Vous êtes sur la page 1sur 136

Cahier de la Recherche

La cartographie des risques


2 e dition
Ralis par le Groupe Professionnel Assurance
LIFACI est affili The Institute of Internal Auditors

LA CARTOGRAPHIE DES RISQUES

D ANS

LA MME COLLECTION

De la cartographie des risques au plan daudit, Groupe Professionnel Banque ( paratre) Laudit du versement des subventions aux associations, Groupe Professionnel Collectivits Territoriales (fvrier 2013) Slectionner un outil informatique pour les services daudit et de contrle internes : un vritable projet, Unit de Recherche Informatique IFACI (dcembre 2012) Laccs et la conservation des dossiers relatifs aux missions daudit, Unit de Recherche IFACI (octobre
2012)

La dlgation de gestion en assurance de personnes : pistes pour un contrle interne efficace, Unit
de Recherche IFACI (juin 2012)

Les variables culturelles du contrle interne, Unit de Recherche IFACI (dcembre 2011)
Des cls pour la mise en uvre et loptimisation du contrle interne, Unit de Recherche IFACI (octobre 2011)

Transposition des normes professionnelles de laudit interne et bonnes pratiques : Edition spciale Administrations dEtat, Groupe Professionnel Administrations de lEtat (septembre 2011) Transposition des normes professionnelles de laudit interne et bonnes pratiques : Edition spciale Collectivits Territoriales, Groupe Professionnel Collectivits territoriales (avril 2011) La fraude : Comment mettre en place un dispositif de lutte contre la fraude ? Unit de Recherche de lIFACI (dcembre 2010) La cration de valeur par le contrle interne, Unit de Recherche de lIFACI (octobre 2010) Prise de Position du Groupe Professionnel Banque pour un urbanisme du contrle interne efficient, Groupe Professionnel Banque (Avril 2010) Laudit de la fraude dans le secteur bancaire et financier, Unit de Recherche de lIFACI (janvier 2010) Cration et gestion dune petite structure daudit interne, Unit de Recherche IFACI (janvier 2009) Une dmarche daudit de plan de continuit dactivit, Unit de Recherche IFACI (juillet 2008) Guide daudit du dveloppement durable : comment auditer la stratgie et les pratiques de dveloppement durable ?, Unit de Recherche IFACI (juin 2008) Contrle interne et qualit : pour un management intgr de la performance, Unit de Recherche IFACI (mai 2008) Evaluer et dvelopper les comptences des collaborateurs, Antenne rgionale Aquitaine IFACI (novembre 2007)

Audit des prestations essentielles externalises par les tablissements de crdit et les entreprises dinvestissement 2me Edition, Groupe Professionnel Banque (janvier 2007) Laudit interne et le management des collectivits territoriales, Unit de Recherche IFACI (mai 2006) Une dmarche de management des connaissances dans une direction daudit interne, Unit de Recherche IFACI (mai 2006) Lauto-valuation du contrle interne, Unit de Recherche IFACI (octobre 2005) Cartographie des Risques, Groupe Professionnel Immobilier Locatif (septembre 2005) tude du processus de management et de cartographie des risques, Groupe Professionnel Industrie et commerce (janvier 2004) Pour un bon audit du dispositif de lutte contre le blanchiment des capitaux, Groupe Professionnel Banque (fvrier 2004) Lefficacit des Comits daudit Les meilleures pratiques, PwC The IIA Research Foundation Traduction IFACI PwC (mai 2002) Gouvernement dentreprise et Conseil dadministration, PwC The IIA Research Foundation Traduction IFACI PwC (mai 2002) valuation de la comptence dans la pratique de laudit interne, Prise de position de lECIIA Traduction IFACI (2001) Management des risques, IIA UK Traduction Unit de Recherche IFACI (2001) Le rle de lauditeur interne dans la prvention de la fraude, Prise de position de lECIIA Traduction IFACI (2000)

Pour plus dinformations : www.ifaci.com

IFACI

LA CARTOGRAPHIE DES RISQUES

R EMERCIEMENTS
LIFACI tient remercier toutes les personnes qui ont contribu aux diffrentes tapes de llaboration de ce Cahier. Pilotage et revue densemble : Groupe professionnel Assurance de lIFACI, prsid par Anne SAVEY, Responsable Contrle Gnral, Groupe MMA Animation et rdaction : Philippe BERTOMEU, Manager Audit interne, Axa France Wilfried BRIAND, Charg de mission du Directeur Gnral, CNP Assurances Michel BUZEJIC, Responsable Audit interne, Quatrem, animateur de lunit de recherche Guillaume KUCH, Responsable du service pilotage des Clientles Bancaires, CNP Assurances Eric LHUISSIER, Responsable Contrle interne et conformit, MMA Alain MARTEL, Directeur de la Matrise des Risques, MATMUT Lamyaa NADARI, Auditeur interne / Inspecteur, Allianz IARD Marine NGUYEN, Responsable du dpartement de politique indemnisation et contrle interne, Generali Emmanuel RUFFIN, Responsable Contrle interne et Conformit, MATMUT Christelle SAINATO, Responsable de la Matrise des Risques, Harmonie Mutuelle Patrick SAINT-MAXENT, Responsable Pilotage des risques oprationnels et Qualit, AG2R LA MONDIALE Raphael SIFFERT, Coordinateur de contrle permanent, BNP Paribas Cardif Lunit de recherche remercie Marina CRISTOFARI, Compliance & Control, BNP Paribas Assurance, Sbastien SAIDANE, Responsable de module de Risque, MATMUT et Fabienne VIBOUD, Manager Audit interne, COFACE pour leur contribution. Comit de rdaction et de rvision : Michel BUZEJIC, Responsable Audit interne, Quatrem, animateur de lunit de recherche Vianney DUMONT, Responsable Audit interne, MAIF, Reprsentant du GP Assurances de lIFACI Batrice KI-ZERBO, Directeur de la Recherche, IFACI Alain MARTEL, Directeur de la Matrise des Risques, MATMUT Patrick SAINT-MAXENT, Responsable Pilotage des risques oprationnels et Qualit, AG2R La Mondiale Raphael SIFFERT, Coordinateur de contrle permanent, BNP Paribas Cardif Organisation des runions et mise en forme du document : Perrine BNARD, Documentaliste, IFACI NDella YATERA, Charge de missions Recherche, IFACI

Philippe MOCQUARD, Dlgu Gnral, IFACI


IFACI

LA CARTOGRAPHIE DES RISQUES

S OMMAIRE
INTRODUCTION .................................................................................................................................... 7 1- LEXERCICE DE CARTOGRAPHIE DES RISQUES : ETAT DES LIEUX ET PERSPECTIVES ................................................................................................ 9 1.1- Retour dexprience des membres de lunit de recherche .................................................... 10 1.2- Cadres normatifs et rglementaires .......................................................................................... 11 1.3- Cadre spcifique aux activits dassurance .............................................................................. 14 1.3.1- Les dcrets relatifs au contrle interne ........................................................................... 14 1.3.2- Les attentes de lAutorit de Contrle Prudentiel (ACP) ............................................. 15 1.3.3- La directive Solvabilit II ................................................................................................... 17 2- ACTEURS ET GOUVERNANCE ................................................................................................... 19 2.1- Les acteurs-cls de la cartographie des risques ....................................................................... 20 2.1.1- Les fonctions oprationnelles .......................................................................................... 21 2.1.2- Les fonctions support de matrise des risques ............................................................... 21 2.1.3- Laudit interne ................................................................................................................... 23 2.1.4- En synthse : six tapes cls et des responsabilits clairement dfinies ...................... 24 2.2- Les instances de gouvernance .................................................................................................. 25 2.2.1- Organe dadministration, de gestion ou de contrle ..................................................... 25 2.2.2- Gouvernance institutionnelle : comit daudit et/ou des risques ................................. 26 2.2.3- Gouvernance oprationnelle : comit managrial des risques ..................................... 26 2.2.4- Autres comits internes participant la gestion des risques dans le cadre de dcisions oprationnelles ....................................................................................................... 27 3- IDENTIFICATION ET EVALUATION DES RISQUES .............................................................. 29 3.1- La notion de risque .................................................................................................................... 30 3.1.1- Dfinitions ......................................................................................................................... 30 3.1.2- Apptence pour les risques et seuil de tolrance ........................................................... 31 3.1.3- La nomenclature des risques ........................................................................................... 32 3.2- Mesure du risque ........................................................................................................................ 35 3.2.1- La frquence ...................................................................................................................... 36 3.2.2- Limpact .............................................................................................................................. 37 3.2.3- Le risque brut .................................................................................................................... 39 3.2.4- Les lments de matrise .................................................................................................. 39 3.2.5- Le risque rsiduel .............................................................................................................. 40

IFACI

LA CARTOGRAPHIE DES RISQUES

3.3- Deux approches complmentaires ............................................................................................ 41 3.3.1- Lapproche bottom-up ........................................................................................................ 41 3.3.2- Lapproche top-down ......................................................................................................... 46 3.3.3- Intgration des deux dmarches ...................................................................................... 47 4- SUIVI PERMANENTDES RISQUES ............................................................................................. 53 4.1- Une modalit particulire de suivi partir de la base dincidents ......................................... 54 4.2- Une communication approprie ............................................................................................... 55 4.2.1- Reporting interne ............................................................................................................... 56 4.2.2- Reporting externe ............................................................................................................... 59 CONCLUSION ....................................................................................................................................... 61 ANNEXES ................................................................................................................................................ 63 1- Exemples de processus - Secteur assurances ............................................................................. 64 2- Nomenclature des risques ............................................................................................................ 65 3- Prsentation des risques de la formule standard du calcul du SCR ....................................... 109 4- Exemple dimpact financier ........................................................................................................ 118 5- Evaluation de limpact financier dun incident ......................................................................... 119 6- Illustration - Synthse du processus de collecte des vnements .......................................... 122 7- Directive Solvabilit II (Extraits) ................................................................................................. 123 8- Dcret n2006-287 du 13 mars 2006 relatif au contrle interne des entreprises d'assurance et modifiant le Code des assurances (Extraits) .............................................................................. 127 9- Dcret n2008-468 du 19 mai 2008 relatif au contrle interne des institutions de prvoyance, des mutuelles et de leurs unions .......................................................................... 128 10- Exemple de reporting ................................................................................................................. 130 BIBLIOGRAPHIE ................................................................................................................................. 135

IFACI

LA CARTOGRAPHIE DES RISQUES

Avertissement aux lecteurs Ce cahier de la recherche a t ralis partir de contributions de professionnels de laudit et du contrle internes. Ce travail collectif, ralis sous lgide de lIFACI, fournit un tat des lieux des pratiques professionnelles et des pistes damlioration qui nengagent pas les organisations reprsentes.

LAutorit de Contrle Prudentiel (ACP) est devenue lAutorit de Contrle Prudentiel et de Rsolution (ACPR) par la loi n 2013-672 du 26 juillet 2013, de sparation et de rgulation des activits bancaires. Le prsent ouvrage rdig durant le 1er semestre 2013, na donc pas intgr ce changement de dnomination.

IFACI Paris septembre 2013

ISBN : 978-2-915042-56-6 ISSN : 1778-7327

Toute reprsentation ou reproduction, intgrale ou partielle, faite sans le consentement de lauteur, ou de ses ayants droits, ou ayants cause, est illicite (loi du 11 mars 1957, alina 1er de larticle 40). Cette reprsentation ou reproduction, par quelque procd que ce soit, constituerait une contrefaon sanctionne par les articles 425 et suivants du Code Pnal.

IFACI

LA CARTOGRAPHIE DES RISQUES

I NTRODUCTION
Le premier ouvrage du Groupe Professionnel Assurance de lIFACI, publi en 2006, a t un outil de rfrence pour la sensibilisation aux dmarches de cartographie des risques ou pour leur mise en uvre. Ainsi, il a pu tre utilis dans des organismes dassurance qui formalisaient leur dispositif de contrle interne (notamment dans le cadre de la Loi de Scurit Financire, ou Sarbanes-Oxley), mais galement accompagner ceux qui ont engag des dmarches globales de gestion des risques du type ERM (Entreprise Risk Management). Les volutions rglementaires constantes, les demandes de plus en plus prcises de la part du superviseur, lintrt croissant des instances de gouvernance ainsi que la volont de faire progresser la matrise des risques de chaque organisme dassurance ont conduit le Groupe Professionnel Assurance actualiser le cahier de la recherche. Cette mise jour a pu sappuyer sur la diversit des mtiers (contrle interne, gestion des risques, audit interne) reprsents dans lunit de recherche pour identifier les axes damlioration des dmarches de cartographies des risques existantes, notamment dans la perspective de la mise en uvre de la directive Solvabilit II. Lunit de recherche a fonctionn de faon pragmatique et collgiale. Pragmatique dans la mesure o chacun y a particip sur une base volontaire afin dy apporter sa propre exprience et senrichir de celle des autres participants. Collgiale car il sagissait de dfinir de faon consensuelle la position du groupe de travail. Les travaux se sont drouls en 2012, les contributeurs ont notamment : tenu compte de lvolution du niveau de maturit des dmarches de cartographie des risques et des retours dexpriences partages, mieux pris en compte les risques conomiques, de solvabilit, et de rputation dans la mise jour de la typologie des risques, prcis les rles des acteurs des dmarches de cartographie des risques et les responsabilits des organes de gouvernance, mis laccent sur le reporting appropri permettant chacun de ces acteurs de jouer efficacement leur rle, attir lattention sur la ncessaire intgration de la cartographie des risques dans le dispositif de matrise des risques (lien avec les bases dincidents, les plans dactions, etc.), fait rfrences aux risques spcifiques (blanchiment, protection de la clientle, etc.) et leur prise en compte dans la dmarche globale de cartographie des risques, introduit les principes thoriques de lORSA (qui sont en cours de mise en uvre actuellement) et leur impact sur les pratiques de cartographie des risques.

IFACI

LA CARTOGRAPHIE DES RISQUES

En proposant des cls de lecture et des guides mthodologiques pour chaque tape de la cartographie des risques, ce cahier de la recherche permettra aux diffrents acteurs des organismes dassurance dapprhender leur rle dans ce processus. Dun abord didactique, il nest pas rserv aux experts de la matrise des risques. En effet, la cartographie des risques nest pas une fin en soi. Les membres des organes excutifs et les administrateurs y trouveront des principes fondamentaux pour assumer leurs responsabilits de surveillance de ces dmarches et assurer leur intgration efficace au processus global de gestion des risques.

IFACI

LA CARTOGRAPHIE DES RISQUES

PARTIE 1 L EXERCICE
DE CARTOGRAPHIE DES RISQUES TAT DES LIEUX ET PERSPECTIVES

Le prsent cahier de la recherche sinscrit dans le prolongement de la premire publication du Groupe Professionnel Assurance de lIFACI. Il prend en compte les bonnes pratiques rsultant des travaux de cartographie des risques dans les organismes dassurance depuis 2006. Il sintgre galement dans la perspective de la mise en uvre de la directive Solvabilit II. Nanmoins, les propositions formules cet gard devront sans doute tre revisites compte tenu du niveau de dploiement de cette directive la date de finalisation du cahier.

IFACI

LA CARTOGRAPHIE DES RISQUES

1.1

R ETOUR D EXPRIENCE

DES MEMBRES DE L UNIT DE RECHERCHE

Un benchmark portant sur les dmarches de cartographies des risques montre que 83% des organismes dassurance reprsents dans lunit de recherche ont utilis la premire dition du cahier de la recherche, aussi bien pour la mise en place des cartographies des risques que pour leurs actualisations. Il est utilis par diffrentes entits : directions des risques, directions de contrle interne ou directions de l'audit interne. Ces dernires lutilisent dans le cadre de l'laboration du plan d'audit ou des programmes de travail d'une mission. Les principaux apports mentionns par les utilisateurs concernent la description pdagogique de la mthodologie ainsi que la nomenclature des risques. Les premires dmarches structures et formalises de cartographies des risques ont t mises en place partir de 2003 gnralement pour rpondre aux exigences de la Loi Sarbanes-Oxley, de la Loi de Scurit Financire et du dcret du 13 mars 2006 relatif au contrle interne des entreprises d'assurance1. Depuis 2010, des dmarches complmentaires ont t inities pour notamment assurer le suivi des risques dits majeurs . Ainsi, certains organismes dassurance peuvent disposer de plusieurs types de reprsentation de leurs risques. Conformment la nomenclature propose en 2006, les principales familles de risques concernent les risques oprationnels, les risques financiers, les risques dassurance et techniques. Les risques stratgiques ou les risques externes (par exemple : volutions rglementaires, risque pays, concurrence, etc.) sont peu mentionns. Pourtant, ils font partie des proccupations majeures des directions gnrales des organismes dassurance. Dans 54% des cas, llaboration des cartographies des risques est centralise au niveau d'une entit ddie aux risques, qui donne la mthodologie, la trame, l'impulsion. La responsabilit de leur suivi incombe aux directions et/ou entits oprationnelles, qui peuvent tre amenes nommer un correspondant risques . Ce dispositif s'est mis en place progressivement dans les organismes et traduit une certaine maturit sur ces sujets. Il concerne principalement les risques oprationnels et/ou les processus mtiers. La communication et le reporting sont principalement destination du management des entits, des fonctions risques , du contrle interne , de laudit interne et des comits daudit ou des risques. Le niveau et le format de restitution sont dclins en fonction de cette diversit de destinataires.

Cf. Article R336-1 du code des assurances.

10

IFACI

LA CARTOGRAPHIE DES RISQUES

48% des organismes ont fait lacquisition ou ont dvelopp des progiciels ddis la matrise des risques1. La mise en place de tels outils peut faciliter une vision intgre de diffrents lments de la matrise des risques (cartographies des risques, plans d'actions, suivi des incidents, recommandations des audits internes et externes, etc.). Les avances ralises par le secteur et la professionnalisation croissante des acteurs de la matrise des risques sont notables. Elles sinsrent dans le cadre dune volution gnrale des organisations et dexigences spcifiques au secteur de lassurance (notamment les exigences des autorits de tutelle et de la directive Solvabilit II).

1.2 C ADRES

NORMATIFS ET RGLEMENTAIRES

Historiquement, les pratiques de cartographies des risques ont t portes par les projets de contrle interne. Si le contrle interne est un sujet assez ancien, les crises (Enron, WorldCom ou Parmalat) du dbut des annes 2000, ont donn naissance des rglementations dans de nombreux pays, et ont contribu renforcer les pratiques de contrle interne et de matrise des risques au sens large. Ainsi, la loi Sarbanes Oxley, vote en 2002, requiert que les socits cotes New York documentent les dispositifs de contrle interne des processus conduisant ltablissement des tats financiers. Tests par les oprationnels eux-mmes, lexistence et le bon fonctionnement de ces dispositifs sont attests par les commissaires aux comptes. La mise en uvre de cette loi sest clairement appuye sur le rfrentiel COSO dont lune des composantes-cls2 concerne lvaluation des risques. Vote en 2003, la loi de scurit financire sinscrit galement dans cette volont de renforcer la transparence et le contrle interne des entreprises cotes. En 2006, lAMF (Autorit des Marchs Financiers) propose aux metteurs un cadre de rfrence de contrle interne. Compatible avec les principes du COSO, le cadre de rfrence a t actualis en 2010 pour intgrer les exigences de la 8me directive europenne en matire de suivi de lefficacit des systmes de gestion des risques et de contrle interne par les comits daudit.

Cf. Cahier de la recherche Slectionner un outil informatique pour les services daudit et de contrle internes : un vritable projet et la revue Audit & Contrle Internes - Ifaci - N212 - Novembre / dcembre 2012. Les 5 composantes interdpendantes du contrle interne propos par le COSO sont : lenvironnement de contrle, lvaluation des risques, les activits de contrle, linformation et la communication, les activits de pilotage. Le COSO dfinit le contrle interne comme un processus mis en uvre par le Conseil, le management et les collaborateurs, et qui est destin fournir une assurance raisonnable quant la ralisation d'objectifs lis aux oprations, au reporting et la conformit.

IFACI

11

LA CARTOGRAPHIE DES RISQUES

Un processus de gestion des risques comprenant, au sein de son contexte interne et externe la socit, trois tapes : Identification des risques : tape permettant de recenser et de centraliser les principaux risques, menaant latteinte des objectifs. Un risque reprsente une menace ou une opportunit manque. Il se caractrise par un vnement, une ou plusieurs sources et une ou plusieurs consquences. Lidentification des risques sinscrit dans une dmarche continue. Analyse des risques : tape consistant examiner les consquences potentielles des principaux risques (consquences qui peuvent tre notamment financires, humaines, juridiques, ou de rputation) et apprcier leur possible occurrence. Cette dmarche est continue. Traitement du risque : tape permettant de choisir le(s) plan(s) daction le(s) plus adapt(s) la socit. Pour maintenir les risques dans les limites acceptables, plusieurs mesures peuvent tre envisages : la rduction, le transfert, la suppression ou lacceptation dun risque. Le choix de traitement seffectue notamment en arbitrant entre les opportunits saisir et le cot des mesures de traitement du risque, prenant en compte leurs effets possibles sur loccurrence et/ou les consquences du risque.

Cf. Les dispositifs de gestion des risques et de contrle interne : cadre de rfrence / AMF. - 2010.

Dautres rfrentiels de gestion des risques proposent des dfinitions et des principes dont lunit de recherche sest inspire :

Le management des risques de lentreprise : COSO 2


Le rfrentiel publi par le COSO en 2004 promeut la notion de gestion globale des risques de lentreprise, lEnterprise Risk Management ou ERM ; dont lun des enjeux consiste amener lentreprise aligner sa stratgie et sa gestion des risques. Ainsi, ce rfrentiel (COSO 2) reprend les trois objectifs et les cinq composantes du rfrentiel relatif au contrle interne, quil complte avec la prise en compte des objectifs stratgiques et de trois composantes supplmentaires : la fixation des objectifs, lidentification des vnements, le traitement des risques selon les 4 modalits classiques (lvitement, lacceptation, la rduction, le partage). Ces principes permettent de repositionner la cartographie des risques dans un dispositif plus global de pilotage des activits. Il ncessite une identification pralable des niveaux de risque acceptables au regard dobjectifs (par exemple : profiter de nouvelles opportunits, conserver des avantages) dfinis par les instances dirigeantes et dclins tous les niveaux de lorganisation.

12

IFACI

LA CARTOGRAPHIE DES RISQUES

ISO 31000 : 2009


La norme ISO 31000 vise galement un management global des risques. Elle propose de faire de ce dispositif un vritable outil daide la dcision. La norme ISO 31010 : 2009 relative aux techniques dvaluation des risques prcise lintrt de ces approches pour : apprhender les risques et leurs impacts potentiels sur les objectifs, fournir des informations aux dcideurs et les aider tablir des priorits, aider la slection de mesures de traitement appropries, identifier les principaux facteurs de risques au sein des systmes de gestion et des organisations, comparer des options dorganisation, de dploiement de technologies, contribuer la prvention des incidents par une meilleure comprhension des facteurs dclencheurs et des impacts, rpondre des exigences rglementaires, sassurer que les niveaux de risque correspondent aux seuils accepts par lorganisation.

FERMA
Le FERMA (Federation of European Risk Management Associations) propose un cadre de rfrence de la gestion des risques (2003) et organise les facteurs de risques internes et externes comme suit :
RISQUES FINANCIERS
TAUX D'INTERET TAUX DE CHANGE CREDIT

E E X T E R NE OR I GI N

RISQUES STRATEGIQUES
COMPETITION CHANGEMENTS DES CLIENTS CHANGEMENTS DANS L'ACTIVITE DEMANDE DES CLIENTS

FUSION ACQUISITION INTEGRATIONS

LIQUIDITE & CASH FLOW

RECHERCHE & DEVELOPPEMENT CAPITAL INTELLECTUEL

ORIGINE INTERNE
SYSTEME DE CONTROLE DES COMPTES SYSTEMES D'INFORMATION RECRUTEMENT CHAINE D'APPROVISIONNEMENT EMPLOYES MOBILIER BIENS & SERVICES

REGLEMENTATIONS CULTURE COMPOSITION DE L'INSTANCE DIRIGEANTE

CONTRATS EVENEMENTS NATURELS FOURNISSEURS ENVIRONNEMENT

RISQUES OPERATIONNELS

PERILS

Exemples de facteurs internes et externes (extrait de Gestion des risques / FERMA. 2003)

OR I GI N E E X T E R NE
IFACI

13

LA CARTOGRAPHIE DES RISQUES

1.3 C ADRE SPCIFIQUE

AUX ACTIVITS D ASSURANCE

Des exigences propres au secteur de lassurance viennent prciser les attentes en matire de contrle interne et de gestion des risques.

1.3.1 Les dcrets relatifs au contrle interne


1.3.1.1 Le dcret du 13 mars 2006 relatif au contrle interne des entreprises dassurance

Toute entreprise mentionne larticle L. 310-1 du code des assurances est tenue de mettre en place un dispositif permanent de contrle interne. Le conseil dadministration ou le conseil de surveillance approuve, au moins annuellement, un rapport sur le contrle interne, qui est transmis lAutorit de Contrle Prudentiel (cf. annexe 8). [...] Toutefois, les entreprises faisant appel public lpargne ne sont pas tenues de fournir ces lments lorsquelles transmettent lAutorit de Contrle Prudentiel le rapport mentionn, selon les cas, larticle L. 225-371 ou larticle L. 22568 du code de commerce.

1.3.1.2

Le dcret du 19 mai 2008 relatif au contrle interne des institutions de prvoyance, des mutuelles et de leurs unions

Pour les institutions de prvoyance ou unions : Toute institution ou union mentionne larticle R. 931-43 du code de la scurit sociale est tenue de mettre en place un dispositif permanent de contrle interne. Le conseil dadministration approuve, au moins annuellement, un rapport sur le contrle interne, qui est transmis lAutorit de Contrle Prudentiel. Pour les mutuelles ou unions : Toute mutuelle ou union mentionne larticle R. 211-28 du code de la mutualit est tenue de mettre en place un dispositif permanent de contrle interne. Le conseil dadministration approuve, au moins annuellement, un rapport sur le contrle interne, qui est transmis lAutorit de Contrle Prudentiel. Un extrait du dcret est propos en annexe 9.

Dans les socits dont les titres financiers sont admis aux ngociations sur un march rglement, le prsident du conseil d'administration rend compte, dans un rapport joint au rapport mentionn aux articles L. 225-100, L. 225-102, L. 225-102-1 et L. 233-26, de la composition du conseil et de l'application du principe de reprsentation quilibre des femmes et des hommes en son sein, des conditions de prparation et d'organisation des travaux du conseil, ainsi que des procdures de contrle interne et de gestion des risques mises en place par la socit, en dtaillant notamment celles de ces procdures qui sont relatives l'laboration et au traitement de l'information comptable et financire pour les comptes sociaux et, le cas chant, pour les comptes consolids. Sans prjudice des dispositions de l'article L. 22556, ce rapport indique en outre les ventuelles limitations que le conseil d'administration apporte aux pouvoirs du directeur gnral.

14

IFACI

LA CARTOGRAPHIE DES RISQUES

1.3.2 Les attentes de lAutorit de Contrle Prudentiel (ACP)


Par ses instruments juridiques et ses contrles permanents, lAutorit de Contrle Prudentiel (ACP) donne des orientations quil convient de prendre en considration dans lexercice de cartographie des risques.

