Vous êtes sur la page 1sur 35

LA CARTOGRAPHIE DES RISQUES

I - Dfinition de la cartographie des risques

La cartographie des risques permet de recenser les risques majeurs dune


organisation et de les prsenter de faon synthtique sous une forme
hirarchise. Cette hirarchisation sappuie sur les critres suivants :

- Limpact potentiel

- La probabilit de survenance

- Le niveau actuel de maitrise de risques

II Objectifs de la cartographie des risques

Ltablissement dune cartographie des risques peut tre motiv par des objectifs
de diffrentes natures aussi importants les uns que les autres. Ces objectifs sont
les suivants :

- Mettre en place un contrle interne ou un processus de management des


risques adquat ;
- Aider le
management dans llaboration de son plan stratgique et de sa prise de
dcision ;
- Orienter le plan
daudit interne en mettant en lumire les processus au niveau desquels se
concentrent les risques majeurs ;
- Veiller la bonne image de lorganisation ;

La cartographie des risques est un puissant outil de pilotage interne. Ainsi, son
laboration exige une mthodologie minutieuse, ce qui permet une dtection
systmatique des risques majeurs.

III Mthodologie dlaboration de la cartographie des risques

III.1 Lidentification des risques

Llaboration de la cartographie des risques sappuie sur deux rfrentiels qui


sont les normes ISO en loccurrence lISO 9000:2008 et le COSO 2.
En effet, lISO 9000:2008 et le COSO 2 permettent respectivement de modliser
lactivit de lorganisation en processus et de dterminer les risques relatifs aux
axes suivants : efficacit, fiabilit, conformit.

Ainsi, les activits majeures de lorganisation sont dcomposes en trois


processus qui sont le processus de management et de pilotage, le processus
cur de mtier et le processus support.

Une fois que la dcomposition de lactivit en processus est effectue, chaque


processus est dclin en tches et analys graduellement selon le schma
suivant : Tches | Objectifs de la tache | Facteurs de risques | Meilleures pratiques
| Risques.
Lintrt de cette mthode se trouve dans la dtermination aise et rationnelle
des risques partir des objectifs defficacit, defficience et de conformit.

III.2 Lvaluation, la hirarchisation et la cartographie des risques

Les risques identifis sont valus selon leur probabilit de survenance, leur
impact potentiel et ventuellement le niveau de maitrise actuel. Cette valuation
des risques sert alors de base leur prsentation synthtique sous une forme
hirarchise : Cest la cartographie des risques.

La cartographie des risques


La premire tape de la dmarche de suivi du risque oprationnel consiste
tablir une cartographie des risques. Cette cartographie s'appuie sur une analyse
des processus mtier, laquelle on croise la typologie des risques oprationnels.
Un processus mtier dsigne un ensemble de tches coordonnes en vue de
fournir un produit ou un service la clientle. La dfinition des processus mtier
rpond en premier lieu un dcoupage conomique de l'activit de la banque, et
non un dcoupage organisationnel.
L'identification des processus mtier part ainsi des diffrents produits et services
et identifie les acteurs (qui peuvent appartenir des entits diffrentes au sein
de l'organisation) et les tches impliques dans la fourniture de ces produits.
A chaque tape du processus on associe ensuite les incidents susceptibles d'en
perturber le droulement et d'entraner la non ralisation des objectifs du
processus (en terme de rsultat concret, ou en terme de dlais). Pour chaque
vnement le risque est valu en terme de :

Probabilit d'occurrence,

Perte encourue en cas de ralisation.

Chaque vnement risque doit tre rattach une catgorie de risques rendant
ensuite l'analyse des donnes plus facile et rapide, et sur le plan organisationnel
la ligne mtier o l'incident a eu lieu. Le comit de Ble a d'ailleurs dfini des
listes de rubriques standard applicables dans ces domaines (cf. plus bas).
La classification des risques reflte la vision dont le management souhaite
disposer au plus haut niveau, doit permettre d'tablir des synthses transverses
toutes les activits, et ce titre doit tre tablie par un dpartement central de
suivi des risques.
Par contre, pour tre raliste et utile, l'analyse des processus mtier et des
risques encourus doit tre confie aux oprationnels concerns. Ceux-ci
s'appuieront sur un cadre de travail rigoureux et identique pour tous, mais qui
leur permette de dcrire leurs activits.
Enfin la cartographie ne saurait tre complte si elle ne s'accompagnait de
l'identification des facteurs de risque (key risk indicators): ce sont les lments
quantitatifs susceptibles d'augmenter la probabilit de ralisation d'un risque :
nombre d'oprations traites, taux d'absentisme, etc. Cette notion constitue le
fondement de la mthode dite des "scorecard", cf. plus bas.
Sources : http://www.fimarkets.com/pages/risque_operationnel.php#cartographie

