Identification, valuation et gestion des incidents

De la cartographie des risques la mise en place de la base incidents

Xavier DIVAY Responsable de la conformit et du contrle permanent QUILVEST BANQUE PRIVEE

SOMMAIRE

v Lidentification et la mesure des risques oprationnels La cartographie des risques oprationnels

v Le pilotage des risques et la gestion des incidents La base incidents

INTRODUCTION

Le risque oprationnel se dfinit comme le risque de pertes dues une inadquation ou une dfaillance des procdures, personnels, systmes internes ou des vnements extrieurs. Le risque oprationnel dans lactivit de gestion dactifs se caractrise par la prminence des incidents lis aux ruptures de charge dans le processus de la gestion des ordres (de leur ngociation jusqu leur enregistrement comptable) :
v v v v v v v v v v v erreur transactionnelle, non-obtention du meilleur prix, erreur de valorisation ou de calcul de valeur liquidative, erreur de rconciliation entre les actifs enregistrs auprs du dpositaire et ceux enregistrs en interne, non-collecte de certains revenus, erreur dappariement (erreur de rapprochement entre le ticket dordre du grant et la confirmation de lexcution du broker), erreur de rglement/livraison, erreur de calcul des performance fees, erreur de souscription/rachat, dfaillance du systme dinformation, non respect de la rglementation
3

INTRODUCTION

A ces risques, certains acteurs ont rpondu, dans une logique de STP, par la mise en
place doutils front-to-back permettant la rduction des ruptures de charge, lies aux traitements manuels des oprations, diffrentes tapes du processus de la gestion des ordres. Cette premire dmarche, ncessaire, nest toutefois pas suffisante.

Les risques oprationnels ont dautres natures causales que la dfaillance des
processus de saisie et de contrle manuels. Les risques juridiques, de fraude interne ou externe, ou lis la dfaillance des processus automatiss sont autant de sources potentielles dincidents. La matrise de ces risques ncessite non seulement de disposer de personnels aptes grer les problmatiques mtier et systmes, mais aussi de dispositifs de contrle adapts lobjectif de rduction des risques oprationnels.

OBJECTIFS

Lenjeu central est de disposer dindicateurs pertinents de suivi et de mesure de

lvolution du risque oprationnel encouru, dans un sens permettant une meilleure connaissance et une plus grande scurisation des processus et des systmes.

Le projet risque oprationnel doit rpondre trois questions majeures :

A quelles natures de risques ltablissement est-il soumis ? Quelles pertes potentielles la ralisation de ces risques (incidents) peut-elle engendrer ? Quelle organisation mettre en place pour rduire la probabilit doccurrence et lampleur de ces pertes ?

Parmi les enjeux qualitatifs de la dmarche risque oprationnel , la mise en place

dun dispositif de collecte des pertes et incidents tient une place essentielle.

OBJECTIFS

tre en mesure de dtecter au plus tt les risques (potentiels) et incidents (avrs) de nature oprationnelle pouvant avoir des consquences financires et/ou sur limage du Groupe

Analyser les risques et les incidents et apprcier le plus prcisment possible et de faon dynamique leurs impacts potentiels

Engager / faire engager les actions curatives et/ou prventives qui simposent pour contenir les impacts, limiter la probabilit de survenance des incidents, tirer les enseignements, adapter les organisations et se doter si ncessaire dinstruments de financements alternatifs (polices dassurances)

Mesurer les effets de ces actions et disposer doutils et dindicateurs de pilotage destination des Directoires, des Directions et des diffrents acteurs impliqus dans les dispositifs

CARTOGRAPHIE DES RISQUES OPERATIONNELS

La premire tape de la dmarche risques oprationnels est de formaliser en amont la relation causale entre la perte, ou lincident, et le fait gnrateur. La dfinition de nature causale du risque oprationnel est structure autour de quatre grands axes :

Procdures (risques juridiques et rglementaires, problmatique des produits

financiers complexes)

Personnes (erreurs de bonne foi ou actes de malveillance) Systmes internes (pertes lies limpossibilit davoir pu utiliser les systmes
pendant un temps donn, back-up ou procdures de sauvegarde inefficaces)

vnements extrieurs (de nature imprvisible pouvant tre rduits au travers

dassurances ou de plan de continuit).