1.3.2.1

Les recommandations et les positions de lACP

En complment des textes lgislatifs et rglementaires, lACP met des positions ou des recommandations destination des organismes soumis son contrle et au public. L'ACP cre ainsi un droit souple ou soft law pour exercer ses missions danalyse et de contrle concernant : lapplication des lois et des rglements en matire prudentielle, la vigilance permanente en matire de lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB-FT), le respect des rgles en matire de commercialisation de produits et protection de la clientle. LACP publie un recueil de l'ensemble des codes de conduite, rgles professionnelles et autres bonnes pratiques constates ou recommandes dont elle assure le respect (article L612-29-1 du code montaire et financier). Les organismes dassurance sont donc tenus dintgrer ces positions et recommandations afin de se couvrir de tout risque de non-conformit ou dimage.
Dispositions sectorielles
Droit des assurances (contrats) Droit de la distribution des produits dassurance Fiscalit des produits dassurance Lutte anti-blanchiment

Rglementation

Dispositions relevant du droit commun


Code civil, Droit de la consommation CNIL (informatique et liberts) Rgles de la concurrence (DGCCRF) Droit du patrimoine Droit de la proprit intellectuelle Droit de limmobilier et de lenvironnement Droit des socits

Instruments et pouvoirs particulirement adapts la protection de la clientle

Codes de bonne conduite approuvs :


approbation demande par les associations professionnelles

Receuil publi par lACP

Codes de conduite homologus

Recommandations : prconisations de bonnes pratiques adresses aux personnes contrles Mise en garde : mesure de police administrative prise
lorsquune personne a des pratiques susceptibles de mettre en danger les intrts de ses clients. LACP peut la mettre en garde lencontre de la poursuite de ces pratiques tant quelles portent atteinte aux rgles de bonne pratique de la profession concerne

Soft law

Codes de conduite approuvs par lACP Bonnes pratiques professionnelles que lACP
constate ou recommande

Engagements des associations professionnelles


dans le cadre du CCSF, la demande du ministre

Sanctions disciplinaires

Schma rcapitulatif du corpus de textes de lACP


IFACI

15

LA CARTOGRAPHIE DES RISQUES

1.3.2.2

Le contrle permanent de lACP

LACP veille ce que les organismes dassurance soient en mesure de tenir tout moment les engagements quils ont pris envers leurs assurs, adhrents et bnficiaires, et quils les tiennent effectivement. Pour mener bien ses missions, lACP sappuie notamment sur des diagnostics individualiss pour chaque organisme. A titre dillustration, 531 organismes dassurance ont fait lobjet dune valuation de leur profil de risque (cf. Rapport d'activit annuel 2011 de lACP). Ces valuations portent sur les domaines suivants : Le risque de souscription : - engagements pris envers les assurs, adhrents et bnficiaires des contrats, - tarification, - surveillance du portefeuille, - adaptation de la politique de rassurance. La qualit et la suffisance des provisions : - taux dactualisation et table employs, - volution de la frquence des sinistres et des cots moyens, - suivi des sinistres graves. La diversification suffisante et lvaluation prudente des placements : - classement rglementaire, - comptabilisation des dprciations durables ncessaires, - constitution de provision complmentaire le cas chant. Le risque oprationnel li notamment au : - risque de fraude ou derreur, - dficience des systmes dinformation, - risque de rputation. La qualit de la gestion actif-passif et de la gestion du risque de taux dintrt. La qualit de lorganisation du dispositif de conformit et de contrle interne, incluant les modalits de surveillance et de matrise des risques. La gouvernance dentreprise et le fonctionnement rgulier des organes dlibrants et dirigeants. La rentabilit des oprations dassurance et la formation du rsultat. Le niveau, la structure et la prennit des fonds propres. La situation de chaque organisme est analyse en se fondant sur : des donnes quantitatives au regard de chacun des critres dvaluation, ainsi que de sa situation financire ; des donnes qualitatives visant valuer la qualit du dispositif de surveillance et de matrise des risques.

16

IFACI

LA CARTOGRAPHIE DES RISQUES

1.3.3 La directive Solvabilit II


Afin de garantir la capacit des organismes dassurance respecter les engagements qu'ils prennent auprs de leurs clients, la directive Solvabilit II1 poursuit plusieurs objectifs : assurer la protection des assurs en renforant la solvabilit des assureurs ; encourager une meilleure allocation des fonds propres face aux risques techniques, financiers, oprationnels, etc. Pour ce faire, la directive retient une approche articule autour de trois piliers : Pilier 1 - Exigences quantitatives : - lments de calculs des provisions techniques, - exigence minimale de fonds propres, - exigence de marge de solvabilit, - rgles dinvestissement. Pilier 2 - Exigences qualitatives de bonne gouvernance : - rgles dhonorabilit et de comptence, - fonctions cls (de gestion des risques, de vrification de la conformit, actuarielle, daudit interne), - valuation interne du risque et de la solvabilit (ORSA Own Risk and Solvency Assessment). Pilier 3 - Discipline de march par une information rgulire des autorits de surveillance et du public : - communication financire, - transparence.

Les travaux de lunit de recherche sintgrent plus particulirement dans le cadre du Pilier 2, mme si une interaction existe avec les autres piliers. En effet, les fonctions cls participent activement la dmarche. De mme, la cartographie des risques viendra alimenter lORSA.

Directive 2009/138/CE du 25 novembre 2009 sur laccs aux activits de lassurance et de la rassurance et leur exercice (Solvabilit II).

IFACI

17

LA CARTOGRAPHIE DES RISQUES

18

IFACI

LA CARTOGRAPHIE DES RISQUES

PARTIE 2 ACTEURS
ET GOUVERNANCE

La gouvernance de la gestion des risques prsente une dimension stratgique et une dimension oprationnelle, permettant une rpartition claire et une sparation approprie des responsabilits des acteurs impliqus. Un certain nombre dacteurs est amen intervenir dans lexercice de cartographie des risques, en qualit de sponsor , de coordinateur , de contributeur , dutilisateur . Lallocation prcise de ces rles devrait tre cohrente avec le modle des trois lignes de dfense (ou des lignes de matrise) et le modle dorganisation de chaque organisme dassurance.

IFACI

19

LA CARTOGRAPHIE DES RISQUES

2.1 L ES

ACTEURS - CLS DE LA CARTOGRAPHIE DES RISQUES

En termes dorganisation, la directive et les documents associs instituent des fonctions cls. En outre, des organisations professionnelles (ECIIA/FERMA, IIA, AMRAE /IFACI) proposent un pilotage efficient des dispositifs de gestion des risques en sappuyant sur trois lignes de dfense, reprsentes dans le modle suivant :
Conseil dadministration / Comit daudit Direction gnrale

1re ligne de dfense

2me ligne de dfense


Gestion des risques Actuariat Vrification de la conformit

3me ligne de dfense

Audit externe

Rgulateurs

Management oprationnel

Contrle interne S.I. Ressources humaines Juridique Finance / Comptabilit Qualit Contrle de gestion

Audit interne

Lgende :

Fonctions cls (SII) Autres fonctions support

Positionnement et rles de chaque ligne de dfense dans les systmes de gestion des risques et de contrle interne : la premire ligne de dfense correspond aux contrles pilots par le management oprationnel ou mtier, la deuxime ligne de dfense est celle des diffrentes fonctions institues par les organisations pour assurer le contrle et le suivi des risques. Les fonctions cls dfinies par la directive Solvabilit II bnficient dune certaine autonomie voire indpendance, par rapport aux activits oprationnelles / mtiers afin de garantir la fiabilit de leurs valuations des

20

IFACI

LA CARTOGRAPHIE DES RISQUES

risques, ladquation de leurs propositions de plans de remdiation et leur suivi. En tant que fonctions support du management, elles peuvent directement intervenir dans la modification et la mise au point des systmes de contrle interne et de gestion des risques la diffrence de laudit interne. Outre les fonctions cls, des fonctions support plus traditionnelles participent la deuxime ligne de dfense (directions financires, informatiques, ressources humaines, juridique, qualit, etc.) ; elles-mmes amenes mettre des politiques et/ou directives applicables au sein des organisations ; elles assurent galement des activits de contrles. la troisime ligne de dfense est celle de lassurance indpendante fournie par laudit interne. De plus, laudit interne bnficie de rgles dontologiques et professionnelles qui confortent son indpendance et son objectivit.

Lunit de recherche a choisi de prciser les rles des acteurs de la cartographie des risques en partant de ce modle.

2.1.1

Les fonctions oprationnelles

La premire ligne regroupe les oprationnels (par exemple, les directions mtiers charges de la gestion des contrats dassurance, des sinistres, des cotisations, etc.). Leur connaissance des mtiers les place dans un rle incontournable dans lidentification des risques inhrents leur activit, la maintenance de cette cartographie des risques, sa primo-valuation et le dploiement des contrles-cls destins matriser les risques identifis. Ainsi, le management a la responsabilit de la matrise des risques sur son primtre. Il examine les expositions de risques, dfinit les priorits la lumire de lanalyse des risques. Il doit promouvoir la sensibilit aux risques dans les units et faire connatre les objectifs de gestion des risques.

2.1.2 Les fonctions support de matrise des risques


Le suivi des risques, effectu par les directions oprationnelles et les structures de contrles hirarchiques, est renforc par les activits de la deuxime ligne de dfense dans laquelle se retrouvent les fonctions cls gestion de risques, actuarielle et de vrification de la conformit.

2.1.2.1

La fonction gestion des risques

Celle-ci veille ce que le niveau de risque pris par lorganisme dassurance, soit cohrent avec les orientations1 et les objectifs dfinis par les organes dadministration, de gestion, de contrle. Ainsi,
1

La stratgie, la politique des risques en particulier le niveau dapptit pour les risques et les seuils de tolrance.

IFACI

21

LA CARTOGRAPHIE DES RISQUES

la fonction gestion des risques propose aux dirigeants un profil des risques de lorganisme, travers : une vision holistique des risques de lorganisme, une perspective largie lors de la prise de dcisions stratgiques, des plans de matrise des risques. Elle anime lensemble du dispositif didentification, de mesure, de traitement, de surveillance et de reporting des risques, notamment ceux noncs par la directive Solvabilit II.

2.1.2.2

La fonction actuarielle

La fonction actuarielle contribue lamlioration du systme de gestion des risques. Elle donne avec objectivit une opinion aux organes dirigeants et dlibrants, sur la fiabilit et le caractre adquat du calcul des provisions techniques (opinion et marge dincertitude), sur les politiques de souscription et les dispositifs de rassurance. Dans ce cadre, elle tablit un rapport annuel destination des organes dirigeants et dlibrants. A noter que le document de travail du CEIOPS CP582 prcise que la fonction actuarielle doit disposer dun niveau suffisant dindpendance fonctionnelle.

2.1.2.3

La fonction de vrification de la conformit

La fonction de vrification de la conformit veille au respect des obligations dcoulant des dispositions lgales et rglementaires, des normes professionnelles et dontologiques ainsi que des rgles internes dictes par les organismes dassurance. Elle value les impacts probables des changements dans lenvironnement lgal et rglementaire. Dans ce cadre, la fonction de vrification de la conformit doit identifier, valuer et contrler lexposition aux risques lgaux, juridiques et rglementaires. Enfin, elle apporte un conseil aux organes de gouvernance sur les problmatiques de conformit. Ses missions se traduisent dans un plan de conformit dtermin en fonction des activits prsentant un risque de non-conformit. La dfinition de ce plan sinscrit dans lanimation du dispositif de contrle interne des organismes dassurance. Ce dernier permet aux organismes dassurance de renforcer la conduite des activits par des moyens de contrles (organisations, indicateurs, procdures, etc.) lui permettant de matriser ses risques ou de prvenir les zones de dfaillance.

2.1.2.4

Les autres fonctions support

Outre les fonctions prvues dans la directive Solvabilit II, dautres fonctions participent la deuxime ligne de dfense, telles que le contrle interne, la scurit des systmes (Responsabilit
1

CEIOPS Advice for Level 2 Implementing Measures on Solvency II: Supervisory Reporting and Public Disclosure Requirements (former Consultation Paper 58).
IFACI

22

LA CARTOGRAPHIE DES RISQUES

Scurit et Systme dInformation) ou la continuit des activits, elles compltent laction des directions support plus traditionnelles (directions financires, informatiques, ressources humaines, juridique, qualit, etc.) amenes mettre des politiques et/ou directives applicables au sein des organisations.

Les services fonctionnels, responsables de domaines dexpertise


Les services fonctionnels jouent un rle particulier, parfois considrable, dans le dispositif de contrle interne, soit du fait quils ont reu une autorit et un pouvoir de contrle sur certaines oprations ou certains processus, soit du fait de lassistance effective, sur le terrain, quils sont en mesure dapporter aux diffrentes entits pour identifier, comprendre, valuer les principaux risques affrents leur domaine, et les aider concevoir les contrles techniques les plus pertinents. Les missions des services fonctionnels sont souvent analyses en quatre grandes familles : missions oprationnelles : il convient dassurer des activits oprationnelles, dans lintrt de lensemble du groupe. Exemples : produire les comptes consolids, raliser une augmentation de capital, effectuer les achats dnergie ou de matires premires pour toutes les filiales, etc. ; missions normatives et rgaliennes : proposer les politiques du groupe, par domaines dactivit, ainsi que les analyses de risque correspondantes et les meilleures procdures de contrle obligatoires ou recommandes, dvelopper les meilleures pratiques et les changes, benchmarker en externe et en interne ; missions de conseil et dassistance : offrir ses services aux units qui en ont besoin, pour mettre en place certaines procdures, tableaux de bord ou autres systmes ; missions de supervision : cette 4me grande famille de missions qui consiste observer et rendre compte du fonctionnement effectif des processus dont ils ont la charge dans les diverses units de lentreprise ou du groupe, sest considrablement dveloppe depuis quelques annes avec laffirmation dun fort degr de responsabilit des services fonctionnels sur les rsultats et les performances des processus.
Extrait de la prise de position de lIFACI sur lUrbanisme du contrle interne, octobre 2008.

2.1.3 Laudit interne


Enfin, la 3me ligne de dfense est constitue de la fonction audit interne qui est exerce dune manire objective et indpendante des autres fonctions. Par son rattachement au plus haut niveau et la ralisation dun plan daudit fond sur une approche par les risques, laudit interne value

IFACI

23

LA CARTOGRAPHIE DES RISQUES

notamment ladquation et lefficacit du systme de contrle interne et les autres lments du systme de gouvernance en conformit avec larticle 47 de la directive Solvabilit II. Les autres lments prendre en considration par laudit interne peuvent concerner le fonctionnement des organes dlibrants et excutifs, les exigences de comptence et dhonorabilit, le processus dvaluation interne du risque et de la solvabilit (ORSA), la matrise de la sous-traitance, etc. Lexploitation des constats et des recommandations de laudit interne permet denrichir la cartographie des risques et de la faire vivre. Laudit interne rend compte de son valuation du niveau de matrise des risques aux organes dadministration, de gestion ou de contrle. Les services daudit exercent leurs missions conformment au cadre de rfrence international de lIIA / IFACI.

2.1.4 En synthse : six tapes cls et des responsabilits clairement dfinies


Loutil de cartographie des risques permet aux diffrents acteurs davoir une vision systmatise et rgulirement mise jour des risques de lorganisme dassurance. Si les managers prennent les risques et les endossent, les 2me et 3me lignes sont plus directement impliques pour donner une assurance sur la matrise des risques et mettre jour de la cartographie des risques.
Principales tapes de la cartographie Parties du cahier de la recherche Partie 3.1 Partie 3.2 Partie 3.3

Premire ligne Sponsor Coordinateur Contributeur Utilisateur Sponsor Coordinateur Contributeur Utilisateur Sponsor Coordinateur Contributeur Utilisateur Sponsor Coordinateur Contributeur Utilisateur

Deuxime ligne Sponsor Coordinateur Contributeur Utilisateur Sponsor Coordinateur Contributeur Utilisateur Sponsor Coordinateur Contributeur Utilisateur Sponsor Coordinateur Contributeur Utilisateur

Troisime ligne Sponsor Coordinateur Contributeur Utilisateur Sponsor Coordinateur Contributeur Utilisateur Sponsor Coordinateur Contributeur Utilisateur Sponsor Coordinateur Contributeur Utilisateur

Identifier et valuer les risques

Dfinir des dispositifs de traitement des risques

Partie 3.3.3.2 Partie 3.1

Mettre en uvre les traitements des risques Assurer une surveillance permanente et le pilotage du niveau des risques rsiduels

Partie 3.1 Partie 3.3.3.3

Partie 4

24

IFACI

LA CARTOGRAPHIE DES RISQUES

Principales tapes de la cartographie Evaluer priodiquement le dispositif de gestion des risques Mettre jour la cartographie des risques

Premire ligne Sponsor Coordinateur Contributeur Utilisateur Sponsor Coordinateur Contributeur Utilisateur

Deuxime ligne Sponsor Coordinateur Contributeur Utilisateur Sponsor Coordinateur Contributeur Utilisateur

Troisime ligne Sponsor Coordinateur Contributeur Utilisateur Sponsor Coordinateur Contributeur Utilisateur

Parties du cahier de la recherche

Partie 4.2.1.3

Partie 3

2.2 L ES

INSTANCES DE GOUVERNANCE

La gestion des risques est guide et surveille par les diffrents acteurs des organes dadministration, de gestion, ou de contrle (ou AMSB - Admistrative, Management or Supervisory Body - en rfrence la directive Solvabilit II) ainsi que par les membres de comit daudit ou des risques, qui forment le gouvernement dentreprise .

2.2.1 Organe dadministration, de gestion ou de contrle


Il dtermine les orientations stratgiques de lorganisme et cre lenvironnement et les structures pour une gestion des risques efficace. Ses responsabilits portent, la fois, sur la surveillance et le pilotage du systme de gestion des risques. Il impacte les dmarches de cartographies des risques travers : La dfinition de la stratgie et de la politique des risques (notamment lapptit pour les risques et les seuils de tolrance). Lapprobation annuelle des politiques crites concernant leur gestion des risques, leur contrle interne, leur audit interne et, le cas chant, la sous-traitance (article 41 de la directive Solvabilit II). Les politiques de gestion des risques concernent notamment les domaines cits larticle 44 : la souscription et le provisionnement, la gestion actif-passif, les investissements, la gestion du risque de liquidit et de concentration, la gestion du risque oprationnel, la rassurance et les autres techniques dattnuation du risque (annexe 7). Le suivi de ladquation des dispositifs de gestion des risques et du respect du niveau gnral des risques dfinis par lorganisme. Il doit disposer des comptences et des ressources pour exercer ses missions. En outre, lexercice de ses missions peut tre ralis au travers de comits spcialiss.

IFACI

25

LA CARTOGRAPHIE DES RISQUES

En France, lorgane dadministration de gestion ou de contrle sera reprsent par le conseil dadministration et le directeur gnral ou, dans le cas dune structure duale, par le conseil de surveillance et le directoire .
Rapport dactivit annuel 2012 de lACP

Bien que la gestion des risques relve de la responsabilit collective de lorgane dadministration, de gestion ou de contrle, celui-ci doit dsigner au moins un membre pour surveiller lefficacit du systme de gestion des risques en place .

2.2.2 Gouvernance institutionnelle : comit daudit et/ou des risques


Le comit daudit (et/ou des risques) est une manation du conseil, il joue un rle essentiel dans le suivi de la qualit des dispositifs de gestion des risques et de contrle interne des organismes dassurance et bnficie ce titre de reporting sappuyant parfois sur des cartographies des risques, dont les travaux daudit interne. Il apprcie toute dviance par rapport au cadre de tolrance aux risques, dfini par lorgane dadministration, de gestion ou de contrle, sur la base notamment dtudes prospectives et de diffrents exposs techniques. Le comit d'audit doit disposer de plusieurs sources d'information (cartographie des risques, synthse des CAC, rapports d'audit interne, etc.) et veiller la cohrence globale de ces documents. Le comit d'audit avec la mise en uvre de la directive Solvabilit II devra mettre des avis sur plusieurs politiques et rapports (dont le rapport ORSA et le rapport actuariel qui comprend un avis sur la politique de souscription et les provisions).

2.2.3 Gouvernance oprationnelle : comit managrial des risques


Le comit des risques vis ici est un comit managrial interne dont le positionnement et le rle sont tout fait diffrents de ceux du comit daudit et/ou des risques voqus ci-dessus. Sa prsidence est assure par un membre de lorgane dirigeant et il est ddi la surveillance et au pilotage de la solvabilit ainsi quau management de lensemble des risques significatifs et levs : les risques viss dans la formule standard (souscription, march, oprationnel, etc.), les autres risques non ou mal apprhends dans la formule standard : risques stratgiques, de pilotage et dimage.

26

IFACI

LA CARTOGRAPHIE DES RISQUES

Sur proposition de la direction des risques, le comit prend les principales dcisions concernant la mise en uvre des dispositifs de gestion des risques et lencadrement des principaux risques. Il assure le suivi de la mise en uvre des solutions de remdiation.

2.2.4 Autres comits internes participant la gestion des risques dans le cadre de dcisions oprationnelles
Pour assurer le dploiement oprationnel de la gestion des risques, les organismes dassurance mettent en place des comits managriaux tels que : le comit de gestion actif-passif (ALM - Asset and Liability Management) le comit de souscription, le comit des placements, etc.

Ces comits managriaux doivent tre transverses. Les informations et les dcisions doivent circuler de manire trs fluide entre les structures. La gouvernance des comits doit tre formalise par un rglement intrieur (composition, mode de fonctionnement, primtre, cration ventuelle de sous-comits, dispositif de remonte dinformation, etc.). Tout comit doit mettre et archiver un ordre du jour, un compte rendu et les documents prsents en sance. Laudit interne doit avoir accs linformation, notamment pour llaboration du plan. Ainsi,laudit interne doit tre destinataire des comptes rendus des comits et/ou tre invit aux comits, avec voix consultative.

IFACI

27

LA CARTOGRAPHIE DES RISQUES

28

IFACI

LA CARTOGRAPHIE DES RISQUES

PARTIE 3 I DENTIFICATION
ET VALUATION DES RISQUES

Le recensement des risques vise capter un instant donn, les risques qui peuvent porter atteinte la ralisation des objectifs dune organisation, dun processus, ou dune activit.

IFACI

29

LA CARTOGRAPHIE DES RISQUES

3.1 L A

NOTION DE RISQUE

Les rfrentiels de contrle interne et de gestion des risques proposs dans la partie 1 proposent des dfinitions et des principes pour mieux apprhender les risques.

3.1.1

Dfinitions

Selon la norme ISO 31000 qui fait rfrence au Guide 73:2009 Management du risque Vocabulaire , le risque est leffet de lincertitude sur l'atteinte des objectifs . A noter que cette dfinition ne caractrise pas leffet, celui-ci peut donc tre un cart ngatif ou positif par rapport aux attentes. Les objectifs en questions peuvent avoir diffrents aspects (par exemple, objectifs financiers, de conformit, oprationnels, etc.) et peuvent concerner diffrents niveaux (stratgique, projet, produit, processus ou un organisme tout entier). Le cadre de rfrence de lAMF considre que le risque reprsente la possibilit quun vnement survienne et dont les consquences seraient susceptibles daffecter les personnes, les actifs, lenvironnement, les objectifs de la socit ou sa rputation . Le COSO dfinit le risque comme tant la possibilit quun vnement se produise et affecte la ralisation des objectifs 1. Dans le cadre du processus d'identification et d'valuation des risques, une organisation peut galement dceler des opportunits, qui sont des vnements susceptibles daffecter positivement la ralisation des objectifs. Il est important de saisir ces opportunits et de les communiquer au processus de dfinition des objectifs 2. Pour ses travaux, lunit de recherche sest base sur la dfinition du risque propose par le COSO en 2013. Ces rfrentiels proposent dapprhender les risques selon au moins deux dimensions : dune part, par les notions de frquence, de probabilit, dalas, dincertitude, et dautre part, par les consquences, les impacts sur les organisations, les individus ou les objectifs. Seule la combinaison de ces deux composantes (par exemple, la frquence et limpact) permet destimer raisonnablement le niveau de risque. Enfin, il convient de distinguer : le risque brut ou inhrent qui mesure le risque sans aucun lment de matrise : absence de procdures, absence dactivits de contrle, absence de systme informatique, etc.

1 2

Cf. Internal Control - Integrated Framework / COSO. - mai 2013. La version franaise paratra dbut 2014. Composante valuation des risques du COSO 2013.

30

IFACI

LA CARTOGRAPHIE DES RISQUES

le risque rsiduel ou le risque net qui mesure le risque aprs mise en place des lments de matrise : contrle interne, couverture financire, partage du risque, etc.

3.1.2 Apptence pour les risques et seuil de tolrance


Lapptence pour le risque est en gnral formule de faon quantitative ou qualitative. Dfinie par les organes de gouvernance et de direction, elle encadre la prise de risque en fixant les limites des impacts quun organisme est prt accepter. Ce concept se traduit pratiquement dans la gestion quotidienne de lentreprise : par exemple, les politiques de souscription cadrent les produits autoriss la vente, ou les conditions de souscription acceptables, ou les engagements maximaux. Elle est souvent complte par la notion de tolrance au risque dfinit dans le COSO 2 comme le niveau de variation acceptable dans latteinte dun objectif . Par exemple, si lobjectif de satisfaction des clients est fix 98%, lorganisation peut accepter une tolrance de 96 100%. La mise en uvre oprationnelle de ces critres ncessite donc une identification pralable des objectifs et des consquences des risques. Ils permettent de retenir les mesures de traitement appropries pour maintenir les niveaux de risque en de de ces seuils. Ils sont donc utiliss dans le cadre du contrle interne pour la conception et le suivi de lefficacit des lments de matrise.

Conception et suivi des indicateurs de risques


Des indicateurs de risques et des seuils dalerte sont conus et suivis chaque niveau du dispositif : Au niveau des instances de gouvernance, cest essentiellement lapptence globale pour les risques qui est dtermine en fonction de la stratgie et des valeurs de lorganisation. Lorgane dirigeant fixe les objectifs gnraux en prcisant une tolrance de dviation et un horizon temporel. La direction gnrale sassure de la bonne dclinaison de ces mtriques dans les diffrentes activits. Les fonctions en charge du suivi des risques proposent, en lien avec les directions mtiers concernes, des indicateurs permettant de vrifier ladquation des donnes remontes des directions oprationnelles par rapport au profil de risque dfini (apptence et tolrance dfinies par les instances de gouvernance). Pour ce faire, elles peuvent tre amenes accompagner la spcification de ces limites et la mise en uvre des lments de matrise des risques avec les directions mtiers. Elles rendent comptent, en autonomie par rapport aux directions oprationnelles, aux instances de gouvernance, le cas chant, elles accompagnent la mise en uvre des actions correctrices. Les directions oprationnelles sapproprient les mtriques de la politique de risques. Pour cette dclinaison et pour la matrise de leurs activits, elles peuvent sappuyer sur les fonctions de la deuxime ligne de dfense, et en particulier les directions de la gestion des risques, du contrle interne ou de la conformit.

IFACI

31

LA CARTOGRAPHIE DES RISQUES

Laudit interne vrifie de faon indpendante que la politique des risques est clairement dfinie pour tre mise en uvre par la premire et la deuxime ligne de dfense. Il sassure priodiquement que le niveau de matrise des processus reste dans les limites acceptables. Il fait des propositions pour amliorer la gestion globale du dispositif et la fiabilit des indicateurs.

