des conditions de march : - Taux / Change - Actions - Matires premires - Immobilier - ...
Survenance dvnements extrieurs: -Tiers

fraudes, malversations, contestations de crances de bonne ou de mauvaise foi, dfaillance des prestataires de services, grves des transports ...
Evolution dfavorable des volumes dactivit ou de la conjoncture conomique
- Evolution de lenvironnement gopolitique, lgal, fiscal ou rglementaire

changement de la rglementation lgale ou prudentielle, volatilit des marchs
CAUSES DE RISQUES
- Accidents & dprdations

incendies, inondations, pannes externes de courant ou des tlcommunications ...
Inadaptation ou dfaillance: - De lorganisation ou des procdures non sparation des tches, processus dcisionnel inadapt, inexistence ou inefficience des procdures ... - Des collaborateurs erreurs, ngligences, malveillances, comportements rprhensibles, non respect des procdures, perte de savoir-faire ... - Des systmes dinformation indisponibilit des systmes dinformation ou des communications internes, erreurs de traitement...
Conduite dune stratgie dont la rentabilit ne savre pas optimale compte tenu des fonds propres engags
INTERNES
Juillet 2008
22
Exemples dvnements majeurs :

Jan 06 IAS/IFRS CRBF 97-02 CRBF 01-01 Juil 02 Sarbanes Oxley Act Aot 03 Loi Scurit Financire
85>95 Sumitomo $ 2,6 bn
1995 Barings $ 1,3 bn 1995 Orange Country $ 1,6 bn 2001 AIB $ 691 m
2001 Enron $ 63 bn
2003 Parmalat 10 bn
1988 Ratio Cooke (Ble I)
Juin 99 A new Capital Adequacy Framework
Avril 03 Consultative paper 3
Juin 04 Texte dfinitif ?
Jan 07 Mise en place Ble II
Juillet 2008
23
Rglementation Ble 2 / Risques Oprationnels

Focus sur les Risques Oprationnels
Dfinition rglementaire du Risque Oprationnel

Le Risque Oprationnel (RO) est le risque de perte: rsultant de linadaptation ou de la dfaillance de procdures, personnes, systmes internes, ou rsultant dvnements externes (catastrophe, incendie, agressions, changement de lois ou de rglementations, etc.), lexclusion du risque de rputation* et du risque stratgique.
Le Risque Oprationnel est dfini pour la premire fois par la rglementation comme un risque part entire. Selon les enqutes ralises par le Comit de Ble en 2001 auprs de 89 tablissements bancaires, il se situerait en deuxime position quant son importance en exigence de fonds propres soit : aprs le risque de crdit, mais avant le risque de march.
* Le risque dimage est toutefois inclus dans la dfinition des risques oprationnels de certaines institutions.
Juillet 2008
24

les risques oprationnels sont dcomposs par le comit de Ble en sept catgories de risques:
Fraude interne ; Fraude externe ; Pratiques en matire demploi et de scurit ; Clients, produits et pratiques commerciales ; Dommages aux actifs corporels ; Dysfonctionnement de lactivit et des systmes ; Excution, livraison et gestion des processus.
Juillet 2008
25

Cette dcomposition institue une approche diffrente, base sur des vnements gnrateurs de pertes, et non plus sur des types de risques comme cela tait le cas auparavant.
26

Exemples dvnements
Catgories de risques Ble II

Fraude interne
Dlit diniti (intentionnel)
Inadaptation de la rmunration variable
Fraude externe
Dfaut de connaissance du client Dfaut de conseil Violation du secret professionnel Pratiques discriminatoires envers des clients Manipulation des marchs
Gestion des RH Clients, Produits, et Pratiques commerciales Dommages & Sinistres Systmes d information Traitements & Procdures
Non respect dun embargo Inexactitude des dclarations rglementaires
Juillet 2008
27

Approche de couverture des Risques Oprationnels
Nouvelle rglementation Ble 2 identifiant le Risque Oprationnel

Le Risque Oprationnel est un composant du nouvel accord dit de Ble 2 (divis en trois piliers) sur le Capital Rglementaire visant dfinir un nouveau ratio de solvabilit pour remplacer le ratio Cooke.
PILIER 1
Nouvelles exigences minimales de fonds propres
PILIER 2
Renforcement de la surveillance prudentielle
PILIER 3
Nouvelles exigences en matire de communication financire
Pour la premire fois, le RO va : faire lobjet dune dotation spcifique en capital (Pilier 1 de lAccord) tre suivi et valu par les rgulateurs qui pourront augmenter lallocation de capital RO si la gestion des Risques Oprationnels nest pas juge satisfaisante (Pilier 2 de lAccord) tre inclus dans la communication financire des banques au march (Pilier 3 de lAccord).
Juillet 2008
28

