Management Des Risques

Management des risques
ditions dOrganisation
Groupe Eyrolles
61, bd Saint-Germain
75240 Paris Cedex 05
www.editions-organisation.com
www.editions-eyrolles.com
Directeur douvrage : Caroline Selmer
Le code de la proprit intellectuelle du 1er juillet 1992 interdit en effet expressment la

photocopie usage collectif sans autorisation des ayants droit. Or, cette pratique sest
gnralise notamment dans lenseignement, provoquant une baisse brutale des achats de
livres, au point que la possibilit mme pour les auteurs de crer des uvres nouvelles et de
les faire diter correctement est aujourdhui menace.
En application de la loi du 11 mars 1957 il est interdit de reproduire intgralement ou
partiellement le prsent ouvrage, sur quelque support que ce soit, sans autorisation de
lditeur ou du Centre franais dexploitation du droit de copie, 20, rue des Grands-Augustins, 75006 Paris.
Groupe Eyrolles, 2009

ISBN : 978-2-212-54308-7
Pascal Kerebel
Management des risques

Inclus secteurs
Banque et Assurance
Sommaire
Prface................................................................................................................ 7
Introduction ......................................................................................................... 9
Premire partie : Contraintes rglementaires et mthodologies ..................... 11

Chapitre 1. Prsentation des contraintes rglementaires ....................................................... 13
Analyse comparative des rglementations LSF, Sarbanes-Oxley,
8e directive europenne sur laudit lgal ................................................................. 13
La rglementation concernant les risques hautement protgs..................................... 15
Rfrentiels comptables IFRS et US GAAP ............................................................... 17
Chapitre 2. Mthodologie didentification et danalyse des risques ........................................ 19
Outils didentification des risques .......................................................................... 19
Simulation de limpact dun sinistre majeur sur les objectifs stratgiques ..................... 23
Simulation des consquences financires dun sinistre majeur ................................... 24
tude de la sinistralit antrieure ........................................................................... 26
Chapitre 3. Modalits de mise sous contrle des risques....................................................... 27
Contrle technique et scurit ............................................................................... 27
Procdures de scurit et de gestion de crise .......................................................... 27
Contrle financier des risques ............................................................................... 38
Chapitre 4. Choix optimal, budgtisation et mise en uvre du dispositif ............................... 47
Critres de choix en termes de combinaison optimale .............................................. 47
Le rseau budgtaire risk management ................................................................... 47
Chapitre 5. Reporting, monitoring et retour dexprience...................................................... 49
Spcificits des tableaux de bord risk management ................................................. 49
Retour dexprience et sret de fonctionnement ..................................................... 49
Chapitre 6. Retour dexprience sur la mise en uvre de la mthodologie risk management... 51
Quels compromis pour quels objectifs ? .................................................................. 51
Avec quels moyens ? ........................................................................................... 53
Deuxime partie : Lentreprise industrielle hors risque ................................. 55

Chapitre 1. Cartographie des risques industriels .................................................................. 57
Modalits de ralisation dune cartographie des risques ......................................... 57
La prise en compte des spcificits sectorielles ........................................................ 57
Donner de lintelligence au dispositif de risk management ........................................ 58
Prparer la certification ISO 31000 ...................................................................... 59
Chapitre 2. Le dispositif de corporate risk management........................................................ 65
La mise sous contrle du risque produit .................................................................. 65
La mise sous contrle du risque informatique ........................................................... 67
La mise sous contrle du risque client ..................................................................... 69
Groupe Eyrolles
La mise sous contrle du risque fournisseur ............................................................. 70

La mise sous contrle du risque politique ................................................................ 71
La mise sous contrle du risque humain .................................................................. 72
La mise sous contrle du risque social .................................................................... 73
6 Sommaire
La mise sous contrle du risque atteinte lenvironnement ........................................ 76

La mise sous contrle du risque incendie ................................................................ 78
Chapitre 3. Le dispositif de business risk management ......................................................... 79
La mise sous contrle des risques financiers ............................................................ 79
La mise sous contrle des risques stratgiques ......................................................... 79
Chapitre 4. Mettre en uvre le dispositif risk management et communiquer sur son efficacit . 87
Les raisons de la construction dun dispositif de risk management efficace .................. 87
Comment mettre en uvre un dispositif de risk management efficace ......................... 89
Mesurer lefficacit du risk management .................................................................. 93
Communiquer sur lefficacit du dispositif de risk management................................... 94
Troisime partie : La banque ou la compagnie dassurances hors risque ...... 95

Chapitre 1. Les contraintes rglementaires .......................................................................... 97
Les contraintes rglementaires spcifiques Ble II .................................................. 97
Les contraintes rglementaires spcifiques Solvency II ............................................ 104
Chapitre 2. Le risk management bancaire........................................................................... 107
La mise sous contrle des risques financiers (contrepartie, crdit, etc.) ........................ 107
La mise sous contrle des risques oprationnels ....................................................... 108
La mise sous contrle du lancement des produits risque (techniques de titrisation) ..... 114
Chapitre 3. Le risk management dans les compagnies dassurances...................................... 117
Risk management des mtiers financiers .................................................................. 117
Le processus de la mise sous contrle des risques oprationnels ................................ 121
Conclusion ............................................................................................. 133
Annexes ................................................................................................. 135

Annexes de la premire partie ........................................................................................... 137
Socit gnrale : une dprciation de 7 milliards deuros ....................................... 137
Questionnaires risk management ........................................................................... 138
Fiches mthodes risk management ......................................................................... 144
Annexes de la deuxime partie .......................................................................................... 147
Extrait du rapport risk management du groupe EDF 2007 ......................................... 147
Annexes de la troisime partie ........................................................................................... 153
Risk management dans le secteur bancaire ............................................................. 153
Risk management dans les compagnies dassurances................................................ 162
Bibliographie.................................................................................................................... 185
Table des figures et tableaux.............................................................................................. 187
Groupe Eyrolles
Prface
n matire de management des risques, on na jamais raison seul et cest toujours
E du partage des expriences que nat linnovation. Le groupe de travail que je
prside lAssociation nationale des directeurs financiers et de contrle de gestion
(DFCG), via les changes que nous avons entre professionnels du contrle interne et
du risk management, en est lillustration. Pascal Kerebel est un contributeur majeur
de ce groupe et du cahier technique que nous produisons en ce moment sur la
communication sur lefficacit du contrle interne. Le prsent ouvrage, dont jai
lhonneur de rdiger la prface, est une synthse des meilleures pratiques mthodo-
logiques existantes en termes de risk management, tant au niveau industriel que dans
la banque et lassurance.
Louvrage a lintrt majeur de prsenter des botes outils oprationnelles, trai-
tant daspects mthodologiques mais aussi comportementaux, dans lesquelles les
diffrents professionnels peuvent piocher afin de dployer leurs dispositifs de
management du risque.
Lauteur dveloppe aussi des thmatiques de rflexion sur les limites des dispositifs
mthodologiques actuels, et sur la complmentarit des fonctions daudit interne, de
contrle interne, de risk management et de qualit.
La monte en puissance des dispositifs de risk management est une priorit majeure
des groupes cots. Lactualit rcente nous montre, malheureusement, les limites des
dispositifs mis en uvre et lobligation imprative de repenser la mise sous contrle
des risques significatifs pouvant remettre en cause les objectifs stratgiques, voire la
prennit des organisations.
Construire un dispositif de risk management nest pas un exercice fig dans le temps
ni dfinitif. Il se doit dtre adaptable et volutif. Bien positionn et disposant de
moyens suffisants, il est un vecteur damlioration de performance et permet de
fdrer les acteurs autour dun mme objectif.
Louvrage de Pascal, en intgrant les meilleures pratiques en termes de gouvernance
et de conformit, contribue de faon significative la ncessaire refondation des
dispositifs de management du risque et de contrle interne. Il permet de redonner
du sens laction en rappelant que les facteurs cls de succs dune telle dmarche
restent le bon sens et limplication des dirigeants.
Florence Giot,
Prsidente de la commission contrle interne
de la DFCG
Groupe Eyrolles
Introduction
L objectif de cet ouvrage est de prsenter lensemble des options offertes aux
entreprises, en vue de mettre sous contrle leurs risques pour protger leurs
intrts stratgiques, ainsi que la rmunration des preneurs de risques finanant
leurs activits. Louvrage met en exergue deux concepts :
la notion de corporate risk management met en relief la ncessit pour lentreprise
de placer sous contrle les risques purs, cest--dire les risques alatoires ne se tra-
duisant que par une perte financire sils se matrialisent (incendie, rupture
dapprovisionnement, etc.). Le corporate risk management se fixe donc pour
objectifs didentifier et de mettre sous contrle cette typologie de risques, en met-
tant tout en uvre pour que ces risques ne puissent se matrialiser, mais aussi, le
risque zro nexistant pas, mettre en uvre des outils de gestion de crise dans
lhypothse de la matrialisation du risque ;
la notion de business risk management, quant elle, souligne la ncessit de mettre
sous contrle des risques stratgiques et financiers spculatifs (cest--dire se tra-
duisant par un gain ou une perte). La dmarche vise donc sassurer que lensem-
ble des dcisions stratgiques sont effectivement mises sous contrle (lancement
dun nouveau produit, rachat dune socit, cration dune filiale).
Les deux dmarches savrent donc complmentaires puisque le corporate risk
management vise protger les orientations stratgiques dfinies dans le cadre de
llaboration du business model et du business plan, alors que le business risk manage-
ment vise sassurer que les dispositifs de pilotage ou datterrissage sont effective-
ment mis sous contrle.
Notre objectif pdagogique est de prsenter dans cet ouvrage la bote outils du
manager des risques quel quil soit (directeur financier, DAF, directeur oprationnel,
contrleur, auditeur interne), en lui proposant des axes dactions et de progrs faciles
mettre en uvre.
Louvrage prsente, tout dabord, les grands principes mthodologiques inhrents
la mise en uvre dun dispositif de risk management efficace. Il expose ensuite les
outils ddis aux groupes industriels ; et enfin, les dmarches applicables aux
banques et compagnies dassurances.
Il sagit ici de faire prendre conscience au lecteur que lvolution des rglementa-
tions lui demandera de :
mettre en exergue les risques significatifs pouvant affecter le business model de
lentreprise ;
quantifier les impacts de la ralisation de ces risques en termes de key data (cash-
flows, rsultat oprationnel, etc.).
Groupe Eyrolles
Nous esprons que cet ouvrage vous permettra de construire, avec la plus grande
efficacit, le dispositif de risk management de votre entreprise.
PREMIRE PARTIE
Contraintes rglementaires et mthodologies
Lobjectif de cette premire partie consiste prsenter au lecteur :

les contraintes rglementaires imposes aux groupes en termes de construction de
dispositif de risk management ;
la mthodologie de rfrence applicable en termes didentification et de mise sous
contrle des risques.
Groupe Eyrolles
Chapitre 1
Prsentation des contraintes rglementaires

Analyse comparative des rglementations LSF, Sarbanes-Oxley,
8e directive europenne sur laudit lgal
Les rglementations amricaines ou europennes concernant le corporate risk mana-
gement visent sassurer de la mise sous contrle effective des risques purs pouvant
affecter la surface financire des groupes cots et crer des dommages environne-
mentaux substantiels.
Prconisations des rglementations europenne et amricaine

en termes de corporate risk management
Analyse comparative des rglementations sur le corporate risk management
Points communs entre Points spcifiques

rglementations
8e directive
Sarbanes-Oxley LSF
europenne
Objectifs
Scuriser lactionnaire
et linvestisseur quant
la sincrit des tats Prvenir la reconduc-
Prvenir la reconduc-
financiers tion dun scandale
tion dun scandale
Sengager sur la pro- financier
financier type Enron
tection des cash-flows type Parmalat
et de la rmunration
de lactionnaire
Dfinition du contrle interne et des risques
Orientation rvision
Pas de dfinition com- comptable et prven- Concept de risk Absence de dfinition
mune tion de la criminalit management spcifique
interne
Champ ou types de risques pris en compte, purs ou spculatifs
Risques affectant la
sincrit des comptes
Risques lis aux pro- Pas de dfinition sp-
Groupe Eyrolles
Pas de dfinition com- cessus gnrant cifique Pas de dfinition sp-

mune lcriture comptable Directive tourne vers cifique des risques
(malveillance, ngli- la rvision comptable
gence, pannes des
SI)

14 Partie 1 Contraintes rglementaires et mthodologies

Points communs entre Points spcifiques
rglementations
8e directive
Sarbanes-Oxley LSF
europenne
Mthodologie de rfrence
Aucune mthodologie
Mise en exergue de
commune Pas de mthodologie AMF prconisant la
lenvironnement du
ce jour commune mthodologie de
contrle interne et du
Convergence Groupe de travail en lIFACI, de lIIA, du
comportement risk
potentielle place Medef, de lAfep
assessment
terme vers le COSO
(Source : Sarbanes Oxley Act, LSF, 8e directive europenne sur laudit lgal.)
Limite des rglementations europenne et amricaine en termes de risk

management
Lactualit rcente (octobre 2008) montre les limites des dispositifs de mise sous
contrle des risques des groupes cots (les rcents scandales financiers tels que celui
des subprimes aux tats-Unis, et la chute du systme bancaire et international en
sont les preuves manifestes).
Une analyse critique des rglementations telles que la loi Sarbanes-Oxley ou la
8e directive europenne sur laudit lgal fait ressortir les insuffisances suivantes :
le volet environnement du contrle ne permet pas, dans sa construction intellectuelle
actuelle, de matriser les risques stratgiques des groupes cots (tels que le risque li au
lancement de nouveaux produits, le risque de remise en cause de la responsabilit
pnale des mandataires sociaux, une erreur de stratgie affectant la rmunration de
lactionnaire, etc.). En effet, cette composante du dispositif du COSO (Committee of
Sponsoring Organizations of the Treadway Commission), mthodologie de rfrence
des principales rglementations portant sur le contrle interne, nest pas taye sur des
outils de contrle effectifs, mais sur un simple principe dengagement sur lhonneur des
dirigeants appliquer un corpus de rgles thiques et dontologiques ;
le dispositif du COSO ne raisonne stricto sensu quen termes de mise sous contrle
des processus. Ainsi, ce dispositif ne prvoit pas de faon explicite les modes de
mise sous contrle des projets risque pouvant affecter de faon substantielle
latteinte des objectifs stratgiques des groupes cots (cas de lA380 chez Airbus) ;
le primtre des processus mis sous contrle dans la mthodologie du COSO nest
pas suffisamment transverse, et limit au primtre de consolidation de lentre-
prise. Or les risques mergents peuvent tre gnrs par des processus transverses
amont (risque de rupture dapprovisionnement) ou aval (risque de distribution)
ports par des parties prenantes.
Groupe Eyrolles
La loi du 3 juillet 2008

La loi du 3 juillet 2008 renforce les exigences des groupes cots franais en termes de
description de dispositifs de risk management : Dans les socits faisant appel
Ch. 1 Prsentation des contraintes rglementaires 15
lpargne, le prsident du conseil dadministration rend compte dans un rapport

joint de la composition, des conditions de prparation et dorganisation des travaux
du conseil, ainsi que des procdures de contrle interne et de gestion des risques
mises en uvre par la socit (article 26).
Cette loi complte le rapport de place de lAMF (Autorit des marchs financiers),
qui fait rfrence explicitement la notion de management des risques :
Le dispositif de contrle interne, qui est adapt aux caractristiques de chaque
socit, doit prvoir un systme visant recenser et analyser les principaux risques
identifiables au regard des objectifs de la socit et sassurer de lexistence de
procdures de gestion de ces risques.
La recommandation de lAMF ne requiert toutefois pas le descriptif du dispositif de
management des risques. Ainsi, le rapport AMF sur les rapports LSF (loi de scurit
financire) note que seulement 43 % des rapports 2006 mentionnent lexistence
dune cartographie des risques.
La loi du 3 juillet 2008 rend la communication de cette cartographie obligatoire.
La transposition de la 8e directive europenne en droit interne franais

(dcembre 2008)
La 8e directive europenne sur laudit lgal, mise le 17 mai 2006, dont la transposi-
tion initiale en droit interne franais tait prvue le 29 juin 2008, a t intgre au
final en dcembre 2008.
Elle rend obligatoire la mise en place dun comit daudit pour les entits dintrt
public en charge du suivi de lefficacit des systmes de contrle interne, daudit
interne et de gestion des risques de la socit.
Mme si la 8e directive europenne prvoit explicitement dvaluer lefficacit du
dispositif de contrle interne et de management des risques, elle ne se prononce pas
ce jour sur une communication externe officielle portant sur les rsultats du suivi
de lefficacit des dispositifs de contrle interne et de management des risques.
La rglementation concernant les risques hautement protgs

Les autorits de tutelle et les gouvernements ont pris conscience depuis plus dune
dcennie de la ncessit de mettre sous contrle les risques datteinte lenviron-
nement, tant du point de vue cologique que du point de vue de la protection de la
rmunration de lactionnaire et de latteinte des objectifs stratgiques en cas de
sinistre majeur.
Risques hautement protgs et Seveso II

La directive Seveso II vise les tablissements potentiellement dangereux (chimie,
Groupe Eyrolles
ptrole, sidrurgie, etc.) au travers dune liste dactivits et de substances associes

des seuils de classement. Elle dfinit deux catgories dentreprises en fonction de la
quantit de substances dangereuses prsentes.
Les entreprises mettant en uvre les plus grandes quantits de substances dangereuses,
dites Seveso II seuils hauts , font lobjet dune attention particulire de ltat :
les dangers doivent tre clairement identifis (y compris les effets domino) et lana-
lyse des risques doit tre ralise ;
leur exploitant doit dfinir une politique de prvention des accidents majeurs et
mettre en place un systme de gestion de la scurit pour son application ;
des mesures techniques de prvention, labores par les inspecteurs des installa-
tions classes sur la base dtudes de dangers, leur sont imposes par arrts prfec-
toraux dans le cadre dune procdure dautorisation ;
un programme dinspection est planifi par linspection des installations classes ;
des plans durgence sont labors pour faire face un accident : POI (plan dop-
ration interne) mis en uvre par les exploitants, et PPI (plan particulier dinter-
vention) mis en uvre par le prfet en cas daccident dbordant les limites de
ltablissement ;
une information prventive des populations concernes doit tre organise ;
enfin, lintrieur des zones de risques dfinies par ltat, les communes sont tenues
de prendre en compte lexistence de ces risques pour leur urbanisation future.
Les entreprises dites Seveso II seuils bas ont des contraintes moindres, mais doivent
laborer une politique de prvention des accidents majeurs. La conformit avec un tel
dispositif prsuppose la construction, titre prventif, doutils de gestion de crise envi-
ronnementale (plan durgence ; communication de crise, cellule de crise et plan de
reprise dactivit des processus critiques suite atteinte lenvironnement).
Loi NRE et mise sous contrle des risques environnementaux

Publie au Journal officiel le 15 mai 2001, la loi sur les nouvelles rgulations
conomiques, appele plus communment loi NRE , a pour objectif de rduire
les effets nfastes des dysfonctionnements internes et de la mondialisation.
Fonde sur une exigence de transparence de linformation, cette loi instaure que les
socits franaises cotes devront prsenter, dans le rapport de gestion annuel, paral-
llement leurs informations comptables et financires, des donnes sur les cons-
quences environnementales et sociales de leurs activits.
La loi NRE est entre en vigueur par un dcret en date du 20 fvrier 2002 et
sapplique partir du 1er janvier 2003, depuis les exercices ouverts partir du
1er janvier 2002.
Les principales limites de la loi NRE

Elles concernent :
labsence de sanctions ;
Groupe Eyrolles
le manque de dispositifs de contrle ;

labsence de dfinition prcise concernant le primtre concern (holding ou
groupe, mondial ou national).
Ch. 1 Prsentation des contraintes rglementaires 17
La recommandation du Conseil national de la comptabilit (CNC)

franais en termes de comptabilit environnementale
Publie le 21 octobre 2003, cette recommandation vise prendre en considration
les aspects environnementaux dans les comptes individuels et consolids des entre-
prises. Il sagit pour les entreprises dafficher dans leurs tats financiers les dpenses
supplmentaires engages pour rparer ou prvenir les dommages causs lenvi-
ronnement.
Le texte vot par lassemble plnire du CNC a t bien accueilli par lAMF. Le
CNC a voulu traduire dans le droit interne une recommandation de la Commis-
sion europenne publie au Journal officiel des Communauts europennes le
13 juin 2001.
Le texte du CNC propose dtablir un tableau des dpenses environnementales
tir du modle Eurostat (Office statistique des Communauts europennes), en
ventilant les dpenses par types dactions (traitement, limination, mesure, recy-
clage et prvention de dchets polluants) et par domaines (eaux, dchets, sols,
bruit, rayonnement).
Rfrentiels comptables IFRS et US GAAP

Les rfrentiels comptables dorigine anglo-saxonne ont toujours fait ressortir, via le
format des tats financiers, limportance donne la dimension corporate risk mana-
gement en tant quattribution majeure du top management. Ainsi, les rfrentiels US
GAAP et IFRS ont historiquement fait ressortir trois concepts significatifs en termes
de structuration du compte de rsultat :
la notion de rsultat oprationnel (IFRS), quivalant lEBIT (Earnings Before
Interest and Taxes) amricain, correspondant au rsultat gnr par les processus
mtier dans une optique de continuit de lexploitation ;
la notion dlments inhabituels (exceptional items), intgrant la fois les choix de
restructuration dcids par le top management dans lintrt de la protection de la
rmunration de lactionnaire, et le cot des sinistres anticipables que les dirigeants
sont censs anticiper ;
le concept dlments extraordinaires (extraordinary items), correspondant des
situations de crise impossibles anticiper par les dirigeants de lentreprise (du type
tremblement de terre dans une zone non sismique) donnant lieu une indemnisa-
tion assurance.
La notion dlments extraordinaires a aujourdhui disparu, mettant en exergue le
fait que ces rfrentiels comptables considrent que le risk management est une attri-
bution majeure du top management, et que lincapacit de protger la rmunration
Groupe Eyrolles
de lactionnaire et de protger les cash-flows de lentreprise relve dune insuffisance

substantielle du top management.
De surcrot, le rfrentiel IFRS fait ressortir la notion de composantes (inexistante
en US GAAP) ayant pour effet de minimiser la notion de provisions pour risques.
En effet, la norme IAS 16 impose la dcomposition des immobilisations corporelles

en composantes impactant les flux de trsorerie prvisionnelle gnrs par lactif.
Ainsi, les groupes industriels constituent des composantes telles que :
investissements de scurit ;
pices de rechange ;
dmantlement ;
dcontamination des sols ;
fermeture quinquennale pour grand entretien.
Elles sont amorties sur la dure dusage de chaque composante.
La notion de composante met en exergue le principe de mise sous contrle prvi-
sionnelle des risques industriels. Ainsi :
la programmation des investissements de scurit a pour objectif de protger les
cash-flows gnrs par lactif ;
la budgtisation des pices de rechange a pour finalit de prvenir le bris de
machine.
La comptabilit financire IFRS dmontre ainsi que tous les actifs de lentreprise
sont mis sous contrle en vue de scuriser les cash-flows de cette dernire.
Groupe Eyrolles
Chapitre 2
Mthodologie didentification
et danalyse des risques
Lidentification rationnelle et objective des risques de sinistralit est base sur la
rponse quatre types dinterrogations :
Quels sont les outils permettant une identification objective des risques ?
Comment valuer limpact dun sinistre majeur sur les objectifs stratgiques ?
Comment valuer les consquences financires dun sinistre majeur ?
Quels enseignements tirer de lvolution de la sinistralit antrieure ?
Outils didentification des risques