Anticiper et matriser les risques ou les fraudes

Il peut paratre paradoxal de parler de risques et fraudes dans le cadre de la


gestion de la relation client. Les risques et la fraude sont des sujets qui
proccupent de plus en plus certaines socits telles que les assurances, les
banques, et les oprateurs de tlcommunications et galement de nombreux
organismes publics tels que l'assurance maladie, l'Unedic, l'administration fiscale
ou les douanes. L'intgration de l'analyse des risques dans la gestion de la
relation client permet de qualifier le client tant sur le potentiel de vente que sur
les risques de fraude associs.
La Fraude: lutte anti-blanchiment (LAB), lutte anti-terrorisme (LAT) et fraude
fiscale
Les montants des pertes et des prjudices causs par la fraude seraient d'une
ampleur telle que les principaux acteurs concerns dcident de dpenser des
millions d'euros pour la mise en place de systmes de dtection automatise de
la fraude. On estime la fraude dans le domaine de l'IARD un pourcentage entre
5 et 10% du CA. Les plus avancs dans la lutte contre la fraude sont les banques
avec la lutte contre le blanchiment d'argent et la fraude la carte bancaire.
Soft Computing possde une expertise reconnue garantissant la mise en place de
procdures en conformit avec les textes rglementaires (3 Directive
europenne...).
Les risques
Que ce soit sur la sinistralit, les risques de crdit, de march ou sur les risques
oprationnels, nous mettons en uvre des stratgies, des processus et des
politiques de prvention et de gestion des risques dans le respect des cadres
rglementaires (Ble II, MIFID, SOLVENCY II).
Ble II et la CRD
La directive europenne CRD (Capital Requirement Directive) sur l'exigence
minimale de fonds propres pour les banques et les tablissements de crdits et
d'investissements, est entre en vigueur le premier janvier 2007. Elle transcrit et
tend les recommandations de juin 2004 du comit de Ble (accord Ble II) qui
repose sur trois piliers.
Pilier I : quantification des exigences minimales en fond propres.
La rglementation substitue au ratio Cooke introduit en 1988, le ratio Mac
Donough qui prend en compte le Risque de crdit, le risque oprationnel et le
risque de march. Dsormais trois approches sont proposes pour le calcul du
risque de crdit : standard, IRBF et IRBA. Les mthodes internes (IRBF, IRBA)
ncessitent de calculer les trois paramtres suivants :

PD : probability of default (probabilit de dfaut)

LGD : Lost given default (perte en cas de dfaut)

EAD : Exposure at default (exposition en cas de dfaut)

Pilier II : suivi et validation par les autorits de contrle des valuations des
risques.
La banque ou l'organisme de crdit doit mettre en place un dispositif de
gouvernance d'entreprise comprenant une structure organisationnelle et des
processus de contrle de risque interne. En particulier la banque doit mettre en
place un programme de back-testing de ses modles de calcul de risques, ainsi
que des scnario de stress-testing adapts sa stratgie.
Pilier III : Transparence et discipline de march
Obligation des banques publier rgulirement, aux autorits de contrle et des
institutions de march, les dotations en fond propres ainsi que les modles de
calcul des risques.
Soft Computing vous accompagne pour la mise en place de modles de calcul
des paramtres blois (PD, LGD, EAD) ainsi que pour l'laboration de procdures
pour le suivi et le contrle de vos modles (back-testing, stress-testing et
Reporting).
Les impacts d'usage
Le rgulateur impose aux tablissements financiers qui ont retenu l'approche
avance de mettre en place un systme oprationnel en cohrence avec
l'approche retenue. Appels communment impacts d'usage , l'utilisation
oprationnelle des paramtres blois est une vritable opportunit pour les
entreprises d'amliorer leurs processus oprationnels en cohrence avec la
stratgie Risques de la socit. Soft Computing a la capacit de vous
accompagner dans la dfinition et la mise en place de ces impacts : nouvelles
rgles d'octroi de crdits, processus de codification / dcodification des clients ...
MIFID
L'entre en vigueur, le 1er Novembre 2007 de la directive sur les marchs
d'instruments financiers a conduit une redfinition des obligations du banquier
vis--vis de son client, en terme de modalit d'excutions des ordres, de
reporting et de connaissance client.
Soft Computing possde une expertise reconnue dans la mise en place de
Solutions CRM, optimisation du marketing multicanal et l'laboration des
processus qui permettront votre rseau commercial de satisfaire aux
obligations de la nouvelle rglementation.
SOLVENCY II
L'entre en vigueur horizon 2010 de Solvency II, suite moult QIS et Consultation
Paper, conduit les assureurs et rassureurs dcliner les trois piliers Blois au
monde de l'assurance. Ils devront une fois avoir dress un rfrentiel des
processus mtiers, cartographier, suivre, et grer les risques financiers et
oprationnels.

Les experts de Soft Computing vous accompagneront dans la mise en place de


vos solutions de prvention de la fraude et des risques par :

une veille rglementaire des textes en vigueur et une gouvernance


adapte

l'animation de runions d'experts pour l'laboration des rgles d'experts

le calibrage des solutions proposes par les diteurs du march (SAS,


SPSS,...)

le dveloppement de scores et d'algorithmes spcifiques telles que les


cartes de Kohonen pour la dtection avance des cas frauduleux.
Source : http://www.softcomputing.com/fr/conseil/risque.html

LA CARTOGRAPHIE DU RISQUE OPRATIONNEL : OUTIL RGLEMENTAIRE OU OUTIL


DE PILOTAGE ?

LA CARTOGRAPHIE
DU RISQUE OPRATIONNEL OUTIL RGLEMENTAIRE OU OUTIL DE PILOTAGE ?
PHILIPPE DENIAU * TIENNE RENOUX **

i lon se rfre la dfinition quen donnent les dictionnaires traditionnels, la


notion de cartographie se limite lart dtablir des cartes gographiques. Pour
autant, sans que le terme ne constitue rellement un nologisme, les
dictionnaires rcents proposent une acception plus large et voquent une
reprsentation de phnomnes mesurables, sous forme de diagrammes ou de
schmas o lexactitude topographique est abandonne au bnfice
dinformations quantitatives. Aussi, applique au risque oprationnel, la notion de
cartographie peut-elle sentendre comme le relev et la reprsentation des
risques dune entreprise qui privilgiera une information exploitable dans une
logique de gestion. Lobjectif dun tel exercice est donc bien dtablir un
recensement et une valuation des risques au regard des contrles en place, en
vue de diffuser une information qui mette en vidence dventuelles faiblesses
rsiduelles. Si cette information est ncessaire pour assurer un pilotage de
lactivit au regard de critres ou de limites quant lacceptation de risques que
sest fix ltablissement, llaboration dune cartographie peut, selon la
complexit de lorganisation et le niveau de prcision que lon veut lui donner,
constituer un travail fastidieux et coteux. Aussi, parat-il opportun de
sintresser aux bnfices de lexercice au regard de leffort quil requiert.