La rglementation Ble 2 propose trois mthodes de calcul des exigences en Fonds Propres au titre des Risques Oprationnels
Exigence de capital rglementaire (en % de la moyenne sur 3 ans du PNB de lensemble de la Banque) : Exigence de capital rglementaire (en % de la moyenne sur 3 ans du PNB des lignes mtier) : 12 % pour la Banque de dtail, courtage de dtail et gestion dactif , 15 % pour la Banque commerciale et Fonction agent , 18 % pour le Financement des entreprises, ngociation et vente et paiement et rglement Lvaluation des risques et des contrles (RCSA) est recommande. Exigence de capital rglementaire : La banque doit proposer un montant de capital rglementaire selon un modle de calcul intgrant : Les donnes de pertes internes et externes Les analyses de scnarii Elle doit par ailleurs
15 %
Cot en capital
valuer ses risques et son environnement de contrle via le processus RCSA** qui est obligatoire. Mthode A.M.A *
Mthode de base
Mthode Standard
Complexit de la mthode et finesse de la structure de gestion du Risque Oprationnel

* A.M.A : Advance Measurement Approach : Approche en mthode avance ** RCSA : Risk and Control Self-Assessment : Auto-valuation des risques et des contrles Juillet 2008 La Cartographie des risques
29

Lapproche de mesure avance (A.M.A) entre en vigueur au 1er janvier 2008. Dans le cadre de lA.M.A, les lments de mesure des Risques Oprationnels sont :
La collecte des pertes internes La comparaison des pertes internes avec les pertes externes
Donnes historiques
Lanalyse de scnarii des risques extrmes potentiels Lauto-valuation des risques et du dispositif de prvention et de contrle de ces risques (RCSA)* ou cartographie des risques Les indicateurs cls de risque (KRI).**
Donnes prospectives
La collecte des pertes internes renseigne sur le pass. Les autres lments du dispositif permettent davoir une vision prospective des risques potentiels. (*) RCSA : Risk and Control Self Assessment (**) KRI: Key Risk Indicators
Juillet 2008
30

La gestion des Risques Oprationnels

Les tablissements de crdits et les AMC entendent ainsi transformer cette contrainte rglementaire en une vritable opportunit doptimisation de gestion du risque. A cette fin, les objectifs poursuivis par les tablissements de crdits dans ce domaine sont nombreux et varis, mais aussi complmentaires : Meilleure comprhension et appropriation des risques oprationnels encourus Meilleure connaissance du niveau de matrise des risques oprationnels et de limpact potentiel dune concrtisation de ces risques Allocation cohrente des ressources ncessaires la rduction de ces risques Meilleure communication externe sur les risques oprationnels, notamment auprs des investisseurs et des agences de notation, et rduction du risque dimage Allocation des fonds propres permettant de mesurer avec pertinence la performance relle des activits, aprs prise en compte des risques oprationnels.
Juillet 2008
31
Cartographie des risques

Objectifs et attentes
La cartographie des risques permet didentifier les RO en apportant

Une vision globale du niveau de risque oprationnel intrinsque, Une vision globale du niveau des risques oprationnels rsiduels. La mthodologie RCSA (ou cartographie des risques) permet dvaluer le risque oprationnel rsiduel auquel est expos ltablissement :
1- Risques oprationnels Intrinsques (RI)
Lentreprise de crdit est expose des risques intrinsques ses activits. Ex : LAMC, de par ses activits , est soumise au risque de litiges commerciaux.
2- Dispositifs de prvention et de contrle existants
Pour se protger, lAMC met en place des dispositifs de prvention et de contrle visant rduire ses risques oprationnels un niveau jug acceptable. Ex : Pour faire face au risque de litiges commerciaux, des procdures de contrle des documentations contractuelles existent afin de sassurer de leur conformit.
3- Risques oprationnels Rsiduels (RR)
Malgr lexistence de contrles, il subsiste des risques rsiduels. Pour y faire face, lAMC pourra : renforcer les dispositifs de prvention et de contrle, transfrer ces risques (assurances), affecter des fonds propres pour les couvrir. 32
Juillet 2008

Dfinition de la cartographie des risques
La cartographie des risques : Ce processus, qui cartographie par type de risque les diverses units, fonctions organisationnelles ou chanes doprations, peut reprer les zones de faiblesse et permettre dtablir des priorits pour laction entreprendre par lorgane de direction
Dfinition de BAM (Projet de recommandations gnrales relatif au dispositif de gestion des risques oprationnels
Juillet 2008
33

La cartographie des risques oprationnels doit permettre de : valuer priodiquement les risques ports par les processus au sein des mtiers, tablir une synthse dgageant les risques majeurs et/ou les processus les plus sensibles, Surveiller les processus sensibles laide dindicateurs ( dterminer par filiales et mtiers), Orienter les dcisions sur le plan dactions damlioration de la matrise des risques, Satisfaire aux critres qualitatifs dligibilit aux AMA Ble II, Complter les lments en entre du modle interne de calcul d allocation des fonds propres aux mtiers / filiales (notamment les scnarios de risques oprationnels)
Juillet 2008
34