Lune des principales difficults du risk management est didentifier les risques dun
groupe de faon objective et rationnelle. Il est indispensable daboutir la ralisa-
tion dune cartographie des risques faisant ressortir en priorit les mta-risques
mergents.
Le risk manager na pas le droit de fonder sa cartographie sur un ressenti subjectif
bas sur sa personnalit et son vcu professionnel. Il doit au contraire appuyer sa
dmarche sur plusieurs outils didentification des risques quil va utiliser dans une
optique de circularisation (la rponse apporte par ces outils doit en effet converger).
Nous tudierons donc dans ce chapitre les outils suivants :
laudit documentaire ;
les entretiens ;
les visites de sites ;
les questionnaires.
Audit documentaire et audit en risk management

Laudit documentaire est un outil essentiel en vue dune identification rationnelle et
objective des risques.
Dans la phase amont, lauditeur va demander un certain nombre de documents,
quil exploitera partiellement avant daller sur le terrain (phase de travail plat ).
Pendant la phase de droulement de laudit, lauditeur va confronter ses sources
Groupe Eyrolles
documentaires avec les informations collectes via les interviews et la visite de sites.
En phase post-mission (rdaction du rapport), le risk manager prconisera ; compte
tenu de ses conclusions, un certain nombre dajustements concernant les informa-
tions quil a collectes en phase initiale (modifications de clauses contractuelles,
rengociation des clauses assurance, consultation du march assurance, etc.).
Exemple de cartographies de mta-risques dans un groupe industriel

RISQUES EXTERNES
Institutionnel et Socit March Catastrophe
Environnement politique Concurrence Catastrophe naturelle
Environnement juridique Attentes clients / march Accident dorigine externe / Trouble externe
Environnement social Mutation technologique
Environnement socital Marchs financiers
Rglementation
Mcanisme de fixation des prix
Environnement conomique et montaire
RISQUES OPERATIONNELS
Commercial Exploitation Finance RH
Stratgie Outil industriel Risques de marchs Gestion comptences et savoir
Satisfaction clients / Services Outil de distribution (change, taux, prix matire) valuation / Motivation
Qualit Produit / Sant Produit Sous-traitance Financement / Trsorerie Gestion administrative
Gestion commerciale Conformit rglementaire Fiscalit/ Douanes Climat / Relations sociales
Matrise cots de production Assurance Sant des employs
Comptabilit
Juridique Appro / Achats Scurit / Sret / SIT

Droit de la concurrence Chane matire Environnement Performance
Conformit rglementaire Ressources produit (appro) Sret de linformation
Risque technologique
Suivi des litiges Achats biens & services Risque oprationnel Conduite de projet SI
Ngociation et contractualisation Gestion des changements
Risque transport
des accords Exploitation informatique
Sret biens et personnes
Connaissance des accords Comportement Environnement Habilitations/ Sparation tches
thique Pollution
Image Fraude
Image / Communication Respect des procdures
STRATGIE MANAGEMENT PILOTAGE

Stratgie / Dveloppement Management / Organisation Pilotage de la performance
Veille stratgique Efficacit de lorganisation/ gestion des Pertinence des indicateurs
Veille technologique / R&D / Conception responsabilits Contrle des participations
Proprit industrielle Gestion du changement
Acquisition / Cession Plan de continuit dactivit
Matrise partenariats / co-entreprises Gestion de crise
Gestion de projet
Exemple de cartographie des mta-risques
Audit documentaire pr-mission

Dans la phase documentaire pr-mission, le risk manager va demander lentit
audite de lui transmettre un certain nombre de documents. La liste des documents
transmettre dpend de fait du type de risque auditer.
Cependant, il savre possible de lister de faon gnrique les principaux documents
demands :
programme dassurance national ou international ;
transmission des clauses des principaux contrats ;
tats analytiques et tableaux de bord ;
tats financiers certifis ;
experts techniques et expertises pralables de capitaux ;
procdures de scurit et de gestion de crise (si existantes) ;
tests des plans de reprise dactivit ;
Groupe Eyrolles
schma directeur des systmes dinformation ;

plan de protection des informations.
Une fois ces documents collects (dans les faits, le risk manager ne collecte quune
partie des informations en pr-mission), il sassure de la fiabilit des informations
Ch. 2 Mthodologie didentification et danalyse des risques 21
transmises en utilisant les techniques de circularisation (demande dinformation

parallle lexterne, vrification de la certification des comptes, vrification de la
non-rtroactivit des contrats, etc.).
Enfin, il commence analyser les documents qui sont directement exploitables
(analyse des clauses de contrats, analyse financire, etc.).
Audit documentaire pendant la mission

Lobjectif du droulement de la mission sur le terrain est de confronter lidentifica-
tion des risques identifis en phase post-mission daudit avec les risques rellement
tracs via interviews et/ou questionnaires et visites de sites.
Exploitation documentaire post-mission

Lexploitation documentaire post-mission va se traduire par des prconisations subs-
tantielles faites par le risk manager. Ainsi, les principales prconisations possibles sont
les suivantes :
souscription dune nouvelle police dassurance ;
modification de clauses contractuelles ;
signatures de contrats de back-up 1 ;
rdaction de nouvelles procdures ;
modification du contenu des procdures existantes.
Entretiens
La technique dentretien savre tre une technique essentielle lidentification
objective et rationnelle des risques, et ce, tout particulirement en culture dentre-
prise latine.
Lobjectif de cet entretien est : dune part, de sassurer de la connaissance par les
oprationnels des dispositifs de risk management mis en uvre par lentreprise ;
dautre part, dvaluer avec eux les risques potentiels qui pourraient affecter les
processus mtiers et les risques du groupe.
Linterview se droule en trois grandes tapes.
Analyse du pass
Le risk manager interviewe laudit sur les cas de sinistres ou de gestion de crise quil
a t amen vivre dans le pass en adoptant un questionnement du type :
Avez-vous t amen vivre dans le pass une situation de crise ? Si oui, quels
sont, de votre point de vue, les dispositifs mis effectivement en uvre par le groupe
Groupe Eyrolles
pour grer cette situation ?

Lobjectif de cette question est de savoir si les dispositifs mis en uvre par le groupe
sont connus et effectivement communiqus aux oprationnels.
1. Back-up : mise disposition de ressources logistiques en cas de sinistre.

Projection sur le futur

Lobjectif de cette partie de lentretien consiste identifier les risques potentiels que les
oprationnels ont identifis et qui nont pas t reports au niveau du risk management.
La structure de questionnement est la suivante : Avez-vous identifi ou pens des
risques qui pourraient se matrialiser ? tes-vous dj pass sur le fil du rasoir ? De
votre point de vue, si le risque se matrialisait, le groupe saurait-il mettre en uvre
les dispositifs adquats ?
Lobjectif de cette question est daller vrifier sur le terrain si le ressenti de lopra-
tionnel est confirm ou non. Cette logique de questionnement peut permettre une
priorisation de mesures correctrices mettre en uvre.
Simulation dune situation de crise

Lobjectif de cette dernire tape de linterview consiste construire avec laudit le
contenu oprationnel de son plan de reprise dactivit en cas de situation de crise.
La structure de simulation adopter est la suivante :
Vous arrivez sur votre lieu de travail 7 h 45. Sur place votre sige social est
dtruit 100 %. Le prfet, les mdias, les salaris, la protection civile, les pompiers
sont prsents. Les camions arrivent avec les composantes. Que faites-vous ?
Lobjectif de cette simulation est de dcrire les moyens logistiques qui devront tre
mis en uvre en cas de situation de crise en vue dassurer la continuit de lexploita-
tion des processus critiques.
Lexercice a pour objectif de dcrire et didentifier :
les processus critiques qui devront tre redploys en cas de situation de crise ;
les actifs stratgiques (machines-outils, moules, etc.) qui devront tre protgs en
priorit en cas de sinistre ;
les hommes cls qui devront tre dplacs sur le site de secours ;
les ressources non utilises avant sinistre (m 2, m3, vhicules disponibles, etc.) ;
les contrats de back-up avec les sous-traitants, fournisseurs, constructeurs informa-
tiques, etc.
Visites de site
La visite de site est un outil essentiel en termes didentification des risques. Elle
permet par exemple dobserver les attitudes et les comportements des salaris en
matire de respect des consignes de scurit. Elle permet, dautre part, lauditeur
dobserver des dysfonctionnements ou des anomalies concernant lorganisation de
lentreprise pouvant gnrer des dommages potentiels.
Elle permet aussi de ractualiser des lments lis laudit documentaire (exemple
dun plan de masse ne correspondant plus la configuration relle actuelle du site).
Groupe Eyrolles
Questionnaires
Lidentification des risques partir des questionnaires est trs utilise dans les organi-
sations anglo-saxonnes et prsuppose lexistence dun dispositif de risk management
mr et efficace.
Le questionnement permet de raliser des benchmarks intersites et intragroupe, et de

produire ce titre des rosaces de performance permettant didentifier les centres de
risque1 nappliquant pas la lettre les procdures de scurit et de gestion de crise.
Ce dispositif est inadapt dans le cas de la construction dun dispositif de risk mana-
gement et, dans cette hypothse, on privilgiera les techniques dinterviews.
Simulation de limpact dun sinistre majeur sur les objectifs

stratgiques
Lobjectif de cette tape est de simuler limpact dun sinistre maximum possible (cest--
dire dun sinistre tant la rsultante de plusieurs faits gnrateurs, major par des circons-
tances aggravantes) sur les processus et/ou les objectifs stratgiques de lentreprise.
Ainsi, par exemple, le retrait dun produit du march (du fait de dommages corpo-
rels subis par un consommateur) affecterait :
les parts de march ;
la rentabilit commerciale ;
le cours de laction (si le groupe est cot) ;
la continuit des processus (obligation darrter la production du produit incrimin).
Impact dun sinistre majeur sur les objectifs stratgiques dun groupe
Groupe Eyrolles
Lobjectif du risk management consiste donc tout mettre en uvre titre prventif
pour prvenir le risque ; mais, ce dernier avr, le groupe doit mettre en place un
1. Entit organisationnelle (usine, magasin) regroupant des risques homognes.

dispositif de gestion de crise auquel il a rflchi titre prventif, et grer la situation

de crise dans un dlai trs rapide. Dans notre exemple, les outils de gestion de crise
mis en uvre seraient les suivants :
cellule de crise ;
communication de crise vis--vis des consommateurs et du rseau ;
plan de retrait des produits du march avec mise en uvre dun processus
dindemnisation du consommateur ; ou fabrication dun produit de substitution.
Ces procdures de gestion de crise ont bien sr un caractre confidentiel, lexcep-
tion du plan durgence, qui doit tre communiqu aux autorits de tutelle, pour les
risques RHP (risques hautement protgs) susceptibles de gnrer une atteinte
lenvironnement.
Simulation des consquences financires dun sinistre majeur

Lobjectif assign cette tape est didentifier les scnarii de crise qui pourraient
affecter la remise en cause de la prennit du groupe. La quantification des sinistres
majeurs a pour intrt de permettre lidentification des scnarii inacceptables en vue
de dfinir des priorits dans le dispositif de risk management.
Il sagit donc de quantifier pour chaque scnario de crise (sont analyss en priorit
les scnarii correspondant aux faits gnrateurs figurant en exclusion) les cons-
quences financires dun sinistre maximum possible en chiffrant les quatre compo-
santes suivantes :
pertes matrielles (en quoi le sinistre affecte-t-il les actifs de lentreprise ?) ;
pertes dexploitation (en quoi la situation de crise affecte-t-elle le compte de rsultat ?) ;
pertes humaines (en quoi le sinistre gnre-t-il des dommages corporels chez les salaris ?) ;
cot de la responsabilit civile et ventuellement pnale (quelle sera la valorisation
de prjudices corporels, matriels et immatriels causs aux tiers ?).
Estimation des pertes matrielles

Lobjectif de cette premire simulation est destimer limpact dun sinistre majeur
sur les immobilisations sous contrle (au sens des normes IAS 16 et 17 pour
lesquelles lentreprise porte lensemble des risques et des responsabilits, quelle que
soit leur qualification juridique) et sur les stocks.
Deux cas de figure se prsentent dans le cadre de cette estimation :
soit lentreprise est dans un rfrentiel comptable autre quIFRS (International
Financial Reporting Standard) et, dans ce cas de figure, elle doit faire raliser une
expertise pralable de capitaux des biens en proprit, en location, en location finan-
Groupe Eyrolles
cement, mais aussi des biens confis ou des actifs quon lui a transfrs dans le cadre
dun contrat de concession ou daffermage ;
soit lentreprise est en IFRS (International Financial Reporting Standard) et a opt
pour la rvaluation des actifs et, dans ce cas, la valorisation des actifs au prix du
march sert de base lestimation des pertes matrielles.
Dans les deux cas de figure, lestimation des pertes matrielles se fait en multipliant la
valeur des capitaux par une estimation du pourcentage de destruction de lactif.
Estimation des pertes dexploitation

Lestimation des pertes dexploitation est ralise par centre de risque (ce qui corres-
pond en contrle de gestion une entit organisationnelle du type centre de
profit ou centre de responsabilit ).
La mthodologie consiste dans un premier temps construire un compte de rsultat
du centre de risque avant sinistre. Lobjectif ce niveau est de segmenter le compte
de rsultat en quatre grandes masses :
chiffre daffaires ou prix de transfert 1 ;
charges variables qui seront sensibles limpact du sinistre ;
charges fixes que lentreprise continuera supporter post-sinistre ;
rsultat analytique du centre de risque avant sinistre (diffrence entre produits et
charges oprationnelles).
Dans un deuxime temps, structurer un compte de rsultat de lentit post-sinistre :
estimation du chiffre daffaires ou des prix de cession post-sinistre (impact du sinis-
tre sur le CA dpendant de lexistence dun plan de reprise dactivit ou non, test
de surcrot rgulirement) ;
estimation de limpact du sinistre sur les charges variables (dont les achats) ;
estimation du sinistre sur les nouveaux cots gnrs par la situation de crise (frais
supplmentaires dexploitation, frais dexpertise, honoraires, frais de dmolition,
frais de dcontamination, etc.).
Le rsultat analytique post-sinistre est donc gal la diffrence entre le CA et les
charges oprationnelles post-sinistre (charges variables aprs sinistre, maintien des
frais fixes supports avant sinistre, nouveaux frais directement imputables la situa-
tion de crise et ncessaires au redploiement de lactivit).
La perte dexploitation sera gale la diffrence entre le rsultat oprationnel du
centre de risque avant sinistre (bas sur les prvisions budgtaires de lexercice) et
lestimation du rsultat analytique du mme centre de risque post-sinistre.
Quantification des pertes humaines

La quantification des pertes humaines (cest--dire des dommages affectant les sala-
ris de lentreprise : dcs, accidents de travail, invalidit, etc.) se dcompose en :
indemnisation de type Scurit sociale ;
Groupe Eyrolles
indemnisation via la souscription dune police dassurance collective pour le

compte des salaris (en intgrant les capitaux maximaux prvus dans la police
dassurance).
1. changes conomiques internes au groupe.

Valorisation du cot de la responsabilit civile et pnale

La quantification du cot de la remise en cause de la responsabilit civile passe par
lanalyse de la jurisprudence existante au niveau international.
Dans lhypothse de linexistence dune telle jurisprudence, lauditeur appliquera une
dmarche qualitative en construisant une grille qualitative gradue de la faon suivante :
0 : impact nul ;
1 : impact faible ;
2 : impact financier moyen ;
3 : impact financier majeur ;
4 : impact financier inacceptable.
Lestimation du cot de la responsabilit pnale passe par une analyse des diffrentes
pnalits par type dinfraction.
Quantification du cot rsiduel la charge de lentreprise

Lobjectif de cette tape du dispositif consiste sommer par scnario le cot des quatre
typologies de pertes : matrielles, exploitation, humaines et responsabilit civile (RC) ;
et le comparer au montant indemnisable prvu dans le programme dassurance. La
diffrence entre ces deux montants correspond au risque rsiduel, qui peut tre consi-
dr par les autorits de gouvernance comme tant acceptable ou inacceptable.
Dans lhypothse o le comit des risques estime que le risque rsiduel est inacceptable,
il savre indispensable de rflchir sur la mise en uvre de financements alternatifs,
naffectant pas la trsorerie courante de lentreprise en cas de ralisation du risque.
tude de la sinistralit antrieure

Ltude de la sinistralit antrieure (sur des sries chronologiques conscutives a
minima de cinq ans) vise :
identifier dventuelles tendances structurelles en termes de sinistralit (concentra-
tion daccidents du travail par exemple) ;
permettre une rengociation ultrieure avec les assureurs (en comparant la sinistra-
lit effective avec celle prise en compte par les assureurs).
Les principaux sinistres analyss, tant en frquence quen termes de gravit, sont les
suivants :
sinistralit dommages aux biens ;
Groupe Eyrolles
sinistralit flotte automobile ;

sinistralit informatique ;
sinistralit responsabilit civile ;
sinistralit accidents du travail.
Chapitre 3
Modalits de mise sous contrle des risques

La mthodologie daudit en risk management est une approche transverse visant
sassurer de la mise sous contrle des risques de sinistralit de lentreprise, tant titre
prventif que curatif, en dclinant un triple dispositif :
contrle interne des risques et procdures de gestion de crise ;
contrle technique et investissements de scurit ;
contrle financier des risques intgrant lautofinancement, le transfert des risques
et le recours aux financements alternatifs lassurance.
Contrle technique et scurit

La mise en uvre dun dispositif de prvention mature passe par la ralisation
dinvestissements de scurit et par lengagement de charges dexploitation au titre
de la scurit correspondant a minima aux exigences rglementaires.
Les principaux sous-domaines concerns sont les suivants :
scurit informatique ;
scurit des biens ;
scurit des personnes ;
scurit atteinte lenvironnement.
Procdures de scurit et de gestion de crise

La mise en uvre dun dispositif de corporate risk management efficace passe par la
rdaction de procdures de scurit de base et de gestion de crise.
Bien videmment lefficacit de telles procdures doit tre rgulirement teste.
Procdures de scurit de base

La mise en uvre dun dispositif de corporate risk management mature passe par la
rdaction et lapplication de procdures de type management des risques telles que :
procdures de scurit informatique physiques et immatrielles et plan de protec-
tion des informations ;
procdures de scurit environnementale ;
plan dorganisation des secours.
Groupe Eyrolles
Les principaux scnarii de gestion de crise

La construction des scnarii de crise a pour objectif danticiper la combinaison opti-
male doutils de gestion de crise mettre en uvre en cas de sinistre majeur.
Les principaux scnarii analyss sont les suivants :

gestion de crise produit avec retrait des produits du march ;
atteinte lenvironnement ;
mise en examen dun mandataire social ;
offre publique dachat hostile ;
attentat ;
grve interne ou externe, voire mlange des deux typologies (grande spcialit
franaise !) ;
boycott de la marque ;
situation de crise informatique ;
mort dun homme cl.
Il est vident que cette liste doit tre adapte en fonction du secteur dactivit, ainsi :
dans le secteur bancaire, on simulera limpact du scnario hold-up ;
dans le secteur aronautique, on valuera les consquences du crash dun avion ;
dans le secteur aronautique, on estimera les consquences de lexplosion dune
fuse ou dune navette embarquant des satellites.
Procdures de gestion de crise

Les procdures de gestion, systmatiquement rdiges titre prventif, et testes en
vue dvaluer leur efficacit, ont pour objectif de permettre la continuit de
lexploitation des processus critiques dun centre de risque (exemple dune usine),
dans des dlais trs rapides sur dautres sites internes au groupe ou lextrieur du
groupe via des contrats de back-up signs avec des constructeurs informatiques,
fournisseurs et sous-traitants captifs, et ventuellement avec des concurrents.
Le risk manager doit donc rflchir titre prventif la construction de ces cinq
outils de gestion de crise, qui seront combins en fonction du scnario de crise
analys, savoir :
le plan de retrait des produits du march ;
la communication de crise interne et/ou externe pouvant tre offensive ou dfensive ;
le plan de reprise dactivit ;
le plan durgence concernant les risques datteinte lenvironnement ;
la cellule de crise conue tant en termes organisationnels que logistiques.
Plan de retrait des produits
La rflexion prventive concernant lorganisation dun plan de retrait des produits
du march concerne en priorit les entreprises ayant une stratgie marketing de
biens de grande consommation et tout spcifiquement celles travaillant dans les
Groupe Eyrolles
secteurs pharmaceutique, agroalimentaire, automobile.

Ch. 3 Modalits de mise sous contrle des risques 29
Lorganisation logistique dun plan de retrait prvoit un simple arrt de production

et de commercialisation titre prventif dans le cas de lmission de signaux de pra-
lerte (taux de rclamations clients anormal, taux de rebut, de refaonnage lev, etc.,
sur un produit ou une famille de produits).
Communication de crise
Il existe de nombreux registres de communication de crise, sur lesquels les groupes
doivent rflchir titre prventif, soit en vue dexonrer la responsabilit civile, soit
de limiter limpact de cette dernire au cas o elle serait mise en cause.
Il est ainsi possible dopposer les axes de communication ci-dessous :
interne et externe ;
offensive et dfensive ;
rglementaire et stratgique.
Communication de crise interne et externe
La communication de crise externe est en gnral indissociable de la communication
de crise interne.
En effet, la communication de crise externe, quelle soit institutionnelle ou opra-
tionnelle, vise scuriser lensemble des parties prenantes, pour protger les objectifs
stratgiques du groupe. A contrario, la communication de crise interne vise surtout
permettre le dploiement des processus critiques sur des sites non sinistrs dans des
dlais trs rapides si une situation de crise est dclenche.
Communication de crise offensive et dfensive
Les registres de communication de crise peuvent tre offensifs en cas de rumeur ou
en cas de remise en cause non fonde de la responsabilit civile du groupe. Ainsi, il
est envisageable, dans le cas dun scnario de crise produit, de dvelopper une
communication de crise offensive, dans lhypothse dune relation de corrlation
(existence dun dommage corporel chez un consommateur, ne pouvant tre associ
une marque commerciale spcifique de lentreprise).
Par contre, en cas de remise en cause de la responsabilit civile du groupe, la
communication de crise institutionnelle dfensive a pour objectif de protger les
parts de march, limage de marque, alors que la communication de crise opration-
nelle dcrit au rseau de distribution ainsi quaux clients les modalits daction
(comment se faire indemniser, comment faire rparer le produit, comment avoir un
produit de substitution ?).
Plan de reprise dactivit/plan de continuit de lexploitation
Le risk management minimise le rle de lassurance en cas de sinistre majeur. Son
objectif nest pas de rechercher des garanties confortables en cas de situation de crise,
mais de permettre une reprise de lactivit dans les dlais les plus rapides. Voici la
Groupe Eyrolles
mthodologie de construction de ces plans de reprise dactivit.
Concepts gnraux sur les plans de continuit de lexploitation

La continuit dactivit sinscrit dans une dmarche de prennit de lentreprise. Elle
consiste mettre en place des procdures et des moyens visant assurer le fonctionnement
de ses activits, principales et cruciales, et la disponibilit des ressources indispensables au

droulement de ces activits.
La gestion de la continuit dactivit est une approche globale de management. Son
objectif est didentifier les impacts potentiels qui menacent le groupe et de la doter
des capacits de rpondre efficacement des sinistres potentiels en sauvegardant ses
activits vitales et critiques, sa rputation et les intrts de ses clients et partenaires.
Dfinition de la notion dactivit vitale
Cest une activit dont lexcution est fondamentale et obligatoire pour lentreprise. En
cas darrt de cette activit, les impacts sont jugs inacceptables par le management :
impact financier extrmement lourd pour lentreprise ;
trs forte dgradation de son image de marque auprs des clients et des partenaires ;
impact rglementaire majeur sans possibilit de ngociation avec les institutions
lgales.
Dfinition de la notion dactivit critique
Il sagit dune activit dont lexcution est souhaite pour le groupe, mais qui ne
revt pas de caractre obligatoire. Les impacts, en cas darrt de ces activits, sont
jugs trs proccupants voire inacceptables pour la stratgie de lentreprise, mais ne
compromettent pas sa survie en cas de crise :
impact financier lourd pour lentreprise ;
impact stratgique majeur ;
trs forte dgradation de son image de marque auprs des salaris et des mdias ;
impact rglementaire majeur avec possibilit de ngociation avec les institutions
gouvernementales.
Dfinition de la notion dactivit sensible
Par activit sensible, il faut entendre une activit dont lexcution est prfrable pour
le bon droulement des oprations. Les impacts, en cas darrt de ces activits, sont
jugs proccupants, mais potentiellement acceptables dans un contexte de crise :
impact financier moyen pour lentreprise ;
impact stratgique nul ;
dgradation significative de son image de marque auprs des salaris et des mdias.
Le cycle de vie de la continuit dactivit