* Associ, Risk consulting, Deloitte. ** Senior Manager, Risk consulting, Deloitte.

DENIAU

15/06/06, 9:08

REVUE D'CONOMIE FINANCIRE

Cette analyse est dautant plus ncessaire que le rgulateur, notamment dans le
cadre des travaux du Comit de Ble sur le contrle bancaire concernant le
risque oprationnel, incite les tablissements mener une cartographie de leurs
risques oprationnels. Il serait alors tentant de se limiter cette incitation que
nous qualifierons de rglementaire, et de ne pas intgrer la cartographie des
risques une dmarche plus globale de gestion et de pilotage. Nanmoins,
associe une comprhension adquate des processus et du systme de
contrle, la cartographie des risques peut constituer un outil puissant danalyse
et ainsi sinsrer pleinement dans le dispositif de pilotage des performances.
Quelques obstacles peuvent parfois encore ralentir lutilisation de la cartographie
des risques dans le cadre dune dmarche globale de gestion et de pilotage. Ces
difficults nous semblent plus relever dune rsistance au changement ou dun
manque de communication et de formation, que dun dbat de fonds sur lintrt
et lutilisation de cet outil. Enfin, une fois ces bnfices et obstacles clairement
poss, il convient de rappeler quelques rgles pratiques respecter, et quelques
cueils viter, dans la conception et la mise en uvre oprationnelle dune
cartographie des risques.

LA CARTOGRAPHIE DES RISQUES : QUELLES CONTRIBUTIONS AU PILOTAGE DES


PERFORMANCES ?
Le concept de risque oprationnel, sil nest pas nouveau, a nanmoins t
largement formalis et norm dans le cadre des travaux du Comit de Ble sur
les exigences en fonds propres, dornavant connus sous le vocable de Ble II.
cet gard, il peut tre intressant de se rfrer, en premier lieu, aux prescriptions
de Ble II quant la gestion et la cartographie du risque oprationnel, et
notamment en ce qui concerne les critres dligibilit aux mthodes standard et
avance (ci-aprs AMA pour Advanced Measurement Approaches). Sagissant
de lapproche standard, la banque doit justifier de la mise en place dun systme
de gestion du risque oprationnel, disposant de ressources suffisantes et la
surveillance duquel Conseil dadministration et Direction gnrale simpliquent
activement. Ces critres sont dvelopps pour les banques dimension
internationale qui utilisent lapproche standard et pour les tablissements qui
auront opt pour lapproche AMA. Dans ces cas de figures, laccord prcise que la
banque doit tre dote dun systme de gestion du

DENIAU

15/06/06, 9:08

LA CARTOGRAPHIE DU RISQUE OPRATIONNEL : OUTIL RGLEMENTAIRE OU OUTIL


DE PILOTAGE ?

risque oprationnel o les responsabilits sont clairement attribues une


fonction de gestion du risque oprationnel. Cette fonction est responsable : - de
llaboration de stratgies permettant didentifier, dvaluer, de surveiller et de
contrler ou dattnuer le risque oprationnel ; - de la codification des politiques
et procdures de ltablissement concernant la gestion et le contrle du risque
oprationnel ; - de la conception et de la mise en uvre du dispositif dvaluation
du risque oprationnel de ltablissement ; - de la conception et de la mise en
uvre du systme de notification du risque oprationnel. Laccord prcise encore
que dans le cadre de son systme interne dvaluation du risque oprationnel, la
banque doit enregistrer systmatiquement les donnes relatives au risque
oprationnel, notamment les pertes significatives par ligne de mtier. Le systme
dvaluation doit tre troitement intgr aux processus de gestion des risques
de ltablissement. Les donnes quil produit doivent faire partie intgrante de
ses processus de surveillance et de contrle du profil de risque oprationnel. Par
exemple, ces informations doivent tenir une place prpondrante dans la
notification des risques, dans les rapports la direction et dans lanalyse des
risques. La banque doit disposer de techniques pour inciter une meilleure
gestion du risque oprationnel dans lensemble de ltablissement. Si la notion de
cartographie nest pas explicite dans Ble II, lutilisation de cet outil est
mentionne clairement dans les Saines pratiques pour la gestion et la
surveillance du risque oprationnel (Comit de Ble, fvrier 2003). Il nen
demeure pas moins quelle est loutil qui permet de rpondre efficacement
lensemble des injonctions prcites. Elle constitue, en effet, un moyen de fournir
ltablissement une vision synoptique et qualifie de lensemble de ses risques,
et ainsi de lui permettre dassurer un pilotage effectif des risques oprationnels.
Rgulirement mise jour, elle permet aussi un suivi de lvolution et un ciblage
des travaux damlioration du dispositif de contrle interne. La premire
incitation la cartographie des risques oprationnels est donc bien de nature
rglementaire. Afin de rpondre aux prescriptions du rgulateur dans le cadre de
Ble II, mais galement dans le cadre des rglementations europennes ou
nationales largement issues de Ble II, les tablissements sont dornavant tenus
didentifier et dvaluer leurs risques, ce qui implique la ralisation dune
cartographie des risques. La plupart des tablissements, et sans aucun doute la
totalit