En terme des rsultats elle doit fournir une gestion diffrencie par nature de risque.
- Suivi rgulier - Prvention
Gestion de crise
Frquence
Risque rcurrent
Haute
=> Pertes attendues
Risque insupportable/ situation de crise
Basse
Risque ngligeable
Risque majeur
=> Pertes exceptionnelles
- Attnuation (PCA, ) - Transfert (Assurance) - Capital conomique
Impact
Faible
Fort
Juillet 2008
35

Utilisateurs de la cartographie des risques
La cartographie des risques est un des outils de pilotage des Risques Oprationnels. Il intresse terme diffrents acteurs
La Direction Gnrale Connaissance de lexposition aux Risques Oprationnels Pilotage et dcisions stratgiques, suivi des plans daction majeurs Comparaison des profils de risque des activits Mise en vidence des principaux risques Analyse des risques oprationnels et valuation des contrles Mise en oeuvre et suivi de plans dactions correctrices Rpartition du capital rglementaire valuation du degr de conformit avec lapproche Gnrale et les exigences rglementaires Vrification de la fiabilit et lexhaustivit des valuations de profils des risques Priorisation des missions daudit sur les entits les plus exposes Information sur le profil des risques
Les responsables des Branches et des Directions fonctionnelles (pour

compte propre et filire : PCA, SSI...)
La Direction financire
LInspection Gnrale et laudit interne
Les actionnaires Les rgulateurs et contrleurs externes Les agences de notation
Analyse du profil de risque
Prise en compte de la qualit de gestion des risques exerce.
Juillet 2008
36

Fondements de lapproche
La mise en place de la cartographie est un projet qui a des consquences sur lensemble de lorganisation : Il touche au cur des mtiers, Il conduira un nouveau systme de pilotage, Il entranera des modifications importantes : des systmes dinformations de lorganisation de la stratgie.
Avec ce projet stratgique, les tablissements seront en mesure de passer de la gestion des RO au pilotage des RO.
Juillet 2008
37

Une approche participative, gnrique et oprationnelle

pour que les acteurs sy reconnaissent et se lapproprient, pour tre applicable tout type dactivit, pour donner rapidement des rsultats concrets,
ncessitant une exprimentation pralable

pour lajuster et lenrichir par rapport aux ralits et proccupation du terrain, pour tester son appropriation par les acteurs, pour la doter dun vecteur de communication interne et externe, pour en tirer les consquences pratiques en vue dun dploiement moindre cot,
pour garantir le succs de son dploiement

afin de faire merger et partager les expriences et les meilleures pratiques, pour garantir homognit et cohrence en vue dune certification par le rgulateur.
Juillet 2008
38

La cartographie a pour but dvaluer la qualit du dispositif de prvention et de contrle et de quantifier lexposition aux risques oprationnels. Pour ce faire, il sagit de :
1- Risques oprationnels intrinsques (RI)
1.
Identifier et valuer les risques intrinsques auxquels est expose chaque activit : risques inhrents la nature dune activit, en faisant abstraction de son environnement de prvention et de contrle,
2- Dispositifs de prvention et de contrle existants
2.
valuer la qualit des dispositifs de prvention et de contrle en place permettant de rduire ces risques (existence et efficacit de ces dispositifs en termes de dtection et de prvention des risques et/ou de leur capacit en diminuer les impacts financiers), En dduire lexposition aux risques rsiduels de chaque activit (aprs prise en compte de lenvironnement de prvention et de contrle mais sans prise en compte des couvertures dassurance),
3- Risques oprationnels rsiduels (RR)
3.
4.
Pour identifier les zones de faiblesse des mesures de prvention et de contrle et mettre en uvre des plans dactions correctrices.
Juillet 2008
39

En pratique, la dmarche de la cartographie des risques consiste rencontrer les acteurs des risques au quotidien et leur demander :
De quelle activit sagit-il ? Domaine/Processus/Acteurs Quel est le problme redout (avr ou potentiel) ? Risque Quelles sont les principales causes ? Cause Quelle est la nature des prjudices induits ? Consquences Avec quelle frquence ce problme peut-il survenir ? Combien cela cote -t-il en moyenne par an et combien cela pourrait-t-il coter dans un scnario pessimiste mais plausible ? Cotation Que pourrait-on faire pour mieux anticiper, dtecter et grer ce problme (plans dactions) ? Indicateurs/ Mesures
Juillet 2008
40

Juillet 2008
41

Cotation du Risque Oprationnel Rcurrent
Combien cela a t-il cot et valu, en tenant compte du niveau des contrles permanents : par le montant des pertes rcurrentes attendues horizon d un an, combien cela pourrait-il pertes values en saidant des coter lanne prochaine ? historiques et / ou du niveau de nuisance des impacts non financiers Il est cot par lvaluateur en fonction des lments dont il dispose : base pertes, indicateurs, alertes
Cotation du Risque Oprationnel Exceptionnel

valu, en cas de dfaillance grave des contrles permanents ou dvnement(s) externe(s) exceptionnel(s) : Combien de fois ce scnario exceptionnel pourrait-il par le montant de la perte potentielle maximale survenir lavenir et combien et / ou par l importance de limpact non financier , cela pourrait-il coter ? dont la Frquence varie de moins dune fois par an une fois tous les 10 ans. Il est cot par lvaluateur en fonction des pertes exceptionnelles passes, de la veille/benchmarks, anticipation de risques futurs Ces risques sont-ils bien ou mal Apprciation de la qualit des contrles pour assurer la matrise de leurs risques. matriss?
Cotation de la Qualit des Contrles Permanents
Juillet 2008
42