CARTOGRAPHIE DES RISQUES OPERATIONNELS

La dmarche risques oprationnels

CARTOGRAPHIE DES RISQUES OPERATIONNELS

Identification des types de risques La typologie de risques retenue par le Groupe est structure en quatre niveaux : Les deux premiers niveaux reprsentent les grandes catgories et sous-catgories de risques (typologie des risques Ble II). Les deux niveaux suivants correspondent aux risques Groupe et aux vnements de risque 8 catgories de risque de niveau 1 19 catgories de risque de niveau 2 26 types de risques Groupe. Ces risques sont relis aux risques identifis en niveau 2 dans la typologie mise par Ble Les vnements de risque (ER) correspondent des manifestations de risques gnriques adapts aux lignes de mtier et aux processus. Plus de 200 vnements de risques ont t identifis et quantifis

CARTOGRAPHIE DES RISQUES OPERATIONNELS

Identification des types de risques

Catgories de risque niveau 1 (Typologie bloise) 1 Clients, produits et pratiques commerciales 1

Catgories de risque niveau 2 (Typologie bloise) Conformit, diffusion dinformations et devoir fiduciaire 1 2 3 4 5 6 7 8 9

Catgories de risques groupe Erreurs et non-conformit clients Produits non-conformes (Lois, rglements, normes) Indisponibilit des moyens logistiques (hors systmes informatiques et de communication) Pratiques de la banque non-conformes -clients Pratiques de la banque non-conformes -marchs Clients (slection) Clients (conseil) Malveillance externe hors systmes informatiques Catastrophes naturelles et autres Dysfonctionnement des ressources informatiques et de communication (erreurs traitements automatiss, dfaillances) Indisponibilit des systmes informatiques et de communication

2 3

Dfaut de production Pratiques commerciales / de place incorrectes Slection, parrainage et exposition Services conseil Catastrophes et autres sinistres

4 5 2 Dommages aux actifs corporels 6

Dysfonctionnements de lactivit des systmes

Systmes

10

11

10

CARTOGRAPHIE DES RISQUES OPERATIONNELS

Identification des types de risques
Catgories de risque niveau 1 (Typologie bloise) 4 Excution, livraison et gestion des processus 8 9 10 11 12 5 Fraude externe 13 Catgories de risque niveau 2 (Typologie bloise) Admission et documentation clientle Contreparties commerciales Fournisseurs Saisie, excution et suivi des transactions Surveillance et notification financire Vol et fraude 12 13 14 15 16 17 18 6 Fraude interne 14 Activit non autorise 19 20 15 Vol et fraude 21 22 7 Pratiques en matire demploi et scurit sur le lieu de travail 16 17 18 8 Scurit des systmes 19 galit et discrimination Relations de travail Scurit du lieu de travail Scurit des systmes 23 24 25 26 Catgories de risques groupe

Gestion administrative des documents Correspondants et contreparties Fournisseurs,sous-traitance, prestataires externes, partenaires Traitement et oprations manuels Reportings externes Fraude externe Blanchiment Malveillance interne hors systmes informatiques Pratiques individuelles non autorises (procdures internes) Fraude interne Malveillance interne systmes informatiques Discriminations (salaris) Relations employs (contractuelles, collectives) Conditions de travail (sant et scurit des employs) Malveillance externe systmes informatiques

11

CARTOGRAPHIE DES RISQUES OPERATIONNELS

Identification des types de risques

Deux approches en matire didentification et dvaluation des risques coexistent : Une approche par lignes de mtier dclines en processus Une approche par lignes de mtier non dclines en processus Une ligne de mtier rsulte du dcoupage du Groupe en diffrentes activits conformment aux recommandations du Comit de Ble. Lassociation processus / vnement de risque permet de faire une distinction entre des vnements de risque identiques mais qui ne se situent pas sur le mme processus. En rgle gnrale, les deux vnements de risque ont des caractristiques diffrentes en termes de frquence et dimpact et des dispositifs de matrise spcifiques Lapproche par les processus peut tre difficile mettre en place. On pourra prfrer lidentification directe, en liaison avec les experts mtiers (les oprationnels mtiers), des vnements de risques et leur rattachement aux catgories de risques groupe

12

CARTOGRAPHIE DES RISQUES OPERATIONNELS

Identification des vnements de risque

Quelques exemples dvnements de risque :