DENIAU

15/06/06, 9:08

REVUE D'CONOMIE FINANCIRE

court terme, ont dores et dj men bien la cartographie de leurs risques


oprationnels. La tentation pouvait nanmoins tre forte de conduire cet exercice
a minima, uniquement dans un but rglementaire de conformit. Notons
dailleurs que le rgulateur, dans sa grande sagesse, ne sest pas prononc ce
stade sur le minimum quil considrera comme satisfaisant pour la validation des
dispositifs AMA. Cette approche minimale peut certes sembler efficace court
terme, mais ne permet pas, notre avis, de dployer un systme pertinent,
prenne, et surtout volutif de gestion des risques oprationnels. cet effet, il
convient de comprendre et danalyser le rle central que peut jouer la
cartographie des risques dans le pilotage de la performance des tablissements.
Au-del de cette incitation rglementaire, nous relverons trois domaines pour
lesquels la cartographie des risques peut et doit constituer un outil de gestion
majeur : le pilotage des risques, le dispositif de contrle interne, le pilotage des
processus.

Le pilotage des risques


4

Connatre et rduire le cot du risque est lobjectif ultime du pilotage des risques.
Au-del de cette dfinition synthtique se cache toute une srie dactivits
essentielles un pilotage effectif des risques : lidentification et lenregistrement
des risques, le dispositif de contrle et de limites, les processus de gestion et de
rduction des risques, lvaluation quantitative des risques, la communication et
linformation. Ces diffrentes activits doivent sinsrer dans le cadre
organisationnel et stratgique de ltablissement, cest--dire notamment sa
politique de gestion des risques, lorganisation, la nature et limplantation des
diffrents mtiers, larchitecture des systmes dinformation, la qualit de ses
ressources humaines. Par ailleurs, de nombreux facteurs externes auront
galement une influence sur le pilotage des risques, par exemple la concurrence,
les volutions rglementaires et technologiques. La cartographie des risques est
lun des outils utiliss par les tablissements financiers pour lidentification et
lvaluation de leurs risques oprationnels. Ce processus, condition dtre men
avec rigueur et continuit, est essentiel une dmarche efficace de pilotage. Il
en constitue, en effet, la premire tape vidente, mais fondamentale : connatre
et valuer lexposition au risque oprationnel, sur lensemble du primtre et des
activits, et selon des critres dapprciation homognes et comparables sur
lensemble de ce primtre. Comme la soulign le Comit de Ble dans diverses
publications

DENIAU

15/06/06, 9:08

LA CARTOGRAPHIE DU RISQUE OPRATIONNEL : OUTIL RGLEMENTAIRE OU OUTIL


DE PILOTAGE ?

(notamment Saines pratiques pour la gestion et la surveillance du risque


oprationnel, fvrier 2003), les risques oprationnels (fraude, interruption
dactivits, protection des actifs...) sont grs par les tablissements financiers
depuis toujours. Mais le sont-ils tous ? Sont-ils valus de faon homogne,
cohrente et consolidable sur lensemble du primtre ? De toute vidence non,
ou tout du moins plus avec la prcision suffisante dans lenvironnement actuel.
Une cartographie des risques oprationnels bien conue et bien mene permet
dapporter des rponses satisfaisantes ces attentes fortes et ainsi de collecter
les informations essentielles la comprhension globale des risques et leur
valuation. Cest bien le minimum que lon doit exiger dun tel exercice, dont la
vertu pdagogique est indniable.

Le dispositif de contrle interne


Le Comit de Ble, dans sa publication sur les Saines pratiques pour la gestion et
la surveillance du risque oprationnel, relve que la culture du contrle interne
est un lment essentiel dun dispositif efficace de gestion du risque
oprationnel. Sagissant de risques par essence de nature endogne
ltablissement, cest--dire rsultant de lorganisation, des ressources et des
processus internes, lexposition au risque oprationnel est, en effet, fortement
dpendante de la pertinence et de lefficacit du dispositif de contrle interne.
Lidentification des risques oprationnels doit, en consquence, tre complte
de lanalyse des contrles permettant, on lespre, de rduire le niveau
dexposition aux risques. Ce niveau, tant en termes de frquence que de
svrit, dpend in fine de la pertinence et de lefficacit des contrles associs.
Risques (oprationnels) et contrles (associs) apparaissent ainsi comme deux
lments finalement indissociables. La cartographie des risques permet de
connatre et dvaluer, celle des contrles de matriser et de piloter. Un troisime
lment reste nanmoins ncessaire pour complter lanalyse et surtout
permettre une gestion effective de ces risques et contrles : le volet processus.

Le pilotage des processus


Le troisime lment qui semble indispensable la comprhension, lvaluation
et la gestion des risques est la description des processus, en liaison avec celle
des risques et des contrles. Nous avons vu que la cartographie des risques avait