Juillet 2008
43

Rfrentiels utiliss
Lexercice de la cartographie des risques sappuie sur :

Le rfrentiel RO, i.e. la classification des catgories et sous-catgories dvnement de RO dj mise en uvre dans lentreprise pour la collecte des pertes internes. Le rfrentiel Cartographie des risques, i.e. le rfrentiel des questionnaires mtier, galement appels scorecards mtier , spcifiques chaque mtier ou fonctionnel, regroupant les facteurs de risque pertinents pour le mtier considr et les questions dvaluation associes.
Rfrentiel des Risques Oprationnels

Se dclinant en Causs par plusieurs
Rfrentiel RCSA
8 catgories dvnement
Ex : Litiges commerciaux
valus par
sous-catgories dvnement
Ex : Inadquation des produits proposs
Facteurs de risque
Ex : Insuffisance ou inadquation du partage d'information entre les quipes
Questions dvaluation
Ex : Comment valuez-vous l'efficacit des dispositions en vigueur afin de faciliter le partage d'informations sur les clients au sein de l'entit ?
Pouvant chacun causer plusieurs
Juillet 2008
44

Rfrentiels utiliss
Exemple de rfrentiel RO : Les 8 catgories dvnements reprsentent les manifestations concrtes

possibles des risques oprationnels. Chaque catgorie dvnement est ensuite dcline en une ou plusieurs sous-catgories dvnements mutuellement exclusives.
8 CATEGORIES DEVENEMENT
LITIGES COMMERCIAUX LITIGES AVEC LES AUTORITES ERREURS DE PRICING OU DEVALUATION DU RISQUE ERREURS DEXECUTION FRAUDE ET AUTRES ACTIVITES CRIMINELLES ACTIVITES NON AUTORISEES SUR LES MARCHES (ROGUE TRADING) PERTES DES MOYENS DEXPLOITATION DEFAILLANCE DES SYSTEMES DINFORMATION
SOUS-CATEGORIES DEVENEMENT
1. Litiges sur activits de conseil 2. Pratiques commerciales inappropries 3. Insuffisance du service au client 4. Autres litiges avec un tiers 5. Contrat ou clauses contractuelles inapplicables 7. Non-respect de la loi bancaire 8. Non-respect des lois contre la discrimination 9. Non-respect de la rglementation du travail 10. Non respect des exigences rglementaires locales 11. Non-respect des exigences comptables ou de la communication financire 12. Non-respect de la lgislation fiscale 18. Dfaillance dans le dispositif de gestion et de suivi des autorisations et des limites 19. Evaluation incorrecte ou inexistante de la position 20. Donnes de march et informations publiques fausses ou insuffisantes 21. Modle de calcul de prix ou de valorisation erron 22. Dfaillance dans le processus de livraison et/ou de rglement de la banque 23. Dfaillance dans les processus de gestion des confirmations doprations 24. Dfaillance dans la gestion administrative dune opration jusqu son chance 25. Erreurs dans la transmission, la saisie ou la comprhension dune instruction 26. Absence ou inexactitude des donnes ncessaires la gestion des activits 33. Piratage 39. Activits non informatique et autorises sur autres attaques les marchs malveillantes des systmes informatiques de la banque par des tiers 34. Autre forme dactes criminels contre les actifs de la banque 35. Vols/escroqueries /fraudes commis par des tiers 36. Vols par le personnel ou des prestataires internes 37. Fraude sur des transactions par le personnel ou avec sa complicit 40. Dfaut de personnel 41. Pertes des donns 42. Perte de services 44. Mauvaise gestion de projet 45. Dfaillance des software
Juillet 2008
45

Rfrentiels utiliss
Dtail du rfrentiel de risques de lentreprise : Le rfrentiel des risques mtier est labor
par les experts des mtiers et fonctions (exemples : Dontologie, Plan de Continuit dActivit, Achats, etc.) partir :
du rfrentiel commun de facteurs de risque : un facteur de risque est un lment de lenvironnement et/ou de lorganisation qui contribue la survenance dun risque oprationnel. Il doit toujours tre considr en fonction de la sous-catgorie dvnement / catgorie dvnement laquelle il se rapporte. de la bibliothque commune de questions dvaluation de ces facteurs de risque.
Rfrentiel des Risques Oprationnels
Se dclinant en Causs par plusieurs valus par
Rfrentiel RCSA
8 catgories dvnement
Ex : Litiges commerciaux
sous -catgories dvnement