Processus cyclique
La dmarche continuit dactivit est un processus cyclique travers lequel le
groupe :
value la solidit de son organisation et la vulnrabilit de ses activits des
Groupe Eyrolles
sinistres majeurs ;
dfinit la stratgie de continuit de ses activits critiques aprs sinistre ;
met en place les solutions de continuit pertinentes et les documente ;
teste ses dispositifs, les maintient oprationnels et les rvise frquence rgulire ;
informe ses personnels et les exerce utiliser les solutions de continuit en cas de
sinistre.
Deux prrequis sont indispensables pour engager la dmarche continuit
dactivit :
une stratgie dentreprise clairement dfinie ;
un risk assessment solide et exhaustif.
Les principaux rsultats attendus (livrables)
Ce sont :
une cartographie des risques ;
un business impact analysis, une collecte des expressions de besoins des mtiers, met-
tant en vidence les activits critiques ;
une stratgie de continuit dactivit dcline en fonction de diffrents scnarii de
sinistres, et adressant les objectifs mtiers, les priorits et les niveaux dactivit
recouvrir aprs un sinistre ;
un inventaire des ressources critiques et le squencement de leur monte en charge ;
des plans de continuit dactivit dcrivant les dispositifs mis en place et les proc-
dures pour mettre en uvre la stratgie ;
des programmes de tests et des plans daction correctifs ;
des supports dinformation, de sensibilisation et de formation.
Mettre en uvre un plan de continuit dactivit

Le business impact analysis (BIA) est une dmarche analytique dont lobjectif consiste :
identifier les activits vitales/critiques ;
inventorier les ressources critiques ncessaires pour assurer la continuit de ces
activits vitales/critiques ;
dfinir les priorits de continuit et/ou de reprise aprs sinistre.
Pourquoi le fait-on ? Le BIA permet dvaluer les impacts, pour lentreprise, dun sinistre
touchant ses activits. La dmarche doit tre entreprise pour chacun des processus
mtiers conduits dans le groupe, identifis dans la phase de cartographie des processus.
Les consquences dun sinistre sur les activits du groupe sont values dans le temps
selon diffrents types dimpacts :
impacts financiers (valuation quantitative) ;
impacts non financiers (valuation qualitative).
Bien que les sinistres auxquels la socit doit se prparer soient de natures diffrentes et
puissent influencer la gravit et/ou la rapidit dapparition/de rsorption des impacts,
Groupe Eyrolles
les bonnes pratiques recommandent de mener le BIA en adoptant certains postulats :

toutes les activits sont interrompues sans possibilit de reprise ;
lentreprise seule est impacte par le sinistre ;
tous les acteurs du march continuent business as usual .
La dmarche BIA est conduite par les coordinateurs des plans de continuit dacti-
vit (PCA) sur la base dinterviews ralises avec les propritaires des processus
mtiers. Les informations collectes ainsi que les analyses dimpacts sont systmati-
quement valides par le management, qui est responsable de lexpression des
besoins, de la dfinition des stratgies, de lallocation des moyens humains et finan-
ciers ncessaires la dmarche et qui est propritaire des plans de continuit.
La dmarche BIA
Elle se droule en tapes distinctes.
tape 1 : cartographie des processus mtiers
La comprhension de lorganisation commence ncessairement par une cartographie
dcrivant les activits de chacune des entits du groupe :
identifier les principaux processus mtiers ;
inventorier les ressources requises pour mener bien chacun de ces processus.
Cette cartographie est le pralable indispensable au dploiement de la dmarche BIA
et plus gnralement de la dmarche de continuit dactivit : lanalyse dimpact, la
dfinition des objectifs de reprise et les expressions de besoin en termes de ressources
sont construites au niveau de chaque processus mtier.
noter que, sil existe dj des descriptions de processus dans lorganisation, elles
doivent tre systmatiquement rutilises dans un souci de cohrence et defficacit.
La cartographie doit aussi mettre en lumire les priodes critiques de chaque
processus, cest--dire les priodes durant lesquelles un sinistre aurait les impacts les
plus pnalisants pour lentreprise ( scnario du pire ).
La dfinition des priodes critiques permet :
de dfinir les stratgies de reprise en intgrant le scnario dans lequel un sinistre
aurait lieu aux moments les plus critiques du processus ;
dinformer, le cas chant, les gestionnaires de crise des circonstances particulires
lies la priode de dclenchement du sinistre.
Exemples de priodes critiques : arrts comptables, cut-off, chances terme, etc.
Pour les besoins de cette cartographie, des ressources critiques doivent tre identi-
fies. Les ressources critiques identifier sont les ressources indispensables laccom-
plissement dun processus mtier qui doivent ncessairement tre restaures pour
garantir la continuit des activits critiques suite un sinistre.
On peut ainsi citer :
besoins en personnel : nombre de personnes alloues au processus mtier en production ;
systmes informatiques :
applications mtiers,
Groupe Eyrolles
progiciels intgrs,
disques partags ;
poste de travail : type de configuration requise (nombre et puissance des PC,
nombre dcrans, tlphonie normale ou spcialise, etc.) ;
tlcoms : inventaire des moyens de communication ncessaires en plus de la tl-

phonie (fax, tlex) ;
sauvegardes vitales : ensemble des documents sur tout support dont labsence aprs
sinistre empcherait de reprendre le processus mtier ;
dpendances : ensemble des services, fournis par un acteur interne ou externe,
ncessaires laccomplissement du processus mtier (qui ? quoi ?).
tape 2 : lvaluation des impacts
Typologies dimpacts
pertes financires directes : cest lensemble des pertes financires supportes par
lentreprise rsultant de son incapacit grer ses processus mtier ;
pertes de revenus : impacts financiers dus lincapacit de lentreprise de raliser
de nouvelles transactions tant que ses processus mtiers restent dgrads (do
perte dopportunits) ;
impacts rglementaires : risques de pnalits de la part des rgulateurs et des auto-
rits de tutelle lencontre de la socit dans lincapacit totale ou partielle de faire
face ses obligations rglementaires ;
impacts lgaux et juridiques : impacts potentiels ou pertes encourues cause
dactions en justice ou de poursuites de la part de clients, suite lincapacit de
lentreprise faire face ses engagements contractuels ;
impacts sur limage et la rputation : prjudices ports la crdibilit de lentre-
prise vis--vis de ses clients, des investisseurs, de ses actionnaires, des agences de
rating ou des mdias, conduisant une perte substantielle dopportunits venir ;
impacts sur dautres processus de lentreprise : risques dextension dimpacts sur
dautres processus du groupe, lorsque des impacts directs ne peuvent pas tre mis
directement en vidence. Ce type dimpacts est directement li aux interdpen-
dances entre les diffrentes activits du groupe.
La relation au temps
Le critre de temps est une dimension cl dans lvaluation des impacts, car il
permet de concentrer les efforts sur les activits dont les dlais de reprise sont les plus
critiques.
Lchelle de temps est construite selon :
les impratifs de reprise dfinis par les rgulateurs (en France et linternational) ;
les bonnes pratiques de lindustrie ;
les dlais contractuels de bascule des systmes dinformation et de mise disposi-
tion des solutions de repli.
Groupe Eyrolles
Chaque activit doit dfinir une chelle pertinente lui permettant de quantifier de
manire homogne et cohrente ses pertes financires potentielles. Ces quantifi-
cations sont ensuite traduites en degrs dimpacts en fonction de leur importance :
trs lev ;
lev ;
moyen ;
faible.
Il appartient au management de chaque entit de dfinir et valider cette chelle, car
celle-ci sera utilise pour dfinir les objectifs et arbitrer les priorits de reprise. Les
impacts qui ne peuvent pas tre quantifis en termes financiers sont qualifis selon le
mme type dchelle.
tape 3 : dterminer la stratgie dfinition des objectifs de reprise
Une fois lanalyse dimpact ralise, le groupe est en mesure de dfinir pour chacun
des processus mtiers tudis :
la priode de temps maximale aprs le sinistre, au cours de laquelle chacune des
ressources ncessaires laccomplissement dun processus mtier pour tre opra-
tionnelle doit tre recouverte (recovery time objectives [RTO]) ;
le niveau dactivit qui doit tre repris pour chaque processus, ainsi que son volu-
tion dans le temps sur une priode dun mois compter de la survenance du sinistre.
La dfinition des objectifs de reprise doit permettre de comprendre la stratgie que
les mtiers souhaitent mettre en place pour assurer la continuit de leur activit avec
un niveau acceptable de dgradation suite un sinistre. La stratgie est ainsi
formule de manire simple : en cas de sinistre et pour chaque mtier, quelles capa-
cits le groupe veut-il conserver ou recouvrer, et quelles chances ?
Comme lors de lanalyse dimpact, la bonne pratique veut que la stratgie et les
objectifs de reprise soient dfinis au regard du scnario le plus impactant pour le
processus mtier considr (lentreprise est la seule impacte, les autres acteurs du
secteur oprent normalement).
La dfinition des RTO repose obligatoirement sur la cartographie et lanalyse
dimpact ralise avec le BIA :
implicitement, le RTO indique le niveau dimpact que le mtier accepte de sup-
porter (le seuil de tolrance) ;
les priodes critiques identifies lors de la cartographie des processus sont prises en
compte dans la dfinition de la stratgie de reprise (objectifs et priorits en cas de
sinistre survenant la pire priode).
tape 4 : laborer et mettre en place des solutions
Les mtiers ayant dfini leur stratgie de continuit dactivit et formul leurs
Groupe Eyrolles
besoins en ressources critiques sont maintenant en mesure de :

consolider les besoins de secours applicatifs en spcifiant aux matrises douvrage
informatique les besoins couvrir en termes dobjectif de reprise et de restauration
de donnes ;
identifier les alternatives et mesures conservatoires dployer pour couvrir la

priode entre le sinistre et la reprise du processus mtier impact ;
concevoir les solutions de continuit adquates pour permettre aux personnels de
redmarrer les processus mtiers impacts par le sinistre et assurer la continuit des
activits vitales et critiques de lentreprise ;
organiser la cohrence des stratgies et des solutions dployes au sein de lentreprise.
La mise en place des solutions de continuit se droule en trois tapes :
choix des solutions de continuit :
solutions de continuit informatique,
solutions de continuit utilisateurs pour redonner un poste de travail aux
personnels impacts ;
mise en cohrence des stratgies et des solutions dployes au sein du groupe :
alignement sur lintgralit du droulement du processus (front-to-end),
alignement transversal,
rationalisation des investissements,
mutualisation des moyens ;
mise en place des solutions et documentation des plans de continuit dactivit.
Le management de chaque entit est propritaire de son plan de continuit dacti-
vit et en valide chacune des tapes :
validation des expressions de besoin ;
validation des choix de solutions retenues ;
validation des alignements ;
validation des investissements raliser ;
validation des solutions implmentes (recettes) ;
validation de la documentation.
La validation tape par tape permet de garantir que les solutions labores, mises en
place et documentes, rpondent aux besoins exprims et sont conformes la stra-
tgie formule. En cas de dsaccord, on reprend la dmarche partir de la dernire
tape valide (dmarche itrative).
tape 5 : choix des solutions utilisateurs
Positions sur site de repli (site interne ou sous contrat avec un prestataire)
Positions ddies : postes de travail entirement pr-quips sur un site de secours
utilisateurs, distance raisonnable du site primaire pour permettre un repli rapide
aprs un sinistre. Ces positions sont, exclusivement et en permanence, rserves
lusage du groupe en cas dactivation, et leur disponibilit est garantie.
Positions mutualises : postes de travail entirement pr-quips sur un site de
Groupe Eyrolles
secours utilisateurs, distance raisonnable du site primaire pour permettre un repli

rapide aprs un sinistre. Les positions mutualises ne sont pas exclusives et sont
contractes paralllement par plusieurs entreprises.
Secours croiss
Cross back up : solution consistant reloger un utilisateur ayant perdu laccessibilit
son poste de travail sur un autre poste dans un autre immeuble de production
non impact.
Cross border : solution consistant reloger le personnel sur une autre implantation
du groupe linternational.
Remarque : ces solutions croises supposent que des positions et quipements de
production et/ou de rserve puissent tre librs la demande, o et quand nces-
saire. En outre, la solution linternational nest raisonnablement pas oprationnelle
avant J + 2 aprs sinistre (valuation empirique).
Accs distance
Capacit de mener des activits depuis un site nappartenant pas au groupe avec un
accs distance aux applications informatiques si ncessaire (domicile, cybercaf,
entreprise tierce).
Remarque : laccs distance nest pas la solution privilgier pour certaines acti-
vits critiques (trading, trsorerie, etc.), car elle suppose une qualit de contrle et
de scurit dgrade (accs via Internet).
Split operations
Solution consistant clater temporairement les personnels critiques sur un plus
grand nombre de sites (production, repli, accs distance) en prvision dun risque
accru de perturbation des activits (exemple : manifestation type G8, convention
rpublicaine New York, etc.) ou pour rpondre une incapacit conjoncturelle de
rejoindre le lieu de travail habituel (lors dune grve des transports, par exemple).
Lorsque cet clatement des comptences nest plus conjoncturel mais est intrin-
sque par construction la structure de la socit, on parle de rsilience.
Mise en cohrence - Alignements
Alignement de bout en bout
Pour garantir la cohrence du dispositif de continuit, il est essentiel daligner les
stratgies et solutions des fonctions supports (FS) et de linformatique (IT) sur les
objectifs de reprise des fronts mtiers (FO).
tape 1 : les FS intgrent les expressions de besoin et la stratgie des FO dans la
dfinition de leurs objectifs PCA (itrations, si besoin).
tape 2 : lIT aligne sa stratgie de reprise pour rpondre aux exigences mtiers
consolides.
tape 3 : le business case est consolid de bout en bout, puis est valid par le mana-
gement.
Groupe Eyrolles
tape 4 : limplantation (ou la rvision) des solutions retenues fait lobjet dun plan
daction.
tape 5 : le dispositif mis en place est document et valid par le management.
Alignement transversal
De faon similaire lalignement en silo , une mise en cohrence transversale est
ncessaire pour les activits ayant identifi des interdpendances critiques entre elles
ou bien lorsquelles partagent les mmes ressources critiques.
Alignement avec les scnarii
Le choix des solutions dployer peut changer en fonction du scnario de sinistre
auquel le groupe est confront. Il convient donc de procder une mise en coh-
rence pour mettre en face de chaque scnario les impacts considrer et les solutions
permettant la couverture des activits (scnarii impactant directement les mtiers et
problmatiques hubs rgionaux ).
Optimiser les investissements
Quel est le primtre couvrir ? En tenant compte de la probabilit doccurrence et
des impacts relatifs lensemble des scnarii que le groupe a choisi de couvrir, le
positionnement dpendra du seuil de risque acceptable pralablement dfini.
La seule mise en conformit du dispositif de continuit avec les objectifs rglemen-
taires ne prsente pas dapport significatif en termes de continuit, et ce, malgr un
investissement lourd, notamment au niveau informatique.
linverse, les solutions informatiques requises pour rpondre aux exigences rgle-
mentaires donnent au groupe une capacit assurer la continuit des systmes
dinformation bien au-del du strict minimum rglementaire.
Un investissement supplmentaire sur des solutions mtiers pour assurer la conti-
nuit des activits vitales et critiques prsente un retour sur investissement plus favo-
rable et permet doptimiser linvestissement minimal requis pour rpondre aux
exigences rglementaires.
Plan durgence
Le plan durgence vise grer de faon optimale des scnarii de crise affectant le
patrimoine de lentreprise et susceptibles de gnrer des dommages environne-
mentaux substantiels. Pour les risques hautement protgs, le plan durgence est
constitu de trois niveaux :
plan dorganisation interne des secours, dont la coordination est sous la responsabilit
du chef dtablissement, visant sassurer de lvacuation effective du personnel et
des tiers au moment du sinistre et prcisant les modalits de gestion du sinistre ;
plan particulier dintervention : concerne les sinistres dampleur plus importante
en associant la protection civile, les pompiers, le prfet ;
plan Orsec, sous la responsabilit du prfet de Rgion, voire du ministre de lInt-
rieur et ou de lEnvironnement.
Groupe Eyrolles
Cellule de crise
La cellule de crise est loutil fdrateur des autres outils de gestion de crise. Cest la
fois une structure logistique permettant de grer la situation de crise dans des
conditions optimales, et des acteurs internes et externes qui seront diffrents en
fonction du scnario de crise analys :
en tant que structure logistique : la cellule de crise doit toujours tre situe
lextrieur de lentreprise, dans un endroit confidentiel. Cest une structure int-
grant les moyens logistiques suivants :
configuration tlphonique et informatique oprationnelle et teste rgulirement,
copie des fichiers stratgiques,
papier en-tte, machine affranchissements,
vivres, etc. ;
en tant quacteurs : la cellule de crise est constitue dacteurs internes et externes,
diffrents en fonction du scnario de crise analys. Nous pouvons distinguer deux
cas de figure :
cas o les acteurs sont dfinis par une contrainte rglementaire,
cas o les acteurs sont du ressort de lentreprise.
Contrle financier des risques

Le contrle financier des risques est structur en trois composantes :
autofinancement volontaire des risques ;
transfert des risques sur des tiers (dont assurance) ;
financements alternatifs (mutualisation interne de risques acceptables).
Autofinancement des risques

Autofinancement prventif
Les entreprises de droit priv nont quune obligation dassurance concernant les risques
de responsabilit civile, cest--dire de dommages corporels, matriels et immatriels
causs aux tiers. Par voie de consquence, elles peuvent dcider dautofinancer certains
risques patrimoniaux ou les franchises (partie du cot du sinistre la charge de lassur)
qui peuvent tre substantielles dans le cas de grands risques industriels.
ce titre, les groupes peuvent constituer des provisions pour propre assureur
correspondant la valeur expertise de lactif pouvant subir le risque. cette provi-
sion est adosse lacquisition dactifs financiers subordonns sans risques, gnrant un
coupon en cas dinexistence dun sinistre.
Ces actifs subordonns font lobjet de tests de dprciation pour sassurer que la
performance de ces actifs correspond la performance escompte (en conformit
Groupe Eyrolles
avec la norme IAS 36).

En cas de sinistre, ce dernier est expertis et lactif en reprsentation est cd. Dans
lhypothse inverse, lactif financier gnre une rmunration scurise.
Autofinancement curatif
Il existe trois cas de figure en termes de financement des risques post-sinistre :
le financement de la franchise ;
lapplication de la rgle proportionnelle de capitaux ;
le trou de garantie.
Le financement de la franchise est une obligation prvue par le droit des assurances.
Afin de moraliser le risque , lassur doit supporter sur trsorerie courante une
partie du cot du sinistre. En risques industriels, le montant de ces franchises peut
largement dpasser la trsorerie effective dtenue par une filiale de petite taille,
pouvant entraner des problmes substantiels de trsorerie dans cette dernire.
Ce cas de figure ne semble pas envisageable pour les groupes qui se doivent de scu-
riser le cash-flow du groupe et la rmunration de lactionnaire. Nous verrons que
le recours aux comptes captifs de rassurance permet dautofinancer des niveaux de
franchise levs.
Dans le cas de lapplication de la rgle proportionnelle de capitaux, le groupe doit
financer lcart entre les capitaux dclars lassurance par le management et la
valeur de remplacement neuf du patrimoine dtruit. Dans le cas de la ralisation
dune expertise pralable de capitaux, ce principe na pas lieu dtre.
Le trou de garantie correspond au cas de figure o le fait gnrateur la base du
sinistre fait partie des exclusions. Lentreprise doit dans ce cas autofinancer lintgra-
lit du cot du sinistre (si elle en a la capacit !).
Transfert des risques

Le transfert des risques de sinistralit de lentreprise sur des tiers est fond sur lutili-
sation en parallle de quatre techniques :
le transfert financier via essentiellement des techniques bancaires ;
le transfert contractuel des risques lexception du transfert via les polices
dassurance ;
le transfert via programme dassurance au niveau national ou international.
Transfert financier des risques

Le transfert financier des risques se matrialise par le recours des techniques
bancaires ou financires portant sur des risques immatriels (par exemple : risque
client ou politique). Font ainsi partie de cette famille doutils les techniques des
crdits documentaires irrvocables et confirms et les diffrentes techniques
descompte.
Transfert contractuel des risques hors assurance

Groupe Eyrolles
Ces techniques de transfert de risque se basent sur le transfert des risques sur des tiers
via lutilisation de clauses contractuelles.
Ainsi relvent de cette catgorie le recours certains Incoterms (international commer-
cial terms) ou lutilisation de clauses de back-up visant redployer les processus
mtiers en cas de situation de crise.
Transfert des risques par programme national dassurance

Lune des techniques de transfert des risques les plus utilises porte sur le transfert
des risques via les programmes dassurance, tant au niveau domestique quinterna-
tional. Dans un optique risk management, lassurance est cependant considre comme
tant une technique utilise titre rsiduel.
Principes gnraux de structuration des programmes dassurance
Dans les grands groupes, il est indispensable de rationaliser la structuration du
programme dassurance. Cette rationalisation est fonde sur un certain nombre de
principes fdrateurs, savoir :
lassurance pour compte de ;
la clause de renonciation recours ;
la franchise par sinistre ou par anne dassurance ;
la limite contractuelle dindemnit.
Assurance pour compte de
L assurance pour compte de est une pratique courante dans les groupes indus-
triels souhaitant minimiser leur budget assurance tout en ayant une qualit de
garantie leve.
Ce type de clause se traduit en gnral par la souscription dune police dassurance
par la socit mre pour le compte des entits juridiques faisant partie du primtre
de consolidation statutaire.
Clause de renonciation recours
Le recours ce type de clause est un choix stratgique dans le cadre de groupes
optant pour la souscription pour compte de (souscription par exemple de la
socit mre pour le compte des filiales). La direction financire et le risk manager se
trouvent face au dilemme suivant :
Faut-il, au nom de la solidarit financire du groupe, renoncer tout recours entre
entits du groupe (en cas de prjudices intragroupe) ?
Ou, au contraire, faut-il assimiler les entits juridiques du groupe des tiers et
autoriser dventuelles procdures intragroupe ?
Il nexiste malheureusement pas de rponse standard cette question qui relve dun
arbitrage stratgique.
Franchise par sinistre ou par anne dassurance
Le choix dune franchise par sinistre ou par anne dassurance est un choix majeur
en termes de protection de la surface financire de lentreprise, surtout dans le cadre
de la mise en uvre de programmes internationaux dassurance.
Bien videmment, afin de protger la trsorerie courante de lentreprise, il est indis-
Groupe Eyrolles
pensable de ngocier une franchise annuelle avec lassureur.