Bonne pratique concernant les indicateurs de risques :


Les indicateurs conus et utiliss aux diffrents niveaux du dispositif doivent tre cohrents les uns avec les autres. Les indicateurs doivent tre directement lis aux limites de risque dfinies. Ils constituent le lien entre la ralit oprationnelle et le pilotage de lentreprise. Ils doivent tre comprhensibles par des non techniciens et permettre la prise de dcision. Des alertes doivent tre mise en place sur ces indicateurs pour vrifier que les limites ne sont pas dpasses.

3.1.3 La nomenclature des risques


La typologie des risques propose par lunit de recherche facilite : lidentification des risques, la bonne couverture du recensement des risques, ltablissement de liens entre les risques capts des niveaux diffrents, le dialogue entre les diffrents acteurs, la consolidation des diffrents reporting oprationnels ou rglementaires. Deux principales natures de risques sont rencontres (cf. galement le modle FERMA dans la partie 1.2) : les risques endognes, propres lactivit de lorganisation, qui sont lis ses processus, son organisation, son systme dinformation, son management, etc. les risques exognes dont lorigine provient de lenvironnement de lorganisation : les clients, les fournisseurs, les socitaires ou actionnaires, les concurrents, les marchs financiers, les catastrophes naturelles ; lorganisation ayant peu demprise sur cette nature de risques, il est nanmoins ncessaire de mettre des lments de matrise et de surveillance pour en limiter les impacts.

32

IFACI

LA CARTOGRAPHIE DES RISQUES

3.1.3.1

Une classification en 4 grandes familles

Conu de manire arborescente selon trois niveaux de risques, la nomenclature de lunit de recherche propose en annexe 2 permet de prciser les risques identifis et de les rattacher lune des quatre familles de risques retenues1. Cette nomenclature est construite sur trois niveaux de risques complmentaires : le niveau 1 concerne les quatre grandes familles de risques : - financiers : risques lis lvolution des marchs financiers, de gestion de bilan ou financire ; - assurances : risques spcifiques aux activits techniques dassurance (souscription, tarification, provisionnement technique, etc.) ; - oprationnels : risques de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs ; - stratgiques et environnementaux : risques relatifs au pilotage de lentreprise, aux risques de rputation directs et aux risques gnrs par lenvironnement de lentreprise et aux risques mergents. le niveau 2 permet de dfinir des catgories de risques au sein de chaque famille (exemple pour les risques financiers : liquidit, march, crdit, etc.). le niveau 3 offre un degr de dtail supplmentaire au sein de ces catgories (exemple : pour le risque financier de crdit : rglement livraison, dfaut metteur, etc.). Chacune de ces quatre familles a t dcline en 27 risques de niveau 2, lesquels ont t leur tour dclins en 192 risques de niveau 3. Ainsi, selon le niveau de granularit souhait, elle permet davoir un degr de finesse variable dans la vision des risques encourus. De plus, cette nomenclature actualise intgre les risques dfinis pour la formule standard par la directive Solvabilit II.

3.1.3.2

Focus sur le risque oprationnel

Larticle 13 de la directive Solvabilit II (cf. annexe 7), dfinit le risque oprationnel comme le risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs. Cette dfinition englobe une grande diversit de risques. Hormis, la mention aux vnements externes, elle est trs proche de celle propose par Ble 2 qui vise les pertes directes ou indirectes dues une inadquation ou une dfaillance des procdures, du personnel et des systmes internes. Compte tenu de cette similitude, lunit de recherche a repris la dclinaison en sept catgories du risque oprationnel de Ble 2 : clients, produits et pratiques commerciales, excution, livraison et gestion des processus,
1

Le prcdent rfrentiel comportait 6 familles de risques (assurance, financier, comptable, oprationnel, pilotage, externe), ce passage 4 familles de risques sexplique par le retour dexprience des membres de lunit de recherche Cf. Cartographie des risques / Groupe professionnel Assurance . IFACI, 2006.

IFACI

33

LA CARTOGRAPHIE DES RISQUES

dysfonctionnements de lactivit et des systmes, pratiques en matire demploi et de scurit sur le lieu de travail, dommages aux actifs corporels, fraude interne, fraude externe.

En vertu de larticle 49.2.b de la directive Solvabilit II, la sous-traitance d'activits ou de fonctions oprationnelles importantes ou critiques ne doit pas tre effectue d'une manire susceptible daccrotre indment le risque oprationnel. Pour matriser les risques oprationnels, il est donc indispensable de ne pas se limiter aux frontires de lorganisation. Pour mmoire, un groupe de recherche de lIFACI a fait des propositions pour la matrise des activits en dlgation de gestion1. Compte tenu de la palette des risques oprationnels, il nest pas rare de trouver des cartographies thmatiques, par exemple, sur le risque de fraude ou les pratiques commerciales.

3.1.3.3

Focus sur les risques de la formule standard sous Solvabilit II

Sous le rgime Solvabilit II, le SCR2 (capital de solvabilit requis) reprsente lexigence de capital. Il correspond au montant de fonds propres dtenir pour permettre dviter la ruine 99,5 % lhorizon dun an. Le SCR est bas sur le profil de risque de lorganisme dassurance, le SCR peut tre calcul soit par une formule standard calibre uniformment sur le march europen, soit par un modle interne dvelopp par lorganisme dassurance et aprs autorisation par le superviseur, soit par une combinaison de ces deux mthodes. Le SCR formule standard est calcul selon une approche modulaire (cf. schma ci-aprs). Lorganisme doit calculer la perte subie en cas dvnement dfavorable li une trentaine de sousmodules de risques, rpartie travers sept modules de risques3 : Le module risque de march , Le module risque de souscription en sant , Le module risque de contrepartie , Le module risque de souscription en vie , Le module risque de souscription en non-vie , Le module risque sur actifs incorporels , Le risque oprationnel.

2 3

La dlgation de gestion en assurances de personnes : pistes pour un contrle interne efficace [Cahier de la Recherche] / Unit de Recherche de lIFACI. - IFACI, 2012. Solvency Capital Requirement. Cf. Annexe 3 : Prsentation des risques de la formule standard.

34

IFACI

LA CARTOGRAPHIE DES RISQUES

Les risques dcrits pour dterminer la formule standard constituent donc une base pour cartographier les risques de lorganisme dassurance. Aussi, la nomenclature des risques prsente en annexe 2, fait rfrence aux modules et sous modules de risques de cette formule.

SCR

Ajustement

BSCR

Oprationnel

March

Sant

Contrepartie

Vie

Non-vie

Actifs incorporels

Taux dintrt Actions Actifs Immobiliers Marge Change Concentration Contracyclique

SLT 1 Mortalit Longvit Incapacit Invalidit Rachat Dpenses Rvision

Catastrophe

NSLT 2 Prime et rserve Rachat

Mortalit Longvit Incapacit Invalisit Rachat Dpenses Rvision Catastrophe

Prime et rserve Rachat Catastrophe

Ajustement d le et dabsorption des participations aux bn ces futures

SLT (Similar to Life insurance Techniques) : Similaire aux techniques dassurance-vie NSLT (Non Similar to Life insurance Techniques) : Non similaire aux techniques dassurance-vie

Daprs le schma de la directive Solvabilit II.

3.2 M ESURE DU RISQUE


A minima, deux critres sont apprcis pour coter le risque brut : la frquence et limpact : Risque brut = Frquence x Impact Le risque rsiduel mesure le risque aprs mise en place des lments de matrise : Risque rsiduel = Frquence x Impact x Elment de matrise Les chelles dvaluation facilitent la hirarchisation des risques et in fine les arbitrages sur des actions mener. Les chelles paires quatre niveaux sont privilgier.

IFACI

35

LA CARTOGRAPHIE DES RISQUES

3.2.1 La frquence
Comment dterminer la frquence de survenance du risque ? Par lestimation de loccurrence des vnements pouvant tre lorigine du risque. Lchelle de mesure de la frquence doit tre tablie et adapte la structure. Ci-aprs sont proposes deux illustrations de mesure de la frquence. Illustration 1 : Echelle de mesure de la frquence
Cotation 1 2 3 4 Frquence Exceptionnel Rare Probable Trs probable Elment de mesure Occurrence quasi nulle (<1%) sur 2 ans Occurrence possible mais peu probable (1 10%) sur 2 ans Occurrence plausible (10 50%) sur 2 ans Occurrence trs probable (>50%) sur 2 ans

Illustration 2 : Echelle de mesure de la frquence


Cotation 1 2 3 4 Rare Modr Occasionnel Frquent Frquence Elment de mesure Frquence de lordre d1 2 fois en 3 ans Frquence de lordre d1 fois par an Frquence pluriannuelle (quelques fois par an, de lordre du trimestre, du mois) Frquence quotidienne ou hebdomadaire

36

IFACI

LA CARTOGRAPHIE DES RISQUES

Illustration 3 : Probabilit doccurrence - Menaces


Estimation Forte (probable) Description Susceptible de survenir chaque anne ou plus de 25% de chances de survenir. Indicateurs A le potentiel de survenir plusieurs fois dans la priode considre (par exemple dix ans). Sest produit rcemment. Pourrait survenir plus dune fois dans la priode considre (par exemple dix ans). Peut tre difficile matriser en raison dinfluences externes. Y a-t-il un historique de survenance ? Ne sest pas encore produit. Peu susceptible de survenir.

Modre (possible)

Susceptible de survenir dans les dix prochaines annes ou moins de 25% de chances de survenir. Peu susceptible de survenir dans les dix prochaines annes ou moins de 2% de chances de survenir.

Faible (peu probable)

Source : Cadre de rfrence de la Gestion des Risques / FERMA. 2003.

3.2.2 Limpact
Quelle est la consquence si le risque se concrtise ? Lunit de recherche propose de dcliner les impacts en 3 principales catgories1, savoir : limpact financier (ex : perte financire, baisse des revenus, hausse des cots), direct ou indirect, immdiat ou terme. Lannexe 4 vous propose une liste non-exhaustive dimpacts financiers ; limpact juridique (ex : responsabilit civile et/ou pnale, sanctions lgales et/ou professionnelles, etc.) ; limpact sur limage (dgradation de limage, rputation remise en cause).

Une estimation systmatique des consquences financires, base sur des scnarios de risques prcis peut tre un exercice trs lourd et complexe. Il est en effet difficile dexiger une valuation financire prcise de tous les impacts (humains, conformit, rputation, etc.). Pour faciliter lexercice dvaluation, il est toutefois souhaitable dtablir des critres objectifs pour chaque niveau de gravit.

Ces trois principales catgories dimpact sont adaptes au secteur assurantiel. En fonction du domaine dactivit des entreprises, dautres catgories dimpact peuvent tre pertinentes. Par exemple, les impacts environnementaux peuvent tre appropris lindustrie (nuclaire, minire, ptrolire) ou encore les impacts sur la vie humaine peuvent tre envisags dans les secteurs des travaux publics, de la scurit (arme, police), ou lindustrie minire.

IFACI

37

LA CARTOGRAPHIE DES RISQUES

Lchelle de mesure de limpact doit tre tablie et adapte lorganisme. Ci-aprs sont proposes deux illustrations de mesure de limpact. Dautres valuations de limpact financier sont proposes en annexe 4. Illustration 1 : Echelle de mesure de limpact
Impact 1 Faible Impact financier < 10 000 euros Entre 10 000 100 000 euros Entre 100 000 500 000 euros > 500 000 euros Impact image Impact local Impact lgal rglementaire Observation des autorits de tutelle Avertissement des autorits de tutelle Mise en cause juridique devant une juridiction autre que pnale Blme des autorits de tutelle Mise en cause devant une juridiction pnale Sanction des autorits de tutelles Condamnation pnale

Modr

Impact rgional

Significatif

Impact national Un seul canal Impact national Couverture large

Elev

Illustration 2 : Echelle de mesure de limpact


Cotation 1 Impact Limit Financier (Rsultat) < 10% du rsultat annuel 10% 50% du rsultat annuel 50% 100% Image / rputation ou encore rglementaire Attention de tiers (presse, groupes de pression, etc.) sur des sujets jugs sensibles Communication dfavorable dans des mdias sur une partie de lentreprise et un niveau local Couverture mdiatique plus large, mais nentranant pas deffet majeur Attaque mdiatique ayant des consquences significatives sur limage et la rputation du Groupe

Significatif

Majeur

Critique

> au rsultat annuel

Comment dfinir les seuils financiers dans les chelles de mesure dimpact ?
Les diffrents seuils retenir doivent tre discriminants et permettre une distribution des risques rgulire sur lensemble des seuils retenus : si tous les risques valus se situent sur le mme niveau, l'chelle retenue ne sera pas utile la bonne hirarchisation des risques.

38

IFACI

LA CARTOGRAPHIE DES RISQUES

3.2.3 Le risque brut


Limpact et la frquence permettent de dterminer la cotation brute ou inhrente du risque.

S M Frquence F F Impact

S M M F

E S S M

E E E S

F M S E

Risque Faible Risque Modr Risque Significatif Risque Elev

Pour certains, cette tape est considre comme une tape intermdiaire. Ils prfrent directement raisonner sur le risque rsiduel, en intgrant les lments de matrise ds les premiers travaux dvaluation des risques. Ils rsolvent ainsi une limite cognitive des acteurs qui narrivent pas raisonner sur les risques en faisant abstraction des lments de matrise existants.

3.2.4 Les lments de matrise


Llment de matrise se dfinit comme le moyen existant ou mettre en place pour permettre de rduire ou dliminer le risque. Il peut porter aussi bien sur la frquence que sur limpact du risque titre prventif ou correctif. Ainsi, chaque risque est associ un ou plusieurs lments de matrise. Il est entendu quun mme lment de matrise peut venir agir sur plusieurs risques. Ces lments de matrise sont constitus gnralement de : missions, tches donnes aux collaborateurs, manuels de procdures, modes opratoires, niveaux de savoir-faire des collaborateurs, tableaux de bord, systmes informatiques, organigrammes ou structures clairement dfinis et formaliss, directives, consignes, rgles claires et crites, actions de vrifications : auto-contrle, contrle humain, contrle automatique, sparation des tches, dlgations de pouvoirs formalises. Lchelle dapprciation des lments de matrise doit tre tablie et adapte lorganisme.

IFACI

39

LA CARTOGRAPHIE DES RISQUES

Illustration 1 : Echelle dapprciation des lments de matrise

Cotation

Niveau de matrise

Elment de mesure Dispositifs mis en place permettant de rduire la frquence ou limpact du risque un niveau satisfaisant : rgles crites et dtailles, contrles formaliss et appliqus (indicateurs de suivi et de contrle, valuation des procdures, etc.). Dispositifs mis en place permettant de rduire notablement la frquence ou limpact du risque : rgles crites mais complter, lments de matrise existants et pertinents, formaliss mais complter. Dispositifs mis en place ne permettant pas de rduire significativement la frquence ou limpact du risque : rgles orales, lments de matrise partiellement existants ou pertinents et peu formaliss. Absence dlment de matrise : pas ou peu de rgle, on se fie lexprience, pas ou peu de remontes dinformations, pas ou peu de sensibilisation du personnel aux risques.

Maitris

Acceptable

Insuffisant

Faible

3.2.5 Le risque rsiduel


Le risque rsiduel est la criticit que prsente le risque aprs prise en compte de leffet protecteur des lments de matrise en place. Risque rsiduel = Frquence x Impact x Elment de matrise Le poids du risque ainsi dtermin permet une hirarchisation des principaux risques et une priorisation des plans dactions peut tre tablie. Illustration 1 : Echelle de mesure du risque rsiduel

L = risque faible, gr par les procdures en place

Limpact sur latteinte des objectifs nest pas proccupant, le risque est sous contrle

M = risque modre, un suivi spcifique doit tre organis S = risque significatif, une alerte au senior management est ncessaire

Limpact sur latteinte des objectifs est limit. Des actions doivent tre entreprises mais ne sont pas urgentes.

Limpact sur latteinte des objectifs est significatif. Ncessit de prendre des actions immdiates pour limiter le risque.

Limpact sur latteinte des objectifs est dune telle ampleur que les objecH = risque lev, action immdiate tifs ne seront trs probablement pas atteints. Ncessit de prendre des requise actions immdiates pour limiter le risque, et alerter la direction.

40

IFACI

LA CARTOGRAPHIE DES RISQUES

Les risk managers peuvent mobiliser des critres complmentaires limpact et la frquence pour affiner lvaluation des risques. Par exemple : la vlocit, la volatilit, le fait quil soit plus ou moins contrlable, la capacit.

3.3 D EUX

APPROCHES COMPLMENTAIRES

Du fait des volutions rapides de lenvironnement rglementaire et de la complexification des activits, les directions gnrales ont fait de la cartographie des risques un vritable outil global de pilotage et en sont devenues les principaux commanditaires. Lapprhension systmatique des risques se fait gnralement selon deux approches : Lapproche bottom-up, partant de lanalyse des processus et permettant de mettre en uvre les dispositifs de matrise des risques adquats. Lapproche top-down, partant de la vision du top management et permettant daboutir directement une valuation des expositions majeures pour lorganisation. Le rapprochement entre ces deux approches doit permettre lorganisme dassurance didentifier les risques pouvant avoir un impact sur les objectifs majeurs de lorganisation et daboutir une cartographie globale des risques pour un pilotage efficace de lorganisation.

3.3.1 Lapproche bottom-up


Lapproche bottom-up (ou lapproche par les processus) didentification et dvaluation des risques repose sur les tapes suivantes : 1. Identification des processus. 2. Identification et cotation des risques au niveau de chaque processus. 3. Identification et valuation des lments de matrise existants. 4. Cotation du risque rsiduel.

3.3.1.1

Identification des processus

Un processus peut tre dfini comme lensemble des oprations ou activits ralises par des

IFACI

41

LA CARTOGRAPHIE DES RISQUES

acteurs, avec des moyens et dans un cadre donn, partir d'un vnement dclencheur externe (input) pour aboutir un rsultat, une finalit (ouput).

Input

Processus

Sous-processus 1 - Activit 1 - Activit 2 - Activit 3 - ... Sous-processus 2 - Activit 1 - Activit 2 - ...

Output

Partir des processus permet de sappuyer sur un cadre plus stable que les structures organisationnelles. Le recensement des processus de lentreprise est fonction du modle conomique et est gnralement ralis par (ou en liaison avec) la direction de lorganisation ou de la qualit. Pour les organismes dassurance ayant dj dcrit les processus dans le cadre de dmarches connexes telles que la certification ISO ou encore de formalisation des procdures de lentreprise, il est recommand de sappuyer sur les dmarches existantes afin dune part doptimiser les moyens et dautre part assurer une homognit des dmarches dans les organisations.

Les processus peuvent tre classs en 2 grandes familles : les processus relatifs la production quotidienne (processus mtiers ou oprationnel), les processus relatifs au bon fonctionnement (processus supports). Lannexe 1 propose une illustration des principaux processus dun organisme dassurance. Le niveau de granularit retenu dpendra des objectifs de la cartographie et de la taille des organisations. Ce niveau doit tre suffisamment fin pour identifier de faon pertinente les risques significatifs mais ne doit pas conduire lister lensemble des tches de lorganisation. La dfinition de la granularit est essentielle car plus le niveau de dtail est fin, et plus le travail correspondant didentification des risques est important. Elle impacte donc llaboration de la cartographie et sa maintenance ultrieure.

42

IFACI

LA CARTOGRAPHIE DES RISQUES

Choisir le bon niveau de granularit est galement important afin de calibrer la dmarche aux moyens disponibles et au planning souhait. Ainsi, cinq niveaux de granularit, en partant du plus large au plus particulier, sont proposs : le mtier : IARD, vie, assistance, rassurance, etc. ; le domaine : pour le mtier IARD : habitat, auto, transport arien, etc. ; le processus : processus de souscription, processus de paiement des prestations, etc. ; lactivit : pour le processus de paiement des prestations : enregistrement, rglement du sinistre, etc. ; la tche lmentaire : pour lopration rglement du sinistre : envoi du chque. Cest la granularit qui dterminera le niveau hirarchique adquat des interlocuteurs rencontrer afin de collecter les informations. Lunit de recherche sest accorde pour dsigner le niveau mdian processus comme le niveau pertinent dune cartographie. En effet, celui-ci constitue dune part le meilleur compromis entre le temps pass llaboration de la cartographie et le degr de pertinence de la vision des risques. Dautre part, cest le niveau dquilibre permettant de faire converger et de relier les lments obtenus selon les deux principales mthodes (top-down et bottom-up).

Il est possible de limiter le primtre de la cartographie en ne retenant que des processus cls . Il sagit, par exemple, des processus impact client fort ou identifis comme particulirement exposs financirement.

Ecueils viter La maturit de lorganisme dassurance en matire dapproche par les processus est un facteur cl de succs : dfaut de processus suffisamment prcis et stabiliss, ltape suivante didentification des risques peut vite devenir complexe avec des redondances inutiles. Dans ce cas, une entre supplmentaire par entits / directions peut tre ncessaire.

3.3.1.2

Identification et cotation des risques au niveau des processus

Une premire identification des risques est ralise au cours des entretiens ou dateliers avec les oprationnels. Comme pour le recensement des processus, la description des risques peut se faire soit sur la base dun questionnaire soit de manire ouverte, facilitant ainsi lidentification des risques. Cette premire identification est construite conjointement par le management de lactivit oprationnelle et les quipes en charge de la cartographie des risques. Chaque risque est tabli partir de la collecte dinformations sur le domaine concern, et le partage des enjeux et des problma-

IFACI

43

LA CARTOGRAPHIE DES RISQUES

tiques avec le responsable du primtre. Un risque doit faire lobjet dune dfinition prcise. Il en va de lefficacit du dispositif de matrise qui dcoulera de la cartographie. Pour ce faire, le risque est gnralement document avec les caractristiques suivantes : Le contexte dans lequel le risque sinscrit (ex. : matrise de la sinistralit dans un environnement conomique conjoncturel difficile et concurrentiel fort). La description du risque, (ex. : risque de paiement tort dune prestation, dans le processus de gestion des prestations). Les causes possibles du risque (ex. : absence de supervision). Eventuellement les facteurs de risques, savoir les lments aggravants (ex. : changement dorganisation rcent). Les impacts ou les consquences possibles (ex. : paiement dune prestation tort => impact financier : du montant de la prestation paye tort). Sa frquence, tablie le plus souvent dire dexpert, de retour dexprience (ex. : probabilit de payer tort reprsente 2% des dossiers traits).

Le recensement des risques tant ralis partir de diffrentes activits prises isolment, il est important didentifier galement les risques lis aux interrelations entre ces activits.

Bote outils : Questions cls pour recenser les risques au niveau des processus La dmarche consiste identifier tout ce qui pourrait empcher la ralisation des objectifs du processus. Il convient donc davoir, pour chaque processus, une vision claire des objectifs et des critres de performance attendus. Les informations recueillies lors de la description des processus permettent de rpondre aux questions : Quels sont les objectifs du processus ? Quels sont les facteurs cls de succs ? Quels sont les critres de performance attendus du processus ? Quels dysfonctionnements sont susceptibles dintervenir dans le droulement du processus ?

Rechercher les risques lis aux lments intrinsques au processus

Quelles sont les phases critiques du processus : quest-ce qui pourrait


chouer ? Quest-ce qui doit imprativement fonctionner correctement ? Quels sont les maillons faibles au sein du processus ? Quelles sont les ressources cls protger ? Quels sont les erreurs, omissions, actions ou incidents qui peuvent avoir un impact significatif sur la performance du processus ? Votre organisation est-elle adapte vos activits ? Prciser. Votre systme dinformations est-il adapt vos besoins ? Prciser.

44

IFACI

LA CARTOGRAPHIE DES RISQUES

Identifier les risques provenant de facteurs externes au processus

En quoi les autres processus peuvent interfrer ngativement sur la performance du processus ?

Quels sont les points de dpendance les plus critiques ? (systmes dinformation instables, qualit des informations reues insuffisante, etc.)

En quoi lenvironnement actuel peut empcher la ralisation des objectifs du processus ?

En quoi une volution de lenvironnement peut empcher la ralisation


des objectifs du processus ?

Quelles causes externes rendent le processus plus vulnrable : volution de


lenvironnement lgal ou rglementaire, de lenvironnement concurrentiel, de lenvironnement technologique, etc.

Chercher avoir une vision exhaustive des risques mme si le risque est faible pour pouvoir suivre son volution. La documentation structure de chaque risque est un investissement pour lensemble du dispositif. En effet, certains dentre eux peuvent tre repris pour tablir une cartographie sur des primtres analogues bien que distincts (mme type dactivit, mme nature de problmatiques, etc.).

3.3.1.3

Identification et valuation des lments de matrise existants

De mme que lors de lidentification et de lvaluation des risques, les lments de matrise doivent tre documents et apprcis notamment partir de donnes sur : lorganisation (par exemple, pour rpondre la question de lorganisation de la gestion des prestations ; collecter les lments relatifs lorganisation, aux dfinitions de postes, aux habilitations ouvertes dans les SI, aux rgles de sparation de fonction) ; le management et lanimation ; la documentation (ex. : existence de procdure et modes opratoires relatives la gestion des prestations) ; la formation (ex. : existence de formations rgulires et actualises) ; les activits de contrle (quels types de contrles [humain, automatique] ? Par exemple, contrles manuels, vrification par une tierce personne, en fonction de la nature et le montant de la prestation, avant paiement de la prestation) ; le reporting et le suivi dactivit (ex. : nombre de dossiers traits et montant pay, analyse des carts ventuels dune priode sur lautre). Cette analyse pourra se fonder sur des constats factuels de la ralit de lexistence et de lefficacit des lments de matrise.

IFACI

45

LA CARTOGRAPHIE DES RISQUES

3.3.1.4

Cotation du risque rsiduel

Une fois les lments relatifs aux risques et aux lments de matrise identifis, la cotation du risque rsiduel peut tre obtenue. Risque rsiduel = Frquence x Impact x Elment de maitrise

Exemple : Risque de paiement tort associ au processus de gestion des prestations. A partir des mtriques prsentes (Parties 3.2.1 / 3.2.2 / 3.2.4 / 3.2.5 - Illustrations 1). Pour le rglement dun capital dcs (200 000 ). La frquence de payer tort est estime comme occasionnelle => cotation = 3. Limpact de 200 000 considr comme significatif => cotation = 3. Les lments de matrise sont faibles : pas de procdure formalise, pas de contrle de supervision pour les sinistres lourds, calcul des garanties et du montant de la prestation non intgr dans le SI => cotation = 4. Risque rsiduel = 3x3x4 = 36, qui prsente un risque lev et ncessite la mise en place dactions correctives et de mesures de matrise des risques.

Les cartographies thmatiques Il existe de plus en plus de cartographies des risques thmatiques pour le diagnostic de sujets particuliers. Les plus courantes sont les cartographies des risques lis aux systmes dinformation, aux risques juridiques, aux risques de blanchiment des capitaux et du financement du terrorisme ou encore aux risques de fraude. Les mthodes utilises sont similaires celles exposes ci-dessus mais elles peuvent senrichir de critres spcifiques pour lvaluation des risques (par exemple, temps dindisponibilit pour les systmes dinformation).