pour objectif lidentification de faiblesses ou de risques par unit


organisationnelle,

DENIAU

15/06/06, 9:08

REVUE D'CONOMIE FINANCIRE

par mtier, par fonction ou par chane doprations. Dans le cadre de lutilisation
des mthodes AMA, le rgulateur demande dailleurs que les risques soient
identifis selon les huit lignes mtiers proposes. La ralisation dune
cartographie des risques demande, en consquence, une description suffisante
des processus, quil sagisse de processus mtiers ou de processus support,
transverses plusieurs ou lensemble des processus mtiers. Nanmoins, en
pratique, les tablissements financiers, dans leur dmarche didentification des
risques oprationnels, ont procd des descriptions trs variables de leurs
processus. Cette description est parfois trs succincte, voire quasiment
inexistante, ce qui ne facilite pas la mise en uvre des actions de gestion des
risques identifis. Dans dautres cas, ces descriptions sont trs dtailles, peuttre trop par rapport lobjectif didentification et dvaluation des risques
oprationnels. Dans la plupart des cas, il ny pas eu de rflexion sur les diverses
possibilits dutilisation dune analyse des processus. Dans le cadre dune
cartographie des risques oprationnels, il nest pas absolument ncessaire
danalyser en dtail les processus, lobjectif premier tant lidentification et
lvaluation des risques. En revanche, si lobjectif est le pilotage des processus, la
dmarche est toute autre. La rflexion est alors gnralement centre sur le
client, dans le but dapporter la meilleure rponse ses besoins et attentes. Le
management des processus vise ainsi amliorer la qualit, lorganisation des
traitements, le cas chant la matrise des cots, afin de dlivrer une valeur plus
importante au client. Tels sont quelques objectifs du pilotage des processus, et
au-del, du pilotage par les processus. Pour le pilotage des risques proprement
dit, la connaissance des processus est indispensable la dtermination et au
dploiement des plans dactions visant rduire lexposition certains risques
oprationnels. In fine, cest bien sur les processus et les contrles associs, et
donc sur les personnes et les systmes qui les font fonctionner, que portent
toutes les actions de rduction, transfert ou matrise des risques. Ainsi, la
cartographie des risques constitue un puissant outil de gestion et de pilotage de
la performance, condition nanmoins dtre associ deux autres lments
indispensables : la cartographie des contrles et la cartographie des processus.
La cohrence des approches mthodologiques sur ces trois axes permet, en effet,
un pilotage effectif de la performance, selon les trois axes prcdemment
identifis : le pilotage des risques, la conformit et le contrle, le pilotage
oprationnel. Le graphique ci-aprs illustre larticulation de ces diffrents volets.

DENIAU

15/06/06, 9:08

LA CARTOGRAPHIE DU RISQUE OPRATIONNEL : OUTIL RGLEMENTAIRE OU OUTIL


DE PILOTAGE ?

Graphique n 1 Articulation du pilotage des risques, de la conformit et du


pilotage oprationnel
Pilotage des risques
Identification / Analyse valuation / Modlisation Rduction / Transfert Tarification
Communication / Reporting

Risques
7

Contrles

Processus

Conformit - Contrle
Rduction / Gestion Autovaluation Plan d'actions Conformit

Pilotage oprationnel
Efficacit Qualit Satisfaction client Tarification Cots

DENIAU

15/06/06, 9:08

REVUE D'CONOMIE FINANCIRE

CARTOGRAPHIE DES RISQUES : OBSTACLES ET DIFFICULTS


La ralisation dune cartographie des risques constitue un exercice
dintrospection qui contraint chaque service, qui contribue la mise en uvre
des objectifs fondamentaux de lentreprise, sinterroger sur le niveau de risque
quil fait courir lorganisation. La ralisation de lexercice va donc se heurter
plusieurs cueils. Le premier cueil concerne le langage commun tablir. La
comprhension des concepts relatifs au risque oprationnel sest heurte
pendant de nombreuses annes labsence de dfinitions et de rfrentiels
clairs. cet gard, les normes dictes par le Comit de Ble (dfinition, types
de risque, lignes mtiers...), constituent dornavant le socle commun
indispensable au dveloppement des mthodologies et surtout la
comprhension partage des concepts et des diverses cartographies. Sagissant
de risques diffus, de nature endogne et complexe analyser et cartographier,
ces normes ont permis un vritable essor de lanalyse et de la modlisation du
risque oprationnel. Il nen reste pas moins que la formation et la comprhension
de ces diffrents concepts restent encore insuffisantes. Le deuxime obstacle est
relatif la surcharge de travail que peut constituer cet exercice de la part
doprationnels dj fortement sollicits par leurs tches quotidiennes. La
description synthtique des processus, lidentification des risques et enfin leur
valuation sont un exercice indniablement chronophage et souvent loign des
proccupations quotidiennes des oprationnels mis contribution. Cette
perception sera dautant plus significative que le processus sera mal calibr ou
mal gr. Une analyse trop fine des processus et des risques peut ainsi conduire
des charges de travail disproportionnes par rapport aux objectifs viss et
des dlais dexcution tant toute visibilit aux bnfices dun tel exercice. Cette
difficult sera souvent accrue par labsence de perception de lintrt que ces
contributeurs pourront tirer de la ralisation dun tel exercice. Au contraire, dans
la mesure o la cartographie conduira indniablement mettre en vidence des
faiblesses ou des dficiences dans le dispositif de contrle interne, elle pourra
tre davantage perue comme linstrument qui rvlera les propres imperfections
du service ou du dpartement la Direction gnrale et, par suite, mettra en
vidence les carences de ltablissement aux yeux du vrificateur. La mise en
vidence dimperfections ou de faiblesses est encore rarement perue comme
pouvant contribuer lamlioration des processus internes, une apprciation
fine du cot du risque et donc de sa tarification, ou la mise uvre dun
processus qualit au bnfice du client. Cette perception ngative sestompera
sans doute au fil du

DENIAU

15/06/06, 9:08

LA CARTOGRAPHIE DU RISQUE OPRATIONNEL : OUTIL RGLEMENTAIRE OU OUTIL


DE PILOTAGE ?