Limite contractuelle dindemnit

Dans le cas de lexistence dun patrimoine industriel clat sur de multiples sites, il
savre intressant de souscrire une police dassurance multirisque industrielle, en
introduisant la notion de limite contractuelle dindemnit (LCI).
Cela signifie que lensemble du patrimoine sera assur sur la base dune surface dve-
loppe et que, en cas de sinistre, la valeur indemnise ne pourra pas dpasser la
valeur expertise du centre de risque la plus leve. Ce choix de structuration du
programme dassurance permet de rduire de faon importante le budget assurance.
Prsentation des principales polices dassurance
En gnral, une entreprise ayant une activit uniquement domestique va souscrire
un certain nombre de polices dassurance visant scuriser sa surface financire.
Police multirisque industrielle
Elle couvre lensemble des dommages matriels affectant le patrimoine de lentre-
prise, quelle que soit sa qualification juridique, lexception des vhicules terrestres
moteur et du parc informatique.
Cette police intgre en gnral une clause pertes dexploitation directes ou
indirectes (conscutives un dommage matriel). Il savre souvent indispensable
de souscrire une clause carence de fournisseurs pour couvrir le risque de rupture
dapprovisionnement.
Il est aussi indispensable de souscrire la garantie du bris de machine et la couverture
des stocks (via une clause rvisable stocks visant ractualiser la prime en fonction
du cot de possession des stocks).
Police globale informatique
Elle couvre deux types de clause : tous risques informatiques (TRI) et
extension risque informatique (ERI).
La clause TRI couvre lensemble des dommages pouvant affecter le patrimoine infor-
matique (unit centrale, serveurs, priphriques, etc.), quelle que soit leur qualification
juridique, ainsi que les frais de reconstitution des mdias (temps de saisie ncessaire la
reconstitution de donnes dtruites) et les frais supplmentaires dexploitation (loca-
tion dun ordinateur de remplacement, frais de dplacement de personnel).
La clause ERI couvre les consquences dune utilisation non autorise de ressources
informatiques (cas de dtournements de fonds gnrs par lutilisation illicite de
codes daccs logiques). La souscription dune telle clause nest pas autorise dans la
loi Sarbanes-Oxley, car elle peut inciter la criminalit interne.
Police responsabilit civile gnrale et professionnelle
Elle couvre lensemble des dommages causs aux tiers, quils soient matriels, imma-
triels ou corporels. Sont en gnral couvertes :
Groupe Eyrolles
la responsabilit civile exploitation (dommages gnrs par un dysfonction-

nement des processus mtiers) ;
la responsabilit civile produit (avec trs frquemment une exclusion de
lexportation vers les tats-Unis) ;
la responsabilit civile atteinte environnement pour des montants limits ;
la responsabilit du fait des commettants.

cette police responsabilit civile gnrale sadjoint, en gnral, une police respon-
sabilit civile professionnelle couvrant des risques sectoriels spcifiques (en banque,
par exemple : des clauses erreurs sur oprations titres, erreurs sur remise de chque,
soutien abusif de crdit, rupture abusive de crdit, etc.).
Police flotte automobile
Elle couvre lensemble des vhicules terrestres moteur avec, en gnral, une
gestion de flotte base sur des principes conomiques (du type assurance tous risques
pour les vhicules de moins de cinq ans, assurance responsabilit civile uniquement
pour les vhicules de plus de cinq ans).
Transfert des risques via programme international dassurance

Les groupes industriels ou tertiaires souhaitant se dvelopper linternational, soit
par cration de filiales, soit par acquisition de socits existantes, doivent sassurer de
lexistence de programmes dassurance homognes au niveau international, prot-
geant la surface financire du groupe.
Il existe trois typologies de programmes internationaux dassurance, scurisant plus
ou moins la surface financire des entits figurant dans le primtre de consolidation
statutaire, savoir :
souscription locale des risques (broad local coverage) ;
programme parapluie (umbrella program) ;
programme coordonn au niveau mondial (master coordinated program).
Lensemble de ces programmes est scuris via le transfert des risques en deuxime
ligne via des traits de rassurance (voir annexes de la premire partie).
Souscription locale des risques
Ce type de programme dassurance se rencontre dans le cadre de groupes familiaux qui
procdent des fusions-acquisitions de socits existantes au niveau international.
Ce type de programme dassurance est en gnral dangereux, car il consiste laisser
une autonomie de souscription assurance chaque filiale trangre. En cas de trou
de garantie (fait gnrateur non assur), les pertes financires gnres par un sinistre
sont consolides sur la socit mre et peuvent affecter la surface financire du
groupe de faon substantielle.
Programme parapluie
Le programme parapluie est un programme dassurance scurisant totalement la
surface financire du groupe par le biais dun financement des risques DIC et DIL
des filiales trangres. Il est prcd par la ralisation dune cartographie des risques
au niveau mondial faisant ressortir les risques exclus des garanties assurance au niveau
domestique (risques DIC [difference in condition] : trou de garantie non assurable loca-
Groupe Eyrolles
lement) et valorisant les carts entre les objectifs de capitaux assurer pour chaque
filiale et les capitaux assurables localement (risques DIL [difference in limit] : diffrence
entre les capitaux que le groupe souhaite assurer et les capitaux assurables au niveau
domestique).
Dans le cas de ce programme, les filiales trangres sassurent en premire ligne

auprs dassureurs locaux (via le schma de la souscription locale des risques). Lassu-
reur de la socit mre (dnomm assureur apriteur ) assure quant lui la fois
les risques de la socit mre, mais aussi les risques DIC et DIL des filiales. En cas de
sinistre majeur, la surface financire du groupe est compltement scurise via ce
dispositif.
Programme coordonn au niveau mondial
Le programme coordonn dassurance est un dispositif sappliquant aux groupes
internationaux cots. Dans ce cas de figure, lassureur tiers intervient sur le finan-
cement des risques internationaux, le groupe acceptant dautofinancer les risques de
frquence. Ce type de montage est bas sur lexistence dun niveau de franchise trs
lev (plusieurs millions deuros), imposant la constitution des systmes dautofinan-
cement de cette dernire par les groupes industriels ou tertiaires.
Ce type de programme nautorise quune seule police dassurance au niveau
mondial applicable lensemble des entits juridiques constituant le primtre de
consolidation du groupe.
Les filiales sassurent auprs de correspondants locaux de lassureur apriteur, la
socit mre assurant toujours les risques de la socit mre ainsi que les risques DIC
et DIL des filiales.
Financements alternatifs
Le recours aux financements alternatifs relve dune sous-branche du corporate risk
management dnomme ingnierie des risques .
Cette dernire a pour objectif, dune part, de financer en intragroupe certains
risques de sinistralit matrisables en vue de raliser de lautofinancement dfiscalis
sous couvert de transfert de risques ; et dautre part, de financer des risques mer-
gents non assurables (via le march de la rassurance technique) ou de lever des capi-
taux suprieurs au march de lassurance via des techniques de titrisation.
Systmes captifs dassurance/rassurance
Les groupes industriels ou tertiaires peuvent avoir recours des systmes captifs
dassurance ou de rassurance (via filialisation interne au groupe) en vue dauto-
financer certains risques de sinistralit matrisables. De fait, il existe trois types de
montages juridico-financiers.
Systmes captifs de rassurance
Les systmes captifs de rassurance sont les plus frquents. Dans cette configuration,
la socit mre dtient une filiale ayant le statut de socit de rassurance (cest--
dire finanant uniquement les risques de personnes morales et ne pouvant financer
les risques concernant les personnes physiques).
Groupe Eyrolles
Les risques du groupe sont transfrs un assureur tiers apriteur qui coordonne le
programme dassurance au niveau mondial et rtrocde une partie des primes la
socit captive de rassurance. Lapriteur se coassure auprs de la socit captive.
Afin de protger leurs surfaces financires respectives, lassureur apriteur et la
captive se rassurent via des traits proportionnels (partages des risques et des primes
sur une base proportionnelle) ou non proportionnels (lassureur supporte un plein

dacceptation protgeant la surface financire).
Systmes captifs dassurance
Les systmes captifs dassurance sont beaucoup moins utiliss que le systme
prcdent car ils ncessitent dobtenir un agrment par branche dassurance en vue
dassurer des personnes physiques.
Lintrt de ce type de montage est trs limit pour les groupes industriels, alors quil
est majeur pour les groupes bancaires, qui vont utiliser ce type de montage pour
leurs clients en leur proposant des produits dassurance captifs (multirisques habita-
tion, automobile, assurance-vie, etc.).
Ce type de montage juridico-financier se caractrise par le fait que lassureur apriteur
devient la socit captive de rassurance coordonnant le programme dassurance au
niveau mondial. Cette dernire se coassure auprs dun assureur tiers. Les deux acteurs
se rassurent via des traits de rassurance proportionnels ou non proportionnels.
Le rassureur supporte la diffrence quel que soit le montant du sinistre.
Comptes captifs de rassurance
Les comptes captifs de rassurance visent essentiellement autofinancer les franchises
dans le cadre de programmes internationaux dassurance de type master coordinated
program.
Dans ce type de montage juridico-financier, le groupe industriel verse une prime
dassurance dcaissable un courtier dassurances international gestionnaire de
captives de rassurance. Cette souscription de police dassurance va tre associe la
location dun compte captif de rassurance pour des capitaux correspondant au
montant de la franchise dans le cadre du programme international dassurance.
La location de ce compte captif permet, dans le cas de linexistence de sinistres, de
gnrer des produits financiers dfiscaliss rcuprs via une participation bnfi-
ciaire au rsultat (se traduisant par une diminution de la prime dassurance pour
lanne suivante).
Chaque compte captif est rassur de faon autonome, ce qui scurise le montage
financier. En cas de sinistre, la socit gestionnaire du compte captif donne lordre
de cder les actifs en reprsentation et indemnise le sinistre pour le montant de la
franchise.
Rassurance financire
La rassurance financire se fixe deux objectifs :
intervenir sur des risques mergents que le march de lassurance classique refuse
de reconnatre comme tant des risques assurables (bug de lan 2000 en 1999,
rchauffement de la plante, etc.) ;
complter les capitaux sur des risques assurables par le march de lassurance et de
Groupe Eyrolles
la rassurance technique, mais trs loigns des objectifs dassurance recherchs.

Dans les deux cas de figure, la rassurance financire cherche utiliser des techniques
de titrisation visant annuler un risque de sinistralit alatoire en ladossant sur des
actifs financiers non risqus.
Le financement des risques non assurables

La rassurance financire peut venir se substituer aux techniques dassurance dans
lhypothse o le march de lassurance refuse de prendre en compte ces risques
mergents. Les techniques utilises sont identiques celles dveloppes ci-dessous.
La rassurance financire en complment de la rassurance technique
Les techniques de rassurance financire visant complter des capitaux existant
dans le cadre dun programme dassurance traditionnel sappuient sur des techniques
dingnierie des risques relativement complexes.
Dans un premier temps, un groupe industriel souscrit un contrat dassurance avec un
assureur apriteur (coentreprise ayant la fois la qualit dassureur et de banquier
pouvant intervenir en tant que syndicat bancaire). La prime dassurance dcaisse est
dductible fiscalement.
Lassureur alternatif en sa qualit de banquier intervient en tant que syndicat
bancaire pour acqurir des titres obligataires via la prime dcaisse. Il procde ainsi
de la titrisation, en adossant le risque pur sur un actif financier non risqu prsentant
une rmunration certaine. Ce type de montage financier est assimil un vhicule
de refinancement (special purpose vehicule) et savre trs surveill en comptabilit
financire IFRS et US GAAP en tant que montage dconsolidant. cet emprunt
obligataire est adosse une option. Dans lhypothse o aucun sinistre ne se matria-
lise, les primes dassurance verses annuellement alimentent la constitution dun
portefeuille obligataire rmunr. Loption nest pas exerce et les coupons gnrs
par ce portefeuille sont rcuprs par le groupe industriel via une participation bn-
ficiaire au rsultat se traduisant par une diminution de la prime dassurance sur les
annes venir.
Dans le cas inverse (cest--dire si le sinistre se matrialise), loption est exerce,
gnrant la cession dactifs obligataires (titres dtenus chance : held to maturity).
La cession de ces actifs permet le remboursement du sinistre au groupe industriel,
protgeant ainsi la rmunration de ses actionnaires.
Dun point de vue comptable, ce type de montage financier est assimil un instrument
de march, valoris selon la technique de value at risk (en couverture de cash-flows).
Linstrument de march apparat lactif du bilan du groupe industriel pour une
valorisation gale la somme actualise des amplitudes de cash-flows entre le
scnario le plus optimiste (loption nest pas exerce) et le scnario le plus pessimiste
(loption est exerce chaque anne avec la ralisation dun sinistre majeur entranant
la cession de lensemble des titres dtenus chance).
La contrepartie de cet actif financier correspond au passif la constitution dune
rserve de juste valeur.
Lobjectif de cette passation dcriture est de comptabiliser la qualit de linstrument
de couverture que lassureur alternatif a propos son client industriel pour financer
des risques de sinistralit potentiels.
Groupe Eyrolles
Chapitre 4
Choix optimal, budgtisation

et mise en uvre du dispositif
Critres de choix en termes de combinaison optimale
Il est inenvisageable de financer lensemble des outils de mise sous contrle des
risques prsents au chapitre prcdent. Le choix optimal peut se raliser via deux
types de critres.
Scnarii inacceptables
Ainsi seront traits en priorit les scnarii qui, du fait de leur ralisation, pourraient
remettre en cause la prennit de lentreprise. Dans ce cas de figure, le critre
budgtaire est trs secondaire, des investissements de prvention substantiels permet-
tront dradiquer le risque titre prventif.
Critre de la valeur actuelle nette

Pour les autres scnarii, le critre budgtaire est important. Comme dans toute dci-
sion dinvestissement, il faudra dmontrer limpact des mesures prventives sur la
protection du cash-flow en utilisant le critre de la valeur actuelle nette (VAN).
Compte tenu du fait que le risk management sintresse aux risques de sinistralit,
lobjectif nest pas de rechercher la maximisation de la rentabilit conomique, mais
de rechercher la combinaison doutils minimisant les pertes financires en cas de
ralisation du risque (choix de la VAN la moins ngative).
Le rseau budgtaire risk management

Lobjectif du rseau budgtaire risk management est de fournir au risk manager un
certain nombre doutils de pilotage lui permettant de dmontrer soit la matrise des
cots de son dpartement, soit la rentabilit de son centre de profit (dans lhypothse
o il est gestionnaire de systmes captifs de rassurance).
Ce rseau budgtaire est compos de deux tats budgtaires :
le compte de rsultat risk management ;
le bilan risk management.
Groupe Eyrolles
Compte de rsultat risk management
Bilan risk management
Actif Passif
Actif circulant Passif circulant
Liquidits de la captive
Dettes commerciales
Titres de placement de la captive
Dettes sur rmunration
Crances clients
Immobilisations Ressources long terme
Investissements de scurit
Fonds propres de la captive
Investissements de gestion de crise
Quote-part dettes long terme
Participations de la captive
Autres investissements
Groupe Eyrolles
Chapitre 5
Reporting, monitoring et retour dexprience

Spcificits des tableaux de bord risk management
Il existe deux typologies dindicateurs au sein des tableaux de bord risk management :
les tableaux de bord sinistralit. Ils suivent tant la frquence que la gravit des sinis-
tres par typologies de risques en vue didentifier dventuelles tendances structurelles,
ou permettent de calculer la prime technique (gravit frquence) :
sinistres automobiles,
sinistres IARD (incendie autres risques divers),
sinistres responsabilit civile,
sinistres informatiques,
sinistres accidents du travail,
sinistres atteinte lenvironnement,
les tableaux de bord performance et pilotage.
Il savre indispensable de construire au sein du Sirm des tableaux de bord mana-
gement des risques dynamiques, bass sur une logique de pondration (intgrant la
tolrance au risque, les impacts et la frquence), les attributs de chaque risque et
lvolution de la vulnrabilit dans le temps.
Les indicateurs retenus ont pour finalit de sassurer de latteinte des objectifs et de
comprendre les moyens mis en uvre pour les atteindre :
ratio sinistres prime ;
cot des sinistres ;
diminution de la frquence des sinistres ;
efficacit de la politique de souscription ;
cot des processus risk management engags (credit management, supervision risque
informatique, etc.).
Retour dexprience et sret de fonctionnement

Certains groupes industriels compltent lanalyse de la sinistralit par la mise en uvre
dapproches du type sret de fonctionnement, visant radiquer les causes de survenance
du risque. Ce type dapproches ncessite de raliser une analyse causale suite chaque
sinistre en vue didentifier les diffrentes typologies de causes internes ou externes :
dfaillance humaine ;
Groupe Eyrolles
mauvaise organisation ;
dfaillance du management ;
insuffisance de prvention ;
cas de force majeure.
Chapitre 6
Retour dexprience sur la mise

en uvre de la mthodologie risk management
Quels compromis pour quels objectifs ?
Dlais
Le dlai de mise en uvre du dispositif de management des risques est un facteur
dterminant dans le choix de lorganisation et des objectifs fixer au primtre du
dispositif de risk management.
Le dlai dpendra de la nature mme du projet et des objectifs que la socit se fixe.
De nombreux groupes cots franais sorientent via une approche construite sur un
rtroplanning. En gnral, ces groupes partent dune approche purement descriptive de
leur dispositif de risk management. Lvolution vers un systme de risk management effi-
cace, ncessitant de mesurer lefficacit du dispositif par la construction du systme
dinformation risk management, gnre des impacts organisationnels substantiels.
Les dispositifs de fusions-acquisitions et rapprochements doivent tre examins avec
prcaution. Ils peuvent entraner la construction, dans des dlais trs rapides, dun
dispositif de risk management impos par la socit prdatrice la socit cible, sans
ngociation possible de cette dernire. Cela peut se traduire par des cartographies de
risques inadaptes, et par un dispositif soit surdimensionn ou sous-dimensionn et
relativement inefficace.
Primtre et champs du projet

Pour diffrencier le primtre de consolidation comptable et de risk management,
on fera remarquer que le primtre du dispositif de risk management nest pas nces-
sairement gal au primtre de consolidation ou de combinaison intgrant la socit
mre, les filiales, les socits affilies, coentreprises et entits ad hoc.
En effet, il est ncessaire de rflchir sur le dispositif de risk management des entits
(socits, units daffaires, zone gographique) en fonction de seuils de matrialit
significatifs (poids des processus dans les tats financiers).
De ce fait, certaines entits non significatives peuvent tre exclues du dispositif de
risk management o parfois le niveau dexigence requis nest pas le mme en fonc-
tion de la taille de la filiale ou de la socit affilie.
Groupe Eyrolles
Organisation
Structure ad hoc cre de type direction
La cration dune structure ad hoc de risk management implique, de la part de la
direction, la volont dafficher clairement dans lorganigramme limportance du
projet et de la prennit du dispositif.
Cette structure peut tre concentre sur un responsable du risk management et
sappuyer sur des relais que sont les correspondants risk management de division.
La cration dune telle structure ne vise pas dresponsabiliser les oprationnels, bien
au contraire, mais permettre une meilleure coordination et un langage unique.
Construction collgiale base sur une responsabilit managriale

Certains groupes dcident de construire un dispositif de risk management mature
partir dune production collgiale porte par les oprationnels via des comits de
risques. Ce dispositif porte en lui-mme ses forces et ses faiblesses (ses forces : les
cartographies de risques correspondent une connaissance approfondie des mtiers ;
ses faiblesses : on assiste rapidement des divergences mthodologiques gnrant des
chapelles du risk management au sein de la mme entreprise).
Construction collgiale fdre par une direction du risk management

Dautres groupes adoptent une approche mixte impliquant les oprationnels mais
sassurant dune cohrence mthodologique via la direction du risk management.
Budget
Internalisation ou externalisation
Le choix dinternaliser ou dexternaliser le projet nest pas sans incidences ni risques.
Certaines filiales de grands cabinets de commissariat aux comptes proposent en effet
ce type de prestations. Tout internaliser permet dimpliquer les oprationnels dans la
mesure o le responsable du projet a le poids suffisant dans la hirarchie.
Le risque induit est une difficult identifier les bonnes pratiques qui ne seraient pas
en place dans lorganisation.
Lexternalisation complte du dispositif de risk management nest pourtant pas
conseille. Le risque de dsappropriation par les quipes internes du dispositif est trs
lev. Une fois les consultants partis, le dispositif stiole et nest plus maintenu, alors
que les risques et processus critiques sont toujours prsents.
Bien entendu, un mlange des deux permet dallier la connaissance interne et le
benchmark de ce qui se pratique ailleurs.
Niveau dautomatisation donn au Sirm

La problmatique du niveau dautomatisation donner au systme dinformation
Groupe Eyrolles
risk management (Sirm) est lune des plus sensibles traiter dans le cadre du projet
construction dun dispositif de management des risques.
Lide est bien de construire un dispositif de risk management qui permette de
mesurer lefficacit de la dmarche.
Ch. 6 Retour dexprience sur la mise en uvre de la mthodologie risk management 53
Avec quels moyens ?