3.3.2 Lapproche top-down


La cartographie des risques top-down est une dmarche qui consiste collecter au niveau du top management, lensemble des grands risques pouvant limiter ou empcher latteinte des objectifs stratgiques de lorganisation, ou menacer ses principaux actifs. Elle se droule selon les tapes suivantes : 1. Lidentification des risques et leur valuation. 2. Le rapprochement de ces risques avec la nomenclature des risques de lorganisation. 3. Le rapprochement de ces risques avec les processus de lorganisation.

46

IFACI

LA CARTOGRAPHIE DES RISQUES

3.3.2.1

Identification et valuation des risques dire dexpert

Le top management est en mesure de recenser les grands risques avec un impact fort ou/et une frquence importante. Ce type danalyse aura donc un faible niveau de granularit. Cet exercice de collecte, de formalisation et dvaluation des risques par les principaux responsables dun organisme dassurance se fait gnralement par entretien et/ou questionnaire ouverts. Lide tant que ces dirigeants sexpriment sur leur vision des risques pesant sur lorganisation et leur domaine de responsabilit. Ce type danalyse peut-tre ralise travers la formalisation de scnarios. Lexercice de normalisation (rattachement au rfrentiel des risques, et des processus de lorganisation) et de hirarchisation pourra se faire dans un second temps.

3.3.2.2

Rapprochement avec la nomenclature des risques de lorganisation

Gnralement, lidentification des risques se fait avec le top management par entretien, avec des questions ouvertes (ex. : citer les 3 principaux risques pouvant affecter lentreprise, citer les 3 principaux risques pouvant affecter votre domaine de responsabilit). Aussi, pour permettre de consolider les rsultats et proposer une vision exhaustive des risques, le rattachement la nomenclature des risques de lorganisation est prvoir.

3.3.2.3

Lien avec les processus de lorganisation

Le rattachement des risques au processus est une tape ncessaire pour permettre les regroupements et les consolidations. Au cours de cette phase, il sagit de remplir le double objectif de mise en cohrence des risques identifis avec les activits de lentit et dexhaustivit de lanalyse.

3.3.3 Intgration des deux dmarches


Les dmarches top-down et bottom-up sont des dmarches complmentaires qui doivent tre combines et dveloppes dans les organisations afin de couvrir au mieux lensemble des risques. Ces deux mthodes ont vocation alimenter et faire vivre la cartographie des risques de lorganisation.

IFACI

47

LA CARTOGRAPHIE DES RISQUES

Approche Botton-up Risques non identifis botton-up

Approche Top-down

Identification et valuation des risques des activits

Cartographie des risques

Identification et valuation des risques majeurs

Risques non identifis top-down

Rapprochement & Consolidation

En effet, ces deux approches, non seulement ne sopposent pas, mais sont complmentaires. Elles peuvent tre conduites soit de faon successive, soit de faon simultane, la question du choix pouvant se poser lors du dmarrage dun projet de cartographie, les avantages et les inconvnients de ces dmarches sont rsumes ci-aprs.

La mthode bottom-up prsente au moins les trois avantages suivants : Lapproche par les processus permet dobtenir une bonne connaissance des activits de lentreprise et les rsultats peuvent ensuite tre utiliss dautres fins, dans le cadre dune rorganisation ou loccasion dune dmarche qualit. Lanalyse dans le dtail des activits permet damliorer lexhaustivit du recensement des risques. La consultation des oprationnels pour la ralisation de la cartographie permet dobtenir une implication satisfaisante de leur part.

48

IFACI

LA CARTOGRAPHIE DES RISQUES

En revanche, cest une dmarche consommatrice de temps dans la mesure o elle requiert la tenue de nombreux entretiens et la collecte dinformations en masse. Par ailleurs, elle peut savrer coteuse en termes de comptences et de systmes car la collecte de ces donnes ncessite souvent le recours des outils informatiques.

Quant lapproche top-down, elle permet une mise en uvre plus lgre puisque les entretiens ncessaires sont moins nombreux. Lexamen des risques stratgiques permet galement de sassurer de la prise en compte plus immdiate des processus transversaux ou managriaux, ce qui peut tre plus en adquation avec les attentes de la direction gnrale.

Cependant, elle prsente linconvnient dtre moins prcise, tant dans lidentification des risques que dans leur quantification. Par ailleurs, les oprationnels ntant pas associs, ils peuvent avoir du mal sapproprier la dmarche.

Enfin, il convient de prciser que, quelles que soient la ou les mthodes utilises, nous ne pouvons jamais tre certains de couvrir l'exhaustivit des risques.

3.3.3.1

Consolider et hirarchiser les principaux risques

Ces deux dmarches complmentaires doivent alimenter et faire vivre la cartographie des risques de lorganisation. Le rapprochement et la consolidation des lments issus de ces deux mthodes seront facilits par lutilisation dun corpus commun et cohrent en termes de nomenclature des risques, de rfrentiel des processus de lorganisation et de rgles de quantification. Cette consolidation permettra de hirarchiser les risques, didentifier les principaux risques (significatifs et/ou levs) et de fournir les lments ncessaires la prise de dcision.

3.3.3.2

Dcider des mesures de traitements

Face un risque, quatre types de dcision peuvent tre prises : 1. Acceptation : le risque est accept soit lorsque celui-ci entre dans la politique de gestion des risques de lorganisation (par exemple, acquisition dun nouveau portefeuille de contrats, sachant que celui-ci prsente un risque de drive de la sinistralit connue) ; soit lorsque les cots de mises en uvre des lments de matrise deviennent trop excessif au regard du risque encouru.

IFACI

49

LA CARTOGRAPHIE DES RISQUES

2. Rduction : cette mesure vise rduire le risque sans ncessairement le faire totalement disparaitre. En effet, des actions correctives ou prventives peuvent tre mises en place pour rduire ou maitriser le risque. 3. Evitement : cette action consiste liminer le risque, c'est--dire sa probabilit de survenance. Par exemple, la dcision de ne pas acqurir un portefeuille de contrats dficitaire apportant des pertes financires suprieures aux gains escompts. 4. Partage : certains risques peuvent tre partags, par exemple par la souscription dune couverture dassurance (ex. : garantie perte dexploitation en cas de sinistre dans un btiment de lentreprise), la mise en place dun trait de rassurance (ex. : pour cder un risque de souscription) ou encore la sous-traitance de certaines activits (ex. : externalisation de la gestion dune tche afin de garantir les dlais). Le traitement dun risque peut gnrer dautres risques, il est donc important de prendre en considration les effets en cascade.

3.3.3.3

Concevoir, mettre en place et suivre les plans dactions

Les dcisions prises font lobjet de la dfinition et de la mise en place de plans dactions. Ces derniers devront tre formaliss et rattachs aux risques identifis. Un dispositif de suivi de ces plans dactions devra tre mis en place, et constituera ainsi un des lments de suivi permanent des risques.

BOITE OUTILS Pour la mise en place dune dmarche de cartographie des risques : une structure projet indispensable Un Sponsor au niveau de la direction gnrale assure linterface et la promotion du projet. Un Comit de Pilotage peut intgrer des reprsentants de fonctions impliques dans la dmarche de cartographie. Son rle sera de suivre le dploiement et de valider les orientations, dcisions et livrables qui lui seront proposs. Une quipe projet prend en charge la ralisation de la dmarche et aura pour tche essentielle de coordonner l'ensemble des moyens matriels et humains ncessaires la russite du projet. Une liste d interlocuteurs cls , identifier pour participer aux entretiens et ateliers.

50

IFACI

LA CARTOGRAPHIE DES RISQUES

BOITE OUTILS Pour prenniser la dmarche : dfinir une organisation Pass le premier exercice de cartographie, la question de son utilisation effective et de sa prennisation se pose. Lorganisation suivante contribue cette prennisation : Un point central, le risk manager , qui anime le dispositif dans le temps et assure la cohrence des dmarches et les reporting. Un rseau de propritaire de risques peut complter le dispositif. Un comit de suivi des principaux risques et des plans dactions associs doit tre dfini et mis en uvre. La cartographie des risques doit faire lobjet dune approbation formelle au niveau des diffrents responsables concerns, puis au niveau de la direction gnrale. Cette validation peut intervenir sur prsentation dun dossier de synthse pouvant contenir des lments tels que : La synthse des travaux. Une prsentation dtaille des travaux.

Pour une approbation de la cartographie des risques et de la dmarche

? ?

Exemples dlments prsenter pour la validation de la cartographie des risques pour :


La synthse des travaux

lobjectif de la dmarche, le primtre analys, une prsentation synthtique du rsultat des travaux (nombre de risques, leur nature, leur valuation, etc.). une description des processus, un focus sur les risques critiques, une prsentation des lments de matrise, une prsentation des plans dactions.

Une prsentation dtaille des travaux

IFACI

51

LA CARTOGRAPHIE DES RISQUES

52

IFACI

LA CARTOGRAPHIE DES RISQUES

PARTIE 4 S UIVI
PERMANENT DES RISQUES

Dans le cadre du suivi permanent des risques, il est ncessaire de mettre en uvre et de sappuyer sur un certain nombre doutils : le suivi de la mise en uvre des plans dactions ; la ralisation de plan de contrles ou de tests , afin de vrifier que les lments de matrise ont effectivement t conformment mis en uvre ; la mise en place dune base dincidents afin de recenser les vnements susceptibles davoir un impact ngatif pour lorganisation ; la dfinition et la mise en place de ratios conomiques ou dindicateurs de suivi de lvolution des risques. Ces lments sont ncessaires dune part lactualisation de la cartographie des risques et dautre part alimenter des reporting internes ou externes.

Avoir finalis la cartographie des risques reprsente une tape essentielle dans la mise en uvre du dispositif de contrle interne. Encore faut-il, ensuite, faire vivre cette cartographie des risques, en lactualisant rgulirement. A dfaut, et compte tenu de la rapidit de lvolution de la vie de lentreprise, cette cartographie deviendrait rapidement inoprante et lorganisme dassurance perdrait le bnfice de linvestissement ralis au dpart. Mais, l aussi, cela ncessite dallouer un minimum de ressources la maintenance de cet outil. Enfin, des facteurs tels que les volutions rglementaires, les nouveaux risques, les incertitudes croissantes lies l'environnement, rendent indispensables cette actualisation.

IFACI

53

LA CARTOGRAPHIE DES RISQUES

4.1 U NE MODALIT PARTICULIRE

DE SUIVI PARTIR DE LA BASE D INCIDENTS

Un incident est un vnement dorigine interne ou externe ayant un impact ngatif pour lorganisation. Labsence ou le dysfonctionnement des procdures peut se traduire par : des pertes financires ; une atteinte limage ou la rputation ; des incidences juridiques ou de conformit (une mise en cause judiciaire ou une sanction pour non-respect des rglementations applicables).

L'objectif dune base dincidents n'est pas d'identifier les responsables personnes physiques dun incident dans le but de les sanctionner. De ce fait, ce titre, elle doit tre dpourvue de toute donne nominative.

La base dincidents permet : de recenser et centraliser lensemble des incidents survenus ; de dtecter des lments de matrise inefficaces ou des risques non identifis dans la cartographie des risques ; denregistrer et suivre les mesures correctives prises en consquence ; de contribuer la connaissance des principaux risques de lorganisme dassurance ; didentifier les zones de vulnrabilit et de permettre la mise en place de dispositifs de contrles adquats ; dalimenter les modles statistiques qui permettent de dimensionner plus prcisment les montants de fonds propres mobiliser pour couvrir le risque oprationnel dans le cadre de Solvabilit II ; de mettre ainsi jour galement la cartographie des risques. Les donnes collectes sont classes de faon structure : cause, vnement, impact, et les actions et/ou solutions mises en uvre effet immdiat ou prvues.

Analyse des faits

Identi cation de la cause

Lexploitation de la base dincidents sinscrit dans une logique de cercle vertueux en sappuyant notamment sur la cartographie des risques en vrifiant que le risque survenu a t identifi, et en apprciant la performance des lments de matrise rputs en place, et sur les actions correctives relatives lincident.

Suivi daction corrective

Base incidents
Revue cartographique des risques Recherche de laction corrective

54

IFACI

LA CARTOGRAPHIE DES RISQUES

Une fiche de restitution peut tre tablie afin dinformer de manire transverse les diffrents acteurs concerns directement ou indirectement par la problmatique rsultant dun incident trait. Ce principe de fiche de restitution sinscrit dans un objectif de non-reproduction de l'incident, empruntant ainsi une dmarche damlioration continue. Lalimentation de la base repose sur lorganisation dun maillage adquat des entits qui permettra lidentification, lanalyse, la remonte et la validation des vnements. Ds lors, il convient de dfinir avec prcision : les typologies ncessaires la description de lincident (origine, dtection, consquences, impact) ; le dispositif, les rles et responsabilits de chacun ainsi que les modalits de remonte des incidents : une attention particulire doit tre accorde au rle des activits connexes au contrle interne (contrle qualit, par exemple) en matire de remonte dincident, - les incidents transverses (incidents dtects par une entit mais relevant dune autre) doivent faire lobjet dune procdure spcifique ; - les modalits denregistrement ; les modalits de chiffrage de limpact financier ; les rgles de rapprochement avec la cartographie des risques (imputer lincident au risque selon le rfrentiel en place et le lier au processus concern). A propos de la gestion des incidents informatiques, se reporter au GTAG 6 : Grer et auditer les vulnrabilits des technologies de linformation et lannexe 6.

4.2 U NE COMMUNICATION APPROPRIE


Une cartographie des risques naurait aucune raison dtre si son contenu ne servait fournir des informations appropries un certain nombre de destinataires. Le reporting permet donc de rendre compte des travaux et de faire vivre la dmarche. Illustrations des modes de reporting en annexe 10. Ces remontes dinformations matrialisent linsertion de la cartographie des risques dans le dispositif de gestion des risques. Elles sont intgres aux informations ncessaires un pilotage adapt et ractif des activits. Elles participent galement la production de reporting de plus en plus dtaills et denses requis par la rglementation, et plus particulirement par lACP. Ces reporting interne et externe doivent tre adapts aux destinataires.

IFACI

55

LA CARTOGRAPHIE DES RISQUES

4.2.1 Reporting interne


Pour un dploiement des cartographies des risques dans la dure et pour accrotre leur fiabilit, il est indispensable quelles trouvent des clients.

4.2.1.1

Rpondre aux attentes des managers

Acteur cl des dispositifs de gestion des risques et de contrle interne, le management sappuie sur diffrents lments et indicateurs cls pour diffuser la sensibilit aux risques dans son primtre de responsabilit, et ainsi faire connatre les objectifs de gestion des risques. Les managers ont gnralement besoin davoir accs des synthses concernant : les travaux de cartographies relatifs leur domaine de responsabilit avec un zoom sur : - les risques majeurs identifis et/ou faisant lobjet dune matrise insuffisante, - les mmes risques classs par nature en lien avec le rfrentiel de risque (technique, oprationnels, externes, etc.), - les plans doptimisation de la matrise par ordre de priorit et le suivi du respect des chances associes. les contrles cls leur permettant notamment de suivre : - les taux de ralisation, - les taux danomalie (notamment par rapport au seuil de tolrance), - les corrections apportes. les incidents : - le nombre et la rcurrence des incidents, - le dlai de traitement, - les pertes financires directes ou indirectes gnres. les plans dactions : - les actions chues, - les actions ralises, - le respect des chances, - le taux davancement global des actions en-cours, etc. En complment, le management organise le suivi dindicateurs sur les risques cls (KRI Key Risk Indicators), et sur des points sensibles des activits dont il porte la responsabilit.

4.2.1.2

Reporting lusage des acteurs de la seconde ligne

Laction des managers oprationnels est renforce par celles des acteurs de la deuxime ligne de dfense. Certains de ces acteurs sont amens communiquer le niveau de matrise des risques aux instances dirigeantes de lorganisme via notamment :

56

IFACI

LA CARTOGRAPHIE DES RISQUES

une vision consolide des cartographies des risques (nombre de risques, leur nature, leur valuation, etc.) ; un focus sur les risques critiques insuffisamment matriss ; une prsentation des plans dactions et un suivi du respect des chances.

La fonction gestion des risques joue un rle cl en laborant des reporting sur le respect des mtriques dfinit par lorganisme dassurance : Indicateurs par famille de risques sur la base des limites fixes (apptence et seuils de tolrance aux risques). Alerte dploye en cas de dpassement de lallocation de capital dfinie dans lapptence aux risques. Au titre de lanimation permanente du contrle interne, il sagit de recueillir des informations sur les incidents, les contrles-cls et les plans dactions associs. Cest la consolidation de ces informations qui permettra dalimenter le reporting aux managers. En fonction des besoins, lorganisme dassurance pourra laborer des reporting par grand domaine tel que : la fraude ; la protection de la clientle dont le suivi des rclamations ; la protection des donnes confidentielles ; la scurit des biens et des personnes ; la lutte contre le blanchiment et le financement du terrorisme (LCB-FT), etc. Autant que possible, ces reporting seront conus de manire pouvoir optimiser la production des reporting externes. En outre, la fonction actuarielle pourra laborer des reporting concernant : la qualit des provisions techniques ; le caractre appropri des mthodologies, des modles sous-jacents et des hypothses utiliss ; la qualit des donnes et des hypothses retenues. Selon les structures, la fonction actuarielle peut galement sassurer que les stratgies dinvestissement dployes dcoulent dune analyse des quilibres actifs / passifs : elle produit alors des tudes sur les flux de trsorerie et de rendement, sur ladquation des durations entre actifs et passifs, sur lvolution dindicateurs financiers, et des tudes de scnarios de risques.

IFACI

57

LA CARTOGRAPHIE DES RISQUES

4.2.1.3

Source dinformation pour laudit interne

Sur la base dun plan daudit fond sur une approche par les risques, laudit interne apporte une opinion sur lefficacit des processus de contrle interne, de gestion des risques et de gouvernance. En particulier, laudit interne, peut partir de la cartographie des risques de lorganisme dassurance (y compris lanalyse de la base dincidents) : prendre en compte les principaux risques identifis ; utiliser les donnes concernant les risques associs aux processus quil value au cours de ses missions. Laudit interne contribue galement au reporting interne sur les risques en : sassurant du niveau de couverture de lidentification des risques ; vrifiant lexistence et le bon fonctionnement des lments de matrise ; rendant compte de ses travaux la direction gnrale, au comit daudit et au Conseil. Ces lments permettent dactualiser la cartographie des risques.

4.2.1.4

Reporting destination des organes dirigeants et dlibrants

Pour mener bien leurs missions, les organes dirigeants et dlibrants sappuient sur diffrents reporting et indicateurs. Il sagit dadapter la conduite de lorganisme son environnement interne et externe, et au niveau de risque associ. La directive oblige chaque organisme dassurance mettre en place un systme de gestion des risques efficace1, parfaitement intgr la structure organisationnelle et aux procdures de prise de dcision. Il doit donc tre dment pris en compte par les dirigeants. Cela ncessite donc une intgration aux tableaux de bords des organismes dassurance de tous les lments relatifs la gestion des risques (agrgats conomiques macro, analyse des principaux risques existants et potentiels auxquels est expos lorganisme). De plus, les tableaux de bords devront intgrer une dimension prospective : laide de modles de simulations, chaque organisme dassurance devra projeter sa situation financire sur lhorizon du plan stratgique en prenant en compte plusieurs hypothses dvolution du contexte conomique (projections des bilans, comptes de rsultat, SCR Solvency Capital Requirement, MCR Minimum Capital Requirement, indicateurs du profil de risques, etc.). Ces projections serviront doutil daide la dcision pour lorgane dirigeant afin dassurer sur le long terme ladquation entre la prise de risque et la solvabilit.

Article 44 de la directive Solvabilit II (cf. annexe 7)

58

IFACI

LA CARTOGRAPHIE DES RISQUES

4.2.2 Reporting externe


Compte tenu du cadre rglementaire rappel dans la partie 1.3, les organismes dassurance sont soumis des obligations de reporting de plus en plus prcis.

4.2.2.1

Reporting en rponse aux exigences de lACP

Actuellement, les lments ci-aprs doivent tre tablis et communiqus lACP. Ces lments intgrent pour partie les rsultats et les travaux oprs dans les dmarches de cartographies des risques : rapports rglementaires (tats financiers, rapport de gestion, rapport de solvabilit, rapport sur le contrle interne, rapport dintermdiation) ; tats prudentiels. Un point sur la directive Solvabilit II est propos ci-aprs, afin didentifier les principales volutions venir sur ce domaine.

4.2.2.2

Prparer Solvabilit II

Les lments de reporting externes sont dfinis dans le Pilier 3 de la directive et le primtre des reporting concerns est celui dcrit dans le document de travail du CEIOPS CP581 . Les organismes dassurance devront produire un ensemble de rapports annuels, qualitatifs et quantitatifs ; destination du rgulateur et du public, remplacement de certains tats de reporting prudentiel et les rapports narratifs de solvabilit et de contrle interne : 1- RSR (Regular supervisory report) : Rapport destin lACP comprenant un rapport narratif et les tats quantitatifs (annuels et trimestriels, notamment les QRT - Quantitative Reporting Template). Lobjectif du RSR est double : servir de base aux ventuels contrles et mesurer les risques systmiques. 2- SFCR (Solvency and financial condition report) : Rapport diffus au public comportant la structure du RSR sans les informations destination des rgulateurs. Lobjectif est daccrotre galement la transparence des informations, et de renforcer la discipline de march. 3- Rapport ORSA (Own Risk and Solvency Assesment) : Rapport prsentant : les rsultats qualitatifs et quantitatifs du dispositif ORSA, les mthodes et principales hypothses utilises,

CEIOPS Advice for Level 2 Implementing Measures on Solvency II: Supervisory Reporting and Public Disclosure Requirements (former Consultation Paper 58)

IFACI

59

LA CARTOGRAPHIE DES RISQUES

des informations sur le besoin global de solvabilit valu par lORSA, une comparaison entre le besoin global en solvabilit, les exigences rglementaires de capital (SCR et MCR) et les fonds propres, une information si besoin sur les risques non compris dans la formule standard comme les risques stratgiques, de rputation ou encore extrmes.

60

IFACI

LA CARTOGRAPHIE DES RISQUES

CONCLUSION

IFACI

61

LA CARTOGRAPHIE DES RISQUES

La cartographie nest pas une fin en soi. Elle doit sinscrire dans le cadre du pilotage global de lorganisation tout en contribuant la conformit rglementaire. Mme si les dirigeants et les managers ont une vision globale des risques inhrents leurs activits, construire une cartographie des risques leur apportera de nouveaux lments dobservation destins mieux matriser et orienter leurs objectifs. Ainsi, la dimension risques vient enrichir la vision des dirigeants en complment des axes stratgiques et oprationnels et devient un lment de management part entire. Les applications dune cartographie des risques sont nombreuses et conduisent les utilisateurs privilgier tel ou tel aspect des rsultats obtenus afin de redfinir leurs priorits. Du conseil dadministration la direction gnrale, en passant par les responsables oprationnels, les risk managers, les contrleurs internes et les auditeurs internes, chacun pourra utiliser la cartographie comme support des actions propres leur organisation. Pour ce faire, les organismes dassurance doivent instaurer un environnement permettant daboutir des cartographies des risques fidles et dynamiques. Les facteurs cls de succs pour faire de la cartographie des risques un outil au service du pilotage du dispositif de gestion des risques et un lment daide la dcision sont : une clarification des acteurs et de la gouvernance ; un sponsoring par la direction gnrale et le comit de direction ; une sensibilisation et la diffusion de la culture des risques tout niveau ; une documentation du fonctionnement de lentreprise ( qui fait quoi ? , procdures, fiches de fonction, etc.) ; la formalisation de la stratgie de lorganisme dassurance et dun plan daffaires moyen terme ; une responsabilisation des managers sur ces questions ; une organisation en mode projet lors du lancement de toute dmarche. Conscient de lapport potentiel des outils informatiques dans ce type de dmarche, le groupe de travail attire nanmoins lattention sur limportance dune identification pralable des besoins spcifiques chaque organisme. Lorsque loption retenue est dacqurir un progiciel plutt que de dvelopper en interne une solution informatique, le dialogue avec les diteurs et la gestion de loutil devront sappuyer sur les fondamentaux de la gestion de projets et les changes de bonnes pratiques avec des pairs1. Le succs dune cartographie des risques rside dans son utilisation effective, dans la capacit des utilisateurs la faire vivre dans le temps. Cest dans ce sens que le rfrentiel commun qui vous a t prsent a t construit.
1

Cf. les bonnes pratiques proposes dans le cahier Slectionner un outil informatique pour les services daudit et de contrle internes de lunit de recherche Informatique de lIFACI (2013), les clubs dutilisateurs ou les articles dans la revue de lIFACI.
IFACI

62

LA CARTOGRAPHIE DES RISQUES

ANNEXES

IFACI

ANNEXE
63

LA CARTOGRAPHIE DES RISQUES

ANNEXE 1
Exemples de processus - Secteur assurances
Analyse du march : concurrence, besoins des clients, tendance,
nouveaux marchs Dvelopper l'offre

Dfinition du produit : quel type de produit, destination de qui,


pour quel vecteur de distribution

Elaboration du produit : conditions gnrales ; tarifaires Lancement de l'offre : communication externe, publicit, vnementiel, formation des forces de ventes)

Nouvelle offre

Vendre

Dclinaison de la politique commerciale et pilotage Animation des rseaux de distribution Etablissement des propositions tarifaires Ngociation Enregistrement et mission des pices contractuelles Envoi et archivage

Pices contractuelles

Grer le contrat

Enregistement du contrat dans l'outil de gestion Appel de cotisations Encaissement des cotisations Gestion de la trsorerie Mise jour des donnes contrat Gestion des avenants (analyse du dossier, avis mdical, enregistrement et mission, envoi et archivage) Gestion des bnficiaires Suivi des impays (relance, contentieux) Rmunration des tiers (intermdiaires, gestionnaires)

ANNEXE

Chiffre daffaires

Traitement de fin d'anne

Etablissement des attestations fiscales (Madelin, rentiers, apporteurs)

Revalorisation annuelle (dont hausse tarifaire) Inventaire


Paramtrage des garanties Instruction et contrle Constitution du dossier Contrles mdicaux Calcul du montant Rglement Rassureur Recours contre tiers Actualisation des dossiers (maintien, clture, demande de justificatif ) Provisionnement

Etats

Grer les prestations

Paiement sinistres

Matriser les rsultats des contrats

Inventaire Statisitques Rvisions tarifaires Redressement

Contrats rengocis

64

IFACI

LA CARTOGRAPHIE DES RISQUES

ANNEXE 2
Nomenclature des risques

IFACI

ANNEXE
65

LA CARTOGRAPHIE DES RISQUES

Niveau 1

Famille

Dfinition Risques Niveau 1 Risques lis lvolution des marchs financiers, de gestion de bilan ou financire Risques lis lvolution des marchs financiers, de gestion de bilan ou financire Risques lis lvolution des marchs financiers, de gestion de bilan ou financire