Ex : Inadquation des produits proposs
Facteurs de risque
Ex : Insuffisance ou inadquation du partage d'information entre les quipes
Questions dvaluation
Ex : Comment valuez -vous l'efficacit des dispositions en vigueur afin de faciliter le partage d'informations sur les clients au sein de l'entit ?
Pouvant chacun causer plusieurs
Un scorecard mtier (rfrentiel) permet dvaluer un mtier ou une fonction. Le principe des questionnaires mtier (bancaires ou fonctionnels) est applicable lensemble des entits. Il permet dassurer la cohrence du dispositif vis--vis du rgulateur.
Scorecard mtier Banque de dtail Insuffisance ou inadquation du partage d'information

entre les quipes mission des confirmations
Scorecard mtier Ressources Humaines Formation

Concentration de la connaissance et des comptences Gestion des engagement sociaux
Juillet 2008
46

Rfrentiels utiliss
Dtail du rfrentiel : les questions dvaluation des Facteurs de Risques

Les questions dvaluation doivent permettre de noter les facteurs de risques. La dmarche dautovaluation met notamment en vidence : lexistence de processus de contrle interne, leur efficacit, lexistence de la piste daudit permettant de vrifier les 2 premiers points. Le barme de rponse associ une question stend de 1 4 (cf. Exemple ci-dessous). 8 CATEGORIES DEVENEMENT RISQUES OPERATIONNELS / SOUS-CATEGORIES
LITIGES COMMERCIAUX
lev
Facteur de risque
Insuffisance ou inadquation du partage d'information entre les quipes
Les dispositifs de prvention et de contrle, en place dans votre entit, couvrent-ils ce risque ? Les dispositifs de prvention et de contrle, en place dans votre entit, couvrent-ils ce risque ? 1-Trs faiblement ? 1-Trs faiblement ? 2- Faiblement ? 2- Faiblement ? 3- Assez bien ? 3- Assez bien ? 4 Bien ? 4 Bien ?
Lorsqu'ils sont en place, quelle est la qualit d'excution de ces dispositifs ? Lorsqu'ils sont en place, quelle est la qualit d'excution de ces dispositifs ? 1-Trs insuffisante ? 1-Trs insuffisante ? 2- Insuffisante ? 2- Insuffisante ? 3- Assez satisfaisante ? 3- Assez satisfaisante ? 4 Satisfaisante ? 4 Satisfaisante ?
Ces dispositifs sont-ils documents et auditables ? Ces dispositifs sont-ils documents et auditables ? 1-Trs faiblement? 1-Trs faiblement? 2- Faiblement ? 2- Faiblement ? 3- Assez bien ? 3- Assez bien ? 4 Bien ? 4 Bien ?
Juillet 2008
47

tapes cls
Processus de la cartographie : chacune des 3 tapes se concrtise par un livrable.
valuation
1
Livrable
1- Cartographie des risques intrinsques
1- Risques oprationnels Intrinsques (RI) 2- Dispositifs de prvention et de contrle existants
2- Questionnaires entit nots (ou scorecards entit)
3- Risques oprationnels Rsiduels (RR)
3- Cartographie des risques rsiduels
Ces 3 tapes peuvent tre effectues des niveaux de granularits diffrents, lvaluation des risques oprationnels intrinsques et rsiduels tant faite gnralement un niveau plus lev que lvaluation du dispositif de prvention et de contrle.
Les Branches et Directions Fonctionnelles commencent lexercice de la cartographie en dsignant les acteurs en charge de chacune de ces tapes.
48

tapes cls
Processus de Cartographie : dtail des 3 tapes et acteurs concerns

tapes Livrables Acteurs Rfrentiels mtiers utiliss
1 - valuation des Risques Intrinsques
Cartographie des risques intrinsques
Noteur Valideur
Rfrentiel des RO : catgories dvnement sous-catgories dvnement
2 - valuation du dispositif de prvention et de contrle 2.1 laboration de la scorecard entit en identifiant : le primtre les facteurs de risques pertinents (et leur pondration) le mode dvaluation des questions les noteurs et valideurs 2.2 Notation et justification de la scorecard entit
2.1
Scorecard entit noter
Modlisateur de la scorecard Rfrentiel :
2.2
Scorecard entit note et justifie
Facteurs de risques et questions dvaluation Noteur Scorecards mtier (bancaires ou fonctionnels)
2.3 Validation de la scorecard entit
2.3
Scorecard entit valide
Valideur
valuation des Risques Rsiduels
Cartographie des risques rsiduels
Responsable de lentit value
Rfrentiel Entits : Entits Organisationnelles Lignes Mtier Entits Juridiques Processus
Mise en place de plans dactions correctrices
Plans dactions correctrices
Responsable de lentit value
Juillet 2008
49