Mobilisation des quipes et de la direction : un engagement
incontournable de la direction gnrale
Constituer ses quipes internes, trouver le meilleur accompagnement externe avec
des outils appropris pour lobjectif fix est essentiel.
Mais tout cela ne fonctionnera que si lengagement total et affich de la direction
gnrale et des autorits de gouvernance est sans faille. Cet engagement est visible
par la cration des comits de risque runis rgulirement avec des comptes rendus
partags et largement diffuss.
Appropriation des spcificits mthodologiques et du langage risk assessment

Le langage du risk management nest pas immdiat pour tous. La formation ses
spcificits est essentielle, et pas seulement pour lquipe charge du dispositif. Cet
engagement de formation permet tous de parler un langage commun et dadhrer
en bonne connaissance de cause au dispositif, qui, de fait, devient un lment part
entire de lactivit.
Prise en compte de la dimension multiculturelle et intermtiers,

et prvention du risque social
La construction dun dispositif de risk management efficace passe, de notre point de
vue, par la ncessit de brasser les populations fonctionnelles et oprationnelles pour
faire converger les buts.
Management du projet et outils de mise en uvre

La construction dun dispositif de risk management mature ncessite de dvelopper
une approche progressive et pragmatique. Vouloir tout couvrir en une seule fois est
illusoire et inefficace.
Il faut bien cerner les enjeux majeurs et les zones risque pour mettre en uvre les
dispositifs adapts chaque groupe, qui seront amliors au fil de leau.
Premire tape : dfinir un rfrentiel de risk management adapt la culture du
groupe, puis fixer ses priorits par rapport ce rfrentiel en alignant le dispositif sur
les objectifs stratgiques.
Deuxime tape : lintgration de la notion de risques est primordiale, afin de focaliser
les nergies sur les vritables enjeux du groupe et favoriser lefficacit des moyens
allous. ce stade une cartographie des risques savre indispensable.
Troisime tape : identifier et/ou dfinir les rgles, modles dorganisation et modes de
gouvernance du groupe au regard des risques et objectifs du groupe, en sassurant de la
documentation et de la communication de ces principes.
Groupe Eyrolles
Quatrime tape : passer en revue les processus majeurs et critiques de lentreprise, ainsi que
ses mta-risques, en visant identifier les dysfonctionnements significatifs ncessitant
dengager des plans correctifs (cette tape constituant un vritable levier damlio-
ration de la performance).
Cinquime tape : dfinir les modes de surveillance de ces dispositifs et les acteurs associs.
DEUXIME PARTIE
Lentreprise industrielle hors risque
Lobjectif de cette deuxime partie est de fournir au lecteur :

les outils en vue de raliser une cartographie des risques de faon efficiente ;
une matrice de mise sous contrle effective par risque industriel majeur (IARD,
informatique, produit, etc.).
Groupe Eyrolles
Chapitre 1
Cartographie des risques industriels

Modalits de ralisation dune cartographie des risques
La construction et lactualisation dune cartographie des risques est un processus
complexe ncessitant dimpliquer lensemble des mandataires sociaux au niveau
international et les correspondants risk management par zone gographique.
La premire tape consiste identifier les micro-risques au niveau de chaque filiale,
en partant de la sinistralit observe et en simulant dautres risques potentiels affec-
tant les centres de risque.
La deuxime tape consiste agrger ces micro-risques en macro-risques, la fois
par unit daffaires et par zone gographique linternational, en faisant ressortir
certaines spcificits (existence du risque politique, par exemple li certaines zones
gographiques ; ou existence de risques spcifiques lis chaque unit daffaires).
La troisime tape permet la consolidation des mta-risques au niveau consolid du
groupe, en mettant en exergue les risques inacceptables ncessitant de dployer des
outils de gestion de crise en cas de ralisation.
Bien souvent, notre exprience en termes de ralisation de cartographie des
processus fait ressortir des divergences dapprciation substantielles, par unit
daffaires ou par zone gographique, majores par une difficult de raliser lexercice
dactualisation des cartographies de faon rcurrente.
La prise en compte des spcificits sectorielles

La construction des cartographies doit prendre en compte des spcificits sectorielles
lies aux groupes industriels.
Ainsi sont concernes par le risque produit (dommages corporels lis la
consommation des produits) les entreprises suivantes :
laboratoires pharmaceutiques ;
groupes agroalimentaires ;
groupes automobiles.
Sont surtout concerns par le risque atteinte lenvironnement les groupes
Groupe Eyrolles
appartenant au secteur suivant :

groupes ptroliers ;
entreprises chimiques ;
entreprises risques hautement protgs .
58 Partie 2 Lentreprise industrielle hors risque
La construction dune cartographie des risques intgre donc la fois des risques
gnriques concernant lensemble des entreprises (risques client, fournisseur, etc.), et
des risques spcifiquement sectoriels.
Donner de lintelligence au dispositif de risk management

La construction dun dispositif de risk management mature au sein des groupes
industriels ne passe pas uniquement par le droulement dune mthodologie struc-
ture. Elle implique aussi de donner une intelligence globale au dispositif de risk
management en vue de se concentrer sur les risques industriels significatifs.
Il sagit donc de mettre en uvre un dispositif se focalisant sur :
une dmarche systmatique et rcurrente pour identifier, hirarchiser, prioriser,
valuer et mettre sous contrle les risques industriels ;
une comprhension et une analyse transverse des risques affectant le groupe ;
une comprhension des interrelations entre les diffrents risques (notion de sc-
narii de rupture) ;
la relation directe avec la cration de valeur (en quoi un dispositif de risk mana-
gement efficace protge la cration de valeur du groupe ?) ;
lintgration du risk management dans le quotidien (risk assessment : rflchir risques !) ;
le suivi de lexposition aux risques via un systme dinformation risk management
efficace ;
le niveau dadquation du dispositif de risk management face lapptence du
groupe en termes de risques.
Risk management et apptence au risque

La construction dun dispositif de risk management efficace passe par la ralisation
dun diagnostic objectivant le niveau dapptence rel des dirigeants face aux
risques.
Il existe ainsi cinq profils psychologiques diffrents en termes darbitrage
risques/opportunits, dont les caractristiques sont les suivantes.
Le profil risquophile
La prise de risque est considre comme tant une composante part entire de la
stratgie gnrale du groupe, elle est encourage ce titre.
Le risque est reconnu en tant que valeur et les aspects rglementaires sont assimils
des opportunits.
Groupe Eyrolles
Le profil tolrant aux risques

Le groupe adopte une stratgie agressive en termes de prise de risque.
La mise sous contrle des risques passe par des choix dacceptation ou de rduction
de ces derniers.
Ch. 1 Cartographie des risques industriels 59
Le profil neutre
Le groupe adopte une approche structure en termes darbitrage risques/opportunits.
Les critres de rentabilit et de prise de risque sont valus un niveau identique.
Le profil moyennement risquophobe

Le groupe prend normment de prcautions en termes dvaluation et de quantifi-
cation des risques.
Les objectifs associs au risk management sont prioritaires sur les objectifs de renta-
bilit du groupe.
Le groupe prfre transfrer des risques sur des tiers.
Le profil risquophobe
Le groupe accepte un minimum de risques.
Les risques qui ne peuvent tre mis sont contrle sont supprims. Cela peut se
traduire par un dsengagement de certaines activits.
Structuration top down ou bottom up ?

La mise en uvre dun dispositif de risk management dans lurgence prsuppose
limplmentation dune approche top down partir dun catalogue de risques groupe,
qui sera affine ultrieurement par une approche bottom up.
La ralisation dune cartographie des risques partir du terrain (bottom up) savre
difficile mettre en uvre dans la pratique, et ce, pour deux raisons :
diffrences de perception des risques par unit daffaires et en fonction de la cul-
ture dappartenance ;
diffrences substantielles dans la quantification des impacts et dans lestimation des
probabilits doccurrence des risques (les dirigeants oprationnels ont souvent ten-
dance survaluer les impacts des risques pour tayer leur importance, ce qui
ncessite ultrieurement des prquations importantes).
Prparer la certification ISO 31000

Le projet de norme ISO 31000 Management du risque est intressant car il
permet daboutir une convergence potentielle entre une mthodologie normative
et une mthodologie rglementaire (COSO). Le projet de norme ne concerne pas
seulement les groupes cots mais lensemble des organisations prives ou publiques.
Groupe Eyrolles
Le projet de norme est structur en trois points :

principes de management des risques ;
cadre organisationnel du management des risques ;
processus de management des risques.
Principes de management des risques

Le projet de norme ISO 31000 prvoit un certain nombre de principes fdrateurs
structurants, cest--dire quil vise :
Sassurer de la cration de la valeur

la diffrence de la mthodologie du COSO, le projet de norme ISO fait ressortir
explicitement lexigence de cration de valeur ou de protection de cette dernire via
la protection des biens et des personnes et la protection de limage de lorganisation.
Faire partie intgrante des processus organisationnels

Le projet de norme reconnat le dispositif de risk management en tant que processus
global et sassure de lexistence dune interrelation entre processus et risques.
tre intgr dans la prise de dcision stratgique

ISO 31000 reconnat la dimension risk assessment comme tant une dimension essen-
tielle et met en exergue limplication du top management en termes darbitrage
risques/opportunits, ainsi que le niveau dapptence des dirigeants en termes de
matrise des risques.
Traiter explicitement de lincertitude

Le projet de norme demande lorganisation de donner sa dfinition des risques
alatoires et incertains ainsi que de qualifier la notion de risques acceptables et inac-
ceptables.
Avoir une approche systmatique, structure et proactive

La norme est fonde sur la construction dun dispositif rcurrent bas sur le retour
dexprience et la notion dradication du risque.
Se baser sur la meilleure information disponible

ISO 31000 reconnat lexigence dtayer le dispositif de risk management sur ltude
de sries chronologiques antrieures, mais aussi dlments de veille permettant de
mieux anticiper le futur.
tre construit sur mesure

Le projet de norme ISO reconnat la ncessit dadapter le dispositif de management
des risques lorganisation, aux spcificits culturelles de lorganisation. Cet aspect
est fort intressant et se diffrencie de la mthodologie du COSO, qui est relative-
ment monolithique.
Groupe Eyrolles
Intgrer les facteurs humains et culturels de lorganisation

La norme reconnat le poids du comportemental dans la mise en uvre dun dispo-
sitif de management des risques efficace. noter, l encore, une diffrence substan-
tielle avec le COSO, qui ne met en exergue que laspect mthodologique, sans
sintresser la dimension psychosociologique.
tre transparent et participatif

ISO 31000 met en exergue limportance de construire un dispositif de management
des risques avec la collaboration des parties prenantes (fournisseurs, sous-traitants,
entits portant des processus externaliss).
L encore, il faut noter laspect innovant et diffrenciateur du projet de norme par
rapport au COSO, qui ne raisonne quen fonction du primtre de consolidation
statutaire stricto sensu.
tre dynamique, itratif et ractif

ISO 31000 reconnat la ncessit dtre en veille permanente par rapport lidentifica-
tion des risques mergents. En ce sens, la norme se diffrencie de la mthodologie du
COSO, qui raisonne plutt en termes de risques embarqus relativement stabiliss.
Faciliter lamlioration et lvolution continue de lorganisation

La finalit du dispositif est la monte en puissance du niveau de maturit du dispo-
sitif de management des risques (attributs dun management des risques amlior).
Le cadre organisationnel du management des risques

Le dispositif de management des risques prvu dans le projet de norme ISO est
structur en cinq tapes.
Mandat et engagement
Cette tape ncessite un engagement officiel des acteurs de la gouvernance en
conformit avec lensemble des rglementations en vigueur.
Conception du cadre organisationnel de management du risque

Elle passe par une analyse stratgique du type forces et faiblesses, risques et opportu-
nits en intgrant cette dmarche les parties prenantes externes.
Loriginalit de ce projet de norme ISO rside dans lintgration systmatique de ces
dernires dans le dispositif de management des risques, du fait quelles portent une
partie significative des risques de sinistralit.
Mise en uvre du management des risques

Elle passe par la mise en uvre du cadre organisationnel de management des risques
et se traduit, entre autres, par lobligation pour lentreprise de justifier ses prises de
dcision, y compris la dtermination des objectifs aligns sur les rsultats du
processus de management des risques.
Groupe Eyrolles
Surveillance et revue du cadre organisationnel

Cette tape impose la construction dindicateurs de performance permettant de
monitorer la monte en puissance de la maturit du dispositif de risk management et
deffectuer rgulirement des revues de performance.
Amlioration continue du cadre organisationnel

Cette tape doit se matrialiser par une radication des causes des risques les plus signi-
ficatifs via retour dexprience (voir lanalyse du type sret de fonctionnement).
Le processus de management des risques

Le processus prvu par le projet de norme ISO se dcompose en cinq tapes.
Communication et consultation
Cette premire tape vise partager, avec les parties lies, une mme vision du
dispositif de management des risques mettre en uvre, en changeant les hypo-
thses de travail communes.
tablissement du contexte
Par la prise en compte de lensemble des contraintes et opportunits offertes par les
volutions rglementaires (rglementaire, concurrentiel, montaire, dmographique,
etc.) et de la flexibilit de lorganisation interne mise en uvre pour anticiper ces
risques environnementaux.
Apprciation du risque
Identification du risque
Lobjectif est de raliser une cartographie des risques base sur les vnements
susceptibles de faciliter, dempcher, de diffrer latteinte des objectifs. Le dispositif
vise aussi sintresser aux risques lis la non-saisie dune opportunit.
Dans ce sens le projet de norme ISO 31000 couvre la fois les dimensions corporate
et business risk management.
Analyse du risque
Le projet de norme demande de dcrire les causes des risques affectant les processus
ainsi que leur impact positif ou ngatif, en probabilisant les faits gnrateurs.
La mthodologie propose va dans le sens des approches classiques dveloppes en
termes de contrle interne et de management des risques.
valuation du risque
Cette tape consiste comparer le niveau de risque estim lors de la simulation des
scnarii de risques avec les critres de risque tablis lors de ltablissement du contexte.
Si le niveau de risque ne satisfait pas les critres dacceptabilit (parce quil se traduit
par une remise en cause de la prennit de lentreprise), il convient que le risque
Groupe Eyrolles
fasse lobjet dun traitement (duplication, sparation, suppression, etc.).
Traitement du risque
Lobjectif de cette tape est de supprimer le risque ou de rduire le niveau de vuln-
rabilit de lentreprise :
viter le risque en dcidant de ne pas commencer une nouvelle activit ou de sup-

primer une activit existante ;
supprimer la source du risque via des investissements de protection ;
changer la probabilit doccurrence via des investissements de duplication ;
partager le risque avec une ou plusieurs parties prenantes (dont transfert par lassu-
rance).
Cette mthodologie de traitement du risque est identique la mthodologie amri-
caine daudit en risk management dfinie par lAssociate in Risk Management
(ARM).
Surveillance et revue
Cette phase passe par la construction dun systme dinformation management des
risques permettant de suivre le monitoring des risques.
Cette mthodologie savre relativement proche de celle de lARM, qui se dcom-
pose en cinq tapes :
identification et analyse des risques (tude de la sinistralit antrieure, simulation
de limpact dun sinistre majeur sur les objectifs stratgiques, quantification des
pertes gnres par un sinistre majeur) ;
tude des outils de contrle des risques (contrle interne, technique et financier
des risques) ;
choix optimal en termes de combinaison doutils (bas sur les critres de la mini-
misation des impacts) ;
mise en uvre des dcisions (dont budgtisation) ;
reporting, monitoring (tableaux de bord management des risques).
Groupe Eyrolles
Chapitre 2
Le dispositif de corporate risk management

Lobjectif de ce chapitre est de prsenter les modalits de mise sous contrle trans-
verse des risques de sinistralit pouvant affecter un groupe industriel, savoir :
la mise sous contrle du risque produit/production ;
la matrise du risque informatique ;
la mise sous contrle du risque client ;
la mise sous contrle du risque fournisseur ;
la mise sous contrle du risque politique ;
la mise sous contrle du risque humain ;
la mise sous contrle du risque social ;
la mise sous contrle du risque atteinte lenvironnement ;
la mise sous contrle du risque IARD.
La mise sous contrle du risque produit

Des enjeux ncessitant le recours aux financements alternatifs
Compte tenu de limportance des enjeux financiers lis la remise en cause de la
responsabilit civile produit de nature contractuelle ou quasi dlictuelle, les groupes
industriels ont d complter le transfert du risque produit via des programmes
dassurance linternational (exemple du master coordinated program), par la cration
de systmes captifs de rassurance (dont font partie les socits captives de rassu-
rance) permettant de lever des fonds complmentaires ceux souscrits sur le march
concurrentiel domestique de lassurance.
Ils doivent aussi muscler le dispositif de gestion de crise via des procdures confiden-
tielles (plan de retrait des produits, plans de survie, communication de crise).
Lobjectif de ces procdures est de fournir une check-list dinstructions opration-
nelles utiliser en cas de remise en cause de la responsabilit civile produit, et de
dfinir a priori les registres de communication de crise dvelopper.
Lobjectif du recours aux financements alternatifs, quant lui, est de permettre aux
groupes cots de lever des fonds complmentaires en deuxime ou troisime ligne et
de constituer de lautofinancement dfiscalis, dans lhypothse o aucun sinistre ne
se prsente.
Ce montage relevant de lingnierie des risques permet aussi, en cas de plan de
Groupe Eyrolles
retrait majeur, de protger la surface financire du groupe et de verser la rmun-

ration prvue lactionnaire.
Ce type de montage na de sens que si le groupe matrise parfaitement ses risques de
responsabilit civile gnrale, laquelle est rattach le risque produit.
Des scnarii de communication de crise produit modifiant les registres

de communication externe traditionnels
La routine et lenactment sont des attitudes managriales normales des groupes de
taille importante.
Par voie de consquence, une situation de crise va fortement affecter la culture du
groupe et risque de paralyser son fonctionnement.
Cependant une situation de crise des impacts anxiognes et psychologiques remet-
tant en cause les processus routiniers de lentreprise.
Ainsi, la crise du Tynelol a remis en cause dans la culture de Johnson & Johnson la
croyance selon laquelle un mdicament ne peut quamliorer la sant des individus.
De mme, la crise du benzne chez Perrier enseigna aux dirigeants du groupe que
leau de source pouvait savrer toxique.
Les groupes industriels doivent donc formaliser, titre prventif, la communication
de crise mettre en uvre en cas de remise en cause de la responsabilit civile
produit :
dfinir une stratgie marketing et mix marketing de crise par grande famille de faits
gnrateurs (acte de criminalit, dysfonctionnements du systme de contrle
qualit) ;
dfinir les diffrentes typologies de cibles, les mdias utiliss, la nature et le con-
tenu du message ;
mettre en uvre une structure de veille mdiatique, permettant denregistrer
titre prventif les risques de drive au titre du risque produit (seuil dalerte sur le
reporting rclamations clients).
Le contenu du message, quant lui, peut tre offensif, en vue dexonrer la respon-
sabilit civile produit en cas de rumeur non justifie ou dans le cas dune simple rela-
tion de corrlation. Au contraire, le contenu peut tre dfensif et scurisant, dans le
cas dune relation de causalit. Il peut dautre part opter pour un registre relative-
ment gnraliste pour le grand public, et opter pour un mode opratoire et
descriptif pour le rseau de distribution (modalits de retrait, de substitution,
dindemnisation).
Enfin les cibles, quant elles, seront relativement segmentes (prescripteurs, stakehol-
ders - preneurs de risques [clients, fournisseurs, rseau de distribution, etc.]).
titre curatif, la communication de crise exige :
davoir des structures permanentes pour informer et tre inform rapidement ;
de pouvoir prendre du recul ;
de rester crdible et cohrent ;
de grer en mme temps les acteurs internes et externes ;
Groupe Eyrolles
de communiquer sans gner les responsables oprationnels.

Lefficacit de la communication de crise adopte dans le cadre dune rflexion
mene en termes de risque produit prsuppose la ngociation pralable dun contrat
Ch. 2 Le dispositif de corporate risk management 67
de back-up avec une structure de marketing tlphonique, prvoyant la mise en

uvre dun numro vert, interrogeable gratuitement par les tiers.
Lintrt majeur de lutilisation de cette structure rside dans le fait que, dune part,
par le biais de la mutation de cadres de lentreprise sur cette structure, le groupe va
vhiculer un registre de communication de crise unique et standardis concernant
ce scnario de crise et que, dautre part, lentreprise ne dispose pas en gnral sur son
propre site dune capacit de traitement des appels tlphoniques dun volume suffi-
samment consquent en cas de crise.
Une logistique plan de retrait des produits du march modifiant

la composante distribution du mix marketing
Loutil plan de retrait logistique des produits du march ncessite la rdaction pra-
lable dune procdure confidentielle expliquant dans quel cas de figure le groupe
sera oblig soit de procder une suspension provisoire de commercialisation, soit
de procder un retrait effectif des produits du march (uniquement dans le cas de
lexistence dune relation dimputabilit).
Voici les diffrents modes de retrait envisageables :
slectif/global, dpendant de la traabilit des lots ;
linitiative de lentreprise ou celle du client.
Cette procdure explique aussi les liens entre loutil plan de retrait et les autres outils
de crise connexes (cellule de crise, plan de survie et communication de crise).
Le plan de survie dans le cadre du plan de retrait des produits vise organiser la
fabrication des produits de substitution, arrter la fabrication du produit incrimin,
prvoir lindemnisation des clients ayant subi un prjudice.
Dans le cadre de la mise en uvre de la loi de scurit financire et de la conver-
gence vers la 8e directive europenne sur laudit lgal, les groupes cots franais et
europens doivent formaliser leurs processus de business risk management en vue de
protger la rmunration des actionnaires. La mise sous contrle du risque de remise
en cause de la responsabilit civile produit savre tre un dossier prioritaire pour les
groupes susceptibles dtre affects par un tel scnario de crise.
Au-del des outils de gestion de crise produit devant tre conus a priori, la culture
risk assessment doit devenir un pralable comportemental pour aboutir une vri-
table efficacit de ces outils.
La mise sous contrle du risque informatique

La mise sous contrle du risque informatique, tant physique (destruction dune salle
dexploitation) quimmatriel (contamination virale, etc.), concerne aussi bien les
groupes industriels que tertiaires.
Groupe Eyrolles
Le contrle prventif des risques intgre la fois les outils de contrle interne et de
gestion de crise informatique, les investissements de scurit informatique et les
outils de contrle financier.
Contrle prventif du risque informatique

Contrle interne et outils de gestion de crise
Sont intgres dans cette famille doutil les procdures suivantes :
scurit logique (sauvegardes) ;
scurit physique (contrle des accs de la salle dexploitation, du rseau) ;
plan de protection des informations ;
procdures de gestion de crise (plan de reprise dactivit informatique, identifi-
cation des applicatifs critiques, plan de reprise dgrad).
Bien entendu, ces procdures nont de sens que si leur efficacit est teste rgu -
lirement.
Contrle technique
Il intgre les investissements de scurit physique (onduleurs, dtection dintrusion)
et logiques (firewall), mais aussi les charges dexploitation engages au titre de la
scurit informatique (ingnieurs en charge de la scurit informatique par
exemple).
Contrle financier
Le contrle financier du risque est essentiellement constitu du transfert contractuel
du risque.
De nombreux groupes souscrivent une police globale informatique pour assurer le
matriel informatique quels que soient sa qualification juridique et les frais de
reconstitution des mdias en cas de dfaillance du dispositif de sauvegarde. Peuvent
aussi tre souscrits des frais dexploitation supplmentaires, tels que la location dun
ordinateur de remplacement.
De surcrot, le dploiement dun plan de reprise informatique passe obligatoirement
par la souscription de clauses de back-up titre prventif auprs de constructeurs
informatiques permettant le redploiement des traitements critiques chez ce dernier
en cas de sinistre.
Contrle curatif du risque informatique

Contrle interne et outils de gestion de crise
En cas de sinistre informatique, la cellule de crise dploiera le plan de reprise dacti-
vit informatique en faisant traiter en priorit les applicatifs critiques la date du
sinistre avec la communication de crise interne et externe associe.
Contrle financier
En cas de sinistre, lassureur a une obligation dindemnisation via la police globale
Groupe Eyrolles
informatique, lexception de la franchise pouvant tre finance via un compte

captif de rassurance.
La mise sous contrle du risque client

Contrle prventif du risque client
Contrle interne
La mise sous contrle du risque client dpend du type de stratgie marketing dve-
loppe par lentreprise.
Ainsi, dans le cas dune stratgie business to business, les outils mis en uvre sont les
suivants :
analyse financire des clients ;
renseignements sur les socits ;
mise en uvre doutils de scoring client ;
mise en uvre dun dispositif de crdit management ;
procdure de gestion lamiable et de prcontentieux.
Alors que, dans le cadre dune politique business to customer, les outils associs sont les
suivants :
vrification de la cotation Banque centrale (fichage Banque centrale) ;
tableaux de bord incidents de paiement ;
analyse financire des revenus dclars ;
procdure de gestion lamiable et prcontentieux.
Contrle financier
La mise sous contrle du risque client passe par diffrents types doutils :
transfert contractuel du risque client : exemple via contrat daffacturage ;
transfert par assurance : via assurance-crdit simple ou assurance-crdit Excess
ncessitant la mise en uvre dun dispositif de crdit management efficace ;
transfert financier : via lutilisation de crdits documentaires irrvocables et confir-
ms (qui ont en plus lintrt dannuler le risque politique), titrisation de crances
clients (exemple de fonds communs de crances).
Contrle curatif du risque client

Contrle interne
La mise sous contrle du risque en post loss se matrialise par la mise en uvre de
procdures de contentieux couple la voie extrajudiciaire (recours des huissiers
de justice ou des socits de recouvrement).
Contrle financier
Groupe Eyrolles
Il se matrialise en cas de souscription dune police dassurance-crdit par une

indemnisation assurance suite la comptabilisation dune provision pour crances
irrcouvrables.
La mise sous contrle du risque fournisseur

La prvention du risque approvisionnement (rupture dapprovisionnement ou non-
qualit dans lapprovisionnement) passe par une rflexion plus gnrale sur les filires
dapprovisionnement risque et sur les processus risque ventuellement ports par
des fournisseurs captifs.
La mise en uvre dune stratgie de risk management efficace en termes de matrise
du risque approvisionnement peut se traduire ventuellement par un conflit
dobjectifs privilgiant la stratgie de partenariat avec les fournisseurs.
Une rflexion stratgique du risque approvisionnement doit aussi faire rflchir le
risk manager sur le rle et limportance des fournisseurs captifs. Ainsi, dans le rf-
rentiel IFRS, ces derniers sont assimils dans la norme IAS 24 (related parties) des
entits relevant du primtre de consolidation comptable du groupe, alors quil
nexiste aucun lien capitalistique entre le groupe industriel et le fournisseur strat-
gique. Lobjectif de lIASB (International Accounting Standard Board), lorsquil a
produit cette norme, est de faire ressortir en communication financire le risque que
le groupe prend se concentrer sur un monofournisseur stratgique et, linverse,
de mettre en exergue le risque de dpendance du fournisseur vis--vis du groupe.
Ce risque encore plus major et mis en exergue dans le cas de cration de SPE
(special purpose entreprise) ou de SPV (special purpose vehicule), montages juridiques et
contractuels ad hoc visant dconsolider les stocks du bilan du groupe industriel.
Contrle prventif du risque fournisseur

Contrle interne et gestion de crise
La prvention du risque approvisionnement passe tout dabord par la mise en uvre
dun dispositif de scoring fournisseur (financier et stratgique) et par une dmarche
de veille de fournisseurs de substitution par typologie dapprovisionnement.
Du point de vue de la rflexion prventive portant sur la simulation de scnarii de
crise, il est envisageable de prvoir, dans le cadre de la mise en uvre de plans de
reprise dactivit, dassocier certains fournisseurs cette mise en uvre (via des
clauses de back-up o les fournisseurs sengageront porter une partie du cot de
possession des stocks en cas de sinistre majeur).
Contrle financier
La mise en uvre dun financier efficace portant sur le risque fournisseur passe par
trois leviers daction :
transfert via programme dassurance linternational : peut se matrialiser par la
souscription dans le cadre dun programme du type souscription locale des risques,
ou umbrella, ou master policy, dune clause carence de fournisseurs conscutive
ou non conscutive un dommage matriel ;
Groupe Eyrolles
transfert via clause de back-up signe par les fournisseurs captifs : formalis via une
clause de mise disposition de ressources logistiques (le groupe devra vrifier, via
audit de site, lexistence relle des capacits logistiques de stockage proposes par
le fournisseur) ;
transfert contractuel hors assurance : via le choix de clauses dIncoterm, par exemple,
limitant le risque fournisseur linternational, ou via lintroduction de clauses de
pnalits de retard en cas de rupture dapprovisionnement imputable au fournisseur.
Contrle curatif
En cas de sinistre maximum possible, le groupe industriel activera son plan de conti-
nuit des processus critiques et cherchera soit redployer les flux logistiques
linternational sur des usines non sinistres ou faire porter le cot de possession des
stocks sur les fournisseurs ayant sign les clauses de back-up.
Contrle financier
En cas de rupture dapprovisionnement substantielle, le recours cet outil se traduira
par une indemnisation assurance des pertes dexploitation gnres par cette rupture,
quelle quen soit la cause (causes imputables aux fournisseurs, ou causes exognes,
telles que grve des transporteurs, par exemple).
La mise sous contrle du risque politique

Le risque politique peut se matrialiser soit par :
le risque de ne pas rcuprer des flux linternational du fait dun blocage de
rtrocession de devises par une banque centrale dun pays en dveloppement ;
le risque de destruction dun actif par une guerre civile, militaire ou par la nationa-
lisation de loutil de production.
Du point de vue du rfrentiel IFRS, ce risque est dj intgr la source via la
segmentation par zone gographique linternational dune part, et via la prise en
compte dun risque pays dans lintgration du calcul du CMPC 1 dautre part. De
surcrot, la dure dusage des business plans concernant ces pays risque savre tre
beaucoup plus courte que la dure des business plans dans les pays relevant de lOCDE.