Niveau 2

Risques Niveau 2

Dfinition Risques Niveau 2 Risques rsultant d'un niveau des fonds propres et quasi-fonds propres infrieur au minimum rglementaire Risques rsultant d'un niveau des fonds propres et quasi-fonds propres infrieur au minimum rglementaire Risques rsultant d'un niveau des fonds propres et quasi-fonds propres infrieur au minimum rglementaire Risques rsultant d'une inadquation, en montant ou en structure, entre le passif correspondant aux engagements pris envers les clients et l'actif mis en reprsentation Risques rsultant d'une inadquation, en montant ou en structure, entre le passif correspondant aux engagements pris envers les clients et l'actif mis en reprsentation Risques rsultant d'une inadquation, en montant ou en structure, entre le passif correspondant aux engagements pris envers les clients et l'actif mis en reprsentation Risques rsultant d'une inadquation, en montant ou en structure, entre le passif correspondant aux engagements pris envers les clients et l'actif mis en reprsentation Risques rsultant d'une inadquation, en montant ou en structure, entre le passif correspondant aux engagements pris envers les clients et l'actif mis en reprsentation Risques rsultant d'une inadquation, en montant ou en structure, entre le passif correspondant aux engagements pris envers les clients et l'actif mis en reprsentation Risques rsultant d'une inadquation, en montant ou en structure, entre le passif correspondant aux engagements pris envers les clients et l'actif mis en reprsentation Risques rsultant d'une inadquation, en montant ou en structure, entre le passif correspondant aux engagements pris envers les clients et l'actif mis en reprsentation

R1

Financiers

R101

Risques de solvabilit

R1

Financiers

R101

Risques de solvabilit

R1

Financiers

R101

Risques de solvabilit

R1

Financiers

Risques lis lvolution des marchs financiers, de gestion de bilan ou financire

R102

Adquation Actif / Passif

ANNEXE

R1

Financiers

Risques lis lvolution des marchs financiers, de gestion de bilan ou financire

R102

Adquation Actif / Passif

R1

Financiers

Risques lis lvolution des marchs financiers, de gestion de bilan ou financire

R102

Adquation Actif / Passif

R1

Financiers

Risques lis lvolution des marchs financiers, de gestion de bilan ou financire

R102

Adquation Actif / Passif

R1

Financiers

Risques lis lvolution des marchs financiers, de gestion de bilan ou financire

R102

Adquation Actif / Passif

R1

Financiers

Risques lis lvolution des marchs financiers, de gestion de bilan ou financire

R102

Adquation Actif / Passif

R1

Financiers

Risques lis lvolution des marchs financiers, de gestion de bilan ou financire

R102

Adquation Actif / Passif

R1

Financiers

Risques lis lvolution des marchs financiers, de gestion de bilan ou financire

R102

Adquation Actif / Passif

66

IFACI

LA CARTOGRAPHIE DES RISQUES

Niveau 3

Risques Niveau 3 Risques de solvabilit rglementaire en social Risques de solvabilit rglementaire en consolid Risques de solvabilit de march

Catgorie S2 Dfinition Risques Niveau 3 Risques rsultant d'un niveau des fonds propres et quasi-fonds propres infrieur au minimum rglementaire en social pour chaque entit Risques rsultant d'un niveau des fonds propres et quasi-fonds propres infrieur au minimum rglementaire dans les comptes consolids (solvabilit ajuste) Risques rsultant d'un niveau des fonds propres et quasi-fonds propres infrieur au montant estim par les analystes ou les marchs financiers entranant un seuil de dclenchement de "triggers" Correspond une volution du passif court terme engendrant des insuffisances d'actifs ralisables Correspond un manque de diversification, tant l'actif qu'au passif, qui conduit une exposition trop forte sur un risque particulier (type de risque assur, risque de taux, risque actions, etc.) Correspond une structure de passif clate et difficile mettre en adquation avec des actifs Module de risque Sous module de risque Autres Solvabilit globale

R10101

R10102

Solvabilit globale

R10103

Solvabilit globale

R10201

Risques de liquidit

March

ALM

R10202

Risques de limitation par catgorie d'actif ou de passif Risques de disparits de lignes de passifs Risques de couverture imparfaite

March

ALM

R10203

March

ALM

R10204

Se matrialise par une inadaptation ou une insuffisance de la structure des actifs au regard de celle des passifs

March

ALM

R10205

Risques de taux

Risques d'inadquation actif / passif provenant du comportement des marchs de taux

March

ALM

R10206

Risques actions

Risques d'inadquation actif / passif provenant du comportement des marchs d'actions

March

ALM

R10207

Risques de change

Risques d'inadquation actif / passif provenant du comportement des marchs de devises

March

ALM

R10208

Risques immobiliers

Risques d'inadquation actif / passif provenant du comportement des marchs immobiliers

March

ALM

IFACI

ANNEXE
67

LA CARTOGRAPHIE DES RISQUES

Niveau 1

Famille

Dfinition Risques Niveau 1 Risques lis lvolution des marchs financiers, de gestion de bilan ou financire Risques lis lvolution des marchs financiers, de gestion de bilan ou financire Risques lis lvolution des marchs financiers, de gestion de bilan ou financire Risques lis lvolution des marchs financiers, de gestion de bilan ou financire Risques lis lvolution des marchs financiers, de gestion de bilan ou financire Risques lis lvolution des marchs financiers, de gestion de bilan ou financire Risques lis lvolution des marchs financiers, de gestion de bilan ou financire Risques lis lvolution des marchs financiers, de gestion de bilan ou financire Risques lis lvolution des marchs financiers, de gestion de bilan ou financire Risques lis lvolution des marchs financiers, de gestion de bilan ou financire

Niveau 2

Risques Niveau 2 Gestion d'actifs

Dfinition Risques Niveau 2

R1

Financiers

R103

Risques relatifs la gestion des actifs

R1

Financiers

R103

Gestion d'actifs

Risques relatifs la gestion des actifs

R1

Financiers

R103

Gestion d'actifs Gestion d'actifs Gestion d'actifs Gestion d'actifs Gestion d'actifs

Risques relatifs la gestion des actifs Risques relatifs la gestion des actifs Risques relatifs la gestion des actifs Risques relatifs la gestion des actifs Risques relatifs la gestion des actifs

R1

Financiers

R103

ANNEXE

R1

Financiers

R103

R1

Financiers

R103

R1

Financiers

R103

R1

Financiers

R103

Gestion d'actifs

Risques relatifs la gestion des actifs

R1

Financiers

R103

Gestion d'actifs

Risques relatifs la gestion des actifs

R1

Financiers

R103

Gestion d'actifs

Risques relatifs la gestion des actifs

R1

Financiers

Risques lis lvolution des marchs financiers, de gestion de bilan ou financire

R103

Gestion d'actifs

Risques relatifs la gestion des actifs

R1

Financiers

Risques lis lvolution des marchs financiers, de gestion de bilan ou financire

R103

Gestion d'actifs

Risques relatifs la gestion des actifs

68

IFACI

LA CARTOGRAPHIE DES RISQUES

Niveau 3

Risques Niveau 3 Risques de trsorerie

Catgorie S2 Dfinition Risques Niveau 3 Rsulte d'un manque de liquidits disponibles court terme pour faire face aux obligations de rglement Est la consquence d'une inadquation ou d'un dfaut de financement permettant d'obtenir les liquidits suffisantes pour faire face aux obligations de rglement Correspond un manque de diversification dans le placement des actifs qui conduit une exposition trop forte sur un risque particulier (actions, taux, crdit) Consquence d'une volution des taux d'intrt sur la valeur des actifs obligataires Est li la variation de valeur d'une devise par rapport l'euro, et l'impact de cette variation sur la valeur des actifs en devises Consquence d'une volution des marchs actions, ou d'une trop forte dpendance vis--vis de ce type d'actif Consquence d'une volution des marchs immobiliers et fonciers, ou d'une trop forte dpendance vis--vis de ce type d'actif Dcoule du dfaut de la contrepartie une opration, au moment o elle doit remplir ses obligations (absence de paiement l'chance, etc.) Li au dfaut de l'metteur pralablement la ralisation de ses obligations (remboursement d'un emprunt l'chance, etc.) Correspond la variation de la qualit de crdit d'un metteur conduisant l'augmentation de la prime de risque attendue par ses cranciers Module de risque March Sous module de risque Autres Liquidit

R10301

R10302

Risques de refinancement

March

Liquidit

R10303

Risques de concentration Risques de taux Risques de change Risques actions Risques immobiliers et fonciers

March

Concentration

R10304

March

Taux

R10306

March

Action

R10307

March

Immobilier

R10308

Risques de contrepartie

Contrepartie

R10309

Risques metteur

Contrepartie

R10310

Risques crdit

Contrepartie

R10311

Risques rsultant de la surestimation d'un lment d'actif, pouvant entraner Risques d'va- notamment une constatation de moinsluation d'actifs value en cas de cession ou d'ouverture de capital, ou un provisionnement suite rvision Risques de rentabilit insuffisante des participations et filiales Risques rsultant d'un niveau de rentabilit annuelle insuffisant pour amortir les cots d'acquisition

March

Allocation d'actif (concerne le non cot)

R10312

Stratgique

IFACI

ANNEXE
69

R10305

March

Change

LA CARTOGRAPHIE DES RISQUES

Niveau 1

Famille

Dfinition Risques Niveau 1 Risques lis lvolution des marchs financiers, de gestion de bilan ou financire Risques lis lvolution des marchs financiers, de gestion de bilan ou financire Risques lis lvolution des marchs financiers, de gestion de bilan ou financire

Niveau 2

Risques Niveau 2 Gestion d'actifs

Dfinition Risques Niveau 2

R1

Financiers

R103

Risques relatifs la gestion des actifs

R1

Financiers

R104

Risques rsultant d'un endettement important eu gard aux Endettement trop charges de remboursement ou aux taux des emprunts en cours Risques rsultant d'un endettement important eu gard aux Endettement trop charges de remboursement ou aux taux des emprunts en cours Risques rsultant de caractristiques des produits nuisant leur rentabilit (provenant ou non de la ralisation de risques production ou marketing) Risques rsultant de caractristiques des produits nuisant leur rentabilit (provenant ou non de la ralisation de risques production ou marketing) Risques rsultant de caractristiques des produits nuisant leur rentabilit (provenant ou non de la ralisation de risques production ou marketing) Risques relatifs la souscription de contrats d'assurance, ou l'acceptation de traits ou facultatives de rassurance, hors sinistralit et prestations Risques relatifs la souscription de contrats d'assurance, ou l'acceptation de traits ou facultatives de rassurance, hors sinistralit et prestations Risques relatifs la souscription de contrats d'assurance, ou l'acceptation de traits ou facultatives de rassurance, hors sinistralit et prestations Risques relatifs la souscription de contrats d'assurance, ou l'acceptation de traits ou facultatives de rassurance, hors sinistralit et prestations Risques relatifs la souscription de contrats d'assurance, ou l'acceptation de traits ou facultatives de rassurance, hors sinistralit et prestations

R1

Financiers

R104

R2

Assurances

Risques spcifiques aux activits techniques d'assurance

R201

Technique

ANNEXE

R2

Assurances

Risques spcifiques aux activits techniques d'assurance

R201

Technique

R2

Assurances

Risques spcifiques aux activits techniques d'assurance

R201

Technique

R2

Assurances

Risques spcifiques aux activits techniques d'assurance

R202

Souscription

R2

Assurances

Risques spcifiques aux activits techniques d'assurance

R202

Souscription

R2

Assurances

Risques spcifiques aux activits techniques d'assurance

R202

Souscription

R2

Assurances

Risques spcifiques aux activits techniques d'assurance

R202

Souscription

R2

Assurances

Risques spcifiques aux activits techniques d'assurance

R202

Souscription

70

IFACI

LA CARTOGRAPHIE DES RISQUES

Niveau 3

Risques Niveau 3 Risques crdit rassureurs Risques d'endettement inadquat Risques de surendettement Risques de dfinition produit (contrat d'assurance ou trait de rassurance en acceptation) Risques de tarification (assurance ou rassurance accepte)

Catgorie S2 Dfinition Risques Niveau 3 Risque de dfaillance d'un rassureur rduisant ses capacits remplir ses engagements Niveau d'endettement du Groupe inexistant, l'empchant d'optimiser ses ressources ou sa rentabilit Niveau d'endettement du Groupe trop lev, pouvant entraner une crise de liquidit ou rendre impossible le financement de la croissance du Groupe Risques provenant d'une dfinition des conditions d'assurance ou de rassurance impropres une viabilit conomique (quelle que soit la tarification) Risques issus de tarifs soit insuffisants par rapport au cot rel des garanties et frais de gestion, soit trop levs et gnrateurs d'anti-slection Module de risque Contrepartie Sous module de risque Autres

R10313

R10401

Stratgique

R10402

Stratgique

R20101

Souscription

R20102

Souscription

Primes et rserves

R20103

Risques de nonrentabilit des produits d'assu- Risques de non-rentabilit moyen ou rance ou des long terme traits de rassurance accepts Risques de de mauvaise qualit, quant qualit insuffi- Souscriptions risques soucrits, malgr leur conforsante de l'ob- aux mit aux rgles jet risque Risques de cumul de souscription Dpassement des engagements acceptables sur un mme site, un mme client, ou un mme risque d'assurance

Souscription

Primes et rserves

R20201

Souscription

R20202

Souscription

R20203

Risques de cumul souscription / actif

Effets cumulatifs dus la dpendance ou la corrlation entre des risques de souscription et des risques sur les actifs

Souscription

Primes et rserves

R20204

Risques d'ap- Risques relatifs la gestion des coassurition rances ou des corassurances Risques de coassurance non apritrice ou corassurance suiveuse

Souscription

R20205

Risques de mauvaise gestion ou d'informations insuffisantes manant de l'apriteur ou du corassureur leader

Souscription

IFACI

ANNEXE
71

LA CARTOGRAPHIE DES RISQUES

Niveau 1

Famille

Dfinition Risques Niveau 1

Niveau 2

Risques Niveau 2

Dfinition Risques Niveau 2 Risques relatifs la souscription de contrats d'assurance, ou l'acceptation de traits ou facultatives de rassurance, hors sinistralit et prestations Risques rsultant d'une dviation de la charge sinistres ou prestations compromettant l'quilibre attendu entre primes et charges techniques des portefeuilles Risques rsultant d'une dviation de la charge sinistres ou prestations compromettant l'quilibre attendu entre primes et charges techniques des portefeuilles Risques rsultant d'une dviation de la charge sinistres ou prestations compromettant l'quilibre attendu entre primes et charges techniques des portefeuilles Risques rsultant d'une dviation de la charge sinistres ou prestations compromettant l'quilibre attendu entre primes et charges techniques des portefeuilles Risques rsultant d'une dviation de la charge sinistres ou prestations compromettant l'quilibre attendu entre primes et charges techniques des portefeuilles Risques rsultant d'un provisionnement inadapt l'volution de la charge sinistres et prestations en cours ou venir Risques rsultant d'un provisionnement inadapt l'volution de la charge sinistres et prestations en cours ou venir Risques rsultant d'un provisionnement inadapt l'volution de la charge sinistres et prestations en cours ou venir Risques relatifs aux participations aux bnfices attribues aux assurs vie

R2

Assurances

Risques spcifiques aux activits techniques d'assurance

R202

Souscription

R2

Assurances

Risques spcifiques aux activits techniques d'assurance

R203

Sinistralit non vie / Prestations vie Sinistralit non vie / Prestations vie Sinistralit non vie / Prestations vie Sinistralit non vie / Prestations vie Sinistralit non vie / Prestations vie

R2

Assurances

Risques spcifiques aux activits techniques d'assurance

R203

R2

Assurances

Risques spcifiques aux activits techniques d'assurance

R203

ANNEXE

R2

Assurances

Risques spcifiques aux activits techniques d'assurance

R203

R2

Assurances

Risques spcifiques aux activits techniques d'assurance

R203

R2

Assurances

Risques spcifiques aux activits techniques d'assurance

R204

Provisionnement

R2

Assurances

Risques spcifiques aux activits techniques d'assurance

R204

Provisionnement

R2

Assurances

Risques spcifiques aux activits techniques d'assurance

R204

Provisionnement

R2

Assurances

Risques spcifiques aux activits techniques d'assurance

R205

Participations aux bnfices

R2

Assurances

Risques spcifiques aux activits techniques d'assurance

R206

Rassurance Risques rsultant des conditions de protection ngocies avec les rassureurs

72

IFACI

LA CARTOGRAPHIE DES RISQUES

Niveau 3

Risques Niveau 3 Risques d'annulation, de rsiliation, de rduction

Catgorie S2 Dfinition Risques Niveau 3 Module de risque Sous module de risque Autres

R20206

Frquence leve de chute ou de rductions de contrats (arrt du paiement des primes)

Souscription

Rachat

R20301

Evolution dfavorable de la charge sinisRisques de tre dans une ou plusieurs catgories d'asdviation de la surance, d'une faon plus ou moins sinistralit rapide (augmentation de frquence ou d'intensit) Risques de frquence des sinistres de pointe Risques de cumul de sinistres Survenance plus frquente qu'attendue, de sinistres de montant lev

Souscription

Primes et rserves

R20302

Souscription

Primes et rserves

R20303

Survenance d'un sinistre catastrophique, d'un cumul RC ou sriel, ou d'un cumul de sinistres entre plusieurs branches

Souscription

Catastrophe

R20304

Risques de rachat (vie)

Frquence leve de rachats de contrats "pargne"

Souscription

Rachat

R20305

Risques de longvit (rentes viagres)

Dure de survie des rentiers suprieure ce qui avait t pris en compte dans les tarifs de rentes

Souscription

Longvit

R20401

Risques relatifs aux montants rsultant de provisions insuffide provisions de Risques santes devant la charge sinistres venir primes (hors PM) Risques relatifs aux montants de provisions mathmatiques (PM) Risques relatifs aux montants de provisions pour sinistres Risques relatifs au niveau de PB Risques d'inadquation des couvertures de rassurance Risques rsultant de provisions mathmatiques (PM) (vie et rente auto) insuffisantes face aux prestations rgler

Souscription

Primes et rserves

R20402

Souscription

Mortalit/ Rachat/ Rvision/ Longvit

R20403

Risques rsultant de provisions pour sinistres insuffisantes devant la charge en sinistres survenus Risques rsultant d'un niveau insuffisant des attributions de PB aux assurs (au vu de la conccurence, des caractristisques du produit, des attentes des assurs) Programme de rassurance insuffisant pour protger correctement un portefeuille, compte tenu de la rtention supportable par l'entreprise

Souscription

Primes et rserves

R20501

Souscription

R20601

Souscription

Primes et rserves

IFACI

ANNEXE
73

LA CARTOGRAPHIE DES RISQUES

Niveau 1

Famille

Dfinition Risques Niveau 1 Risques spcifiques aux activits techniques d'assurance Risques spcifiques aux activits techniques d'assurance Risques spcifiques aux activits techniques d'assurance Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs

Niveau 2

Risques Niveau 2

Dfinition Risques Niveau 2

R2

Assurances

R206

Rassurance Risques rsultant des conditions de protection ngocies avec les rassureurs Rassurance Risques rsultant des conditions de protection ngocies avec les rassureurs Matrise des Rsultats Risques lis la matrise des rsultats Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit

R2

Assurances

R206

R2

Assurances

R207

R3

Oprationnels

R301

Clients / tiers, produits et pratiques commerciales

ANNEXE

R3

Oprationnels

R301

Clients / tiers, produits et pratiques commerciales

R3

Oprationnels

R301

Clients / tiers, produits et pratiques commerciales

R3

Oprationnels

R301

Clients / tiers, produits et pratiques commerciales

R3

Oprationnels

R301

Clients / tiers, produits et pratiques commerciales

R3

Oprationnels

R301

Clients / tiers, produits et pratiques commerciales

74

IFACI

LA CARTOGRAPHIE DES RISQUES

Niveau 3

Risques Niveau 3 Risques de surcot de la rassurance Risques de litige avec les rassureurs Risque de drive du ratio S/C et/ou diminution du CA Conformit, diffusion d'informations et devoir fiduciaire - Acte commercial Conformit, diffusion d'informations et devoir fiduciaire - Secret professionnel

Catgorie S2 Dfinition Risques Niveau 3 Module de risque Souscription Sous module de risque Primes et rserves Primes et rserves Autres

R20602

Traits de rassurance tarifs trop cher Risques de contestation de garantie par un rassureur

R20603

Souscription

R20701

Souscription

Primes et rserves

R30101

Non-respect de la rglementation applicable l'acte commercial

Oprationnel

R30102

Non-respect des rgles relatives aux informations privilgies et au secret professionnel

Oprationnel

R30103

Conformit, diffusion d'informations et Non-respect des dispositions relatives devoir fiduciaire la protection des donnes personnelles - Protection des des personnes physiques (CNIL) donnes personnelles Conformit, diffusion d'informations et Utilisation abusive d'informations confidevoir fiduciaire dentielles - Informations confidentielles Conformit, diffusion d'informations et Pratiques de ventes agressives devoir fiduciaire - Vente agressive

Oprationnel

R30104

Oprationnel

R30105

Oprationnel

R30106

Pratiques commerciales / de place incorrectes Concurrence

Infraction la lgislation sur la concurrence

Oprationnel

IFACI

ANNEXE
75

LA CARTOGRAPHIE DES RISQUES

Niveau 1

Famille

Dfinition Risques Niveau 1 Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs

Niveau 2

Risques Niveau 2

Dfinition Risques Niveau 2 Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit

R3

Oprationnels

R301

Clients / tiers, produits et pratiques commerciales

R3

Oprationnels

R301

Clients / tiers, produits et pratiques commerciales

R3

Oprationnels

R301

Clients / tiers, produits et pratiques commerciales

ANNEXE

R3

Oprationnels

R301

Clients / tiers, produits et pratiques commerciales

R3

Oprationnels

R301

Clients / tiers, produits et pratiques commerciales

R3

Oprationnels

R301

Clients / tiers, produits et pratiques commerciales

R3

Oprationnels

R301

Clients / tiers, produits et pratiques commerciales

R3

Oprationnels

R301

Clients / tiers, produits et pratiques commerciales

76

IFACI

LA CARTOGRAPHIE DES RISQUES

Niveau 3

Risques Niveau 3 Pratiques commerciales / de place incorrectes Agrment rglementaire Pratiques commerciales / de place incorrectes LCB-FT Pratiques commerciales / de place incorrectes Marchs financiers Pratiques commerciales / de place incorrectes Meilleure excution

Catgorie S2 Dfinition Risques Niveau 3 Module de risque Sous module de risque Autres

R30107

Dfaut d'agrment rglementaire

Oprationnel

R30108

Non-respect des rglementations relatives au blanchiment de capitaux et au financement du terrorisme et aux obligations s'y rapportant (TRACFIN)

Oprationnel

R30109

Non-respect des rgles de fonctionnement des marchs financiers (dclaration en matire d'oprations suspectes, principe de l'intgrit du march)

Oprationnel

R30110

Non-respect des rgles de meilleure excution des ordres

Oprationnel

R30111

Pratiques commerciales / de place incorrectes Pratiques commerciales / de place incorrectes Sgrgation des avoirs des clients

Non-respect des rgles lies la sgrgation des avoirs des clients

Oprationnel

R30112

Conflits d'intrts entre deux ou plusieurs clients concerns par une mme opration

Oprationnel

R30113

Pratiques commerciales / de place Non-respect de l'galit de traitement incorrectes des clients Egalit de traitement des clients Pratiques commerciales / de place incorrectes

Oprationnel

R30114

Non-respect du principe de primaut de l'intrt du client

Oprationnel

IFACI

ANNEXE
77

LA CARTOGRAPHIE DES RISQUES

Niveau 1

Famille

Dfinition Risques Niveau 1 Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs

Niveau 2

Risques Niveau 2

Dfinition Risques Niveau 2 Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit

R3

Oprationnels

R301

Clients / tiers, produits et pratiques commerciales

R3

Oprationnels

R301

Clients / tiers, produits et pratiques commerciales

R3

Oprationnels

R301

Clients / tiers, produits et pratiques commerciales

ANNEXE

R3

Oprationnels

R301

Clients / tiers, produits et pratiques commerciales

R3

Oprationnels

R301

Clients / tiers, produits et pratiques commerciales

R3

Oprationnels

R301

Clients / tiers, produits et pratiques commerciales

R3

Oprationnels

R301

Clients / tiers, produits et pratiques commerciales

R3

Oprationnels

R301

Clients / tiers, produits et pratiques commerciales

78

IFACI

LA CARTOGRAPHIE DES RISQUES

Niveau 3

Risques Niveau 3 Pratiques commerciales / de place incorrectes Primaut de l'intrt du client Pratiques commerciales / de place incorrectes Franchissement de seuil

Catgorie S2 Dfinition Risques Niveau 3 Module de risque Sous module de risque Autres

R30115

Non-respect des dispositifs de muraille de Chine et non application des procdures

Oprationnel

R30116

Franchissement de seuil et seuils de dtention non dclars

Oprationnel

R30117

Dfauts dans les produits

Mauvaise implmentation des modles (modules de tarification, pricers, etc.)

Oprationnel

R30118

Dfauts dans les produits Politique de tarification

Non-respect de la politique de tarification

Oprationnel

R30119

Dfauts dans les produits Conformit des produits

Non-conformit des produits

Oprationnel

R30120

Dfauts dans les produits Procdure de validation des nouveaux produit Dfauts dans les produits Oprations complexes et sensibles

Non-respect de la procdure de validation des nouveaux produits et nouvelles activits

Oprationnel

R30121

Non-respect des procdures relatives aux oprations complexes et sensibles

Oprationnel

R30122

Contreparties commerciales

Non-respect de ses obligations par une contrepartie / un tiers (hors clientle)

Oprationnel

IFACI

ANNEXE
79

LA CARTOGRAPHIE DES RISQUES

Niveau 1

Famille

Dfinition Risques Niveau 1 Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs

Niveau 2

Risques Niveau 2

Dfinition Risques Niveau 2 Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit

R3

Oprationnels

R301

Clients / tiers, produits et pratiques commerciales

R3

Oprationnels

R301

Clients / tiers, produits et pratiques commerciales

R3

Oprationnels

R301

Clients / tiers, produits et pratiques commerciales

ANNEXE

R3

Oprationnels

R301

Clients / tiers, produits et pratiques commerciales

R3

Oprationnels

R301

Clients / tiers, Risques rsultant de dfaillance de produits et qualit dans les relations avec les pratiques commerciales tiers Pertes rsultant d'un acte non intentionnel ou d'une ngligence dans l'exercice d'une obligation professionnelle face au client (incluant les exigences en matire fiduciaire et de conformit) ou pertes rsultant de la nature ou de la conception d'un produit Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs

R3

Oprationnels

R301

Clients / tiers, produits et pratiques commerciales

R3

Oprationnels

R302

Excution, livraison et gestion des processus Excution, livraison et gestion des processus

R3

Oprationnels

R302

80

IFACI

LA CARTOGRAPHIE DES RISQUES

Niveau 3

Risques Niveau 3

Catgorie S2 Dfinition Risques Niveau 3 Module de risque Sous module de risque Autres

R30123

Sponsorship exposure

Dpassement des limites d'exposition d'un client (en gestion d'actifs)

Oprationnel

R30124

Slection / Analyse clientle

Insuffisance de l'analyse client

Oprationnel

R30125

Risques de d'absence de formalisation des contractualisa- Risques rapports avec un tiers ou de contractualition insuffisation insuffisante sante

Oprationnel

R30126

Activits de conseil

Informations inappropries, fausses ou obsoltes dlivres aux clients

Oprationnel

R30127

Risques de notation

Risques de mauvaise notation par une agence spcialise

Rputation

R30128

Risques relatifs aux informations disponibles sur le march

Risques de non-disponibilit des informations ncessaires la gestion des actifs

Oprationnel

R30201

Saisie, excution et suivi des transactions - Erreur

Erreurs dans la saisie, le suivi ou le chargement des donnes

Oprationnel

R30202

Saisie, excution et suivi des transacNon-respect ou mauvaise interprtation tions - Respect des procdures des procdures

Oprationnel

IFACI

ANNEXE
81

LA CARTOGRAPHIE DES RISQUES

Niveau 1

Famille

Dfinition Risques Niveau 1 Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs

Niveau 2

Risques Niveau 2

Dfinition Risques Niveau 2

R3

Oprationnels

R302

Excution, livraison et gestion des processus

Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs

R3

Oprationnels

R302

Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus

R3

Oprationnels

R302

ANNEXE

R3

Oprationnels

R302

R3

Oprationnels

R302

R3

Oprationnels

R302

R3

Oprationnels

R302

R3

Oprationnels

R302

R3

Oprationnels

R302

82

IFACI

LA CARTOGRAPHIE DES RISQUES

Niveau 3

Risques Niveau 3

Catgorie S2 Dfinition Risques Niveau 3 Module de risque Sous module de risque Autres

R30203

Saisie, excution et suivi des transactions Dficiences dans l'organisation et les Dficiences procdures internes de traitement ou de dans l'organisa- contrle tion et les procdures Risques d'interface interservices Saisie, excution et suivi des transactions Inadquation des systmes d'informations Saisie, excution et suivi des transactions Gestion des rfrentiels Saisie, excution et suivi des transactions Paramtrage Saisie, excution et suivi des transactions Affectation comptable Saisie, excution et suivi des transactions - Piste d'audit Saisie, excution et suivi des transactions Communication Saisie, excution et suivi des transactions Dlais et obligations envers les clients Risques de dysfonctionnement des interfaces entre plusieurs fonctions, qu'elles s'appuient sur des moyens humains, de connectique, informatiques ou autres moyens logistiques Problmes dus l'inadquation des systmes d'information aux activits et produits

Oprationnel

R30204

Oprationnel

R30205

Oprationnel

R30206

Mauvaise gestion des rfrentiels

Oprationnel

R30207

Erreur de manipulation ou de paramtrage d'un modle / systme

Oprationnel

R30208

Erreur d'affectation comptable (compte, entit, etc.)