Acteurs de la cartographie
Les acteurs de lexercice Cartographie

Les acteurs sont dsigns par les Branches et les Directions fonctionnelles.
Le noteur
Les noteurs sont les responsables dentit en charge de noter les cartographies de risques intrinsques et /ou les scorecards entit : Le noteur de la cartographie des risques intrinsques value son niveau dexposition aux risques face aux catgories ou sous-catgories dvnement. Le noteur dune scorecard entit reoit pour notation la scorecard entit labore par le modlisateur. Le noteur value son dispositif de prvention et de contrle en rpondant aux questions dvaluation associes ces facteurs de risque. Il justifie sa note par lexistence de procdures de prvention et de contrle ou dindicateurs cls de risque.
Le valideur
Les cartographies des risques intrinsques et les scorecards entit notes sont envoyes par les noteurs leur hirarchie pour validation. Le valideur est la personne en mesure de valider les notes et les justifications associes avant consolidation en vrifiant notamment la cohrence des notes pour lensemble des entits de son primtre. Le valideur doit tre diffrent du noteur.
Juillet 2008
50

Acteurs de la cartographie
Les acteurs de lexercice de la cartographie

Le modlisateur
Il labore la scorecard entit. Le modlisateur est un expert mtier qui est en mesure didentifier lensemble des risques internes et externes auxquels est expose lentit value. Pour le premier exercice, il peut sagir de lORM (responsable des risques oprationnels) de lentit en concertation avec les responsables des entits ; la cible, le modlisateur pourra tre le responsable de lentit. Lors de llaboration des scorecards entit, le modlisateur identifie : le primtre couvrir les facteurs de risques pertinents (en les pondrant ventuellement) au vu de la cartographie des risques intrinsques : le modlisateur de la scorecard entit doit vrifier la cohrence de la scorecard entit avec la cartographie des risques. les responsables des activits en charge de la notation des scorecards entit et leur hirarchie, en charge de valider ces notations ainsi que les justifications associes.
LInspection et lAudit
LInspection et lAudit revoient priodiquement lensemble du systme dvaluation et sa conformit aux exigences rglementaires, en sattachant notamment vrifier les points suivants : lapplication effective du processus de la cartographie dans lentreprise, la fiabilit et lexhaustivit des valuations des profils des risques, la cohrence entre la notation et sa justification. Remarque : Rglementairement, les acteurs de lexercice de la Cartographie ne doivent appartenir ni aux services dAudit Interne ni lInspection Gnrale, afin de prserver lindpendance de ces derniers. Toutefois, lAudit Interne peut apporter son expertise lors de la mise en place initiale du dispositif de gestion des RO.
51

tapes dlaboration
La mthodologie de ralisation dune cartographie des risques se droule gnralement en 5 tapes:

Dfinition des listes de domaines et de processus tape 1 identification Du risque oprationnel tape 2 Matrice daversion (pour cotation) tape 3 Cotation du risque tape 4 Validation par le Comit du contrle interne tape 5 Identification processus sensibles
Plan daction propos
Juillet 2008
52

tapes dlaboration
tape 1 : Dfinition des processus Cette tape consiste instaurer un rfrentiel de processus, avec un objectif de trouver le meilleur compromis entre le niveau de granulation, le travail rendu et la qualit des rsultats. En effet, aprs avoir rattach les activits aux 8 Mtiers Ble II dcoups en domaines dactivits (exemples : Crdits, Dpts, Placements, Moyens de paiement, Moyens gnraux, Comptabilit, Informatique, Juridique et Fiscal, Organisation, etc.), il est primordial de dresser linventaire des processus par mtier. Un processus est dfini comme tant un enchanement dtapes ayant une mme finalit (exemple : Remises de valeurs, virements, ordres dachat / vente de titres, gestion des GABs, tarification, comptes dbiteurs, ralisation dun crdit ). Nous pouvons distinguer trois types de processus : Relatifs la relation avec les clients, Relatifs des transactions, Spcifiques au Management et aux fonctions supports.
Juillet 2008
53

tapes dlaboration
tape 2 : Identification des risques oprationnels Afin de pouvoir identifier les risques oprationnels le Responsable du Risque Oprationnel doit disposer de trois lments savoir : La liste et la description des processus identifis par ligne mtier ou entit, La liste des risques oprationnels et des vnements gnriques y associs, La matrice prliminaire des risques oprationnels renseigne par les responsables des entits,
En pratique, les risques sont rattachs 7 Catgories de Risques Ble II, dtailles en vnements gnrateurs de risques (exemple pour la fraude externe : Vols, Hold-up, Contrefaons et falsifications, dtournements de fonds, fraude par carte bancaire etc.)
Juillet 2008
54

tapes dlaboration
tape 3 : Matrice daversion

Au niveau de cette tape le responsable R.O a pour mission dtablir la matrice dvaluation des risques sur la base de trois composantes : Les risques survenus ou avrs, les risques exceptionnels et le niveau de matrise des risques.
Les chelles de cotation de la gravit du risque sont reprsentative de aversion Les chelles de cotation de la gravit du risque sont reprsentative de ll aversion pour le risque oprationnel de unit pour le risque oprationnel de llunit Les intervalles de chelle de frquence et de chelle dimpact sont dfinis en Les intervalles de llchelle de frquence et de llchelle dimpact sont dfinis en valeur absolue et communs ensemble de entreprise (units du Groupe) valeur absolue et communs llensemble de llentreprise (units du Groupe)
Impact financier
0-1 K Un cas tous les 2 3 ans Un cas tous les 3 5 ans Un cas tous les 5 10 ans 1-5 K 5 - 10 K 10 - 50 K 50 - 100 100 - 500 K K 500 K 1 M 1-5 M 5 - 10 M 10 - 50 M > 50 M Image Fort Image Majeur
Impact non financier