Libell de l'vnement de risque Divulgation d'informations confidentielles Vols d'informations confidentielles Erreur de valorisation comptable d'OPCVM Commercialisation d'un produit / d'une offre non adapt la rglementation du client Mandat non rgulier (fond, forme, rglementation) Erreur/absence dans la production des reporting semestriels ou priodiques des OPCVM Type de risque groupe Pratiques de la banque non conformes - clients Fraude externe Traitements et oprations manuels Clients (conseil) Type de risque Ble II (niv. 1) Clients, produits et pratiques commerciales Fraude externe Excution, livraison et gestion des processus Clients, produits et pratiques commerciales Clients, produits et pratiques commerciales Clients, produits et pratiques commerciales Type de risque Ble II (niv. 2) Pratiques commerciales/de place incorrectes Vol et fraude Saisie, excution et suivi des transactions Services conseil

Produits non conformes (lois, rglements, normes, ...) Pratiques de la banque nonconformes - clients

Conformit, diffusion d'informations et devoir fiduciaire Pratiques commerciales/de place incorrectes

Lvnement de risque (ER) est valoris en fonction de deux critres : La frquence, c'est--dire le nombre de fois o le risque pourrait se produire sur une priode donne. Les impacts, c'est--dire les consquences financires et les effets sur limage de ltablissement ou du Groupe Ces donnes permettent de hirarchiser les risques et les plans dactions dans une dmarche de gestion et danticipation.
13

CARTOGRAPHIE DES RISQUES OPERATIONNELS

valuation de la frquence La mthode dvaluation de la frquence des vnements de risque demande lvaluateur de distinguer : Les vnements rares, c'est--dire ceux dont le risque doccurrence est infrieur 1 fois par an ; Les vnements frquence, c'est--dire ceux dont le risque doccurrence est suprieur ou gal 1 fois par an Pour les vnements frquence, la question se poser est celle du nombre doccurrences du risque sur une anne. Lvaluation distingue des circonstances moyennes afin dvaluer une frquence moyenne/plausible , et une situation extrme afin dvaluer la frquence maximum. En fonction de lexistence de donnes sur limpact de lvnement de risque, lvaluateur fonde ses valorisations sur des connaissances et/ou sur des hypothses crdibles. Pour les vnements rares, la question se poser est celle du rythme doccurrence de lvnement de risque : cet vnement est-il susceptible de se produire tous les 3 ans ? tous les 10 ans ?

14

CARTOGRAPHIE DES RISQUES OPERATIONNELS

valuation de limpact
Pour lvaluation de limpact financier de lvnement de risque, lvaluateur ralise 2 valorisations des impacts : une premire valorisation qui prend en compte des paramtres dimpact moyen/plausible et une seconde valorisation en intgrant des paramtres extrmes (le chiffre plafond pour cet vnement de risque). Lvaluation des impacts dun vnement de risque passe par 3 tapes : Impact financier lidentification du ou des facteurs dimpact associs lvnement de risque : pnalit de retard , montant vers non rcupr , amendes , sommes non recouvrables , surcot de la prestation, frais de justice la valorisation du montant unitaire de chaque facteur dimpact qui, somm, donne limpact financier global. Impact Image lvaluation du degr daltration de limage de ltablissement vis--vis des parties prenantes son activit : la clientle, le personnel, les autorits de tutelle, les mdias, les socitaires, les agences de rating, les fournisseurs. Pour chacune de ces catgories on se rfre une cotation qualitative : fort, moyen/fort, moyen/faible, faible. .
15