temps, au fur et mesure dune diffusion plus large des concepts et


mthodologies de gestion du risque oprationnel. Par ailleurs, il conviendra de
poursuivre le dveloppement, trs embryonnaire lheure actuelle, dune
valuation des performances fonde galement sur la gestion des risques
oprationnels. Enfin, la mise en uvre dune cartographie des risques au sein
dtablissements denvergure imposera de tenir compte des spcificits
rgionales ou de particularits de certains mtiers. Le caractre disparate et
diffus du risque oprationnel fait de la cartographie des risques un exercice
complexe. Assurer lexhaustivit de la collecte des lments, la pertinence de la
nature et de la gravit des risques au regard de lenvironnement spcifique de
chaque mtier ou fonction ou encore lhomognit des valuations, sont autant
de difficults auxquelles sont confrontes les banques. Plusieurs dispositions
peuvent toutefois rpondre ces difficults. La qualit dune cartographie repose
avant tout sur la diffusion de mthodologies dtailles et dun rfrentiel
commun, compris et accept par tous. La normalisation des cartographies
exigera, par consquent, le dploiement dune mthodologie et la diffusion de
rgles claires. cet gard, et titre dillustration, il apparat pertinent dutiliser
lensemble des informations disponibles telles que, par exemple, les remontes
de pertes pour corroborer la nature des risques recenss et identifier les
carences. Lensemble des difficults ou obstacles mentionnes ci-dessus nous
semblent plus relever dune problmatique de gestion et de rsistance au
changement, plutt que dune vritable interrogation sur le concept et lintrt
de la cartographie des risques. En effet, la gestion des risques oprationnels
reste une fonction nouvelle, trs transverse lensemble des fonctions ou
mtiers de ltablissement concern, avec de rels enjeux mthodologiques,
notamment sur la modlisation quantitative, malgr les progrs accomplis depuis
quelques annes. En revanche, les outils et mthodes de gestion, y compris la
cartographie, sont finalement relativement bien connus et nexigent pas une
technicit ou une expertise extrmement pointue. Lharmonisation et la diffusion
de ces mthodologies lensemble dune organisation ncessitent nanmoins
une coordination et un management global et transverse qui modifieront
profondment lorganisation et la gestion de ltablissement. Il sagit, terme, de
piloter autrement, sans doute moins sur un mode hirarchique, par mtier ou
fonction, et sans doute un peu plus de faon transversale, sur un mode projet ou
par les processus. Ces volutions ont videmment de forts enjeux en termes de
pouvoir, dorganisation ou de responsabilits. On comprend ainsi les rsistances
qui peuvent apparatre loccasion dune cartographie des risques.

DENIAU

15/06/06, 9:08

REVUE D'CONOMIE FINANCIRE

10

COMMENT CONCEVOIR ET DPLOYER UNE CARTOGRAPHIE DES RISQUES Exercice


ralis sur la base danalyses et de dclarations dexperts identifis au sein des
mtiers, une cartographie de risque est par essence de nature subjective. Aussi
est-il ncessaire den encadrer llaboration par une mthodologie stricte qui en
garantira la pertinence, lhomognit et, par la suite, lexploitation. Dfinir, ds
le dbut du projet, un cadre mthodologique est, en effet, fondamental pour fixer
de faon claire et objective tous les lments qui serviront aux travaux danalyse
ultrieurs afin dassurer un niveau dhomognit et un langage commun
compris de tous et ainsi viter les corrections en cours de projet. Le cadre
mthodologique devra notamment dfinir les lments objectifs relatifs aux
critres ncessaires lvaluation des risques et des contrles, lchelle de
valorisation et le mode dvaluation utiliser. Un projet de cartographie peut,
dans les grandes lignes, sarticuler autour de quatre tapes : - la dfinition des
processus, - le recensement des risques inhrents et des contrles associs, - la
dfinition des critres dvaluation des risques, - et enfin la cotation des risques
identifis.
Graphique n 2 Quatre tapes dun projet de cartographie

DENIAU

10

15/06/06, 9:08

LA CARTOGRAPHIE DU RISQUE OPRATIONNEL : OUTIL RGLEMENTAIRE OU OUTIL


DE PILOTAGE ?

La dfinition des processus


Deux mthodologies peuvent tre utilises : la premire mthode consiste
dresser un rcapitulatif des diffrents risques oprationnels qui ont touch les
services de la banque et caus des pertes (analyse historique). Le but nest pas
de mesurer ou quantifier le risque mais de dterminer les lignes de mtier
touches, directement ou indirectement, par un vnement dfavorable dans le
pass. Ainsi les banques auront suffisamment de couples risque/mtier pour
pouvoir dresser une matrice risque/mtier. Cette mthode est utilise, en
gnral, par les banques qui possdent un historique de donnes relatif aux
diffrents vnements. La deuxime mthode consiste faire linventaire des
diffrents facteurs du risque oprationnel auxquels les mtiers de la banque
peuvent tre exposs (analyse prospective) partir dune revue des processus.
Une typologie des risques oprationnels est tablie : procdures inadaptes,
risques mtier, risques humains (probit, comptence), risques externes
(catastrophes, contraintes rglementaires), risques technologiques. Puis il faut
dterminer les lignes de mtier exposes aux risques oprationnels. Cette tape
consiste diviser les diffrents processus lmentaires de la banque en sousprocessus, voire daffiner cette division en dressant une liste des diffrentes
fonctions au sein de chaque dpartement de la banque. chaque ligne de mtier
est alors associ le risque qui peut laffecter directement ou indirectement. Un
processus relie des activits indpendantes au sein dune entreprise et montre
comment elles interagissent afin datteindre un objectif. Lanalyse du risque
oprationnel, fonde sur les processus, mettra en vidence comment la
dfaillance potentielle dun processus dans un secteur de lorganisation pourra
avoir des rpercussions sur un autre et ainsi contribuer identifier les
responsabilits en matire de mise en uvre de plan de rduction des risques.
Ds lors, il sagira de dfinir le niveau de dtail et de granularit avec lequel
seront dcrits les processus pour permettre lidentification des risques : - un
niveau de dtail trop grossier ne permet, en effet, pas dapprhender de faon
prcise les risques encourus pour chaque processus ; - en revanche, un niveau de
dtail trop fin peut nuire la lisibilit du processus et par l conduire une
mauvaise interprtation de la nature et du niveau de risque. En outre, il rendra
les mises jour ultrieures plus difficiles. Le principal enjeu de cette phase est
donc de disposer de processus dcrits avec un niveau de granularit permettant
de mettre en vidence les ventuelles zones de risque et de conduire lanalyse
de ces risques et des contrles existants.

