ELABORATION DE LA CARTOGRAPHIE DES RISQUES

Gestion pour compte de tiers : Controle interne & Dontologie Jeudi 15 Juin 2006
Lazard Frres Gestion - C. Brignola

I. Cartographie des risques : les enjeux

POURQUOI ? Participe une gestion globale des risques pour assurer la protection et la continuit des activits Permet dimpliquer les diffrents managers pour amliorer le niveau de risque net support par lentreprise POUR QUI ? Le top management Les responsables des fonctions de contrle Les clients Les rgulateurs

Cartographie des risques : les enjeux

n

PAR QUI ?

En mode projet ou en phase initiale, pilote par les responsables Contrle ou Risk Management Ensuite les propritaires doivent tre les dpartements / lignes mtiers / entits, qui doivent mettre jour la cartographie Le top management doit se lapproprier pour en faire un outil de gestion de lentreprise Les fonctions de Contrle / Risk Management doivent en valider lexhaustivit et la pertinence

Une Cartographie des risques nest pas une fin en soi, mais plutt un moyen datteindre lobjectif / lambition que sest fixe lentreprise

II. La mthodologie mise en oeuvre

Conduite de la cartographie : qui fait, qui valide, qui va mettre jour, ressources internes ou externes, quipe mixte Dfinition du scope, personnes clefs, prparation du questionnaire Dans quel outil centraliser les rponses / valuations Maturit de la structure : Diffrence considrer selon la taille de la socit, la nature des activits (produits, etc) ; approche top-down ou bottom-up ou les deux Matriel disponible : est-ce que vous avez un outil qui centralise et cartographie les process et procdures de lentreprise ? y a-t-il une base incident ? Y a-t-il eu une dmarche Sarbanes Oxley 404 ou SAS 70 au sein de lentreprise ?

Interviews avec les personnes clef du business

=> Avant les entretiens, vous devez n Avoir une ide des rponses que le manager va donner n Avoir des exemples de reportings, les donnes dincident sur lentit/ la business line n Identifier les incidents ou vnements qui ont eu lieu et qui pourraient illustrer les risques n Si possible, avoir un benchmark (march, groupe, etc)
n

Exemple de questions poses:

Selon vous quels sont les risques majeurs de lentreprise dans son ensemble votre business, entit ? Quels sont les principaux processus participant votre activit ? Quels sont les principaux objectifs de votre dpartement / entit / ligne mtier Selon vous quels sont les risques majeurs sur votre activit ou entit ? Comment est-ce que vous grez ces risques ? Est-ce que vous pouvez quantifier ces risques ? Etc

A lissue des entretiens

n

Identifie les risques principaux ou majeurs que lentreprise prend (entit / business line), et pour chaque risque, identifie :

Les principaux processus concerns Les contrles ou actions pour les limiter Les donnes sur les contrles et les actions qui rduisent les risques Les destinataires des reportings La frquence des reportings

Mais aussi :

Permet didentifier linefficience des contrles (zones sous-contrles ou sur-contrles, action de prvention ou adaptation du plan de contrles) De piloter la prise de risques De revoir la couverture des risques par les assurances si elle est adapte aux besoins

III. Le rsultat de la dmarche

n

Etapes : Lobjectif initial est de cartographier les risques tels quils sont aujourdhui, cest une photo au moment de lvaluation : approche statique Dans un second temps il faut aller vers une amlioration de la gestion des risques : approche dynamique Nanmoins, il est probable que quelques actions immdiates / gains immdiats vont tre identifis durant le processus de cartographie des risques Dfinition et mise en place de reportings (suivi des actions, mises jour) Reporting / Indicateurs : Concentre le Management sur les principaux risques Permet davoir une synthse des risques majeurs et de traduire les risques en indicateurs et plan daction Assiste les lignes mtiers / entits dans la gestion de leurs risques Dveloppe des rflexes de gestion systmatique des risques Formalise une claire ligne de responsabilits jusquau CEO

La bonne information, au bon niveau, au bon moment, aux bonnes personnes

Processus
Inputs: Interviews avec personnes cl du Business Donnes de pertes, base incidents Cartographie des processus (ou SarbOx) Critres dvaluation des risques
R-value les risques cls aprs contrles (nets) Identifie les contrles cls / actions de rduction des risques Identifie et value les risques (bruts)

Ouputs : Cartographie des risques majeurs

Identifie et value les risques en fonction du niveau de risque net acceptable par lentreprise

Dsignation des pilotes & sponsors Analyse des gaps et dfinition dun plan daction Reporting et mise jour des risques par les sponsors