Client Fort Client Majeur Sanction pnale * Sanction Rglementaire
Juillet 2008
55

tapes dlaboration
0-1
KDH
1-5
KDH
5 - 10
KDH
10 - 50 50 - 100
KDH KDH
100 - 500 KDH 500 KDH 1 MDH
1-5
MDH
5 - 10
MDH
10 - 50
MDH
> 50 M
R i s q u e Rcurrent
Pertes annuelles potentielles Vert Vert Vert Jaune Jaune
A partir de quel niveau de gravit un risque doitil tre considr comme Orange Orange Rouge Rouge Rouge Rouge Fort ou Majeur ?
Risque exceptionnel
Un cas tous les 2 3 ans Un cas tous les 3 5 ans Un cas tous les 5 10 ans Vert Vert Vert Jaune Jaune Orange Orange Orange Rouge Rouge Rouge
Vert
Vert
Vert
A partir de quel niveau de risque devons-nous tre informs et prendre les Vert Jaune Jaune Orange Orange Orange Rouge dcisions adaptes ?
Vert Vert Jaune Jaune Jaune Orange Orange
Rouge
Vert
Vert
Vert
Rouge
Juillet 2008
56

tapes dlaboration
tape 4 : Cotation des risques oprationnels

Les risques futurs associs aux processus font lobjet dune valuation appele cotation. On cote deux catgories de risques futurs en fonction de leur frquence : Les Risques Attendus (rcurrents court terme) ; Les Risques Exceptionnels ( moyen et long terme).
On distingue deux catgories de risques en fonction de leur impact : Les Risques Financiers (cots en fonction de leur frquence et de leur impact financier, au moyen dune matrice daversion aux risques) ; Les risques Non Financiers. La cotation des risques oprationnels est effectue sur la base des historiques des pertes recueillies au niveau de la base de donnes. Elle sert tablir une carte sommaire des risques, en identifiant les risques potentiels et les niveaux de contrle y affrents. Ainsi, la cotation des Risques Financiers est parfaitement norme grce une matrice daversion aux risques.
Juillet 2008
57

tapes dlaboration
Etape 5 : Identification des processus sensibles et plans daction. Cette phase consiste produire le rapport sommaire de la gestion du risque en mettant en relief les risques majeurs ou les zones de faiblesse. Comme elle doit dfinir aussi bien les recommandations que les plans daction pour prvenir et rduire le risque oprationnel.
Juillet 2008
58

tapes dlaboration
Risque Attendu
Risque Exceptionnel
Contrle Permanent
Recommandations
Conseil en placement Gestion des relations clients Gestion du risque de march Mandat de trading actions Produits structurs
V V O J J
O R R O R
++ Efficace
Former les conseillers de faon priodique Vrification approfondie du KYC Bascule du systme de gestion des limites Crer une mission d'audit sur les dlits d'initi A prvoir : meilleur contrle sur les rgles ISDA
Fraude Int.
RA
+ Acceptable
- Dfectueux
Tableau de synthse
+ Acceptable
+ Acceptable
Fraude Ext. V J + V V ++ V V + J O V V ++ V V + V V + V V ++ V V ++ V V ++
Gest. Perso. V V ++ V J ++ V J ++ V V ++ V V ++ V J ++ V V ++ J V ++ V V ++ V V ++
Prat. Com m . V V ++ V O ++ V O + V J ++ V J + V V ++ V O ++ J R + V V ++ V J +
Dsas & Sinis V J + V V ++ V V ++ V V ++ V V ++ V V ++ J O + V V ++ V V ++ V V ++
S.I V J + V J ++ V V ++ V J + V V ++ V J ++ V V ++ V V ++ V J + V V ++
Trait. V V ++ V O ++ V O + O R V J + J J + J O + J R + V J + J V +
SYNTH V J + V O ++ V R + O R V J + J J + J O + J R + V J + J J +
Com m entaires
Caisse
RE CP
V J + V O ++ V R + V O V J + V J + V J ++ J O + V J + V J +
Slection des processus sensibles, savoir: Niveau de risque majeur rouge ou fort orange et / ou Niveau de matrise des risques dfectueux ou amliorer
RA RE CP RA RE CP RA RE CP RA RE CP RA
Conseil en placement
Gestion des relations clients Gestion du risque de march Gestion du risque de crdit
Vrification approfondie du KYC Bascule du systme de gestion des limites
Activit Trsorerie
RE CP
composantes pour chaque croisement Processus / Catgories de risques