11

DENIAU

11

15/06/06, 9:08

REVUE D'CONOMIE FINANCIRE

12

Afin de bien matriser les risques relatifs chaque activit, il est important de
bien rpertorier les processus auxquels ils sont rattachs et de dfinir avec
prcision les rles et les responsabilits de chaque intervenant interne ou externe
dans ces processus. Cette cartographie devra tre complte par lidentification
des contrles lis aux flux dun processus. Cette tape pourra tre mene sous la
forme : - dune revue de la documentation interne ventuellement dj existante
telle que des organigrammes, des descriptions de processus, des rapports
dinspection... - dentretiens avec les responsables de services oprationnels et
avec les collaborateurs concerns ; - dateliers de travail. Les diffrents flux
dinformation changs entre les intervenants ou les actions engages par ces
derniers au sein dun mme processus peuvent tre formaliss de manire
simple sur des schmas descriptifs. La cartographie des processus pourra gagner
tre prsente galement laide dun outil du march spcialis. Cette
approche est la seule qui nous semble permettre une vritable gestion des
risques, fonde sur des plans dactions que les diffrentes units oprationnelles
et leurs responsables seront chargs de mettre en uvre. Sans liens entre les
risques et les processus, nous ne voyons, en effet, pas comment de vritables
actions pourraient tre identifies, attribues, et mises en uvre.

Le recensement des risques et des contrles


Lobjectif de cette phase est didentifier et danalyser les vnements de risque
attachs chaque processus partir de la cartographie tablie lors de la phase
prcdente. Il sera important que les vnements de risque soient dcrits de
faon factuelle et que leurs causes et consquences soient analyses afin de
permettre lidentification des impacts (financiers, de rputation...) en fonction des
consquences et par suite llaboration des plans dactions mettre en uvre en
fonction des causes. Ds lors, chaque vnement de risque doit pouvoir tre
rattach une cause de dysfonctionnement. Ble II propose quatre natures de
causes qui doivent permettre de couvrir lensemble des cas de figure. - les
systmes dinformation : dfaillance matrielle, bogue logiciel, obsolescence des
technologies (matriel, langages de programmation...) ; - les processus (saisies
errones, non respect des procdures...) ; - les personnes (comptences,
formation, absentisme, fraude, mouvements sociaux... mais aussi capacit de
lentreprise assurer la relve sur les postes cls) ;

DENIAU

12

15/06/06, 9:08

LA CARTOGRAPHIE DU RISQUE OPRATIONNEL : OUTIL RGLEMENTAIRE OU OUTIL


DE PILOTAGE ?

- les vnements extrieurs (terrorisme, catastrophe naturelle, environnement


rglementaire...). Les cartographies de risques ainsi rdiges permettront de
dcrire les risques et didentifier les contrles associs. La dfinition pralable
dune typologie des risques doit faciliter lexercice didentification et de
classement des risques afin de normer les prsentations et de permettre des
restitutions claires et synthtiques. La typologie propose par Ble II constitue
dornavant la rfrence. Chaque tablissement est nanmoins libre dadapter
cette typologie ses propres besoins, sous rserve de pouvoir relier une
typologie interne celle de Ble II. En pratique, il convient de ne pas trop
scarter de cette rfrence de fait. Lidentification et la description des
vnements de risque et des contrles associs doit suivre une dmarche
rigoureuse. La difficult majeure est relative ce que nous appellerons le
niveau de maille . Plus la maille sera fine, cest--dire plus le nombre
dvnements de risque sera lev, plus linformation collecte peut sembler fine
et dtaille. Cette finesse est notre avis illusoire, compte tenu de la difficult
valuer frquence et svrit de chaque vnement. Enfin, lexercice peut alors
devenir interminable et trs coteux, et provoquer ainsi la rticence, voire le
rejet, des oprationnels chargs de procder lidentification et lvaluation. En
pratique, nous constatons trs souvent un niveau de dtail beaucoup trop fin. Il
convient donc de faire particulirement attention cet aspect et de ne pas
oublier que la cartographie des risques est une dmarche volutive. Une
premire valuation conduira ultrieurement une deuxime, ventuellement
plus dtaille si le niveau de risque le justifie.

13

La dfinition des critres dvaluation


Lvaluation des risques ncessite la dfinition dun barme qui permette
dobjectiver et dhomogniser lapprciation qui en est faite. Seule la dfinition
dune chelle commune lensemble des directions pourra permettre dobtenir
des rsultats cohrents et exploitables. Ds lors, lvaluation des risques peut
tre effectue selon une notation chiffre pour laquelle il conviendra de fixer les
rgles. Aujourdhui, les tablissements soumis la rglementation de Ble
valuent les risques en fonction de leur frquence et de leurs impacts financiers
mais les cartographies peuvent tre enrichies par des valuations en fonction de
critres plus qualitatifs, par exemple sur le risque image, cest--dire sur limpact
que peut avoir un incident sur la rputation de ltablissement.