Oprationnel

R30209

Dfaut de preuve (archivage, traabilit) / piste d'audit (SOX)

Oprationnel

R30210

Problmes de communication

Oprationnel

R30211

Non-respect des dlais et/ou des obligations envers les clients et/ou les fournisseurs

Oprationnel

IFACI

ANNEXE
83

LA CARTOGRAPHIE DES RISQUES

Niveau 1

Famille

Dfinition Risques Niveau 1 Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs

Niveau 2

Risques Niveau 2 Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus

Dfinition Risques Niveau 2 Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs

R3

Oprationnels

R302

R3

Oprationnels

R302

R3

Oprationnels

R302

ANNEXE

R3

Oprationnels

R302

R3

Oprationnels

R302

R3

Oprationnels

R302

R3

Oprationnels

R302

R3

Oprationnels

R302

R3

Oprationnels

R302

84

IFACI

LA CARTOGRAPHIE DES RISQUES

Niveau 3

Risques Niveau 3 Saisie, excution et suivi des transactions Surveillance des comptes et/ou oprations Saisie, excution et suivi des transactions Traitement des rclamations Saisie, excution et suivi des transactions - Autres Monitoring et reporting Inexactitude d'informations communiques l'extrieur Monitoring et reporting Manquement une obligation dclarative Monitoring et reporting Risque de rsultats errons Documents contractuels clients Imprcis, inadquats ou manquants Documents contractuels clients Collecte et conservation Gestion des comptes clients

Catgorie S2 Dfinition Risques Niveau 3 Module de risque Oprationnel Sous module de risque Autres

R30212

Insuffisance de surveillance des comptes et/ou des oprations

R30213

Dfaillance dans le traitement des rclamations

Oprationnel

R30214

Autres causes lies aux traitements et procdures ( prciser)

Oprationnel

R30215

R30216

Manquement une obligation dclarative (comptable ou rglementaire)

Oprationnel

R30217

Risque de rsultat comptable et ou fiscal erron

Oprationnel

R30218

Documents contractuels imprcis, inadquats ou manquants

Oprationnel

R30219

Dfaillance dans la collecte et la conservation des dossiers et des documents relatifs aux clients

Oprationnel

R30220

Non scurisation des accs aux comptes clients - Scurisation

Oprationnel

IFACI

ANNEXE
85

Inexactitude d'informations communiques l'extrieur (occasionnant des pertes)

Oprationnel

LA CARTOGRAPHIE DES RISQUES

Niveau 1

Famille

Dfinition Risques Niveau 1 Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs

Niveau 2

Risques Niveau 2 Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus

Dfinition Risques Niveau 2 Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs

R3

Oprationnels

R302

R3

Oprationnels

R302

R3

Oprationnels

R302

ANNEXE

R3

Oprationnels

R302

R3

Oprationnels

R302

R3

Oprationnels

R302

R3

Oprationnels

R302

R3

Oprationnels

R302

R3

Oprationnels

R302

86

IFACI

LA CARTOGRAPHIE DES RISQUES

Niveau 3

Risques Niveau 3 Gestion des comptes clients Donnes Fournisseurs Mauvaise excutions des prestations

Catgorie S2 Dfinition Risques Niveau 3 Module de risque Oprationnel Sous module de risque Autres

R30221

Donnes errones communiques aux clients

R30222

Mauvaise excution des prestations, y compris dlgataires de gestion externes

Oprationnel

R30223

Fournisseurs Dispositions contractuelles

Absence de dispositions contractuelles encadrant les obligations et les engagements pris en matire de performance par les sous-traitants

Oprationnel

R30224

Litiges avec les fournisseurs

R30225

Risques judiciaires

Risques lis l'volution du droit et aux dcisions des tribunaux

Oprationnel

R30226

Risques de rseau insuffisant Risques de non-respect des limites de dlgation commerciale Risques de commissionnement inadapt

Nombre insuffisant de vendeurs pour atteindre les objectifs de vente

Oprationnel

R30227

Abus ou non-respect de pouvoir de dlgation de la part d'un dlgataire commercial ou mandataire

Oprationnel

R30228

Risques gnrs par un systme ou une grille de commissionnement des intermdiaires non conforme avec les objectifs de vente ou de rentabilit

Oprationnel

R30229

Risques de dfaillance d'un courtier

Risques gnrs par la faillite d'un courtier

Oprationnel

IFACI

ANNEXE
87

Fournisseurs Litiges

Oprationnel

LA CARTOGRAPHIE DES RISQUES

Niveau 1

Famille

Dfinition Risques Niveau 1 Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs

Niveau 2

Risques Niveau 2 Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus Excution, livraison et gestion des processus

Dfinition Risques Niveau 2 Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Risques rsultant de l'intervention humaine dans les activits Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs

R3

Oprationnels

R302

R3

Oprationnels

R302

R3

Oprationnels

R302

ANNEXE

R3

Oprationnels

R302

R3

Oprationnels

R302

R3

Oprationnels

R302

R3

Oprationnels

R302

R3

Oprationnels

R302

R3

Oprationnels

R302

88

IFACI

LA CARTOGRAPHIE DES RISQUES

Niveau 3

Risques Niveau 3

Catgorie S2 Dfinition Risques Niveau 3 Module de risque Oprationnel Sous module de risque Autres

R30230

Risques de dlgation de pouvoir

Mauvaise attribution de pouvoir de dlgation (dfaut de comptence, incohrence avec l'organisation, etc.)

R30231

Risques d'ordonnancement Risques relatifs la diffusion de l'information et des donnes en interne Risques relatifs au rgime de TVA et la facturation Risques relatifs la taxation des contrats

Mauvaise attribution de pouvoir d'ordonnancement (dfaut de comptence, incohrence avec l'organisation, etc.)

Oprationnel

R30232

Risques de carences ou maladresses dans la diffusion des messages et des donnes en interne (hors logistique courrier interne)

Oprationnel

R30233

R30234

Risques de non respect des obligations en matire de taxation des contrats dassurance

Oprationnel

R30235

Risques relatifs aux procdures CFCI

Risque li l'absence de procdure en matire de Contrle Fiscal des Comptabilits Informatises (CFCI)

Oprationnel

R30236

Etats rglementaires

Risques lis la prsentation d'tats rglementaires inexacts ou la nonprsentation d'tats rglementaires

Oprationnel

R30237

Risques d'en- Risques que certains engagements reus gagements sur sur actifs soient survalus ou ne puisvalorisation sent tre recouvrs d'actifs Risques d'en- Risques que certains engagements gagements sur donns sur passifs soient insuffisamment valorisation de estims ou non recenss au bilan passifs

Oprationnel

R30238

Oprationnel

IFACI

ANNEXE
89

Risque li l'omission de facturation de TVA ou de dclaration

Oprationnel

LA CARTOGRAPHIE DES RISQUES

Niveau 1

Famille

Dfinition Risques Niveau 1 Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs

Niveau 2

Risques Niveau 2 Excution, livraison et gestion des processus

Dfinition Risques Niveau 2 Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs

R3

Oprationnels

R302

R3

Oprationnels

R303

Dysfonction Pertes rsultant d'interruptions de nements de l'activit ou de dysfonctionnement l'activit et des systmes des systmes Dysfonction Pertes rsultant d'interruptions de nements de l'activit ou de dysfonctionnement l'activit et des systmes des systmes Dysfonction Pertes rsultant d'interruptions de nements de l'activit ou de dysfonctionnement l'activit et des systmes des systmes Dysfonction Pertes rsultant d'interruptions de nements de l'activit ou de dysfonctionnement l'activit et des systmes des systmes Dysfonction Pertes rsultant d'interruptions de nements de l'activit ou de dysfonctionnement l'activit et des systmes des systmes Dysfonction Pertes rsultant d'interruptions de nements de l'activit ou de dysfonctionnement l'activit et des systmes des systmes Dysfonction Pertes rsultant d'interruptions de nements de l'activit ou de dysfonctionnement l'activit et des systmes des systmes Dysfonction Pertes rsultant d'interruptions de nements de l'activit ou de dysfonctionnement l'activit et des systmes des systmes

R3

Oprationnels

R303

ANNEXE

R3

Oprationnels

R303

R3

Oprationnels

R303

R3

Oprationnels

R303

R3

Oprationnels

R303

R3

Oprationnels

R303

R3

Oprationnels

R303

90

IFACI

LA CARTOGRAPHIE DES RISQUES

Niveau 3

Risques Niveau 3

Catgorie S2 Dfinition Risques Niveau 3 Module de risque Oprationnel Sous module de risque Autres

R30239

Risques de caution ou assimils

Risques que les garanties, avals ou cautions ne soient pas suffisamment valus ou recenss dans les comptes

R30301

Systmes Perte ou altration irrm- Perte ou altration irrmdiable de diable de donnes informatiques (accidentelle) donnes informatiques Systmes Dveloppement

Oprationnel

R30302

Erreurs de dveloppement

Oprationnel

R30303

Atteinte involontaire la scurit logique

R30304

Systmes Ressources informatiques

Inadquation de ressources informatiques

Oprationnel

R30305

Systmes Disponibilit des systmes

Panne systme, insuffisance, indisponibilit passagre de ressources informatiques

Oprationnel

R30306

Systmes Autres causes Autres causes d'origine technologiques d'origine tech- ( prciser) nologiques Systmes Disponibilit d'une ressource Dfaillance ou indisponibilit d'une (nergie, tlressource (nergie, tlcommunication) communication) Transports et autres perturbations Interruption totale ou partielle de l'activit

Oprationnel

R30307

Oprationnel

R30308

Oprationnel

IFACI

ANNEXE
91

Systmes Scurit logique

Oprationnel

LA CARTOGRAPHIE DES RISQUES

Niveau 1

Famille

Dfinition Risques Niveau 1 Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs

Niveau 2

Risques Niveau 2 Excution, Livraison et gestion des processus

Dfinition Risques Niveau 2 Pertes rsultant d'un problme dans le traitement d'une transaction ou dans la gestion des processus ou pertes subies avec les contreparties commerciales et les fournisseurs

R3

Oprationnels

R302

R3

Oprationnels

R303

Dysfonction Pertes rsultant d'interruptions de nements de l'activit ou de dysfonctionnement l'activit et des systmes des systmes Dysfonction Pertes rsultant d'interruptions de nements de l'activit ou de dysfonctionnement l'activit et des systmes des systmes Dysfonction Pertes rsultant d'interruptions de nements de l'activit ou de dysfonctionnement l'activit et des systmes des systmes Dysfonction Pertes rsultant d'interruptions de nements de l'activit ou de dysfonctionnement l'activit et des systmes des systmes Pratiques en matire d'emploi et de scurit sur le lieu de travail Pratiques en matire d'emploi et de scurit sur le lieu de travail Pratiques en matire d'emploi et de scurit sur le lieu de travail Pratiques en matire d'emploi et de scurit sur le lieu de travail Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale

R3

Oprationnels

R303

ANNEXE

R3

Oprationnels

R303

R3

Oprationnels

R303

R3

Oprationnels

R304

R3

Oprationnels

R304

R3

Oprationnels

R304

R3

Oprationnels

R304

92

IFACI

LA CARTOGRAPHIE DES RISQUES

Niveau 3

Risques Niveau 3

Catgorie S2 Dfinition Risques Niveau 3 Module de risque Oprationnel Sous module de risque Autres

R30309

Systmes Rgression

Rgression suite la livraison et la mise en production de nouveaux programmes informatiques ou suite la mise jour de programmes ou fonctionnalits existants Risques de prennit de l'outil informatique : correspond un outil informatique pour lequel la dure de vie est incertaine

R30310

Systmes Prennit

Oprationnel

R30311

Systmes Donnes

Donnes informatiques errones, non conformes aux attentes

Oprationnel

R30312

R30313

Systmes Recette Scurit du lieu de travail - Accidents du travail / maladies professionnelles Scurit du lieu de travail Responsabilit civile

Correspond des tests, jeux d'essais incomplets qui peuvent induire des erreurs plus ou moins graves en production

Oprationnel

R30401

Non-respect des rgles de sant et de scurit sur le lieu de travail => accidents du travail / maladies professionnelles

Oprationnel

R30402

Responsabilit civile => accidents de tiers (clients, partenaires, fournisseurs, autres, etc.)

Oprationnel

R30403

Relations de travail Grve, contes- Grve, contestation syndicale tation syndicale Relations de travail Litiges avec les employs / Litiges avec les Indemnisation du personnel employs

Oprationnel

R30404

Oprationnel

IFACI

ANNEXE
93

Risques de plan de continuit informatique

Non-continuit de l'exploitation par absence de procdures de secours en cas de difficults graves dans le fonctionnement des systmes informatiques

Oprationnel

LA CARTOGRAPHIE DES RISQUES

Niveau 1

Famille

Dfinition Risques Niveau 1 Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs

Niveau 2

Risques Niveau 2 Pratiques en matire d'emploi et de scurit sur le lieu de travail Pratiques en matire d'emploi et de scurit sur le lieu de travail Pratiques en matire d'emploi et de scurit sur le lieu de travail Pratiques en matire d'emploi et de scurit sur le lieu de travail Pratiques en matire d'emploi et de scurit sur le lieu de travail Pratiques en matire d'emploi et de scurit sur le lieu de travail Pratiques en matire d'emploi et de scurit sur le lieu de travail Pratiques en matire d'emploi et de scurit sur le lieu de travail Pratiques en matire d'emploi et de scurit sur le lieu de travail

Dfinition Risques Niveau 2 Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale

R3

Oprationnels

R304

R3

Oprationnels

R304

R3

Oprationnels

R304

ANNEXE

R3

Oprationnels

R304

R3

Oprationnels

R304

R3

Oprationnels

R304

R3

Oprationnels

R304

R3

Oprationnels

R304

R3

Oprationnels

R304

94

IFACI

LA CARTOGRAPHIE DES RISQUES

Niveau 3

Risques Niveau 3

Catgorie S2 Dfinition Risques Niveau 3 Module de risque Oprationnel Sous module de risque Autres

R30405

Egalit et discrimination

Comportement impropre : discrimination / harclement

R30406

Gestion des ressources humaines Recrutements inadapts Gestion des ressources humaines Formation inadapte Gestion des ressources humaines Gestion des emplois et des comptences Gestion des ressources humaines Politique salariale Gestion des ressources humaines Politique de rmunration et d'valuation des collaborateurs Gestion des ressources humaines Turnover Gestion des ressources humaines Ressource cl Gestion des ressources humaines Protection de la vie prive

Recrutements inadapts

Oprationnel

R30407

Formation inadapte

Oprationnel

R30408

R30409

Politique salariale inadapte

Oprationnel

R30410

Inadaptation de la politique de rmunration variable et d'valuation annuelle des collaborateurs

Oprationnel

R30411

Turnover excessif

Oprationnel

R30412

Dpart / absence d'une ressource cl

Oprationnel

R30413

Violation des dispositions concernant la protection de la vie prive et des donnes personnelles des salaris

Oprationnel

IFACI

ANNEXE
95

Gestion des emplois et des comptences inadapte

Oprationnel

LA CARTOGRAPHIE DES RISQUES

Niveau 1

Famille

Dfinition Risques Niveau 1 Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs

Niveau 2

Risques Niveau 2 Pratiques en matire d'emploi et de scurit sur le lieu de travail Pratiques en matire d'emploi et de scurit sur le lieu de travail Pratiques en matire d'emploi et de scurit sur le lieu de travail Pratiques en matire d'emploi et de scurit sur le lieu de travail Pratiques en matire d'emploi et de scurit sur le lieu de travail Dommages aux actifs corporels

Dfinition Risques Niveau 2 Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale Pertes rsultant d'actes incompatibles au regard de la loi en matire d'emploi, de lgislation relative la sant ou la scurit, du paiement d'indemnits ou de discrimination sociale Pertes rsultant de la perte ou du dommage sur un actif corporel la suite d'une catastrophe naturelle ou d'un autre sinistre Pertes rsultant de la perte ou du dommage sur un actif corporel la suite d'une catastrophe naturelle ou d'un autre sinistre Pertes rsultant de la perte ou du dommage sur un actif corporel la suite d'une catastrophe naturelle ou d'un autre sinistre Pertes rsultant de la perte ou du dommage sur un actif corporel la suite d'une catastrophe naturelle ou d'un autre sinistre

R3

Oprationnels

R304

R3

Oprationnels

R304

R3

Oprationnels

R304

ANNEXE

R3

Oprationnels

R304

R3

Oprationnels

R304

R3

Oprationnels

R305

R3

Oprationnels

R305

Dommages aux actifs corporels

R3

Oprationnels

R305

Dommages aux actifs corporels

R3

Oprationnels

R305

Dommages aux actifs corporels

96

IFACI

LA CARTOGRAPHIE DES RISQUES

Niveau 3

Risques Niveau 3 Gestion des ressources humaines Rglementation sociale Gestion des ressources humaines Autre

Catgorie S2 Dfinition Risques Niveau 3 Module de risque Oprationnel Sous module de risque Autres

R30414

Non-respect de la rglementation sociale (code du travail, conventions collectives, etc.)

R30415

Autres problmes lis la gestion des ressources humaines Risques d'un niveau de salaire globalement plus lev que ce qu'il ne devrait tre compte tenu de l'tat du march du travail, conduisant des surcots portant prjudice la comptitivit de l'entreprise

Oprationnel

R30416

Risques relatifs aux cots salariaux

Oprationnel

R30417

R30418

Risques relade la dontologie des relatifs aux rgles Non-respect de dontologie tions avec un rseau d'apporteurs

Oprationnel

R30501

Catastrophes et autres sinis- Catastrophes et autres sinistres tres Catastrophes et autres sinistres - Autres dommages causs aux actifs corporels Catastrophes et autres sinistres Destruction, malveillante de biens

Oprationnel

R30502

Autres dommages causs aux actifs corporels

Oprationnel

R30503

Destruction malveillante de biens / vandalisme

Oprationnel

R30504

Catastrophes et autres sinis- Litiges lis aux immeubles et infrastructres - Litiges immeubles et tures infrastructures

Oprationnel

IFACI

ANNEXE
97

Risques relaNon-respect par un membre du persontifs aux rgles nel des rgles rgissant la profession en de dontologie matire d'thique

Oprationnel

LA CARTOGRAPHIE DES RISQUES

Niveau 1

Famille

Dfinition Risques Niveau 1 Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs

Niveau 2

Risques Niveau 2

Dfinition Risques Niveau 2

R3

Oprationnels

R305

Dommages aux actifs corporels

Pertes rsultant de la perte ou du dommage sur un actif corporel la suite d'une catastrophe naturelle ou d'un autre sinistre Pertes rsultant de la perte ou du dommage sur un actif corporel la suite d'une catastrophe naturelle ou d'un autre sinistre Pertes rsultant de la perte ou du dommage sur un actif corporel la suite d'une catastrophe naturelle ou d'un autre sinistre Pertes dues un acte intentionnel de fraude, de dtournement de biens, d'infractions la lgislation ou aux rgles de l'entreprise qui implique au moins une personne en interne Pertes dues un acte intentionnel de fraude, de dtournement de biens, d'infractions la lgislation ou aux rgles de l'entreprise qui implique au moins une personne en interne Pertes dues un acte intentionnel de fraude, de dtournement de biens, d'infractions la lgislation ou aux rgles de l'entreprise qui implique au moins une personne en interne Pertes dues un acte intentionnel de fraude, de dtournement de biens, d'infractions la lgislation ou aux rgles de l'entreprise qui implique au moins une personne en interne Pertes dues un acte intentionnel de fraude, de dtournement de biens, d'infractions la lgislation ou aux rgles de l'entreprise qui implique au moins une personne en interne Pertes dues un acte intentionnel de fraude, de dtournement de biens, d'infractions la lgislation ou aux rgles de l'entreprise qui implique au moins une personne en interne

R3

Oprationnels

R305

Dommages aux actifs corporels

R3

Oprationnels

R305

Dommages aux actifs corporels

ANNEXE

R3

Oprationnels

R306

Fraude interne

R3

Oprationnels

R306

Fraude interne

R3

Oprationnels

R306

Fraude interne

R3

Oprationnels

R306

Fraude interne

R3

Oprationnels

R306

Fraude interne

R3

Oprationnels

R306

Fraude interne

98

IFACI

LA CARTOGRAPHIE DES RISQUES

Niveau 3

Risques Niveau 3

Catgorie S2 Dfinition Risques Niveau 3 Module de risque Oprationnel Sous module de risque Autres

R30505

Catastrophes et autres sinistres Autres causes lies l'indisponibilit des Indisponibilit immeubles et infrastructures immeubles et infrastructures Catastrophes et autres sinis- Pandmie tres Pandmie Risques gnrs par les immeubles d'exploitation (en proprit ou en location) Activit non autorise Dissimulation volontaire de position Activit non autorise Transactions non notifies Activit non autorise Abus de pouvoir Activit non autorise Fausses dclarations Vol et fraude Vol / dtournement de fonds Vol et fraude Vol / dtournement de biens Risques de sinistre (incendie, dommages des tiers, etc.), risques relatifs la continuit des oprations, risques relatifs la gestion des immeubles (hors scurit du personnel)

R30506

Oprationnel

R30507

Oprationnel

R30601

Dissimulation volontaire de position

R30602

Transactions intentionnellement non notifies

Oprationnel

R30603

Abus de pouvoir, activit intentionnelle non autorise

Oprationnel

R30604

Fausses dclarations intentionnelles

Oprationnel

R30606

Vol / dtournement de fonds

Oprationnel

R30607

Vol / dtournement de biens

Oprationnel

IFACI

ANNEXE
99

Oprationnel

LA CARTOGRAPHIE DES RISQUES

Niveau 1

Famille

Dfinition Risques Niveau 1 Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs

Niveau 2

Risques Niveau 2

Dfinition Risques Niveau 2 Pertes dues un acte intentionnel de fraude, de dtournement de biens, d'infractions la lgislation ou aux rgles de l'entreprise qui implique au moins une personne en interne Pertes dues un acte intentionnel de fraude, de dtournement de biens, d'infractions la lgislation ou aux rgles de l'entreprise qui implique au moins une personne en interne Pertes dues un acte intentionnel de fraude, de dtournement de biens, d'infractions la lgislation ou aux rgles de l'entreprise qui implique au moins une personne en interne Pertes dues un acte intentionnel de fraude, de dtournement de biens, d'infractions la lgislation ou aux rgles de l'entreprise qui implique au moins une personne en interne Pertes dues un acte intentionnel de fraude, de dtournement de biens, d'infractions la lgislation ou aux rgles de l'entreprise qui implique au moins une personne en interne Pertes dues un acte intentionnel de fraude, de dtournement de biens, d'infractions la lgislation ou aux rgles de l'entreprise qui implique au moins une personne en interne Pertes dues un acte intentionnel de fraude, de dtournement de biens, d'infractions la lgislation ou aux rgles de l'entreprise qui implique au moins une personne en interne Pertes dues un acte intentionnel de fraude, de dtournement de biens, d'infractions la lgislation ou aux rgles de l'entreprise qui implique au moins une personne en interne Pertes dues un acte intentionnel de fraude, de dtournement de biens, d'infractions la lgislation ou aux rgles de l'entreprise qui implique au moins une personne en interne

R3

Oprationnels

R306

Fraude interne

R3

Oprationnels

R306

Fraude interne

R3

Oprationnels

R306

Fraude interne

ANNEXE

R3

Oprationnels

R306

Fraude interne

R3

Oprationnels

R306

Fraude interne

R3

Oprationnels

R306

Fraude interne

R3

Oprationnels

R306

Fraude interne

R3

Oprationnels

R306

Fraude interne

R3

Oprationnels

R306

Fraude interne

100

IFACI

LA CARTOGRAPHIE DES RISQUES

Niveau 3

Risques Niveau 3

Catgorie S2 Dfinition Risques Niveau 3 Module de risque Oprationnel Sous module de risque Autres

R30608

Vol et fraude Contrefaon de documents

Contrefaon de documents

R30609

Vol et fraude Usurpation de compte / d'identit

Usurpation de compte / d'identit

Oprationnel

R30610

Vol et fraude Fraude fiscale

Fraude fiscale / vasion dlibre

Oprationnel

R30605

Autres fraudes internes

R30611

Vol et fraude Dlits d'initis

Non-respect des rgles en matire d'oprations financires personnelles / dlits d'initis

Oprationnel

R30612

Vol et fraude Cadeaux et invitations

Non-respect des rgles dontologiques relatives aux cadeaux et aux invitations

Oprationnel

R30613

Scurit des systmes Malveillance informatique

Malveillance informatique (virus, destruction de fichiers, piratages, etc.)

Oprationnel

R30614

Scurit des systmes Donnes

Vol et divulgation de donnes

Oprationnel

R30615

Vol et fraude abus de biens sociaux

Risque de faire usage sciemment de biens, du crdit de la socit, ou des pouvoirs possds par des dirigeants sociaux (droits reconnus par la loi ou les statuts aux dirigeants sociaux) contraire aux intrts de la socit et dans un intrt personnel, intrt du dirigeant social, des membres de sa famille, de ses proches.