Protection des expatris et des autochtones
Elle passe par la mise en uvre de plans durgence et dvacuation des expatris
spcifiques de concert avec les consulats et ambassades locales, ainsi que par des
dispositifs spcifiques de protection des expatris (gardiens parfois arms).
Protection des actifs

La protection des actifs se traduit par la mise en uvre de dispositifs spcifiques
Groupe Eyrolles
(gardes arms, locaux hautement scuriss).
1. Cot moyen pondr du capital : cot moyen de constitution des ressources financires plus
dun an.
Contrle technique
La protection des expatris passe en gnral par un cloisonnement des expatris dans
des quartiers de haute scurit et par laccompagnement des salaris en contexte
scuris par des gardes rapproches.

Elle se matrialise par des investissements de scurit (locaux et logements protgs).
Contrle financier
Elle se matrialise par la souscription de police dassurance collective en cas de
dommages corporels affectant le personnel ou par la souscription de polices respon-
sabilit civile.

Elle se traduit par la souscription dune multirisque industrielle via un programme
international dassurance venant complter un programme de type souscription
locale des risques .
La mise sous contrle du risque humain

La dfinition du terme risque humain est gomtrie variable.
En France, du fait de lexistence dun systme de rpartition, la dfinition de ce
concept se limite aux cas suivants :
accidents du travail ;
incapacits ;
dcs conscutif un accident du travail ;
maladies professionnelles.
Dans les pays anglo-saxons, o le systme de capitalisation prdomine, la dfinition
du terme risque humain est beaucoup plus large et intgre les cas de figure
suivants :
maladie ;
chmage ;
maternit ;
retraite.
Groupe Eyrolles
Le financement de ces risques ne relve pas comme en France de contraintes rgle-

mentaires (systmes cotisations dfinies), mais dun choix contractuel (prestations
dfinies) correspondant des avantages accords au personnel.
Contrle interne du risque humain

Se traduit par la mise en uvre de procdure de scurit des personnes associes la
mise en uvre des plans dorganisation interne des secours.
Contrle financier du risque humain

Se traduit par la souscription de polices dassurance collectives, couvrant a minima le
risque de dcs en contexte professionnel, voire le financement du risque retraite et
autres avantages au personnel via des systmes de capitalisation. Dans ce dernier cas
de figure, il existe deux grands systmes :
unfunded plan : dans ce cas de figure, la gestion des actifs subordonns est confie
un assureur tiers, qui a une obligation de raliser les tests de dprciation pour
sassurer de la performance des actifs en reprsentation de la provision pour avan-
tages au personnel ;
funded plan : dans cette configuration, la gestion des actifs est porte par une filiale
domicilie dans un pays bnficiant dune fiscalit avantageuse.
Le groupe a alors lobligation de porter le risque actuariel, cest--dire quil doit
vrifier que les actifs subordonns couvrent lengagement port au passif (principe
du corridor, o lcart entre lactif et le passif ne peut dpasser 10 %).
La ralisation du risque se traduit par la cession dactifs permettant le remboursement
du sinistre.
La mise sous contrle du risque social

La gestion du risque de grve est un scnario complexe simuler car il est, dans le
cas prcis du management de la grve interne, gnrateur dun conflit dobjectifs.
En effet, il sagit de concilier deux objectifs en apparence antagonistes :
assurer la continuit des processus stratgiques de lentreprise ;
respecter le droit de grve en tant que droit constitutionnel.
Contrle prventif du risque social

La mise sous contrle du risque social peut avoir pour objectifs de :
mettre sous contrle un risque de grve interne lentreprise ;
mettre sous contrle un risque de grve externe ou plus exactement en limiter les
consquences pour le groupe ;
anticiper un scnario de crise mixant la fois grves interne et externe.
Traitement du risque social interne

Groupe Eyrolles
ce niveau, il savre essentiel de diffrencier le rle de la direction des relations

sociales, qui se chargera de la mdiation permettant de sortir de la crise, et le rle du
risk manager visant protger en priorit les hommes cls, les actifs stratgiques et
de redployer les processus critiques des sites oprationnels sur des entits ntant pas
en grve.

En cas de situation de grve paralysant lactivit dun site industriel de faon substan-
tielle, lobjectif du risk manager est didentifier titre prventif les lments
suivants :
actifs stratgiques non dupliqus quil faudra protger en priorit dventuels actes
de vandalisme ;
hommes cls non grvistes, dont salaris de nationalit trangre ne relevant pas
du droit du travail local ;
processus critiques redployer ou protger en cas de grve (dploiement des flux
logistiques linternational, protection des actifs et des hommes cls, protection du
cash management et du cash pooling, etc.) ;
mise en pralerte du plan durgence sur des sites industriels risque (en cas de
drapage de la grve et dactes de vandalisme ventuels).
Le rle du risk manager est sensible dans ce type de scnario, car il doit conjuguer
des lments qui, en fait, sont des conflits dobjectifs, savoir : le maintien du droit
de grve avec continuit de lexploitation des processus critiques du site sinistr.
Contrle technique
Dans le cas de sites industriels du type risques hautement protgs, le risk manager
peut envisager dengager des moyens prventifs spcifiques ce type de scnario de
crise, quil pourra aussi activer dans le cadre dautres scnarii de crise (du type
atteinte lenvironnement) : duplication des portiques daccs, etc.
Contrle financier
La couverture du risque de grve interne est toujours un sujet sensible qui pose obli-
gatoirement la question de ladquation du management et la qualit de la stratgie
de gestion des ressources humaines. Lindemnisation par les techniques dassurance
classique savre donc peu envisageable. Il faut lui prfrer le recours des finance-
ments alternatifs que nous avons dj voqus.
Traitement du risque social externe

La mise sous contrle du risque de grve externe est un scnario frquent en France,
pouvant tre conjugu avec un scnario social interne (grve de La Poste, des trans-
porteurs, etc.).
Lobjectif ne consiste pas supprimer le risque mais en limiter les consquences
financires sur lentreprise sinistre.
Groupe Eyrolles

Lobjectif du risk manager est de minimiser limpact dune grve affectant les flux
logistiques amont et/ou aval en dupliquant :
les transporteurs, les modes de transport (multimodal plutt que mono-modal) ;
les flux logistiques associs au courrier (recours prventif des socits de

messagerie).
La rponse la mise sous contrle de ce type de risque ne rside pas forcment dans
le management des risques.
Elle peut parfois tre apporte par une conception de la stratgie gnrale.
Ainsi, il y a une dizaine dannes, une compagnie dassurances forme mutualiste
a eu subir de plein fouet les consquences dune grve postale substantielle une
priode de lanne o la majeure partie des appels de cotisations tait bloque par
la grve et les rglements effectifs taient eux-mmes bloqus au niveau du cour -
rier en attente.
La situation de crise passe, les dirigeants se sont pos la question des causes de sa
gravit (entre autres pour la trsorerie du groupe). De fait les appels de cotisations
taient concentrs sur la fin de lanne en raison dune souscription des polices au
1er janvier de chaque exercice. De plus, les rglements taient peu mensualiss, et le
recours au rglement par virement non systmatis.
Les choix prventifs mettre en uvre savraient vidents :
souscription des nouvelles polices tales sur lanne ;
rglement des cotisations mensualis par prlvement.
Contrle technique
Le risk manager doit anticiper les consquences dune grve des transporteurs sur les
stockages risque (secteur de la chimie, par exemple). Il se doit donc dvaluer le
niveau de stock de scurit ncessaire pour prvenir tout risque ventuel
dexplosion, et de prvoir une mise en pralerte des sites possdant des installations
classes risque.
Contrle financier
Il est souhaitable de prvoir la souscription dune police perte dexploitation
couvrant la clause carences de fournisseurs , qui, comme son nom lindique, a
pour vocation dindemniser le prjudice financier caus par une grve externe.
En tout tat de cause, lassureur vrifiera lexistence dun plan de reprise dactivit
logistique amont et/ou aval avant dautoriser la souscription dune telle clause.
Contrle curatif du risque social

Traitement du risque social interne
En cas de dclenchement dune grve partielle ou totale, le risk manager lancera la
mise en uvre de la procdure gestion de crise de la grve. Cette dernire aura
pour objectifs :
Groupe Eyrolles
denvoyer les salaris non grvistes sur dautres sites (y compris trangers) ntant
pas en grve ;
dassurer la protection des actifs risqus du site en grve ;
de protger les salaris grvistes et non grvistes (risques de conflits entre les deux
typologies) ;
denvoyer les cadres cls intervenant sur les processus critiques sur des sites tran-
gers hautement protgs (ce sont en gnral des cadres du groupe ressortissants
trangers non soumis au droit du travail franais).
Contrle financier
Il sera possible dactiver des ressources financires si le groupe a souscrit avant
sinistre la location de comptes captifs de rassurance, ou sil possde une socit
captive de rassurance o le risque de grve interne a t souscrit.
Traitement du risque social externe

En cas de dclenchement dune grve, ou de plusieurs grves externes, la cellule de
crise activera le dossier de gestion de crise grve externe , dont lobjet sera : soit
de redployer les flux logistiques (approvisionnement) dans des pays non grvistes,
ou davoir recours des transporteurs de substitution, ou des moyens de transport
dont la duplication a t ngocie en prventif.
Contrle financier
En cas de grve externe, le risk manager dclarera un sinistre son assureur apriteur
en vue de faire jouer la clause carence de fournisseurs tout en activant le plan de
reprise dactivit sur des sites non sinistrs pour limiter limpact financier du sinistre.
La mise sous contrle du risque atteinte lenvironnement

La mise sous contrle de ce risque est un enjeu majeur pour les groupes industriels
RHP (risques hautement protgs) en termes de communication financire.
Ainsi, le rapport ISO 14001 (management durable de lenvironnement) a souvent
pour objectif de scuriser les parties prenantes (dont les actionnaires), en dmontrant
la capacit du groupe scuriser les cash-flows en cas datteinte lenvironnement
majeure.
Mise sous contrle prventif du risque atteinte lenvironnement

Les groupes industriels risque environnemental majeur sont soumis une obliga-
tion de communication spcifique vis--vis des riverains (communication sur les
risques majeurs).
Lobjectif de cette communication prventive est de donner des instructions aux
Groupe Eyrolles
riverains du site industriel risque en cas de matrialisation des risques (doivent-ils

vacuer ou, au contraire, se confiner en fonction des messages dalerte envoys ?).
Cette communication de crise environnementale prventive est associe deux

autres outils de gestion de crise, savoir :
le plan de reprise dactivit permettant de redployer les processus critiques du site
sinistr sur dautres usines non affectes ;
le plan durgence (plan dorganisation interne des secours) expliquant les modalits
de gestion du sinistre en lui-mme.
Contrle technique
Le contrle technique dcrit lensemble des investissements de scurit et des
charges dexploitation engags au titre de la scurit atteinte lenvironnement :
doubles cuves de rtention ;
station dpuration ;
plan de tests environnementaux ; etc.
Contrle financier
Transfert par assurance
Les consquences du risque atteinte lenvironnement sont essentiellement
couvertes par la souscription dune police dassurance responsabilit civile gnrale
et professionnelle.
Cependant, compte tenu de limportance des capitaux pouvant tre engags, les
capitaux traditionnellement souscrits dans ce type de programme se rvlent insuffi-
sants. Il savre donc indispensable davoir recours dautres montages ayant pour
objectif de protger la surface financire du groupe en cas de ralisation du risque.
Ainsi, lentreprise peut souscrire en complmentant une police Assurpol 1, ayant
pour objectif de monter en puissance les capitaux souscrits, entre autres, sur des
risques de pollution chronique.
Si ce montage ne suffit pas, il convient alors denvisager un autre montage relevant
de lingnierie des risques.
Transfert par financements alternatifs

Le risk manager peut avoir recours, ou peut dvelopper, un programme multi-field,
multi-yield compltant le transfert lassurance au niveau des capitaux, et assurant
une protection financire de faon pluriannuelle.
Il peut, par exemple, prvoir de souscrire un compte captif de rassurance en vue
dautofinancer la franchise de la police responsabilit civile (1 re ligne), de financer les
risques de 2e ligne via un assureur tiers fronteur, dindemniser les risques de 3 e ligne
via lassureur apriteur de la mre (dans le cadre de la souscription dune umbrella
policy ou dun master coordinated program), de financer les capitaux de 4 e ligne via le
recours une captive de rassurance.
Groupe Eyrolles
Attention ! Dans ce dernier cas de figure, la captive de rassurance doit avoir sign
des traits de rassurance de type stop loss limitant sa responsabilit des capitaux
limits en cas de sinistre majeur.
1. Assurpol : groupe dintrt conomique europen finanant des risques de pollution chronique.
En effet, en 5e ligne, le risk manager peut avoir recours la rassurance financire en

souscrivant la Bourse de commerce de Chicago une option pollution, par exemple.
Mise sous contrle titre curatif

En cas de ralisation du risque atteinte lenvironnement, la cellule de crise adopte
alors le plan durgence ( lun de ses trois niveaux de gravit : POI, PPI, plan
durgence), les plans de reprise dactivit et la communication de crise, tant interne
quexterne.
Contrle financier
Le risk manager fera jouer lensemble des indemnisations prvues dans le cadre du
programme multi-yield, multi-field, et aura recours la cession des actifs titriss en ce
qui concerne le recours la rassurance financire protgeant ainsi la rmunration
de lactionnaire.
La mise sous contrle du risque incendie

Mise sous contrle du risque IARD (incendies, autres risques divers)
titre prventif
Le contrle interne se caractrise par la rdaction de procdures de scurit incendie
et par la procdure de gestion de crise devant tre testes rgulirement.
Contrle technique
Il se matrialise la fois par des dpenses engages au titre de la scurit (contrle
scurit et prvention incendie certifi par des organismes de contrle technique) et
par des investissements engags au titre de la scurit incendie (sprinklage de lusine,
contrle des accs, etc.).
Contrle financier
Il se traduit par la souscription dune police dassurance multirisque industrielle
couvrant lensemble des dommages matriels pouvant tre gnrs par un incendie
et par la ngociation de clauses de back-up avec des fournisseurs et des sous-traitants
captifs capables de porter des processus critiques en cas dincendie.
Groupe Eyrolles
Chapitre 3
Le dispositif de business risk management

Le dispositif de business risk management se fixe pour objectif de scuriser llabo-
ration des prvisions dans le domaine de la stratgie et de la matrise des risques
financiers spculatifs (change, intrt, etc.).
La mise sous contrle des risques financiers

La mise sous contrle des risques financiers passe par lutilisation dinstruments
financiers par les trsoriers groupe ou les directeurs financiers en vue de gnrer des
plus-values ou daboutir un impact financier nul (recours des options futures,
swap, etc.). Il sagit bien de mettre en uvre ce niveau des outils de mise sous
contrle de risques spculatifs ne relevant pas dune dmarche classique du corporate
risk management.
La mise sous contrle des risques stratgiques

La mise sous contrle des risques stratgiques passe par la construction de deux
dispositifs complmentaires :
la scurisation de llaboration de la stratgie par unit daffaires via la mthodolo-
gie du balanced scorecard ;
la scurisation de la qualit et de la sincrit des prvisions budgtaires sur lesquel-
les vont se fonder les versements dacomptes sur dividendes, via les mthodologies
dlaboration de business plan et de rvision de business plan.
Pour rappel, lobjectif du corporate risk management consiste venir tester la rsis-
tance du business model mis en uvre sur chaque unit daffaires en dmontrant que,
dans tous les cas de figure, les objectifs stratgiques seront atteints, et que le groupe
sera capable dhonorer la rmunration de lactionnaire.
La scurisation de llaboration des plans stratgiques

via la mthodologie de la carte de performance
De la segmentation stratgique
La construction dun business model passe par une tape pralable qui correspond la
segmentation stratgique du groupe par unit daffaires. Au sens de la norme
IAS 14, un groupe industriel doit procder une double segmentation :
Groupe Eyrolles
par business unit (BU) / branche dactivit :

possde son propre bilan et compte de rsultat (actif identifiable et passif identifiable),
le CA par unit daffaires (BU) au moins gal 10 % du CA consolid, ou 10 %
du rsultat oprationnel, ou 10 % de lactif identifiable,
le CMPC (cot moyen pondr du capital) est diffrent par unit daffaires,
existence du critre de lindpendance par BU (larrt dune BU ne doit affecter
ni les processus ni les performances financires des autres BU),
possibilit de prix de transfert inter-BU, sils sont marginaux et ne remettent pas
en cause le principe de lautonomie stratgique ;
par zone gographique/montaire :
avec existence dune segmentation en fonction du niveau du risque politique
ou par technique de contrle du risque de change.
WACC diffrent pour chaque zone gographique et corrl lvaluation du
risque politique.
LIASB (International Accounting Standard Board) a introduit une vision trs
tourne vers lintgration dune approche risk management en proposant une telle
logique de segmentation stratgique. En effet, en proposant le critre de lauto-
nomie stratgique, lIASB valide la maxime diviser pour mieux rgner en crant
des compartiments tanches au sein des groupes, ayant une autonomie strat-
gique propre et dont larrt dactivit ne doit affecter ni les processus ni les perfor-
mances financires des autres units daffaires du groupe.
De mme, lorsque lIASB demande explicitement de majorer le CMPC dun facteur
de risque politique, et disoler en communication financire les zones gographiques
risque politique majeur, il reconnat explicitement le droit de regard que doivent
avoir les actionnaires sur les choix stratgiques du conseil dadministration, et limpact
de ces choix sur leur rmunration. Ces choix sont acceptables si bien videmment le
top management a la capacit de dmontrer en communication financire la capacit
du groupe mettre effectivement sous contrle le risque politique (guerre civile,
militaire, expropriation, nationalisation, etc.).
la construction de carte de performance par BU et zone gographique

La dmarche du balanced scorecard a pour objectif que le comit excutif se donne les
moyens de ses ambitions, lorsquil labore le plan stratgique de chacun de ses mtiers.
Lobjectif de cette mthodologie est de sassurer quil existe des processus rcurrents
et des projets ddis permettant de sassurer avec certitude de latteinte des objectifs
dcrits dans le plan. Bien entendu, la dmarche du corporate risk management aura
pour objectif, pour chaque business model construit via la mthodologie du balanced
scorecard, de jouer le rle de lavocat du diable en se posant la question suivante :
Que se passerait-il si ? (de faon image : que se passerait-il si je mettais le
doigt dans lengrenage ? Quelle est la rsistance du business model face une situation
de crise majeure ? Le groupe existera-t-il encore suite cette situation de crise ?).
Les dmarches de planification stratgique classiques ne sont pas habitues dve-
lopper de tels raisonnements. Dans lapproche classique de planification (diagnostic
interne et externe, forces et faiblesses, contraintes et opportunits, prconisations
Groupe Eyrolles
stratgiques), il est sous-entendu que, forcment, les objectifs stratgiques dcrits

dans le plan seront forcment atteints !
Ch. 3 Le dispositif de business risk management 81
La dmarche du corporate risk management vient donc bouleverser ce schma

mthodologique en forant les planificateurs se poser les bonnes questions, et
identifier les risques significatifs pouvant empcher latteinte des objectifs officiels
dcrits dans le plan moyen terme.
La construction dune carte de performance par BU intgrant la dimension

corporate risk management
Lapproche mthodologique du balanced scorecard se concentre sur la mise sous
contrle des risques stratgiques du type spculatifs.
De notre point de vue, la construction dun vritable modle stratgique se doit
dintgrer la dmarche risk management la source en identifiant, ds la phase
projet, les zones de rupture du business model.
Ainsi, titre illustratif, il savre indispensable :
didentifier les processus critiques qui, en cas de dysfonctionnements, pourraient
remettre en cause la prennit du groupe (simulation des plans de retrait des pro-
duits pour un groupe pharmaceutique ou agroalimentaire, dysfonctionnement
total de lexploitation informatique pour un groupe bancaire, etc.) ;
de prvoir les indicateurs de pralerte pouvant faire penser que le groupe passe
dune situation normale une zone de risque potentiel (nombre de rclamations
clients anormalement lev pouvant faire penser lexistence dun dysfonction-
nement du processus de contrle qualit) ;
de sassurer de lexistence des outils indispensables la protection financire, la
protection de limage de marque et des parts de march, et, en cas dinexistence,
les embarquer dans la construction de la carte de performance.
Lobjectif est donc de passer dune approche classique du balanced scorecard une
approche largie de la dmarche (executive scorecards) sassurant que tant les risques purs
que spculatifs sont effectivement mis sous contrle et que le dispositif de cration de
valeur mis en uvre par le groupe ne pourra en aucun cas tre affect.
La scurisation de llaboration des business plans et de la rvision

des business plans
LIASB a construit dans le cadre conceptuel IFRS un schma dorganisation strat-
gique des entreprises trs structur.
Au mme titre quil sest prononc sur les critres de segmentation et de reporting
stratgique, lIASB a construit un dispositif dlaboration des business plans et de rvi-
sion de ces derniers au niveau des units gnratrices de trsorerie (UGT).
Ces dernires reprsentent un sous-ensemble dactifs (outil de production et BFRE
associ) dont la finalit est de gnrer des cash-flows positifs ; chaque UGT tant
forcment rattache une unit daffaires.
Groupe Eyrolles
Les immobilisations peuvent tre actives (cest--dire figurer lactif du bilan en

tant quimmobilisation) si le business analyst est capable de dmontrer la rentabilit
prvisionnelle de chaque UGT.
Pour rpondre ces critres dactivation, le business analyst doit laborer un business
plan sur la dure dusage, cest--dire sur la dure dutilisation prvue de ce sous-
ensemble dactifs.
La projection de ce business plan sur le futur prsuppose donc dtablir un principe de
prudence et de sincrit dans llaboration de ce dernier, qui de surcrot est soumise
lapprobation des commissaires aux comptes.
Llaboration sincre dun business plan se doit dintgrer la base :
la dimension business risk management (par lintgration de lapplication de taux de
croissance dcroissants dans lestimation du CA, qui, de surcrot, doit obligatoi-
rement tre fonde sur une tude de march). Lobjectif, dans ce cas de figure, est
de sassurer du principe de prudence dans llaboration des cash-flows prvisionnels
sur toute la dure dusage du business plan. En effet, lunit gnratrice de trsorerie
est une composante cl du dispositif budgtaire, puisque les prvisions de cash-
flows synthtiss dans ltat de variation des flux de trsorerie ne sont que la conso-
lidation des prvisions ralises ce niveau. La qualit des prvisions de flux de tr-
sorerie prvisionnels conditionne la politique de dividendes prvisionnelle, et ce, de
faon trs sensible si lentreprise verse des acomptes sur dividendes. Le processus de
scurisation des cash-flows prvisionnels au niveau UGT est donc un lment cl
de la stratgie de business risk management, puisque, en cas derreur affectant ce
processus, les consquences financires peuvent tre majeures pour le groupe (ver-
sement dacomptes sur dividendes gnrant des insuffisances de trsorerie) ;
la dimension corporate risk management (par lintgration de la notion de compo-
santes et par lanalyse de limpact de chaque composante sur les cash-flows prvi-
sionnels). Ainsi, la composante investissement de scurit ou pices de rechange
aura pour objectif de scuriser les cash-flows.
Lapproche conceptuelle dveloppe par lIASB est trs intressante puisquelle
impose de sinterroger sur les liens existant entre les composantes constitutives de
loutil de production, les processus mtiers et les flux de trsorerie gnrs par les
activits.
Ainsi, la mise sous contrle en termes de scurit des composantes constitutives de
lUGT intgrant des biens sous contrle (en proprit, crdit-bail, en location,
confis, en concession ou affermage) permet de sassurer de la protection des cash-
flows prvisionnels la base de la cration de valeur pour le stakeholder (preneur de
risques).
Par voie de consquence, la construction dun dispositif de corporate risk mana-
gement efficace doit se concentrer sur cette typologie de centre de risque la fois en
termes de contrle technique, mais aussi en termes de gestion de crise.
De fait, les plans durgence ainsi que les plans de continuit dactivit, ou les plans de
retrait des produits, se doivent dtre conus au niveau de chaque UGT, puisque,
Groupe Eyrolles
par dfinition, une UGT regroupe tant des immobilisations sous contrle que des
immobilisations incorporelles (marques commerciales achetes ou activation des frais
de dveloppement sous forme dune marque).
Exemple de business blan par unit gnratrice de trsorerie
BU rcoltes
UGT SBU herbicides
Business plan
par UGT
UGT herbicides
BU rcoltes phase R&D phase cycle de vie
1 2 3 4 5 6 7 8 9 10
UGT
Activitation des frais