DENIAU

13

15/06/06, 9:08

REVUE D'CONOMIE FINANCIRE

Lvaluation suivant une codification de type fort, moyen, faible sans chelle
de critres se rvle trop subjective et ne permet pas de garantir une
homognit au sein du groupe. Les chelles de valeurs exigeront par
consquent une structuration rigoureuse et adapte lenvironnement spcifique
de ltablissement. Lexemple ci-aprs de grille dvaluation qualitative sur la
rputation permet dillustrer la rigueur indispensable une valuation pertinente.
Lorsque lvaluation est par essence subjective, dire dexpert, il convient
dobjectiver au mieux les critres dvaluation. Tableau n 1 Exemple de grille
dvaluation qualitative sur la rputation
Impact de rputation/Gravit Impact faible Confidentialit faiblement
compromise et/ou faible interruption de service Faible nombre de clients/tiers
ncessitant dtre informs Les responsables hirarchiques directs ncessitent
seuls dtre informs des risques encourus Confidentialit modrment
compromise et/ou interruption de service modre Nombre non ngligeable de
clients/tiers ncessitant dtre informs Presse dfavorable (au niveau national)
Rvlation dfavorable dun tiers Les chefs de dpartement doivent tre
informs des risques encourus Confidentialit compromise de faon importante
et/ou importante interruption de service Grand nombre de clients/tiers
ncessitant dtre informs Dgradation importante des relations avec le client
Litiges contre les employs de la socit La banque fait lobjet de sanctions
(non publies) de la part des autorits Presse dfavorable (au niveau
international) Les membres du Comit excutif doivent tre informs des
risques encourus Confidentialit compromise de faon majeure et/ou
interruption de service majeure Litiges contre la socit La banque est
implique dans un scandale majeur ou fait lobjet de la publication de sanctions
graves de la part des autorits La socit ne peut pas rpondre des
obligations cls vis--vis de tiers Le Conseil dadministration ou les autres
membres influents doivent tre informs des risques encourus

Impact non ngligeable


14

Impact fort

Impact majeur

La normalisation des rponses imposera la diffusion dindications suffisamment


prcises pour permettre de guider lvaluateur dans son apprciation du risque et
quil puisse se prononcer sans quivoque. Ainsi

DENIAU

14

15/06/06, 9:08

LA CARTOGRAPHIE DU RISQUE OPRATIONNEL : OUTIL RGLEMENTAIRE OU OUTIL


DE PILOTAGE ?

peut-on imaginer des grilles dvaluation qui proposent diffrentes illustrations


qui permettent de cerner par analogie le type de rponse attendue. Les grilles les
plus abouties proposent une codification des rponses au travers de
questionnaires dtaills pour chaque typologie de risque.

La cotation des risques


Malgr toute lattention porte la dtermination des critres qui vont permettre
une harmonisation des cotations, lexercice pourra toutefois conserver une
dimension subjective qui pourra tre limite par la confrontation de lavis de
plusieurs experts. La combinaison des expriences permettra, en effet, de cerner
une ralit souvent difficile apprhender. Les exercices dauto-valuation des
risques pourront ds lors gagner faire lobjet dateliers de travail (workshop) qui
permettront cette confrontation des avis dexperts. Ce type dexercice nest
toutefois pas sans poser de nouvelles difficults car sil nest pas suffisamment
structur, il peut tre source de dbats dplacs et se rvler au final contreproductif. Un certain nombre de techniques permettent toutefois de structurer
lapproche dvaluation au titre desquelles on peut citer le recours des outils de
vote qui permettent, par laffichage immdiat des rsultats obtenus, dtablir un
consensus rapide sur un niveau de risque. La cartographie des risques se rvle
tre lun des instruments les plus pertinents pour identifier et analyser de faon
structure les risques auxquels tout tablissement doit faire face, et permettre
ainsi les actions ncessaires dattnuation, de contrle ou de transfert des
risques. Les mthodologies sont aujourdhui largement rpandues, de nombreux
outils informatiques sont disponibles pour soutenir cette dmarche, et la
formation ces techniques sest largement dveloppe. Pour russir le
dploiement dune cartographie des risques et en faire un vritable outil
danalyse mais aussi de gestion, dautres lments sont nanmoins
indispensables : une comprhension fine des mtiers et de leurs processus, la
clart et la simplicit oprationnelle de la mthodologie, un savoir-faire sur le
calibrage et le pilotage de lexercice, une grande rigueur dans la mise en uvre
et, enfin, une politique de communication et de formation. Pour faire de la
cartographie des risques un vritable outil de pilotage, une vritable vision reste
cependant dvelopper, au-del de ces mthodologies, expertises, ou mme
parfois recettes : une vision sur lutilisation des mthodologies de cartographie
des risques pour dautres

15

DENIAU

15

15/06/06, 9:08

REVUE D'CONOMIE FINANCIRE

axes danalyse ; une vision sur lutilisation des fins quantitatives dans le cadre
du pilotage des performances oprationnelles ; une vision sur lapprciation des
performances individuelles. Toutes ces volutions ncessiteront des
transformations dans les modes et techniques de management, au profit
dapproches plus transversales, faisant collaborer des entits, dpartements ou
fonctions qui restent encore autonomes et indpendantes sur le traitement de
ces sujets. La dtection, la quantification et la rduction des risques
oprationnels restent un vaste chantier pour la communaut bancaire et
financire. Les annes venir dessineront vraisemblablement un nouveau
paysage en la matire.

16

DENIAU

16

15/06/06, 9:08