Académique Documents
Professionnel Documents
Culture Documents
Gestion pour compte de tiers : Controle interne & Dontologie Jeudi 15 Juin 2006
Lazard Frres Gestion - C. Brignola
POURQUOI ? Participe une gestion globale des risques pour assurer la protection et la continuit des activits Permet dimpliquer les diffrents managers pour amliorer le niveau de risque net support par lentreprise POUR QUI ? Le top management Les responsables des fonctions de contrle Les clients Les rgulateurs
PAR QUI ?
En mode projet ou en phase initiale, pilote par les responsables Contrle ou Risk Management Ensuite les propritaires doivent tre les dpartements / lignes mtiers / entits, qui doivent mettre jour la cartographie Le top management doit se lapproprier pour en faire un outil de gestion de lentreprise Les fonctions de Contrle / Risk Management doivent en valider lexhaustivit et la pertinence
Une Cartographie des risques nest pas une fin en soi, mais plutt un moyen datteindre lobjectif / lambition que sest fixe lentreprise
Conduite de la cartographie : qui fait, qui valide, qui va mettre jour, ressources internes ou externes, quipe mixte Dfinition du scope, personnes clefs, prparation du questionnaire Dans quel outil centraliser les rponses / valuations Maturit de la structure : Diffrence considrer selon la taille de la socit, la nature des activits (produits, etc) ; approche top-down ou bottom-up ou les deux Matriel disponible : est-ce que vous avez un outil qui centralise et cartographie les process et procdures de lentreprise ? y a-t-il une base incident ? Y a-t-il eu une dmarche Sarbanes Oxley 404 ou SAS 70 au sein de lentreprise ?
Selon vous quels sont les risques majeurs de lentreprise dans son ensemble votre business, entit ? Quels sont les principaux processus participant votre activit ? Quels sont les principaux objectifs de votre dpartement / entit / ligne mtier Selon vous quels sont les risques majeurs sur votre activit ou entit ? Comment est-ce que vous grez ces risques ? Est-ce que vous pouvez quantifier ces risques ? Etc
Identifie les risques principaux ou majeurs que lentreprise prend (entit / business line), et pour chaque risque, identifie :
Les principaux processus concerns Les contrles ou actions pour les limiter Les donnes sur les contrles et les actions qui rduisent les risques Les destinataires des reportings La frquence des reportings
Mais aussi :
Permet didentifier linefficience des contrles (zones sous-contrles ou sur-contrles, action de prvention ou adaptation du plan de contrles) De piloter la prise de risques De revoir la couverture des risques par les assurances si elle est adapte aux besoins
Etapes : Lobjectif initial est de cartographier les risques tels quils sont aujourdhui, cest une photo au moment de lvaluation : approche statique Dans un second temps il faut aller vers une amlioration de la gestion des risques : approche dynamique Nanmoins, il est probable que quelques actions immdiates / gains immdiats vont tre identifis durant le processus de cartographie des risques Dfinition et mise en place de reportings (suivi des actions, mises jour) Reporting / Indicateurs : Concentre le Management sur les principaux risques Permet davoir une synthse des risques majeurs et de traduire les risques en indicateurs et plan daction Assiste les lignes mtiers / entits dans la gestion de leurs risques Dveloppe des rflexes de gestion systmatique des risques Formalise une claire ligne de responsabilits jusquau CEO
Processus
Inputs: Interviews avec personnes cl du Business Donnes de pertes, base incidents Cartographie des processus (ou SarbOx) Critres dvaluation des risques
R-value les risques cls aprs contrles (nets) Identifie les contrles cls / actions de rduction des risques Identifie et value les risques (bruts)
Identifie et value les risques en fonction du niveau de risque net acceptable par lentreprise
Dsignation des pilotes & sponsors Analyse des gaps et dfinition dun plan daction Reporting et mise jour des risques par les sponsors
Niveau de probabilit
n n
Probable: occurrence rgulire OU peut arriver tout moment Possible: occurrence peu frquente OU peut arriver dans lanne OU est arriv plus dune fois durant les 5 dernires annes mais pas frquemment Improbable: occurrence rare OU peut arriver dans les 5 ans OU est arriv une fois dans les 5 dernires annes Limit: vous seriez surpris que cela arrive OU nest pas envisageable dans les 5 ans OU nest pas arriv ces 5 dernires annes
Degr de priorit
n
Noir : Requiert une action immdiate et lattention du CEO et du Comit Excutif / Comit dAudit. Doit tre trait en priorit jusqu ce que le niveau de risque soit rduit. Information du Board et du rgulateur doivent tre considrs Rouge : Requiert la responsabilit dun membre du Comit Excutif / Comit dAudit. Niveau de priorit haute du management. Information et suivi au niveau du Comit Excutif Orange : Requiert la responsabilit dun manager de niveau N-2. Actions suivies par le management dans les dlais prcis Vert : Suivi du risque dans un reporting consolid et ventuellement des actions pour rduire / liminer le risque
Limit
Improbable
Possible
Probable
ROV OV OV V
NR NRO ROV OV
N NR RO OV
Dfaillance fournisseur
MOYEN
Erreur de trading
HAUT
VERT
ORANGE
ROUGE
NOIR
PROBABILITE NETTE
POSSIBLE
Responsabilit non claires Risques humains Erreur montage produit Gestion de projet
Absence de formalisation de procdures Mauvaises Performances Non respect rglementaire Supplier failure Reportin g client
IMPROBABLE
Fraude
Information financire
Prod non adapts Erreurvalo Frais Client service Scurit IT Misrepresentation Pb R/L contrepartie Blanchiment of prod Regulatory requirement breach grves
LIMITE
MINEUR
MODERE
SEVERE
ANNEXE
ANNEXE
ANNEXE
Typologie Risque crdit et march (risque li la gestion de portefeuilles) Exemples associs Risque crdit : risque de contrepartie risque pays risque secteur Risque march : risque de taux risque de change risque matires premires risque de liquidit systmes obsoltes absence de systmes intgrs habilitations et scurit des accs
Risque rglementaire, compliance et juridique non respect des contraintes rglementaires (violation des lois, dontologie) fraude oprations de trading titre personnel soft commissions
Risque commercial (dfaut dans mauvaise perception des besoins du client limplmentation du service au client, dcisions qualit du reporting inadaptes) non respect des contraintes du client Risque humain facteur humain) (mauvaise apprciation du turnover excessif formation inadquate absence dune culture dentreprise communication interne