CARTOGRAPHIE DES RISQUES OPERATIONNELS

valuation du dispositif de matrise des risques (DMR)
Il convient pour chaque risque identifi et valu de recenser le dispositif de matrise existant, c'est--dire lensemble des mesures qui doivent permettre lentreprise dviter de faire face un tel incident. Exemples de Dispositifs de Matrise des Risques : Contrles a priori, contrles a posteriori, systme de dlgation, sparation des tches, scurisation des accs logiques, scurisation des accs physiques, transfert de responsabilit, systme de surveillance Afin de favoriser une valuation naturelle du risque, lvaluation pourra partir du risque net , c'est--dire le risque rsiduel, qui tient compte des effets du dispositif de matrise des risques en place. Risque net : le risque net valorise les impacts que ltablissement pourrait effectivement subir en termes financiers et dimpact, en intgrant les dispositifs de prvention et de dtection existants. Efficacit des DMR : mesure en %age, lefficacit des DMR rduit dune part les impacts et dautre part la frquence doccurrence de lvnement de risque. Risque brut : cest la valorisation du risque en termes de frquence et dimpacts, en faisant abstraction des dispositifs de matrise des risques existants Lvaluation du risque brut est dduite automatiquement. Cette logique dvaluation par le risque net est souvent prconise. Il reste toutefois possible, dans le travail de prparation de lvaluation, de procder dans le sens inverse : commencer par lvaluation de lvnement de risque brut , puis valuer les DMR et contrler le risque net dduit.
16

CARTOGRAPHIE DES RISQUES OPERATIONNELS

Exemples de rsultats possibles de cartographie des risques (donnes fictives)

17

BASE INCIDENTS
De la cartographie la base incident Les travaux de cartographie raliss ont permis aux acteurs impliqus de se prononcer pour chaque vnement de risques au regard : de limpact potentiel dun tel risque (sur la rentabilit et/ou en matire dimage), de son niveau de frquence, dapparition, de lapprciation du degr de matrise de ce risque par lentit. En amont de ces valuations, des rfrentiels-types (mtiers, processus, vnements de risques) font lobjet dadaptation pour tenir compte des spcificits des tablissements / mtiers. A partir de ces travaux, la cartographie des risques oprationnels a t formalise et valide. Les risques fort impact et/ou apparaissant comme insuffisamment matriss font lobjet de plans dactions valids par la structure de pilotage. Ces plans dactions prennent en compte les dispositifs existants ainsi que les projets en cours. Ils font alors lobjet dun suivi rgulier. La base incidents intgre les rsultats de la cartographie des risques.
18

BASE INCIDENTS
Dploiement de la base incidents
Le programme didentification et dvaluation des risques oprationnels achev, le dploiement de loutil de gestion des risques oprationnels (prsentations, formations des utilisateurs, paramtrage) est ralis. Un responsable des risques oprationnels (RRO), au niveau de ltablissement, et des correspondants risques oprationnels (CRO) au niveau des units oprationnelles sont dsigns. Le dploiement de loutil base incidents a pour objectifs de : doter ltablissement doutils de pilotage au quotidien de ses risques oprationnels en complment des travaux dvaluation ; accompagner les responsables dactivits et les oprationnels dans la gestion des incidents ; caractriser les incidents en valuant notamment les impacts financiers ; collecter et historiser les donnes permettant de quantifier les risques oprationnels, dallouer le cas chant les fonds propres ncessaires ; gnrer tout moment des reportings danalyse et de synthse destination du Directoire, des Directeurs, des responsables dactivits et des oprationnels. La mise en place de cette organisation et lutilisation effective de loutil de gestion des risques oprationnels doivent permettre de renforcer lefficacit des dispositifs de matrise des risques (potentiels) et/ou de gestion des incidents (avrs) pour : viter leur survenance ; et/ou en contenir les consquences.

19

BASE INCIDENTS
Responsabilits du RRO et des CRO
Le responsable des risques oprationnels est en charge de : de piloter le dispositif cartographie , base dincidents , indicateurs , plans dactions , reporting ; dassurer le dploiement, auprs des utilisateurs, des mthodologies et outils ; de garantir lintgrit des donnes produites tant en matire de qualit de linformation renseigne quen matire dexhaustivit ; deffectuer une revue priodique des bases dincidents, de la rsolution des incidents, de ltat davancement des plans dactions, de la formalisation des procdures de gestion et de contrle correspondantes. Il sappuie sur le rseau des correspondants risques oprationnels qui ont pour rle : de procder lidentification et lvaluation rgulire des risques oprationnels susceptibles dimpacter leur primtre / domaine dactivit ; dalimenter et/ou de produire les informations permettant dalimenter les bases dincidents ; de mobiliser les personnes impliques/habilites lors de la survenance dun incident afin de prendre au plus tt les mesures conservatoires ; dviter ainsi toute amplification des consquences/impacts des incidents/risques ; de traiter et de grer des incidents/risques (en relation, selon les cas, avec les responsables dactivit et les relais internes).

20