13 300
dtudes
Marque commerciale
Immobilisations cor-
porelles par compo-
santes machine-outil
30 000
Pices de rechange 4 000 5 000
Investissements
5 000
de scurit
BFRE 4 500 4 600 4 700 4 800 4 900 5 000 5 500
Somme des actifs 56 800 4 600 4 700 9 800 4 900 5 000 5 500
Identifiables de lUGT

Groupe Eyrolles
Business plan
par UGT
UGT herbicides
BU rcolte phase R&D phase cycle de vie
1 2 3 4 5 6 7 8 9 10
Cash-flows bruts -2 300 -4 000 -7 000 15 200 18 131 25 105 28 814 32 622 39 102 43 128
Cash-flow brut
-2 300 -6 300 -13 300 1 900 20 031 45 136 7 350 106 571 145 673 188 801
cumul
Cash outflows 2 300 4 000 7 000 7 300 7 519 7 745 7 977 8 216 8 463 8 717
Frais dtude 2 300 4 000 7 000
Activation au jalon
Charges dexploita-
0 0 0 7 300 7 519 7 745 7 977 8 216 8 463 8 717
tion dcaissables
Frais de supervision
1 300 1 339 1 379 1 421 1 463 1 507 1 552
de la production
Mod 2 300 2 369 2 440 2 513 2 589 2 666 2 746
Achats directs 2 400 2 472 2 546 2 623 2 701 2 782 2 866
Promotion directe 1 300 1 339 1 379 1 421 1 463 1 507 1 552
Cash inflows 0 0 0 22 500 25 650 32 849 36 791 40 838 47 564 51 845
CA 22 500 25 650 32 849 36 791 40 838 47 564 51 845
Taille du secteur 5 000 5 700 6 441 7 214 8 007 8 808 9 601
Part de march 0,3 0,3 0,3 0,3 0,3 0,3 0,3
Prix unitaire HT
15 15 17 17 17 18 18
en K
Taux de croissance
0,15 0,14 0,13 0,12 0,11 0,1 0,09
dcroissant
WACC 0,08 0,08 0,08 0,08 0,08 0,08 0,08

Groupe Eyrolles

Business plan
par UGT
UGT SBU herbici-

des
BU crop protec-
phase R&D phase cycle de vie
tion
1 2 3 4 5 6 7 8 9 10
VAN de lUGT
Coef
0,9259 0,8573 0,7938 0,735 0,6806 0,6302 0,5835 0,5403 0,5002 0,4632
dactualisation
Somme actualise
-2 130 -3 429 -5 557 11 172 12 340 15 820 16 813 17 625 19 561 19 977
des cash-flows
Somme actualise
0 0 0 41 750 3 130,7 2 961,8 5 718,2 2 647,3 2 501,2 2 547,6
de lactif identifiable
Groupe Eyrolles
Chapitre 4
Mettre en uvre le dispositif risk management

et communiquer sur son efficacit
Dans le cadre dune tude dopportunit ou de conformit, la mise en uvre dun
dispositif de risk management se doit de rpondre un certain nombre de
questions :
Pourquoi mettre en uvre un dispositif de risk management (raisons officielles et
officieuses) ?
Comment construire un dispositif efficace ?
Comment communiquer sur lefficacit du dispositif de management des risques
(mdias, cibles, contenu) ?
Les raisons de la construction dun dispositif

de risk management efficace
Sadapter aux volutions de la gouvernance dentreprise
et aux exigences du march
En rsum, il existe au moins deux faons daborder la mise en uvre dun dispositif
de risk management.
La premire est de nature dfensive et consiste mettre en uvre un dispositif
permettant de faire face aux obligations fixes par la loi ou par les pratiques usuelles
du mtier. La stricte rfrence aux rgles juridiques aboutit ainsi construire un
dispositif de risk management et le faire respecter autant que possible en interne,
voire par les sous-traitants et autres fournisseurs, et dune faon gnrale par les
parties prenantes.
Encore faut-il prciser quil existe rarement une consolidation gnrale de
lensemble du corpus rglementaire qui simpose un groupe industriel : rglemen-
tation financire et fiscale, rglementation du travail et de la scurit, rglementation
environnementale, rglementation sanitaire, rglementation produits et services, etc.
La seconde approche est plus dynamique : elle part du principe que le risk manage-
ment nest jamais quun des moyens de la politique de matrise des risques divers et
varis qui simposent lentreprise.
Groupe Eyrolles
Cette diffrence dapproche traduit dune certaine manire le choix entre compliance
( conformit lgale ) et volont de mise sous contrle effective de risques significa-
tifs. Le risk manager se trouve tre la fois le gardien du temple en charge de lappli-
cation de rgles contraignantes et le business partner de la direction gnrale porteur
des projets de dveloppement de lentreprise.
Une telle dichotomie avait dailleurs t releve par le snateur Marini dans son
rapport du 27 juillet 2004 sur la premire anne dapplication de la loi de scurit
financire (LSF) de 2003. Elle se retrouve adopte par les entreprises lgard du choix
pris en matire de communication externe sur les risques : le rapport du prsident sur
le dispositif de contrle interne prvu par la LSF. Au bout dune anne dapplication,
le snateur crivit le commentaire suivant (qui se suffit lui-mme) :
Il nest pas acceptable, cet gard, que prs des deux tiers des rapports examins par le
cabinet Deloitte ne contiennent aucun dtail concernant les risques encourus par la socit. Il est
galement inquitant que seulement un peu plus dun tiers des entreprises tudies indiquent
comment les risques sont grs dun point de vue organisationnel.
cette carence sajoutait une divergence de vues entre les pouvoirs publics et
lAMF sur lorientation du rapport du prsident sur le contrle interne : valuatif ou
descriptif ? L aussi, le distinguo en dit long sur laccueil rserv au nouveau texte
Il ne sagit naturellement pas de demander lentreprise de procder une autocritique qui
pourrait avoir des effets destructeurs. Il sagit dencourager ladoption dune perspective dyna-
mique oriente vers le progrs, plutt que fige sur lexistant.
Aujourdhui, il faut constater les progrs accomplis, force de pdagogie et peut-
tre dune moindre crainte sur ltendue de la responsabilit pnale et civile des diri-
geants face au dispositif de risk management. Mais sont-ils suffisants pour faire du
risk management un moyen et non une fin ? Il y a donc un dbat nourrir et une
question cruciale trancher.
Sadapter aux exigences du march

Le risk management et surtout la communication qui va tre faite sur son efficacit
sont des lments de diffrenciation stratgique.
En effet, une communication financire scurisante sur la mise sous contrle effec-
tive des risques significatifs et des processus critiques du groupe industriel ainsi que
sur le management durable de lenvironnement savre un lment de scurisation
de lensemble des parties prenantes (actionnaires, investisseurs, etc.), mais aussi des
autorits de tutelle (AMF, commission bancaire, etc.), des agences de notation et des
analystes financiers.
Elle peut induire des volutions de parts de march, dimpact sur limage en fonc-
tion de la matrise effective du dispositif de management des risques.
Scuriser les objectifs stratgiques par un dispositif

de risk management efficace
Lun des objectifs majeurs du risk management est de sassurer de lexistence dun
alignement entre processus de lentreprise, risques et objectifs stratgiques pouvant
tre formalis via une carte de performance associant la dimension management des
Groupe Eyrolles
risques.
Lobjectif de cette dernire est de sassurer de lexistence de processus ou de projets
spcifiquement ddis latteinte des objectifs, dont les objectifs financiers.
Cette approche vise garantir la protection du business model via le dispositif de
management des risques.
Ch. 4 Mettre en uvre le dispositif risk management et communiquer sur son efficacit 89
Comment mettre en uvre un dispositif de risk management

efficace
Lvolution dans la mise en uvre dun dispositif de risk management va fortement
voluer en passant dune obligation de moyens une obligation de rsultats.
Il ne sagit plus simplement de dcrire lexistence dun dispositif de risk management
mais dtre capable den valuer lefficacit.
Organiser le processus de risk management et positionner les proces-

sus de pilotage au centre du dispositif
Cela sous-entend de hirarchiser les diffrents risques de lentreprise par processus
majeur et par ordre de criticit dcroissante (probabilit doccurrence impact
financier pour lentreprise), valuation que lon peut prsenter plus commodment
sur une chelle type Richter (de 1 5, ou de 1 10).
Il convient galement de vrifier quaux risques auxquels est expos le groupe
industriel correspondent bien des objectifs du management, en clair que chaque
risque remonte bien un responsable qui se lapproprie en direct (notion de risk
owner). Il ne sert, en effet, rien de mentionner dans la liste des risques que lentre-
prise est dcide couvrir des risques orphelins , i. e. correspondant des objectifs
non distribus une fonction donne (situation que lon retrouve trop souvent dans
des groupes industriels forte dominante multiculturelle).
Pralables
Sassurer de la cohrence entre les risques lists par ordre de criticit lors de la carto-
graphie des risques et lorganisation de lentreprise. Il faut souligner que la faon
daborder le sujet, si la socit tudie est une socit indpendante la diff-
rence dune PME intgre un ensemble plus large, sera fondamentalement
distincte, lorganisation matricielle des grands groupes et la juxtaposition des cultures
brouillant trop souvent lorganisation du processus, selon la vision que le groupe
industriel a du risk management.
Sassurer ensuite que lensemble du personnel, tous les niveaux de responsabilit, a
bien peru limportance du sujet, a bien compris que le risk management (comme la
scurit) est laffaire de tous (et le personnel a donc t brief en consquence), et
pas seulement une mode passagre du comit de direction, et a bien intgr dans la
dure les principes de base qui soutiendront ultrieurement lefficience du systme
de risk management, savoir :
lintgration de la dimension risk assessment dans toute dcision prise en interne ;
la primaut de la fonction sur le grade, principe dont le respect sous-tend toute
Groupe Eyrolles
action de spcialiste digne de ce nom au sein du dispositif de risk management ;

lexistence (et la pratique) des rgles de gestion minimum minimorum. Il est toujours
surprenant de constater que nombre de procdures de base peuvent tre inexis-
tantes, mme dans des filiales de grands groupes
Mise en uvre
Au niveau oprationnel (technique, commercial, etc.) et autres niveaux fonction-
nels, mise en uvre des tests spcifiques chaque fonction, et selon les risques
majeurs identifis par ordre de criticit dcroissante.
Exemples
Fiabilit du matriel de production pour la direction Fabrication (programme de
maintenance assiste par ordinateur).
Simulations sur la capacit du systme informatique grer laccroissement rapide
du nombre de clients et de leur rpartition gographique.
Le risk manager (sil existe) se doit dtre lanimateur et le garant de la mise en
uvre dun processus sous contrle et complet, cohrent avec la vision globale quil
aura contribu impulser prcdemment. Exemple : chez un oprateur tlpho-
nique, vrifier que la composante climat social dans un centre dappels (point de
passage critique pour lefficience globale du systme) est bien prise en compte par
des entretiens croiss et indpendants (hirarchie, DRH, salaris).
La direction de laudit interne se doit dorganiser ses contrles propres de manire la
fois choisie (l o les risques sont les plus forts), alatoire (pour garder un minimum de
caractre dissuasif au systme de contrle), universelle (par exemple : de petites filiales
en dessous du seuil de matrialit peuvent se rvler de vritables bombes retardement
lors des premires questions de laudit interne), et suivie (i. e. revoir systmatiquement
la mme unit tant que les rsultats des audits raliss ne seront pas satisfaisants).
Liaison formelle entre les oprationnels et le risk management

La mise en uvre du dispositif de risk management ne pouvant sexercer systma-
tiquement et exhaustivement partout (question de moyens), il est normalement
demand aux oprationnels de renseigner sur une base annuelle ou trimestrielle un
questionnaire type, adress (sans passer par la voie hirarchique) la direction du
risk management, pour que cette dernire ait une connaissance non biaise de la
vision des risques, telle que la ressentent les oprationnels.
Dans un tel processus de remonte dinformation, il est important que les risques
signals par les oprationnels soient resitus par le destinataire (souvent dune
nationalit et dune culture diffrentes de lmetteur) dans le cadre des contraintes
rglementaires du pays metteur.
Dfinir les frontires fonctionnelles entre direction financire,

audit interne, qualit et risk management
Groupe Eyrolles
La direction financire : elle est au cur de la gestion des risques. En effet, elle :
est la gardienne de la qualit du flux dinformation financire et de son intgrit ;
se porte garante, dans la limite des informations dont elle dispose, de lexhaustivit
des informations publies (et de celles qui ne le sont pas) ;
actualise, compte tenu de lvolution de la socit (technologie, rapport avec les

tiers, organisation), le manuel des procdures de gestion et sassure que chacun a
bien compris son rle au sein du comit de direction.
La direction financire doit tre lun des pivots de la dmarche de responsabilisation
sur les risques.
Elle doit dabord tablir une analyse prcise et fine de la volatilit des actifs, de leur
exposition aux risques et dfinir une cartographie permettant de distinguer les actifs
haute volatilit, notamment de nature immatrielle, et les risques critiques pouvant
mettre en cause la prennit de lentreprise. La difficult tient en partie aux normes
IFRS qui nautorisent pas une reprsentation comptable de certains actifs non
soumis des transactions, donc non activs au bilan (voir IAS 38).
Ce travail doit porter sur les projets dinvestissement stratgiques et plus globalement
sur toutes les activits concourant ces projets. La dmarche est loin dtre simple
dans un cadre ferm dorganisation. Elle lest donc davantage lorsque ces projets
intgrent des partenaires et des sous-traitants, pour lesquels le mme raisonnement
devrait sappliquer.
En fonction de cette analyse, la direction financire doit structurer le passif de
lentreprise au regard de lexposition gnrale aux risques et la volatilit des actifs,
puis mettre en place les financements adquats et les politiques de couverture, y
compris le transfert aux tiers (assurance, titrisation, captive, etc.).
Cette structuration doit galement prendre en considration lexigence de rende-
ment des actionnaires. Cela permet dviter un hiatus qui peut dstabiliser la direc-
tion gnrale de lentreprise. En dautres termes, lexamen des risques globaux doit
tre men au sein du conseil dadministration, afin que les arbitrages soient rendus
en toute connaissance de cause, dans lquilibre entre choix de rendement et risques
accepts. Trop souvent, comme beaucoup daffaires et de scandales lont montr, les
actionnaires nont pas t suffisamment informs des risques sous-jacents lis des
projets ou des oprations. Ce nest pas uniquement une problmatique de pilotage
qui est pos, mais de niveau de risques financiers associs des dcisions.
Pour privilgier des rendements court terme, des impasses, dont les actionnaires
nont pas t toujours conscients, ont parfois t prises. Cela sest traduit par des
incidents, des retards, des dfaillances techniques ou organisationnelles qui ont
abouti une destruction de valeur et une dvalorisation des actifs, notamment
immatriels : sous-quipement en matire de puissance des systmes dinformation
conjugu un back-up non dimensionn aboutissant une rupture du service ;
dissimulation de risques secondaires dans le cadre dtude clinique ; externalisation
en vue de rduire les cots sans mise en uvre des dispositifs de contrle qualit,
etc. La liste des faits de destruction de valeur est longue. Ce sont souvent les salaris
(restructuration), les clients (rupture dapprovisionnement) et les fournisseurs (pertes
de CA) qui font les frais de ces dysfonctionnements.
Groupe Eyrolles
Mais les prjudices les plus importants sont ports aux actionnaires. Do la ncessit
dune grande transparence en matire de politique de matrise des risques et de
contrle associ. Cest donc un lment central du gouvernement dentreprise, qui
peut aboutir la cration dune commission spcialise management des risques et
contrle interne, distincte de celle oriente sur laudit et le contrle comptable.
La direction de laudit interne :

sassure que la politique de couverture de risques propose par le risk manager (ou
le comit dvaluation des risques, sil en existe un), et approuve par le conseil
dadministration (CA), applicable par ordre de priorit, est bien mise en uvre
telle que le CA la dcide ;
procde ou fait procder tout type de contrle quelle jugerait utile ;
rend compte au comit daudit (ou au DG, en labsence de comit daudit) du
rsultat des audits diligents par les directions oprationnelles et par la direction de
laudit interne elle-mme ;
vrifie que les oprationnels, directement en premire ligne pour les risques quils
encourent en raison de leur qualit de dirigeant de droit ou de fait, ne sont pas
ignors (dans leurs avertissements) en raison dune apprciation par trop lointaine
du comit de direction (par exemple : risques fiscaux, risques environnementaux)
et signale au CA toute dviation ce sujet ;
sassure quune collusion impliquant plusieurs membres de la direction dune filiale
ou dun business group nobre pas la capacit des oprationnels agir avec tout le
professionnalisme ncessaire.
La direction qualit :
labore, en relation avec les deux directions prcites, les procdures, documents
et calendriers ncessaires lobtention/renouvellement des certifications apparte-
nant la famille des ISO 9 000 que la socit cherche obtenir et/ou conserver ;
veille la bonne formation des utilisateurs, surtout dans des cas de forte attrition.
Vendre le projet risk management

Cette opration est dautant plus importante que la socit, ou le groupe concern, a
les caractristiques suivantes pendant la priode pr-risk management :
socit familiale ;
tradition orale (peu de procdures crites appliques) ;
patron dorigine et de culture exclusivement commerciales ;
peu dexposition pralable linternational ;
niveau dexposition aux risques ;
existence de scnarii de crises antrieures ;
ge moyen lev ;
turnover peu important.
Groupe Eyrolles
A contrario, pour que le projet soit bien vendu, il importera :

que le comit de direction tout entier montre, par son exemple quotidien (spara-
tion des tches, primaut de la fonction sur le grade, etc.), que les directeurs eux-
mmes ont achet le systme, pour le plus grand bien de la socit (rigueur,
exemplarit, respect des rgles de scurit, etc.) ;
que les responsables du projet montrent bien la population concerne que la

mise en uvre du dispositif est engage pour les protger dans leur travail (limites
de signatures et autonomie relle prcises, etc.) ;
de bien expliquer aux partenaires sociaux que la qualit et la rigueur dun dispositif
de risk management ne constituent pas un plus de travail demand aux salaris,
mais quils correspondent un standard international qui, sil ntait pas appliqu
par lentreprise, la mettrait rapidement hors course.
En synthse, le dispositif de risk management ne doit plus tre positionn comme un
processus gnrateur de contraintes, mais comme un agent de transformation cultu-
relle au niveau transversal, afin de mettre du liant social entre tous les acteurs autour
dun mme objectif : valorisation et protection de la surface financire de lentre-
prise, des actifs et des hommes. Cela permet de faire comprendre au niveau du
terrain les contingences financires, et non de les subir. Cest aussi la seule faon de
grer au mieux la complexit des processus et des situations. Respecter une rgle de
droit sans comprendre comment elle vous implique, vous et le reste du corps social,
donc lentreprise et son devenir, est vou lchec, ou du moins la baisse de la
vigilance et donc de la responsabilisation. Appliquer strictement des procdures ne
prmunit pas contre les risques incertains et cumulatifs du fait de leur interaction.
A contrario, le recours la capacit danalyse et de choix, dans un cadre collectif,
permet de rduire certains risques, car cela instaure une thique de responsabilit.
Cette orientation permet aussi dattribuer aux directions fonctionnelles un champ
nouveau dintervention. Les DRH sont plus ou moins en charge de risques sociaux,
mais dans la ralit, beaucoup dentre eux leur chappent du fait de la dcentralisa-
tion oprationnelle. Il en est de mme pour les responsables juridiques, etc. En
travaillant plus sur laccompagnement pdagogique des dispositifs de risk manage-
ment, ces directions fonctionnelles peuvent favoriser les comportements de respon-
sabilit et assumer une part de pilotage des risques.
Mesurer lefficacit du risk management et arbitrer en termes

de dcision dallocation des fonds propres
Le risk management doit tre positionn comme tant loutil majeur de la politique
de matrise des risques qui simposent lentreprise. cette vision correspond le
souci de dfinir la bonne structure financire et le dimensionnement des fonds
propres pour faire face aux situations pouvant mettre en cause la survie et la prennit
de lentreprise. Sy ajoute aussi le concept de destruction de valeur et de rduction
du niveau de volatilit du cash-flow, qui aboutit un pilotage par le cash flow at risk.
La logique financire comporte une dimension dynamique qui peut se rsumer la
consigne suivante : protger les fonds propres des actionnaires. Non seulement cette
Groupe Eyrolles
recommandation est cohrente avec lesprit des normes IFRS, mais elle fait de
chaque acteur de lentreprise, son niveau, un lment moteur de matrise des
risques. Chacun devient dpositaire dune partie des fonds propres et doit analyser la
part des actifs sur lesquels il intervient, afin den assurer non seulement la valorisation
(lie la gnration de cash-flow), mais aussi la protection (notion de risk owner).
Dans latelier, louvrier devient responsable de sa machine et des flux futurs de

recettes quelle permet.
Cette responsabilit sadditionne lquipe de latelier, etc. Elle participe dune gestion
transversale qui tranche avec la vision en silo o chacun ne regarde que son propre
horizon. Au niveau des managers, cette responsabilit repose sur loptimisation du
ROCE (return on capital employed) et sur la prvention des risques divers conscutifs
lutilisation de loutil de travail et donc aux processus critiques qui lui sont lis.
Quel est lavantage dune telle dmarche ? Aucun corpus de procdures ne peut
prvoir linvitable ou linimaginable. Mais lesprit bien form, sensibilis, motiv
peut anticiper, ragir et grer la situation, donc prvenir le risque potentiel. Une
mthodologie de risk management nest quun support pratique et a minima des
consignes de scurit observer. Lallocation individualise dune part de fonds
propres et donc de responsabilit dun lment dactif est la meilleure assurance.
Communiquer sur lefficacit du dispositif de risk management