Juillet 2008
Cartographie par Cotation des trois processus
Mandat de trading actions
RA RE CP RA
Produits structurs
RE CP RA
A Prvoir : Meilleur contrle sur les rgles ISDA
Gestion Financire
RE CP RA
Ressources Humaines
RE CP
59

tapes dlaboration
Une fois le processus de la cartographie des risques est intgralement ralis, le responsable des risques oprationnels doit sassurer que: La cartographie est ralise de manire exhaustive (couvrant toutes les activits en concertation avec les oprationnels de lentit), Les rsultats sont priori cohrents, Les processus/risques proccupants ont dclench des actions correctives, Les processus juge prioritaire lgard dun PCA ont t correctement identifis, La cartographie est prsente la Direction Gnrale.
Juillet 2008
60

Cls de russite
Avoir le soutien de la Direction Faire adhrer les participants / crer un climat de confiance Communiquer sur la dmarche et sa valeur ajoute Faire le lien avec les objectifs personnels des participants Garantir quaucune information ne soit remonte sans en avoir pralablement discut avec les intresss Respecter la confidentialit Prendre en compte le temps Procder lvaluation sur un dlai court, avec prsentation rapide des rsultats Profil du Risk Manager Faire preuve d'coute et de crativit
Juillet 2008
61

cueils viter
Dmarrer la dmarche par la recherche dun systme dinformations
Absence de rigueur : Remonte dinformations partielles la Direction avant la fin de lexercice Maximisation de risques pour obtenir des ressources, sous-estimation par crainte de reprsailles / jugements Considrer la gestion des risques comme le rceptacle des dolances Ne pas objectiver les risques biens connus qui sont finalement sous-estims Mauvais libell des risques
Effet mode : faire une cartographie pour tre la mode
Juillet 2008
62
Cette prsentation ralise par le Cabinet ATTITUDES CONSEIL pour le compte des AMC marocaines est inspire de nombreux ouvrages et base sur des sources diverses et varies
Juillet 2008
63

Cartographie - Des - Risques (Opérat Risk)

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Cartographie - Des - Risques (Opérat Risk)

Hochgeladen von

Copyright:

Verfügbare Formate

Juillet 2008 JJ Mois Anne

laborer une Cartographie des risques Pourquoi, pour qui et comment ?

Ralis par : Hassan EL AMRANI

2. Rglementation Ble 2 et risques oprationnels

3. Cartographie des risques

Apprhender les composantes du Dispositif du Contrle Interne,

Acqurir la mthodologie dlaboration de la Cartographie des risques,

Assimiler les techniques dvaluation du niveau dexposition aux risques,

valuer limpact de la gestion des risques sur la tarification et la mesure de la rentabilit.

La Cartographie des risques

Le systme de contrle interne & sa place dans lAMC

1. Pourquoi un Dispositif de Contrle Interne?

2. Quel est son primtre?

3. De quoi est-il compos?

La Cartographie des risques

Dfinition et objectifs du contrle interne

La Cartographie des risques

Dfinition et objectifs du contrle interne

La Cartographie des risques

Principes fondamentaux du contrle interne

La Cartographie des risques

Principes fondamentaux du contrle interne

La Cartographie des risques

Obligation de disposer du contrle interne

La Cartographie des risques

Obligation de disposer du contrle interne

La Cartographie des risques

Obligation de disposer du contrle interne

La Cartographie des risques

Obligation de disposer du contrle interne

Les rglementations imposent aux tablissements de crdits et aux entreprises dinvestissement :

Une obligation de moyens Mise en place dun dispositif

Une obligation de rsultat Dispositif adapt et efficace

La Cartographie des risques

Architecture du dispositif de contrle interne

Un systme de documentation et dinformation (procdures, reportings),

Un systme de mesure et de surveillance des risques et des flux,

Architecture du dispositif de contrle interne

La Cartographie des risques

Architecture du dispositif de contrle interne

La Cartographie des risques

Architecture du dispositif de contrle interne

Il faut notamment 3 niveaux de contrles :

Permanent de 1er degr (au sein des units),

Permanent de 2me degr (units spcialises),

Priodiques (contrle des contrles),

La Cartographie des risques

Architecture du dispositif de contrle interne

La Cartographie des risques

Architecture du dispositif de contrle interne

La Cartographie des risques

Obligations strictes de documentation et dinformation

Ncessaire formalisation des procdures et documentation des programmes,

Centralisation des informations chez le responsable des Contrles Permanents

Les risques couvrir par le contrle interne

La Cartographie des risques

Les risques couvrir par le contrle interne

La Cartographie des risques

Les risques couvrir par le contrle interne

Dfaut de paiement des: - Clients - Contreparties - Emetteurs - ...

Survenance dvnements extrieurs: -Tiers

Evolution dfavorable des volumes dactivit ou de la conjoncture conomique

- Evolution de lenvironnement gopolitique, lgal, fiscal ou rglementaire