Oprationnel

IFACI

ANNEXE
101

Vol et fraude Autre

Oprationnel

LA CARTOGRAPHIE DES RISQUES

Niveau 1

Famille

Dfinition Risques Niveau 1 Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs Risques relatifs au pilotage de lentreprise, aux risques de rputation directe et aux risques gnrs par lenvironnement de lentreprise et aux risques mergents

Niveau 2

Risques Niveau 2

Dfinition Risques Niveau 2

R3

Oprationnels

R307

Fraude externe

Pertes dues un acte intentionnel de fraude, de dtournement de biens, deffractions la lgislation ou aux rgles par une tierce partie Pertes dues un acte intentionnel de fraude, de dtournement de biens, deffractions la lgislation ou aux rgles par une tierce partie Pertes dues un acte intentionnel de fraude, de dtournement de biens, deffractions la lgislation ou aux rgles par une tierce partie Pertes dues un acte intentionnel de fraude, de dtournement de biens, deffractions la lgislation ou aux rgles par une tierce partie Pertes dues un acte intentionnel de fraude, de dtournement de biens, deffractions la lgislation ou aux rgles par une tierce partie Pertes dues un acte intentionnel de fraude, de dtournement de biens, deffractions la lgislation ou aux rgles par une tierce partie Pertes dues un acte intentionnel de fraude, de dtournement de biens, deffractions la lgislation ou aux rgles par une tierce partie Pertes dues un acte intentionnel de fraude, de dtournement de biens, deffractions la lgislation ou aux rgles par une tierce partie

R3

Oprationnels

R307

Fraude externe

R3

Oprationnels

R307

Fraude externe

ANNEXE

R3

Oprationnels

R307

Fraude externe

R3

Oprationnels

R307

Fraude externe

R3

Oprationnels

R307

Fraude externe

R3

Oprationnels

R307

Fraude externe

R3

Oprationnels

R307

Fraude externe

R4

Stratgiques et environnementaux

R401

March de l'assurance

Risques rsultant du comportement des acteurs du march de l'assurance

102

IFACI

LA CARTOGRAPHIE DES RISQUES

Niveau 3

Risques Niveau 3

Catgorie S2 Dfinition Risques Niveau 3 Module de risque Oprationnel Sous module de risque Autres

R30701

Vol et fraude Fausses dclarations

Fausses dclarations intentionnelles

R30702

Vol et fraude Contrefaon de documents

Contrefaon de documents

Oprationnel

R30703

Vol et fraude Vol

Vol

Oprationnel

R30704

Autres fraudes externes

R30705

Vol et fraude Usurpation de compte / d'identit Scurit des systmes Malveillance informatique

Usurpation de compte / d'identit

Oprationnel

R30706

Malveillance informatique (virus, destruction de fichiers, piratages, etc.)

Oprationnel

R30707

Scurit des systmes Donnes

Vol et divulgation de donnes

Oprationnel

R30708

Risques de corruption

Risques de corruption active ou passive de membres du personnel, de commerciaux mandataires, salaris ou indpendants (courtiers)

Oprationnel

R40101

Risques relatifs aux cycles tarifaires

Risques rsultant de la pression du march pratiquer des taux tarifaires bas (cyclique en gnral)

Stratgique

IFACI

ANNEXE
103

Vol et fraude Autre

Oprationnel

LA CARTOGRAPHIE DES RISQUES

Niveau 1

Famille

Dfinition Risques Niveau 1 Risques relatifs au pilotage de lentreprise, aux risques de rputation directe et aux risques gnrs par lenvironnement de lentreprise et aux risques mergents Risques relatifs au pilotage de lentreprise, aux risques de rputation directe et aux risques gnrs par lenvironnement de lentreprise et aux risques mergents Risques relatifs au pilotage de lentreprise, aux risques de rputation directe et aux risques gnrs par lenvironnement de lentreprise et aux risques mergents Risques relatifs au pilotage de lentreprise, aux risques de rputation directe et aux risques gnrs par lenvironnement de lentreprise et aux risques mergents Risques relatifs au pilotage de lentreprise, aux risques de rputation directe et aux risques gnrs par lenvironnement de lentreprise et aux risques mergents Risques relatifs au pilotage de lentreprise, aux risques de rputation directe et aux risques gnrs par lenvironnement de lentreprise et aux risques mergents Risques relatifs au pilotage de lentreprise, aux risques de rputation directe et aux risques gnrs par lenvironnement de lentreprise et aux risques mergents Risques relatifs au pilotage de lentreprise, aux risques de rputation directe et aux risques gnrs par lenvironnement de lentreprise et aux risques mergents Risques relatifs au pilotage de lentreprise, aux risques de rputation directe et aux risques gnrs par lenvironnement de lentreprise et aux risques mergents

Niveau 2

Risques Niveau 2

Dfinition Risques Niveau 2

R4

Stratgiques et environnementaux

R401

March de l'assurance

Risques rsultant du comportement des acteurs du march de l'assurance

R4

Stratgiques et environnementaux

R402

Pilotage

Risques de choix stratgiques, de moyens associs ou de pilotage de la mise en oeuvre inadquats

R4

Stratgiques et environnementaux

R402

Pilotage

Risques de choix stratgiques, de moyens associs ou de pilotage de la mise en oeuvre inadquats

ANNEXE

R4

Stratgiques et environnementaux

R402

Pilotage

Risques de choix stratgiques, de moyens associs ou de pilotage de la mise en oeuvre inadquats

R4

Stratgiques et environnementaux

R403

Marketing

Risques rsultant d'une mauvaise dmarche marketing assurance

R4

Stratgiques et environnementaux

R403

Marketing

Risques rsultant d'une mauvaise dmarche marketing assurance

R4

Stratgiques et environnementaux

R404

Risques rsultant de dfauts dans Organisation l'organisation de l'entreprise et de ses procdures

R4

Stratgiques et environnementaux

R405

Rputation

Risques lis une perception ngative de l'entreprise

R4

Stratgiques et environnementaux

R405

Rputation

Risques lis une perception ngative de l'entreprise

104

IFACI

LA CARTOGRAPHIE DES RISQUES

Niveau 3

Risques Niveau 3

Catgorie S2 Dfinition Risques Niveau 3 Module de risque Sous module de risque Autres

R40102

Risques de concurrence

Risques rsultant de l'exercice d'activits similaires par d'autres entreprises

Stratgique

R40201

Risques sur la mise en oeuvre de la stratgie

Dcalage entre la stratgie dfinie et sa mise en oeuvre, du fait d'erreurs d'apprciation ou de non-adquation des moyens

Stratgique

R40202

Risques relatifs au pilotage Risques provenant de dficiences du stratgique des activits et pilotage des filiales Risque de drive des cots Risque de drive des cots pour des postes trs importants comme le personnel, les immeubles, les systmes dinformation Risques provenant d'une mauvaise identification des besoins, d'une mauvaise segmentation clientle, etc., conduisant l'laboration de produits inadapts Dcalage entre le contenu d'un message et sa comprhension, ou sa prise en compte, par le destinaire de l'information, et risques de publicit trompeuse Risques d'inadquation de l'organisation fonctionnelle aux activits, la mise en oeuvre de la stratgie, au profil des comptences disponibles, la gestion des relations avec les intermdiaires et avec les clients, etc. Risques rsultant de la mise en cause publique de pratiques particulires d'une ou plusieurs compagnies (hors entente), ou d'erreurs de communication publique

Stratgique

R40203

Stratgique

R40301

Risques de mauvaise analyse des marchs cibles Risques d'erreur de communication marketing Risques d'inadquation de l'organisation fonctionnelle Risques d'image du secteur de l'assurance Risques d'image Risques provenant d'un manquement aux rgles de bonne conduite

Stratgique

R40302

Stratgique

R40101

Stratgique

R40501

Rputation

R40502

Risques provenant d'un manquement aux rgles de bonne conduite, aux normes professionnelles ou aux valeurs de la socit

Rputation

IFACI

ANNEXE
105

LA CARTOGRAPHIE DES RISQUES

Niveau 1

Famille

Dfinition Risques Niveau 1 Risques relatifs au pilotage de lentreprise, aux risques de rputation directe et aux risques gnrs par lenvironnement de lentreprise et aux risques mergents Risques relatifs au pilotage de lentreprise, aux risques de rputation directe et aux risques gnrs par lenvironnement de lentreprise et aux risques mergents Risques relatifs au pilotage de lentreprise, aux risques de rputation directe et aux risques gnrs par lenvironnement de lentreprise et aux risques mergents Risques relatifs au pilotage de lentreprise, aux risques de rputation directe et aux risques gnrs par lenvironnement de lentreprise et aux risques mergents Risques relatifs au pilotage de lentreprise, aux risques de rputation directe et aux risques gnrs par lenvironnement de lentreprise et aux risques mergents Risques relatifs au pilotage de lentreprise, aux risques de rputation directe et aux risques gnrs par lenvironnement de lentreprise et aux risques mergents

Niveau 2

Risques Niveau 2

Dfinition Risques Niveau 2

R4

Stratgiques et environnementaux

R405

Rputation

Risques lis une perception ngative de l'entreprise

R4

Stratgiques et environnementaux

R405

Rputation

Risques lis une perception ngative de l'entreprise

R4

Stratgiques et environnementaux

R405

Rputation

Risques lis une perception ngative de l'entreprise

ANNEXE

R4

Stratgiques et environnementaux

R406

Lgislatifs, Risques lis l'apparition de rglemenlois ou rglements, et taires et judi- nouvelles leur application ciaires Autres risques systmiques et exognes Autres risques systmiques et exognes

R4

Stratgiques et environnementaux

R407

Autres risques provenant de l'environnement externe de l'entreprise

R4

Stratgiques et environnementaux

R407

Autres risques provenant de l'environnement externe de l'entreprise

106

IFACI

LA CARTOGRAPHIE DES RISQUES

Niveau 3

Risques Niveau 3 Risques d'image Risques juridiques et de mise en cause Risques d'image Risques de communication externe Risques d'image Risques lis aux mdias sociaux

Catgorie S2 Dfinition Risques Niveau 3 Risques de mise en cause judiciaire ou non, par une association de consommateurs, par la presse, ou par un client important, de litige sur l'application d'un contrat Politique de communication sur l'identit de l'entreprise inadquate au march, aux intermdiaires, aux interlocuteurs financiers ou institutionnels, etc. Risques lis aux mdias sociaux qui affectent court, moyen ou long terme la confiance envers un organisme dassurance Module de risque Sous module de risque Autres

R40503

Stratgique

R40504

Rputation

R40505

Rputation

R40601

Rputation

R40701

Risques conomiques

Risques d'inflation, de dpression, d'volution de la demande

Stratgique

R40702

Risques politiques

Risques de guerre civile, d'meutes, de guerre trangre, d'attentats et de terrorisme

Risques externes

IFACI

ANNEXE
107

Lgislatifs, lis l'apparition de nouvelles rglementaires Risques lois ou rglements, et leur application et judiciaires

LA CARTOGRAPHIE DES RISQUES

tiquettes de lignes Assurances Maitrse des Rsultats Participations aux bnfices Provisionnement Rassurance de protection Sinistralit non vie / Prestations vie Souscription Technique Financiers Adquation Actif/Passif Endettement Gestion d'actifs Risques de solvabilit Oprationnels Clients / tiers, produits et pratiques commerciales Dommages aux actifs corporels Dysfonctionnements de l'activit et des systmes Excution, Livraison et gestion des processus Fraude externe Fraude interne Pratiques en matire d'emploi et de scurit sur le lieu de travail Stratgiques et environnementals Autres risques systmiques et exognes Lgislatifs, rglementaires et judiciaires March de l'assurance Marketing Organisation Pilotage Rputation Total gnral

Nombre de Risques Niveau 3 22 1 1 3 3 5 6 3 26 8 2 13 3 128 28 7 13 39 8 15 18 16 2 1 2 2 1 3 5 192

ANNEXE
108

IFACI

LA CARTOGRAPHIE DES RISQUES

ANNEXE 3
Prsentation des risques de la formule standard du calcul du SCR

IFACI

ANNEXE
109

LA CARTOGRAPHIE DES RISQUES

Module

Dfinition

Commentaire

ANNEXE

Risque de march

Le module risque de march reflte le risque li au niveau ou la volatilit de la valeur de march des instruments financiers ayant un impact sur la valeur des actifs et des passifs de lentreprise concerne. Il reflte de manire adquate toute inadquation structurelle entre les actifs et les passifs, en particulier au regard de leur duration

Le risque de march rsulte du niveau ou de la volatilit des cours de march des instruments financiers qui ont un impact sur la valeur des actifs et des passifs de lentreprise concerne. Lexposition au risque de march est mesure par limpact des mouvements dans le niveau des variables financires tel que le cours des actions, les taux dintrt, les cours de limmobilier et les taux de change

110

IFACI

LA CARTOGRAPHIE DES RISQUES

Sous module Risque de taux dintrt

Dfinition Risque li la sensibilit de la valeur des actifs, des passifs et des instruments financiers aux changements affectant la courbe des taux dintrt ou la volatilit des taux dintrt Risque li la sensibilit de la valeur des actifs, des passifs et des instruments financiers aux changements affectant le niveau ou la volatilit de la valeur de march des actions Risque li la sensibilit de la valeur des actifs, des passifs et des instruments financiers aux changements affectant le niveau ou la volatilit de la valeur de march des actifs immobiliers Risque li la sensibilit de la valeur des actifs, des passifs et des instruments financiers aux changements affectant le niveau ou la volatilit des marges (spreads) de crdit par rapport la courbe des taux dintrt sans risque Risque li la sensibilit de la valeur des actifs, des passifs et des instruments financiers aux changements affectant le niveau ou la volatilit des taux de change Risques supplmentaires supports par lentreprise dassurance ou de rassurance du fait soit dun manque de diversification de son portefeuille dactifs, soit dune exposition importante au risque de dfaut dun seul metteur de valeurs mobilires ou dun groupe dmetteurs lis

Commentaire

1.1

1.2

Risque sur actions

1.3

Risque sur actifs immobiliers

1.4

Risque li la marge (spread)

1.5

Risque de change

1.6

Concentrations du risque de march

1.7

Contracyclique

IFACI

ANNEXE
111

LA CARTOGRAPHIE DES RISQUES

Module

Dfinition

Commentaire

ANNEXE

Risque de souscription en sant

Le module risque de souscription en sant reflte le risque dcoulant de la souscription dengagements dassurance sant, quil sexerce ou non sur une base technique similaire celle de lassurance vie, compte tenu des prils couverts et des procds appliqus dans lexercice de cette activit

Le risque de souscription Sant couvre le risque de souscription pour toutes les garanties sant et accidents du travail ; il se divise en trois sous modules : sant long terme pratique sur une base similaire celle de lassurance vie (qui nexiste quen Allemagne et Autriche), sant court terme et accidents du travail.

112

IFACI

LA CARTOGRAPHIE DES RISQUES

Sous module

Dfinition

Commentaire Le risque de mortalit est le risque que les assurs meurent plus vite que ne le prvoyaient les hypothses initiales. Il s'applique tous les engagements pour lesquels les prestations payer en cas de dcs excdent les provisions techniques, et pour lesquels une hausse de la mortalit conduira donc une augmentation des provisions techniques. Le risque de longvit s'applique aux contrats pour lesquels une baisse de la mortalit conduirait une hausse des provisions techniques, tels que les contrats de retraite supplmentaire.

2.1

Risque de mortalit

Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de fluctuations affectant le niveau, lvolution tendancielle ou la volatilit des taux de mortalit, lorsquune augmentation de ces taux entrane une augmentation de la valeur des engagements dassurance

2.2

Risque de longvit

Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de fluctuations affectant le niveau, lvolution tendancielle ou la volatilit des taux de mortalit, lorsquune baisse de ces taux entrane une augmentation de la valeur des engagements dassurance. Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de fluctuations affectant le niveau, lvolution tendancielle ou la volatilit des taux dinvalidit, de maladie et de morbidit Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de fluctuations affectant le niveau ou la volatilit des taux de cessation, dchance, de renouvellement et de rachat des polices Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de fluctuations affectant le niveau, lvolution tendancielle ou la volatilit des dpenses encourues pour la gestion des contrats dassurance ou de rassurance Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de fluctuations affectant le niveau, lvolution tendancielle ou la volatilit des taux de rvision applicables aux rentes, sous leffet dun changement de lenvironnement juridique ou de ltat de sant de la personne assure Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de lincertitude importante, lie aux pidmies majeures et laccumulation inhabituelle de risques qui se produit dans ces circonstances extrmes, qui pse sur les hypothses retenues en matire de prix et de provisionnement Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de fluctuations affectant la date de survenance, la frquence et la gravit des vnements assurs, ainsi que la date et le montant des rglements de sinistres au moment du provisionnement

2.3

2.4

Risque de rachat

2.5

Risque de dpenses

2.6

Risque de rvision

2.7

Risque de catastrophe en sant

2.8

Risque de primes et de rserve en sant

Dans sous module NSLT : pratiqu en Allemagne et Autriche

IFACI

ANNEXE
113

Risque dinvalidit de morbidit

LA CARTOGRAPHIE DES RISQUES

Module

Dfinition Le module risque de contrepartie reflte les pertes possibles que pourrait entraner le dfaut inattendu, ou la dtrioration de la qualit de crdit, des contreparties et dbiteurs de lentreprise dassurance ou de rassurance durant les douze mois venir. Le module risque de contrepartie couvre les contrats dattnuation des risques, tels que les accords de rassurance, les titrisations et les instruments drivs, et les paiements recevoir des intermdiaires ainsi que tout autre risque de crdit ne relevant pas du sous-module risque li la marge . Il prend en compte, de manire approprie, les garanties ou autres srets dtenues par lentreprise dassurance ou de rassurance ou pour son compte, et les risques qui y sont lis.

Commentaire

Risque de dfaut ou de contrepartie

Le risque de dfaut ou de contrepartie reprsente le risque quun dbiteur ou une contrepartie de la socit d'assurance ou de rassurance nhonore pas ses engagements dans les conditions initialement prvues.

ANNEXE

Risque de souscription en vie

Le module risque de souscription en vie reflte le risque dcoulant des engagements dassurance vie, compte tenu des prils couverts et des procds appliqus dans lexercice de cette activit.

Le risque de souscription Vie regroupe lensemble des risques li une tarification insuffisamment prudente lors de la souscription ou le rachat du contrat (comprenant le risque de mortalit, de longvit, de rachat, etc.).

114

IFACI

LA CARTOGRAPHIE DES RISQUES

Sous module

Dfinition

Commentaire

4.1

Risque de mortalit

4.2

Risque de longvit

4.3

Risque dinvalidit de morbidit

Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de fluctuations affectant le niveau, lvolution tendancielle ou la volatilit des taux de mortalit, lorsquune augmentation de ces taux entrane une augmentation de la valeur des engagements dassurance Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de fluctuations affectant le niveau, lvolution tendancielle ou la volatilit des taux de mortalit, lorsquune baisse de ces taux entrane une augmentation de la valeur des engagements dassurance. Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de fluctuations affectant le niveau, lvolution tendancielle ou la volatilit des taux dinvalidit, de maladie et de morbidit Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de fluctuations affectant le niveau, lvolution tendancielle ou la volatilit des dpenses encourues pour la gestion des contrats dassurance ou de rassurance. Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de fluctuations affectant le niveau, lvolution tendancielle ou la volatilit des taux de rvision applicables aux rentes, sous leffet dun changement de lenvironnement juridique ou de ltat de sant de la personne assure Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de fluctuations affectant le niveau ou la volatilit des taux de cessation, dchance, de renouvellement et de rachat des polices Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de lincertitude importante, lie aux vnements extrmes ou irrguliers, qui pse sur les hypothses retenues en matire de prix et de provisionnement

4.4

Risque de dpenses en vie

4.5

Risque de rvision

4.6

Risque de rachat

4.7

Risque de catastrophe en vie

IFACI

ANNEXE
115

LA CARTOGRAPHIE DES RISQUES

Module

Dfinition

Commentaire

Risque de souscription en nonvie

Le module risque de souscription en non-vie reflte le risque dcoulant des engagements dassurance non-vie, compte tenu des prils couverts et des procds appliqus dans lexercice de cette activit. Il tient compte de lincertitude pesant sur les rsultats des entreprises dassurance et de rassurance dans le cadre de leurs engagements dassurance et de rassurance existants, ainsi que du nouveau portefeuille dont la souscription est attendue dans les douze mois venir.

Le risque de souscription Non vie reprsente le risque dassurance spcifique rsultant des contrats dassurance. Il fait rfrence lincertitude concernant les rsultats de la souscription de lassureur (montants et dlais de rglements des sinistres, taux de primes ncessaires pour couvrir les passifs, etc.).

ANNEXE

Risque sur actifs incorporels

Risque de perte, ou de changement dfavorable de la situation financire, rsultant de fluctuations affectant le niveau ou la volatilit de la valeur des actifs incorporels (logiciels, brevets, marques, etc.) prsents au bilan de l'organisme d'assurance.

Le risque d'actifs incorporels porte sur les actifs incorporels qui sont exposs deux types de risques : le risque de march et le risque interne inhrent la nature mme de ces lments. Les actifs incorporels reprsentent les actifs immatriels de l'entreprise tels que le "goodwill", les brevets, les licences, les marques,

Risque oprationnel

Le risque oprationnel est le risque de perte rsultant de procdures internes inadaptes ou dfaillantes, du personnel, des systmes ou dvnements extrieurs. Il comprend galement les risques juridiques, mais il exclut les risques de rputation et les risques rsultant de dcisions stratgiques. Le module Risque oprationnel tient compte des risques oprationnels non explicitement couverts dans dautres modules de risque. Le besoin en capital pour couvrir le risque oprationnel est calcul de faon forfaitaire.

116

IFACI

LA CARTOGRAPHIE DES RISQUES

Sous module

Dfinition Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de fluctuations affectant la date de survenance, la frquence et la gravit des vnements assurs, ainsi que la date et le montant des rglements de sinistres Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de lincertitude importante, lie aux vnements extrmes ou exceptionnels, qui pse sur les hypothses retenues en matire de prix et de provisionnement. Risque de perte, ou de changement dfavorable de la valeur des engagements dassurance, rsultant de fluctuations affectant le niveau ou la volatilit des taux de cessation, dchance, de renouvellement et de rachat des polices

Commentaire

5.1

Risque de primes et de rserve en non-vie

5.2

Risque de catastrophe en non-vie

5.3

Risque de rachat

IFACI

ANNEXE
117

LA CARTOGRAPHIE DES RISQUES

ANNEXE 4
Exemple dimpact financier
Type deffets Dprciation
(Write-down)

Description Dprciation dactifs dans les comptes suite un vnement de risque oprationnel. Par exemple : Vol au sein de la socit, fraude interne ou externe, erreur tarifaire aboutissant un revers infrieur aux prvisions. Paiements des tiers suite des vnements oprationnels dont la socit est lgalement responsable. Par exemple : Rclamations de clients suite un arrt dactivit de la socit ou des erreurs tarifaires, intrts verss suite un retard dans un paiement, fraude de salari sur compte client. Cela ninclut pas la rduction du propre revenu de la socit en raison dun arrt dactivit, les pertes rsultant dune atteinte la rputation de la socit. Pertes rsultant de lincapacit de la socit mettre en uvre des rclamations / recours auprs dun tiers. La perte peut tre encourue quand un tiers ne respecte pas ou ne peut pas respecter ses obligations, causes par un vnement oprationnel. Par exemple : Un double paiement fait un tiers qui ne peut pas tre rcupr. Frais encourus dans le cadre de litiges, de procs (y compris frais davocat, rglements judiciaires, condamnations). Par exemple : Rglements lamiable, cots juridiques et autres dpenses y affrentes. Cela ninclut pas les cots relatifs lamlioration de la documentation ou des traitements. Amendes ou rglements imposs par les autorits / organismes rglementaires la suite dactions non conformes faites par la socit. Par exemple : Amendes verses pour rgler des contraventions la rglementation, etc. Cela ne comprend pas la perte de revenu suite la rvocation dune licence, les honoraires davocat, etc., de recherche dun changement dune disposition rglementaire qui serait favorable lentreprise. Pertes encourues en raison de paiements dimpts supplmentaires auxquels la socit doit faire face. Par exemple : Pnalits fiscales ou taxes supplmentaires Dprciation des actifs corporels en raison de la survenance dun vnement oprationnel (ngligence, incendie, accident, tremblement de terre). Par exemple : Cots de remplacement du matriel vol ou endommag, cot de la reprise immdiate dactivits, cots associs aux rparations des actifs ; pertes de biens incorporels (donnes, etc.). Cela ninclut pas les amliorations apportes au cours de la reconstruction aprs un incendie, une inondation ou une catastrophe naturelle (amliorations par rapport la situation initiale avant lvnement). Pertes et/ou cots non concerns par les natures prcdentes. Par exemple : Cot des consultants externes / personnel temporaire pour enquter ou rsoudre le problme, les cots de reproduction ou de remplacement, etc. Cela ninclut pas le temps consacr lanalyse et la rsolution de problmes, les cots de support interne (support informatique, audit interne), lamlioration des contrles de prvention, baisse de revenus en raison dun impact sur la rputation.

Ddommagements
(Compensation)

Pertes de recours

ANNEXE

(Loss of Recourse)

Responsabilits juridiques
(Legal Liability)

Actions rglementaires
(Regulatory Action)

Dpenses fiscales
(Tax Expenses)

Pertes ou dommages sur des actifs


(Loss / Damage to Physical Asset)

Autres cots ou pertes


(Other Losses and/or Costs)

118

IFACI

LA CARTOGRAPHIE DES RISQUES

ANNEXE 5
Evaluation de limpact financier dun incident
Exemples dvnement et leur retranscription en termes dimpact financier

1) Passation par pertes et profits de valeurs immobilises suite une destruction dactifs
Passation en compte de perte et profit de valeurs immobilises corporelles suite une destruction dactifs, destruction de locaux et matriels suite un sinistre. Cot externe de remise en ltat de valeurs immobilises suite une dgradation. Passation en compte de perte et profit de valeurs immobilises incorporelles suite labandon dun projet informatique. Cot dachat ou de remise en ltat de biens non immobiliss suite une destruction ou un vol.

2) Diminution dactifs due la fraude, au vol ou une erreur dexcution


Diminution dactifs due au vol, la fraude, aux activits non autorises, aux pertes de march. Passation en compte de perte et profit de suspens comptables rsultant de la survenance dun risque oprationnel.

3) Perte sche due une sortie de fonds non rcupre


Fonds transfrs par erreur, virements raliss en double et non rcuprs auprs du bnficiaire. Charges externes supplmentaires : - cot de relogement temporaire des activits suite un sinistre, - recours des intrimaires ou prestataires externes en situation de crise ou pour rsoudre des problmes suite des dfaillances.

4) Perte sche lie la compensation de tiers en cas derreur imputable lorganisme dassurance
Indemnisation du client ou intrts de retard verss une contrepartie, y compris les avoirs sur factures et commissions. Indemnisation et prises en charge en cas de responsabilit de lorganisme dassurance sans quil soit en faute : indemnisation du personnel en cas daccident.

IFACI

ANNEXE
119

LA CARTOGRAPHIE DES RISQUES

5) Condamnation payer et autres frais juridiques


Condamnation payer et autres dommages et intrts attachs une procdure judiciaire. Cots juridiques attachs la procdure judiciaire (honoraires davocat, etc.).