Intensit du risque pour lentreprise

Svre: impact financier total > 5m OU rputation entreprise atteinte et irrcouvrable OU processus mtier interrompu OU capacit de poursuivre le business sur une ligne mtier et incertitude sur le fait de le recouvrir totalement OU il est probable que le rgulateur va imposer des sanctions lentreprise Significatif: 1,000,000 < impact financier total < 5m OU rputation endommage OU processus mtier svrement interrompus OU il est possible que le rgulateur impose des sanctions lentreprise Modr: 100,000 < impact financier total < 1,000,000 OU impact sur la rputation limit une partie de lentreprise OU processus mtier dfaillant OU sanction du rgulateur envisageable Mineur: impact financier total < 100,000 OU impact commercial OU processus mtier inefficient ou dfaillant OU le rgulateur ne le considrerait pas comme matriel

Niveau de probabilit
n n

Probable: occurrence rgulire OU peut arriver tout moment Possible: occurrence peu frquente OU peut arriver dans lanne OU est arriv plus dune fois durant les 5 dernires annes mais pas frquemment Improbable: occurrence rare OU peut arriver dans les 5 ans OU est arriv une fois dans les 5 dernires annes Limit: vous seriez surpris que cela arrive OU nest pas envisageable dans les 5 ans OU nest pas arriv ces 5 dernires annes

Degr de priorit
n

Noir : Requiert une action immdiate et lattention du CEO et du Comit Excutif / Comit dAudit. Doit tre trait en priorit jusqu ce que le niveau de risque soit rduit. Information du Board et du rgulateur doivent tre considrs Rouge : Requiert la responsabilit dun membre du Comit Excutif / Comit dAudit. Niveau de priorit haute du management. Information et suivi au niveau du Comit Excutif Orange : Requiert la responsabilit dun manager de niveau N-2. Actions suivies par le management dans les dlais prcis Vert : Suivi du risque dans un reporting consolid et ventuellement des actions pour rduire / liminer le risque

Limit

Improbable

Possible

Probable

Svre Significatif Modr Mineur

ROV OV OV V

ROV ROV ROV OV

NR NRO ROV OV

N NR RO OV

Exemple de reprsentation graphique

FAIBLE

Haut Moyen Faible

Outils IT non robustes Complexit des produits grve Non respect rglementaire Qualit des donnes Pb commercial Info financire Erreur montage produit Gestion de projet Reporting client Fraude Risque humain Scurit It Obligations lgales Pb R/L contreparties Absence de formalisation de procdures

Efficience des controles mis en place (*)

Blanchiment Communication des dirigeants

Dfaillance fournisseur

Priorit des Actions

Frais de gestion Responsabilit non claires

Erreur de valo Non respect contrainte client

MOYEN

Incomprhension des produits par clients service client Risk lgal

Erreur de trading

HAUT

Perte de personnes clef

Systme IT Stratgie non adquate

VERT

ORANGE

ROUGE

NOIR

EVALUATION DU RISQUE BRUT

(*) Dfinis comme une fonction de la rduction du risque (Brut actions de rduction)

Exemple de reprsentation graphique

PROBABLE

PROBABILITE NETTE

POSSIBLE

Perte de personnes clefs Risque lgal

Responsabilit non claires Risques humains Erreur montage produit Gestion de projet

Absence de formalisation de procdures Mauvaises Performances Non respect rglementaire Supplier failure Reportin g client

Complexit des produits Spreadsheets Systme IT

IMPROBABLE

Non respect contraintes clients

Fraude

Information financire

Prod non adapts Erreurvalo Frais Client service Scurit IT Misrepresentation Pb R/L contrepartie Blanchiment of prod Regulatory requirement breach grves

Qualit des donnes

LIMITE

Communication des dirigeants

Obligations lgales non faite

Stratgie non adquate

MINEUR

MODERE

SIGNIFICATIF IMPACT NET

SEVERE

Matrice des risques

+ Dfinition des actions, dlais, cots

Rappel : Rponses aux risques = viter, supprimer, rduire, transfrer, accepter

ANNEXE

COSO : committee for sponsoring organizations / www.coso.org

ANNEXE

ANNEXE
Typologie Risque crdit et march (risque li la gestion de portefeuilles) Exemples associs Risque crdit : risque de contrepartie risque pays risque secteur Risque march : risque de taux risque de change risque matires premires risque de liquidit systmes obsoltes absence de systmes intgrs habilitations et scurit des accs

Risque technologique (dfaillance de lenvironnement technologique)

Risque rglementaire, compliance et juridique non respect des contraintes rglementaires (violation des lois, dontologie) fraude oprations de trading titre personnel soft commissions

Risque commercial (dfaut dans mauvaise perception des besoins du client limplmentation du service au client, dcisions qualit du reporting inadaptes) non respect des contraintes du client Risque humain facteur humain) (mauvaise apprciation du turnover excessif formation inadquate absence dune culture dentreprise communication interne

Source Deloitte (PRAM)

Risque dimage et de rputation (publicit ngative)

matrise des distributeurs blanchiment communication externe