6) Pnalit ou amende rglementaire ou fiscale


Pnalit ou amende rglementaire ou fiscale payer. Intrts de retard fiscaux payer, dans tous les cas, que lentreprise se considre dfaillante ou non (vnement externe). Redressement fiscal correspondant limpt qui aurait d tre pay (TIMING IMPACT).

7) Autres cots de trsorerie


Cots de trsorerie lorsquils permettent de traduire leffet dune crise majeure et fondent une demande dindemnisation (erreur dans les transferts de fonds, erreur dans les livraisons de titres, erreur dans la mise en place de couvertures, etc.). Augmentation des frais gnraux : - cots de communication pour rsolution de crise, - cots de reconstitution, rdition, rexpdition de documents. Heures supplmentaires internes et astreintes consacres la rsolution dincidents relevant du risque oprationnel.

ANNEXE

8) Surcot interne de rparation


Temps pass par le personnel affect la rsolution de dysfonctionnements dans le cadre de lhoraire lgal (cot standard). Surcot interne li linactivit : heures non travailles dues lindisponibilit des locaux ou postes de travail.

9) Consquence positive dune erreur


Dnouement positif dune erreur de bourse suite une volution favorable des cours.

Autres cas
Manque gagner (non objectivement vrifiable) correspondant la perte dopportunits commerciales lie la suspension temporaire dactivit (sanction ou inaccessibilit du site). Manque gagner correspondant une perte de chiffre daffaires rcurrent, donc prvisible et objectivement vrifiable suite une dfaillance des systmes dinformation ou un sinistre. Exemple : panne prolonge ou rpte des applicatifs de souscription.

120

IFACI

LA CARTOGRAPHIE DES RISQUES

Manque gagner correspondant des commissions dues mais non perues (dfaut dans le processus de facturation ou de recouvrement) Incident vit en labsence de contrle et sans consquence financire (voir section 3.2.1 sur les quasi-pertes / near misses) : - Erreur rattrape dans des dlais suffisants pour ne pas engendrer de pnalits ; - Sommes verses par erreur mais rcupres dans les meilleurs dlais ; - Fraude djoue. Geste commercial ne venant pas compenser une erreur de lorganisme dassurance. Dpassement de budget de projets.

IFACI

ANNEXE
121

LA CARTOGRAPHIE DES RISQUES

ANNEXE 6
Illustration Synthse du processus de collecte des vnements

Processus

Tches Notification de lvnement Description de lvnement et de la cause Estimation des consquences financires Dfinition de la catgorie du risque li Analyse des cas dclars Enregistrement dans la base des vnements / impacts ligibles la collecte Vrification compltude et qualit Validation de la cohrence

Acteurs Services oprationnels Direction des risques


IFACI

Identification des vnements

Dclarant

ANNEXE

Loss identifier

Enregistrement et validation des vnements (niveau 1)

Loss Assessor (superviseur)

Validation des vnements (niveau 2)

Consolidation des donnes Validation des vnements dclars Analyse et diffusion des donnes

Loss Approver (valideur)

122

Contrle interne Contrle permanent

LA CARTOGRAPHIE DES RISQUES

ANNEXE 7
Directive Solvabilit II (extraits)
Directive du parlement europen et du conseil sur l'accs aux activits de l'assurance et de la rassurance et leur exercice (Solvabilit II). Version consolide du 25 novembre 2009.

Article 13 - Dfinitions
30. risque de souscription : le risque de perte ou de changement dfavorable de la valeur des engagements dassurance, en raison dhypothses inadquates en matire de tarification et de provisionnement ; 31. risque de march : le risque de perte, ou de changement dfavorable de la situation financire, rsultant, directement ou indirectement, de fluctuations affectant le niveau et la volatilit de la valeur de march des actifs, des passifs et des instruments financiers ; 32. risque de crdit : le risque de perte, ou de changement dfavorable de la situation financire, rsultant de fluctuations affectant la qualit de crdit dmetteurs de valeurs mobilires, de contreparties ou de tout dbiteur, auquel les entreprises dassurance et de rassurance sont exposes sous forme de risque de contrepartie, de risque li la marge ou de concentration du risque de march ; 33. risque oprationnel : le risque de perte rsultant de procdures internes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs ; 34. risque de liquidit : le risque, pour les entreprises dassurance et de rassurance, de ne pas pouvoir raliser leurs investissements et autres actifs en vue dhonorer leurs engagements financiers au moment o ceux-ci deviennent exigibles ; 35. risque de concentration : toutes les expositions au risque qui sont assorties dun potentiel de perte suffisamment important pour menacer la solvabilit ou la situation financire des entreprises dassurance et de rassurance.

Article 41 - Exigences gnrales en matire de gouvernance


1. Les tats membres exigent de toutes les entreprises d'assurance et de rassurance qu'elles mettent en place un systme de gouvernance efficace, qui garantisse une gestion saine et prudente de l'activit.

IFACI

ANNEXE
123

LA CARTOGRAPHIE DES RISQUES

Ce systme comprend au moins une structure organisationnelle transparente adquate, avec une rpartition claire et une sparation approprie des responsabilits, ainsi qu'un dispositif efficace de transmission des informations. Il satisfait aux exigences nonces aux articles 42 49. Le systme de gouvernance fait l'objet d'un rexamen interne rgulier. 2. Le systme de gouvernance est proportionn la nature, lampleur et la complexit des oprations de lentreprise dassurance ou de rassurance. 3. Les entreprises dassurance et de rassurance disposent de politiques crites concernant au moins leur gestion des risques, leur contrle interne, leur audit interne et, le cas chant, la sous-traitance. Elles veillent ce que ces politiques soient mises en uvre. Ces politiques crites sont rexamines au moins une fois par an. Elles sont soumises lapprobation pralable de lorgane dadministration, de gestion ou de contrle et elles sont adaptes compte tenu de tout changement important affectant le systme ou le domaine concern.

ANNEXE
124

4. Les entreprises dassurance et de rassurance prennent des mesures raisonnables afin de veiller la continuit et la rgularit dans laccomplissement de leurs activits, y compris par llaboration de plans durgence. cette fin, elles utilisent des systmes, des ressources et des procdures appropris et proportionns. 5. Les autorits de contrle disposent des moyens, mthodes et pouvoirs appropris pour vrifier le systme de gouvernance des entreprises dassurance et de rassurance et pour valuer les risques mergents dtects par ces entreprises et susceptibles daffecter leur solidit financire. Les tats membres veillent ce que les autorits de contrle disposent des pouvoirs ncessaires pour exiger que le systme de gouvernance soit amlior et renforc de faon satisfaire aux exigences nonces aux articles 42 49.

Article 44 - Gestion des risques.


1. Les entreprises dassurance et de rassurance mettent en place un systme de gestion des risques efficace, qui comprenne les stratgies, processus et procdures dinformation ncessaires pour dceler, mesurer, contrler, grer et dclarer, en permanence, les risques, aux niveaux individuel et agrg, auxquels elles sont ou pourraient tre exposes ainsi que les interdpendances entre ces risques. Ce systme de gestion des risques est efficace, parfaitement intgr la structure organisationnelle et aux procdures de prise de dcision de lentreprise dassurance ou de rassurance et dment pris en compte par les personnes qui dirigent effectivement lentreprise ou qui occupent dautres fonctions cls.

IFACI

LA CARTOGRAPHIE DES RISQUES

2. Le systme de gestion des risques couvre les risques prendre en considration dans le calcul du capital de solvabilit requis conformment larticle 101, paragraphe 4, ainsi que les risques nentrant pas ou nentrant pas pleinement dans ce calcul. Le systme de gestion des risques couvre au moins les domaines suivants : a) la souscription et le provisionnement ; b) la gestion actif-passif ; c) les investissements, en particulier dans les instruments drivs et engagements similaires ; d) la gestion du risque de liquidit et de concentration ; e) la gestion du risque oprationnel ; f) la rassurance et les autres techniques dattnuation du risque. Les politiques crites concernant la gestion des risques vises larticle 41, paragraphe 3, comprennent des politiques concernant le deuxime alina, points a) f), du prsent paragraphe.

4. Les entreprises dassurance et de rassurance prvoient une fonction de gestion des risques, qui est structure de faon faciliter la mise en uvre du systme de gestion des risques. 5. Pour les entreprises dassurance et de rassurance utilisant un modle interne partiel ou intgral qui a t approuv conformment aux articles 112 et 113, la fonction de gestion des risques recouvre les tches supplmentaires suivantes : a) conception et mise en uvre du modle interne ; b) test et validation du modle interne ; c) suivi documentaire du modle interne et de toute modification qui lui est apporte ; d) analyse de la performance du modle interne et production de rapports de synthse concernant cette analyse ; e) information de lorgane dadministration, de gestion ou de contrle concernant la performance du modle interne en suggrant des lments amliorer, et communication cet organe de ltat davancement des efforts dploys pour remdier aux faiblesses prcdemment dtectes.

Article 45 - valuation interne des risques et de la solvabilit


1. Dans le cadre de son systme de gestion des risques, chaque entreprise dassurance et de rassurance procde une valuation interne des risques et de la solvabilit.

IFACI

ANNEXE
125

3. En ce qui concerne le risque dinvestissement, les entreprises dassurance et de rassurance dmontrent quelles satisfont aux dispositions du chapitre VI, section 6.

LA CARTOGRAPHIE DES RISQUES

Cette valuation porte au moins sur les lments suivants : a) le besoin global de solvabilit, compte tenu du profil de risque spcifique, des limites approuves de tolrance au risque et de la stratgie commerciale de lentreprise ; b) le respect permanent des exigences de capital prvues au chapitre VI, sections 4 et 5, et des exigences concernant les provisions techniques prvues au chapitre VI, section 2; c) la mesure dans laquelle le profil de risque de lentreprise scarte des hypothses qui sous-tendent le capital de solvabilit requis prvu larticle 101, paragraphe 3,calcul laide de la formule standard conformment au chapitre VI, section 4, sous-section 2, ou avec un modle interne partiel ou intgral conformment au chapitre VI, section 4, sous-section 3. 2. Aux fins du paragraphe 1, point a), lentreprise concerne met en place des procdures qui sont proportionnes la nature, lampleur et la complexit des risques inhrents son activit et qui lui permettent didentifier et dvaluer de manire adquate les risques auxquels elle est expose court et long terme, ainsi que ceux auxquels elle est expose, ou pourrait tre expose. Lentreprise dmontre la pertinence des mthodes quelle utilise pour cette valuation. 3. Dans le cas vis au paragraphe 1, point c), lorsquun modle interne est utilis, lvaluation est effectue paralllement au recalibrage qui aligne les rsultats du modle interne sur la mesure de risque et le calibrage qui sous-tendent le capital de solvabilit requis. 4. Lvaluation interne des risques et de la solvabilit fait partie intgrante de la stratgie commerciale et il en est tenu systmatiquement compte dans les dcisions stratgiques de lentreprise. 5. Les entreprises dassurance et de rassurance procdent lvaluation vise au paragraphe 1 sur une base rgulire et immdiatement la suite de toute volution notable de leur profil de risque. 6. Les entreprises dassurance et de rassurance informent les autorits de contrle des conclusions de chaque valuation interne des risques et de la solvabilit, dans le cadre des informations fournir en vertu de larticle 35. 7. Lvaluation interne des risques et de la solvabilit ne sert pas calculer un montant de capital requis. Le capital de solvabilit requis nest ajust que conformment aux articles 37, 231 233 et 238.

ANNEXE
126

IFACI

LA CARTOGRAPHIE DES RISQUES

ANNEXE 8
Dcret n2006-287 du 13 mars 2006 relatif au contrle interne des entreprises d'assurance et modifiant le Code des assurances (extraits)
Les entreprises dassurance doivent rendre compte dans une premire partie des conditions de prparation et dorganisation des travaux du Conseil de surveillance, et dans une seconde partie les procdures de contrle interne mises en place. La seconde partie de ce rapport dtaille donc : a) Les objectifs, la mthodologie, la position et l'organisation gnrale du contrle interne au sein de l'entreprise ; les mesures prises pour assurer l'indpendance et l'efficacit du contrle interne et notamment la comptence et l'exprience des quipes charges de le mettre en uvre, ainsi que les suites donnes aux recommandations des personnes ou instances charges du contrle interne ; b) Les procdures permettant de vrifier que les activits de l'entreprise sont menes selon les politiques et stratgies tablies par les organes dirigeants et les procdures permettant de vrifier la conformit des oprations d'assurance aux dispositions lgislatives et rglementaires ; c) Les mthodes utilises pour assurer la mesure, l'valuation et le contrle des placements, en particulier en ce qui concerne l'valuation de la qualit des actifs et de la gestion actif-passif, le suivi des oprations sur instruments financiers terme et l'apprciation des performances et des marges des intermdiaires financiers utiliss ; d) Le dispositif interne de contrle de la gestion des placements, ce qui inclut la rpartition interne des responsabilits au sein du personnel, les personnes charges d'effectuer les transactions ne pouvant tre galement charges de leur suivi, les dlgations de pouvoir, la diffusion de l'information, les procdures internes de contrle ou d'audit ; e) Les procdures et dispositifs permettant d'identifier, d'valuer, de grer et de contrler les risques lis aux engagements de l'entreprise et de dtenir des capitaux suffisants pour ces risques, ainsi que les mthodes utilises pour vrifier la conformit des pratiques en matire d'acceptation et de tarification du risque, de cession en rassurance et de provisionnement des engagements rglements la politique de l'entreprise dans ces domaines, dfinie dans les rapports mentionns l'article L. 322-2-4 et l'article R. 336-5 ; f) Les mesures prises pour assurer le suivi de la gestion des sinistres, le suivi des filiales, la matrise des activits externalises et des modes de commercialisation des produits de l'entreprise, et les risques qui pourraient en rsulter ; g) Les procdures d'laboration et de vrification de l'information financire.
Dcret n 2006-287 du 13 mars 2006 relatif au contrle interne des entreprises d'assurance et modifiant le code des assurances (partie rglementaire)

IFACI

ANNEXE
127

LA CARTOGRAPHIE DES RISQUES

ANNEXE 9
Dcret n2008-468 du 19 mai 2008 relatif au contrle interne des institutions de prvoyance, des mutuelles et de leurs unions
Art. R. 931-43.- L'institution ou l'union est tenue de mettre en place un dispositif permanent de contrle interne. Le conseil d'administration approuve, au moins annuellement, un rapport sur le contrle interne, qui est transmis l'Autorit de contrle des assurances et des mutuelles. 1 La premire partie de ce rapport dtaille les conditions de prparation et d'organisation des travaux du conseil d'administration et, le cas chant, les pouvoirs ncessaires la gestion de l'institution ou de l'union dlgus au directeur gnral par le conseil d'administration dans le cadre de l'article R. 931-3-11. 2 La seconde partie de ce rapport dtaille : a) Les objectifs, la mthodologie, la position et l'organisation gnrale du contrle interne au sein de l'institution ou de l'union ; les mesures prises pour assurer l'indpendance et l'efficacit du contrle interne et notamment la comptence et l'exprience des quipes charges de le mettre en uvre, ainsi que les suites donnes aux recommandations des personnes ou instances charges du contrle interne ; b) Les procdures permettant de vrifier que les activits de l'institution ou de l'union sont conduites selon les politiques et stratgies tablies par les organes dirigeants et les procdures permettant de vrifier la conformit des oprations d'assurance aux dispositions lgislatives et rglementaires ; c) Les mthodes utilises pour assurer la mesure, l'valuation et le contrle des placements, en particulier en ce qui concerne l'valuation de la qualit des actifs et de la gestion actif-passif, le suivi des oprations sur instruments financiers terme et l'apprciation des performances et des marges des intermdiaires financiers utiliss ; d) Le dispositif interne de contrle de la gestion des placements, ce qui inclut la rpartition interne des responsabilits au sein du personnel, les personnes charges d'effectuer les transactions ne pouvant tre galement charges de leur suivi, les dlgations de pouvoir, la diffusion de l'information, les procdures internes de contrle ou d'audit ; e) Les procdures et dispositifs permettant d'identifier, d'valuer, de grer et de contrler les risques lis aux engagements de l'institution ou de l'union et de dtenir des capitaux suffisants pour ces risques, ainsi que les mthodes utilises pour vrifier la conformit des pratiques en matire d'acceptation et de tarification du risque, de cession en rassurance et de provisionnement des engagements rglements la politique de l'institution ou de l'union dans ces domaines, dfinie dans le rapport mentionn l'article L. 322-2-4 du code des assurances ;

ANNEXE
128

IFACI

LA CARTOGRAPHIE DES RISQUES

f) Les mesures prises pour assurer le suivi de la gestion des sinistres, le suivi des filiales, la matrise des activits externalises et des modes de commercialisation des produits de l'institution ou de l'union, et les risques qui pourraient en rsulter ; g) Les procdures d'laboration et de vrification de l'information financire et comptable.
Dcret n 2008-468 du 19 mai 2008 relatif au contrle interne des institutions de prvoyance, des mutuelles et de leurs unions

IFACI

ANNEXE
129

LA CARTOGRAPHIE DES RISQUES

ANNEXE 10
Exemples de reporting
10.1 Carte des risques prioritaires mettre sous contrle

Synthse des risques rsiduels consolidation

ANNEXE

Risque 12 Risque 13 Risque 14

Risque 7

Risque 8

Risque 15

Risque 2

Risque 9

Risque 16

Risque 3

Risque 4 Risque 10 Risque 5 Risque 11 Risque 6 Risque 17

Risque 1

Risque 18

Zone 1 : action prioritaire

Zone 2 : action d'amlioration

Zone 3 : action de surveillance

130

IFACI

LA CARTOGRAPHIE DES RISQUES

10.2

Exemple FERMA

Table - Description des risques

1. Nom du risque Description qualitative des vnements, taille, type, nombre et interdpendances En gnral stratgique, oprationnelle, financire, lie aux connaissances ou la conformit Parties prenantes et leurs attentes

2. Porte du risque

3. Nature du risque

4. Parties prenantes

5. Qualification du risque

Importance et probabilit Perte potentielle et impact financier du risque Valeur risque Probabilit et amplitude des gains / pertes potentielles Objectif(s) de la matrise des risques et niveau dsir de performance Principaux moyens par quoi le risque est actuellement gr Degr de confiance dans les moyens de matrise en place Identification des protocoles pour la surveillance des risques et leur examen Recommandations pour rduire le risque

6. Tolrance / apptence pour le risque

7. Traitement du risque & mcanismes de matrise

8. Actions damlioration possibles 9. Dveloppement de la stratgie et de la politique face au risque

Identification de la fonction responsable de dvelopper la stratgie et la politique face ce risque

Cadre de rfrence de la gestion des risques / FERMA (2003)

IFACI

ANNEXE
131

LA CARTOGRAPHIE DES RISQUES

10.3

Contrles proportionns la maturit du niveau de matrise des risques

Cette valuation peut par exemple sorienter selon les critres suivants :

Optimis Niveau 5

les activits du SCI sont harmonises avec dautres fonctions de contrle. La gestion des risques et le SCI sont exploits comme un systme intgr. Les activits de contrle sont largement automatises et lutilisation doutils permet des ajustements rapides lorsque les conditions voluent. les principes dexploitation du SCI sont dcrits de manire dtaille. Lexcution des activits de contrle est surveille rgulirement et la traabilit assure. Les contrles sont adapts en permanence aux risques et la documentation est tenue jour. Une fois par an, la direction reoit un rapport sur lvaluation du SCI (e cacit, traabilit, e cience). Les activits de contrle sont documentes selon un processus standardis. Un responsable SCI coordonne et surveille les activits de contrle. des principes simples dexploitation du SCI sont d nis. Les processus (activits et contrles) sont documents. La traabilit des contrles e ectus est assure. Les contrles sont rgulirement ajusts lorsque les risques voluent. Une formation de base des collaborateurs a t organise.

Surveill Niveau 4

ANNEXE

Standardis Niveau 3

Informel Niveau 2

des contrles internes existent mais ils ne sont pas standardiss. Les contrles existants ne sont existants ne sont excuts que rarement ou ne le sont pas du tout. Ils dpendent fortement des personnes ; il ny a ni formation, ni communication les concernant.

Peu able Niveau 1

il nexiste pas ou pratiquement pas de contrles internes. Selon les circonstances, les contrles existants sont peu ables.

Niveau de maturit dun SCI (extrait de Mise en place dun systme de contrle interne (SCI), 2e d. / Contrle fdral des finances suisse. p. 14).

132

IFACI

LA CARTOGRAPHIE DES RISQUES

Optimis Niveau 5
Qualit

Surveill Niveau 4 B Standardis Niveau 3

Informel Niveau 2

Peu able Niveau 1

Temps Exigence de qualit en matire de SCI A Processus avec une valuation continue de la qualit du contrle B Contrles ponctuels (processus damlioration non integr) C A aiblissement normal de la qualit du contrle auf l du temps
Evolution dun SCI (extrait de Mise en place dun systme de contrle interne (SCI), 2e d. / Contrle fdral des finances suisse. p. 15).

IFACI

ANNEXE
133

LA CARTOGRAPHIE DES RISQUES

10.4

Illustration

140

120 100 80 60 41 40 33 20 20 0 1- Minor 2- Signi cant 3- Major 4- Critical 1- Unlikely 8 3- Possible 2- Rare 44 8 7 29 9 46 13 44 43 5 1 4- Likely

ANNEXE

L = risque faible, gr par les procdures en place

Limpact sur latteinte des objectifs nest pas proccupant, le risque est sous contrle.

M = risque modre, un suivi spcifique doit tre organis

Limpact sur latteinte des objectifs est limit. Des actions doivent tre entreprises mais ne sont pas urgentes.

S = risque significatif, une alerte Limpact sur latteinte des objectifs est significatif. Ncessit de prenau senior management est ncesdre des actions immdiates pour limiter le risque. saire Limpact sur latteinte des objectifs est dune telle ampleur que les objectifs ne seront trs probablement pas atteints. Ncessit de prendre des actions immdiates pour limiter le risque, et alerter la direction.

H = risque lev, action immdiate requise

134

IFACI

LA CARTOGRAPHIE DES RISQUES

B IBLIOGRAPHIE
Lgislation
Directive 2009/138/CE du Parlement europen et du conseil 25 novembre 2009 sur laccs aux activits de lassurance et de la rassurance et leur exercice (Solvabilit II) Dcret n 2008-468 du 19 mai 2008 relatif au contrle interne des institutions de prvoyance, des mutuelles et de leurs unions Dcret n 2006-287 du 13 mars 2006 relatif au contrle interne des entreprises d'assurance et modifiant le code des assurances (partie rglementaire) Loi n 2003-706 du 1er aot 2003 de scurit financire. 2003 Public law 107-204 [Sarbanes-Oxley Act]. 2002 Loi n 2001-420 du 15 mai 2001 relative aux nouvelles rgulations conomiques Rglement n 97-02 du 21 fvrier 1997 relatif au contrle interne des tablissements de crdit et des entreprises dinvestissement Code des assurances Code de la scurit sociale Code de la mutualit

Rfrentiel
Internal Control-Integrated Framework / COSO. - 2013. [version franaise attendue pour dbut 2014] Trois lignes de matrise pour une meilleure performance : fiabiliser la stratgie par une gestion organise des risques / AMRAE, IFACI. [ paratre en 2013]. IIA position paper: The Three Lines of Defense in Effective Risk Management and Control / IIA. 2013. Prise de position de l'IIA : Les trois lignes de matrise pour une gestion des risques et une contrle efficaces / IIA, IFACI, trad. 2013. Guidance on the 8th EU company law directive: Part 2: implementing the 8th EU company law directive / ECIIA ; FERMA. 2011. Guidance on the 8th EU company law directive: Article 41 / ECIIA ; FERMA. 2010. Les Dispositifs de gestion des risques et de contrle interne : Cadre de rfrence. / AMF. 2010. Management du risque - Principes et lignes directrices : Norme internationale ISO 31000:2009 / ISO. 2009. Gestion des risques - Techniques d'valuation des risques : Norme internationale ISO 31010:2009 / ISO. 2009. Le Dispositif de contrle interne : cadre de rfrence : Rsultats des travaux du Groupe de Place tabli sous l'gide de l'AMF. IFACI, 2007. Le Management des risques de l'entreprise : Cadre de rfrence - techniques d'application : COSO II report / IFACI ; Price Waterhouse Coopers ; Landwell& Associs. Ed. d'organisation, 2005. Cadre de rfrence de la Gestion des Risques (2003) / AIRMIC ; ALARM ; IRM : FERMA, trad. 2003.

IFACI

135

LA CARTOGRAPHIE DES RISQUES

Monographies
Slectionner un outil informatique pour les services daudit et de contrle internes : un vritable projet [Cahier de la Recherche]/ Unit de Recherche Informatique de lIFACI. IFACI, 2013. Explanatory text on the proposal for guidelines on the system of governance / EIOPA. 2013. Rapport annuel 2012 / ACP 2013. Guide 73:2009 : Management du risque Vocabulaire / ISO. 2013. Enterprise Risk Management: Understanding and Communicating Risk Appetite. COSO, 2012. Rapport annuel 2011 / ACP. 2012. Grer les risques sous solvabilit 2 / Dan Chelly ; Gildas Robert. Argus de lassurance, 2012. La Dlgation de gestion en assurances de personnes : pistes pour un contrle interne efficace [Cahier de la Recherche] / Unit de Recherche de lIFACI. IFACI, 2012. L'Efficacit des conseils d'administration : les meilleures pratiques / IIA ; traduit de l'anglais par IFACI et PWC. Paris : IFACI, 2012. Board effectiveness: What works best, 2nd ed. / Catherine L. BROMILOW ; et al.. IIA, 2011. L'Efficacit des comits d'audit : les meilleures pratiques / traduit de l'anglais par IFACI et PWC. IFACI, 2011. Audit committee effectiveness: What works best, 4th ed.. / Catherine L. BROMILOW ; et al.. IIA, 2011. Solvency II: consultation paper on the proposal for guidelines on own risk and solvency assessment [CP 008/2011]. CEIOPS, 2011. Prise de position IFA - IFACI sur le rle de l'audit interne dans le gouvernement d'entreprise : Mai 2009 / Groupe de travail IFA - IFACI. IFACI, 2009. Le rle de l'audit interne dans le gouvernement d'entreprise / IFA ; IFACI. IFACI, 2009. Le rle de l'administrateur dans la matrise des risques / IFA ; AMRAE. IFA, 2009. CEIOPS Advice for Level 2 Implementing Measures on Solvency II: Supervisory Reporting and Public Disclosure Requirements (former Consultation Paper 58) / CEIOPS. 2009. La gestion des risques, 2e d. / Olivier Hassid. Dunod, 2008. Mise en place dun systme de contrle interne (SCI), 2e d. / Contrle fdral des finances suisse. 2007. GTAG 6 : Grer et auditer les vulnrabilits des technologies de linformation / Sasha ROMANOSKY ; et al. . IIA ; IFACI, 2006. La cartographie des risques [Cahier de la Recherche] / Groupe Professionnel Assurance de lIFACI. IFACI, 2006.

Priodiques
Les Outils informatiques au service des auditeurs et des contrleurs internes : Leurs fonctionnalits et leurs atouts. Audit & Contrle internes , n212 dcembre 2012.

136

IFACI

Ralisation :

Ebzone Communication (www.ebzone.fr)