La communication interne sur lefficacit du dispositif de risk management passe par
une dfinition des outils de communication crits et oraux formaliser :
contenu des auditions des experts techniques et financiers internes par le comit
des risques et le conseil dadministration ;
modalits dexercice de clause de confiance du directeur financier et de lexercice
de son droit de rserve ;
modalits de rdaction et structuration du rapport risk management.
Outre la question de la mesure de lefficacit du dispositif de risk management se
pose galement celle des moyens dvolus ce dernier. En dautres termes, si les
actionnaires limitent ces moyens, ils acceptent implicitement une prise de risque
supplmentaire qui devrait tre officiellement acte dans le cadre du conseil dadmi-
nistration. Il est difficile de vouloir tout et son contraire. Do lintrt de la
dmarche indique ex ante concernant les choix de politique financire, au regard de
larbitrage ncessaire des actionnaires concernant la structure du passif versus la vola-
tilit des actifs et le rendement qui en dcoule.
noter quun organisme de notation, tel que Standard & Poors, renforce son
analyse en termes dvaluation des risques des groupes cots. Des questionnaires sont
actuellement envoys par S&P dans les groupes pour valuer leur dispositif de risk
management. Les principaux critres analyss sont les suivants :
adoption dun rfrentiel de risk management spcifique lentreprise ;
dfinition des acteurs impliqus dans le dispositif de management des risques ;
Groupe Eyrolles
communication interne et externe sur le dispositif de risk management ;

politiques de procdures de risk management et gestion de crise ;
influence du dispositif de risk management sur la politique de financement ;
influence du dispositif de management stratgique sur la dcision stratgique.
TROISIME PARTIE
La banque ou la compagnie
dassurances hors risque
Lobjectif de cette troisime partie est de prsenter :

les contraintes rglementaires spcifiques auxquelles sont soumises les banques et
les compagnies dassurances ;
les spcificits des dispositifs de risk management des banques et compagnies
dassurances (intgrant les outils de base ainsi que les outils de gestion de crise).
Groupe Eyrolles
Chapitre 1
Les contraintes rglementaires

Les contraintes rglementaires spcifiques Ble II
En 1988, le comit de Ble, compos des gouverneurs des banques centrales de
treize pays de lOCDE, publie les premiers accords de Ble, ensemble de recom-
mandations dont le pivot est la mise en place dun ratio minimal de fonds propres
par rapport lensemble des crdits accords, le ratio Cooke.
Ainsi sont dfinies les notions de :
fonds propres rglementaires ;
et lensemble des engagements de crdit.
Ces deux notions tant rigoureusement prcises par rapport un systme comp-
table (comptes concerns, pondrations ventuelles).
Le rapport des deux valeurs ne doit alors pas tre infrieur 8 % dans les proposi-
tions des accords de Ble.
Il est noter quil ne sagit que de recommandations, charge chaque tat membre
(et tout autre tat intress) de les transposer dans son droit propre.
Ainsi, en France, est appliqu depuis le 1er janvier 1993 le ratio de solvabilit euro-
pen (directive 89/647/CEE du 18 dcembre 1989), traduit dans le droit franais
par le rglement 91-05 du Comit de la rglementation bancaire et financire et
linstruction 91-02 de la Commission bancaire.
Les accords de Ble sont actuellement appliqus dans plus dune centaine de pays.
La grande limite du ratio Cooke, et donc des rglementations issues des premiers
accords de Ble, est lie la dfinition des engagements de crdit. La principale
variable prise en compte tait le montant du crdit distribu. la lumire de la
thorie financire moderne, il apparat quest nglige la dimension essentielle de la
qualit de lemprunteur, et donc du risque de crdit quil reprsente rellement.
Le comit de Ble va donc proposer en 2004 un nouvel ensemble de recommandations,
au terme duquel sera dfinie une mesure plus pertinente du risque de crdit, avec en
particulier la prise en compte de la qualit de lemprunteur, y compris par linterm-
diaire dun systme de notation interne propre chaque tablissement (dnomm IRB,
internal rating based). Le nouveau ratio de solvabilit est le ratio McDonough.
Les trois piliers de Ble II

Les recommandations de Ble II sappuient sur trois piliers (terme employ explici-
Groupe Eyrolles
tement dans le texte des accords) :

lexigence de fonds propres (ratio de solvabilit McDonough) ;
la procdure de surveillance de la gestion des fonds propres ;
la discipline du march (transparence dans la communication des tablissements).
98 Partie 3 La banque ou la compagnie dassurances hors risque
Pilier 1 : lexigence de fonds propres

Comme indiqu ci-dessus, cest le chapitre qui nous intresse le plus ; il affine
laccord de 1988 et cherche rendre les fonds propres cohrents avec les risques
rellement encourus par les tablissements financiers. Parmi les nouveauts, signa-
lons la prise en compte des risques oprationnels (fraude et pannes de systme) et des
risques de march, en complment du risque de crdit ou de contrepartie.
Nous passons ainsi dun ratio Cooke o :
Fonds propres de la banque > 8 % des risques de crdit
un ratio McDonough o :
Fonds propres de la banque > 8 % des (risques de crdit (75 %) + de march (5 %) +
oprationnels (20 %))
De plus le calcul des risques de crdit se prcise par une pondration plus fine des
encours avec une prise en compte :
du risque de dfaut de la contrepartie (le client emprunteur) ;
du risque sur la ligne de crdit (type de crdit, dure, garantie) ;
de lencours.
Ces risques sexpriment par des probabilits :
PD : probabilit de dfaut de la contrepartie ;
LGD : taux de perte en cas de dfaut sur la ligne de crdit, qui sapplique sur
lencours un an du client, lEAD (exposition au moment du dfaut).
Pour le risque de crdit, les banques peuvent employer diffrents mcanismes
dvaluation. La mthode dite standard consiste utiliser des systmes de nota-
tion fournis par des organismes externes.
Les mthodes plus sophistiques (mthodes IRB pour internal rating based) avec la
mthode dite IRB-Fondation et celle dite IRB-Avance impliquent des
mthodologies internes et propres ltablissement financier dvaluation de cotes
ou de notes, afin de peser le risque relatif du crdit. Ainsi, en mthode standard, les
PD et LGD sont imposs par le rgulateur (commission bancaire en France) soit
directement pour la LGD, soit en imposant un organisme de notation (cotation
BDF, Standard and Poors). En mthode IRB fondation , la banque estime sa
PD, et le LGD reste impos par le rgulateur. En mthode IRB avance , la
banque matrise toutes ses composantes.
Le choix de la mthode (plus ou moins complexe) permet une banque didentifier
ses risques propres en fonction de sa gestion. Une banque qui voudrait tre au plus
prs de sa ralit tendra vers le choix dune mthode avance. Mais en contrepartie,
Groupe Eyrolles
linvestissement est dautant plus important. La dtermination dune LGD demande

ainsi la gestion et lhistorisation de plus de 150 donnes mensuelles sur un minimum
de cinq ans sur chacun des crdits accords.
Le calcul du risque de crdit est alors simple : RWA= f(PD ; LGD) EAD o
f respecte une loi normale.
Ch. 1 Les contraintes rglementaires 99
Il se complte du calcul dune perte attendue : EL = PD LGD EAD

Fonds propres
Dans le ratio = ----------------------------------------------------------------------------------------------------------------------------------------------- > 8 %
Risque de crdit + Risque oprationnel + Risque de march
Pilier 2 : la procdure de surveillance de la gestion des fonds propres

Comme les stratgies des banques peuvent varier quant la composition de lactif et
la prise de risques, les banques centrales auront plus de libert dans ltablissement de
normes face aux banques, pouvant hausser les exigences de capital l o elles le juge-
ront ncessaires
Cette ncessit sappliquera de deux faons :
validation des mthodes statistiques employes au pilier 1 (back testing) ;
test de validit des fonds propres en cas de crise conomique.
1) La banque devra prouver a posteriori la validit de ses mthodes dfinies a priori en
fonction de ses donnes statistiques, et cela sur des priodes assez longues (5 7 ans).
Elle devra en outre tre capable de tracer lorigine de ses donnes.
2) La banque devra prouver que, sur ses segments de clientle, ses fonds propres sont
suffisants pour supporter une crise conomique touchant lun ou tous ces secteurs.
La commission bancaire pourra en fonction de ces rsultats imposer la ncessit de
fonds propres supplmentaires.
Lallocation des fonds propres dpend de la matrise des risques oprationnels.
Lexigence en termes de fonds propres peut tre base sur trois mthodes.
Mthode de base (petits tablissements bancaires)

K = bta PNB moyen des 3 dernires annes
K = exigence a minima en termes de fonds propres
Bta = 15 %
Approche standard
La logique dallocation des fonds propres dpend de la matrise des risques opra-
tionnels par mtier bancaire :
K= bta i PNB i
Les coefficients bta se dtaillant de la faon suivante :
B1 financement entreprise : 18 % ;
B2 ngoce et vente : 18 % ;
B3 banque de dtail : 12 % ;
B4 banque commerciale : 15 % ;
Groupe Eyrolles
B5 paiement et rglement 18 % ;
B6 fonction dagents : 15 % ;
B7 gestion dactifs : 12 % ;
B8 courtage de dtail : 12 %.
AMA (approche de mesure avance)

Cette approche est subordonne aux exigences suivantes :
obligation dexistence de key risks indicators (KRI) ;
analyse par scnarii ;
existence dune base incidents enregistrant la sinistralit interne ltablissement
bancaire.
Pilier 3 : la discipline de march

Des rgles de transparence sont tablies quant linformation mise la disposition
du public sur lactif, les risques et leur gestion.
Lapplication de Ble II est une puissante machine qui formate les donnes de
gestion dune banque.
Ses consquences sont de trois ordres au niveau du pilier 3 :
uniformisation des bonnes pratiques bancaires. Quelle que soit la banque et quelle
que soit la rglementation qui la rgit (droits nationaux), les pratiques doivent tre
transparentes et uniformises ;
les bases mises en place pour ce calcul sont une puissante source de donnes de
gestion, qui (enfin) rconcilient les vues risques, comptables et financires ;
transparence financire : les analystes trouveront enfin une lecture des portefeuilles
de risque identique pour toute banque dans tout pays.
La dfinition des risques pris en compte dans le secteur bancaire en

conformit avec Ble II
Pour dfinir la politique que doit adopter un tablissement en matire de contrle
interne, lanalyse des risques constitue un pralable.
La notion de risque de crdit est immdiatement associe au risque de contrepartie ;
pour un dossier donn, il est en effet clair que le risque premier rside dans la
volont, mais aussi dans la capacit de lemprunteur faire face ses engagements.
Dessiner lorganisation du contrle interne en ne considrant que ce seul aspect
serait toutefois rducteur. Les risques que lon pourrait qualifier dadditionnels ou de
connexes au risque de contrepartie doivent galement tre matriss et donc prala-
blement valus. Au nombre de huit, ils prennent naissance lors de linitiation des
transactions et le plus souvent perdurent jusqu lchance finale.
On distingue alors :
le risque de garantie : la banque peut devoir supporter une perte si elle ne peut
exercer la garantie attache un prt en dfaut ou si le produit de cette action
savre insuffisant pour couvrir les engagements accumuls par le dbiteur. Les dif-
Groupe Eyrolles
ficults rcentes rencontres dans le domaine immobilier par de nombreux tablis-

sements lorsquils ont envisag de raliser leurs gages sont une illustration de ce
type de risque ;
le risque de concentration : une diversification insuffisante du portefeuille de con-
cours en termes de secteurs conomiques, de rgions gographiques ou de taille
demprunteur peut provoquer des pertes importantes ; les banques rgionales y

sont particulirement exposes, de mme que les tablissements spcialiss ;
le risque pays : bien connu des grands tablissements, il se manifeste lorsquun
pays tranger ne dispose plus de rserves suffisantes pour faire face aux engage-
ments en monnaie trangre de ses ressortissants ;
le risque de change : il nat chaque fois que ltablissement accorde un crdit dans
une monnaie qui nest pas celle de lexpression de ses capitaux propres ; si les res-
sources utilises pour financer cet emploi sont libelles dans la mme devise, le ris-
que ne porte que sur la marge de lopration ; dans le cas contraire, le montant en
principal est galement expos. Ce risque se manifeste galement si la banque,
aprs avoir achet des devises et aprs avoir dot une provision en devises, est
amene les revendre lors dune reprise de provisions non utilises ;
le risque de fraudes : multiforme, il peut sagir par exemple de concours consentis
de faux clients, donc bien videmment irrcouvrables ;
le risque dinitis : il sagit de concours accords des conditions hors march, ou
selon des procdures exceptionnelles des dirigeants de la banque, des entrepri-
ses dans lesquelles ils ont des intrts ou des socits lies des actionnaires
important de ltablissement ;
le risque lgal et rglementaire : lactivit de crdit est troitement rglemente
(comme symtriquement lest le droit dengager une personne morale en tant que
contrepartie) et le non-respect de nombreuses dispositions peut conduire ltablis-
sement supporter des pertes soit directement, soit en raison de limpossibilit de
mettre en uvre une garantie ;
le risque oprationnel : cette notion recouvre toutes les erreurs de traitement, qui
peuvent survenir au cours de la vie dun dossier, telles que : dblocage des fonds,
avant que toute la documentation requise nait t runie, saisie errone des con-
ditions de crdit dans les systmes de gestion, mauvaise identification des concours
compromis
Lanalyse spcifique du risque de taux

Le risque de taux dintrt concerne la fois les positions de taux prises en salles de
marchs ainsi que lexposition au risque de transformation, inhrent lactivit
bancaire par dfinition.
La matrise du risque de taux passe par lexistence dune unit de contrle des
risques qui sapplique aux oprations de march et a pour rle de :
Groupe Eyrolles
concevoir et mettre en place un systme de gestion des risques ;

produire et analyser des rapports quotidiens ;
raliser des mesures ex post destines vrifier la qualit des mesures produites par
le modle interne que la banque souhaite faire connatre aux autorits de tutelle.
La spcificit des risques de march

En matire de risques de march, le CRB 97-02, bien que novateur plus dun
titre, napporte pas de bouleversements fondamentaux par rapport au texte qui la
prcd. Il pose :
des principes gnraux dorganisation et de fonctionnement de lensemble du dis-
positif de contrle interne, ces principes tant applicables lensemble de ces
composantes ;
des obligations trs prcises sappliquant spcifiquement chacune des units qui
assurent le pilotage dune fraude fonction ou dun grand risque.
Le nouveau rglement sur le contrle interne introduit une exigence trs forte de
formalisme, cette exigence simposant toutes les directions des tablissements de
crdit. Nulle part le contrle interne nest plus justifi que dans les salles de marchs
(limportance des volumes traits, la sophistication des techniques de transaction, le
caractre souvent instantan des prises de dcision, lvolution quasi permanente des
instruments et des stratgies). Or, si la rglementation prvoit une parfaite int-
gration du contrle interne dans lorganisation, les mthodes et les procdures de
chaque activit, il semble que lunivers de la salle de marchs soit peu propice une
telle dmarche en raison :
du recours frquent des instruments tlmatiques ;
de la ncessit de ragir rapidement en toutes circonstances.
Fonds propres conomiques et RAROC1

La notion de fonds propres conomiques est constitue des composantes suivantes :
tier 1 : capital et rserves et report nouveau ;
tier 2 : fonds de garantie et rserves latentes, et titres et emprunts subordonns ;
tier 3 : bnfices intermdiaires du portefeuille de ngociation et emprunts subor-
donns de plus de 2 ans.
Ces fonds propres conomiques sont allous par unit daffaires bancaire en fonction
dun CMPC calcul par branche dactivit.
Ratios McDonough et allocation des fonds propres en fonction

des risques
Ble II vise maximiser la solvabilit des tablissements de crdit en protgeant les
fonds propres.
Le ratio de solvabilit McDonough fixe des exigences importantes en termes de
Groupe Eyrolles
constitution des fonds propres : les fonds propres rglementaires doivent faire
a minima 8 % (exigences pour risque de march 12,5 + exigences pour risque
oprationnel 12,5 + encours des risques de crdit pondr.
1. RAROC : Risk Adjusted Return On Capital (rentabilit du capital ajuste au risque).

Modalits de renforcement des dispositifs de contrle interne et de risk

management bancaire suite aux scandales financiers et la crise
financire de 2008
Les rcents scandales financiers (Caisse dpargne, Socit gnrale) et la crise
financire, boursire et conomique gnre par la crise des subprimes imposent
de renforcer les dispositifs de risk management et de contrle interne dans les
tablissements bancaires tant au niveau de la gouvernance quau niveau du
contrle des activits.
Renforcement de la gouvernance bancaire

La mthodologie du COSO a prouv via ses scandales financiers la faiblesse de la
composante environnement du contrle . ce titre, le rapport Ricol ralis pour
le compte du prsident de la Rpublique franaise pointe du doigt les vulnrabilits
de ces dispositifs au sein des banques europennes.
Renforcement du contrle des activits (dont les activits de trading)

Rappelons tout dabord les faits (retour dexprience du scandale financier de la
Socit gnrale/affaire Kerviel), via les conclusions de la mission daudit interne
mene par la direction de laudit interne et prsentes au comit spcial au sein du
conseil dadministration de la banque :
lauteur de la fraude est sorti du cadre de son activit normale darbitrage et a
constitu des positions directionnelles relles sur des marchs rglements, en les
masquant par des oprations fictives de sens contraire ;
les diffrentes techniques utilises ont constitu principalement en :
achats, ventes de titres ou warrants date de dpart dcal,
transactions ou futures avec une contrepartie en attente de dsignation,
forwards avec une contrepartie interne au groupe.
Linspection gnrale de la banque considre que les contrles prvus par les fonc-
tions de support ont dans lensemble t effectus et mens conformment aux
procdures, mais nont pas permis didentifier la fraude avant le 18 janvier 2008,
alors que le trader avait commenc prendre des positions risque ds mars 2007.
Du point de vue de linspection gnrale, labsence didentification des fraudes peut
sexpliquer par lefficacit et par la diversit des techniques de fraude utilises, et
dautre part par le fait que les contrleurs napprofondissent pas systmatiquement
leurs contrles et enfin par linexistence de certains contrles qui auraient pu identi-
fier la fraude.
Par voie de consquence, il savre indispensable de dvelopper de nouvelles
mesures visant prvenir les risques de fraude concernant les activits de trading
Groupe Eyrolles
gnratrices des rcents scandales financiers, savoir :

le renforcement de la scurit informatique par le dveloppement de solutions
didentification fortes (biomtrie), par lacclration de projets structurels en
matire de gestion et de scurit des accs, ainsi que par la ralisation daudits de
scurit cibls ;
le renforcement des contrles, procdures dalerte, empchant les ruptures dans les
chanes de commandement et de reporting ;
le renforcement de lorganisation et de la gouvernance du dispositif de prvention
des risques oprationnels dans une optique de transversalit.
Les contraintes rglementaires spcifiques Solvency II

linstar de Ble pour les banques, lUnion europenne a tabli un nouveau code
rglementaire pour la gestion des risques des compagnies dassurances. La version
dfinitive de Solvency II ( Solvabilit II ) est prvue pour une application vers
2010.
Par rapport la directive Solvency I actuellement en place, Solvency II a gnralis
la mesure du risque oprationnel, introduit le Solvency Capital Requirement et
entranera un contrle accru du rgulateur.
Mise en uvre de la phase 1 : les fondations de Solvency II

La premire phase de Solvency II sest droule de mai 2001 lautomne 2003.
Lobjectif consistait dvelopper un rfrentiel de haut niveau en termes dexigence de
solvabilit pour les compagnies dassurances en identifiant les insuffisances du dispositif
actuel et en investiguant de nouvelles techniques permettant de matriser le risque
dinsolvabilit.
ce titre, la commission europenne commanda deux tudes :
le rapport Sharma prsent en dcembre 2002 par le groupe de Londres et le
groupe de travail ad hoc mis en uvre par la confrence des autorits de tutelle
europennes. Ce rapport arriva la conclusion quun renforcement des fonds pro-
pres associ un management de qualit tait loutil majeur prventif du risque
dinsolvabilit des compagnies dassurances ;
une deuxime tude mettant en exergue la ncessit de construire un dispositif de
contrle beaucoup plus bas sur les risques.
Dans cette premire tape mergea lide de construire un dispositif de contrle de
la solvabilit des compagnies dassurances par le biais de trois piliers (raisonnement
identique Ble II), combinant la fois des outils de mesure quantitatifs et qualitatifs
innovants, tels que :
matching entre actif et passif ;
Groupe Eyrolles
identification et quantification des risques et minimisation du risque systmatique ;

estimation des flux de dcaissement lis la sinistralit ;
convergence entre les modles spcifiques dvaluation des risques de compagnies
et les modles des autorits de tutelle.
Phase 2 : mise en uvre oprationnelle du dispositif via les trois

piliers de Solvency II
La phase 2 du dispositif sest traduite par la mise en uvre lgislative et administra-
tive du dispositif Solvency II trois niveaux :
rdaction du projet de directive europenne par la Commission europenne pour
adoption par le Parlement et le Conseil europens ;
mise en uvre effective des mesures proposes par le groupe technique, y compris les
mesures techniques, par lEIOPC (European Insurance and Occupational Pensions
Committee) ;
mise en uvre dun processus dharmonisation des processus de contrle intra-
UE, IOPC, Calls, Risks.
Le premier pilier : contraintes quantitatives/constitution de deux niveaux

de fonds propres
MCR (Minimum Capital Requirement) et SCR (Solvency Capital Requirement)
sont compars au niveau actuel du capital disponible correspondant un capital
conomique. Lanalyse comparative aboutit trois scnarii :
si le capital disponible est suprieur au SCR, alors la compagnie dassurances est
suffisamment capitalise ;
si le capital disponible est compris entre le MCR et le SCR, alors il y a mission
dun indicateur dalerte auprs des autorits de tutelle, et de la gouvernance de la
compagnie ;
si le capital disponible est infrieur au MCR, alors la compagnie est rpute insolvable.
Alors que le MCR est dtermin par une formule simple, le SCR est calcul soit
partir dune approche standard base sur de lanalyse fonctionnelle, soit en utilisant
un modle interne de risques. Les paramtres pris en compte dans le cadre de ces
modlisations sont les suivants :
risque de souscription ;
risque de march ;
risque crdit ;
risque de liquidit ;
risques oprationnels.
Le deuxime pilier (qualitatif) : processus de supervision et management

interne des risques
Le second pilier du dispositif Solvency II correspond limplmentation de systmes
Groupe Eyrolles
de contrle interne et de risk management efficaces.

La notion de risk management est dfinie de faon extensive et intgre les principes de
calcul des provisions sur des bases actuarielles et la gestion assets liabilities management.
Cette dmarche a pour but dallouer les fonds propres par unit daffaires en fonc-
tion du niveau de matrise des risques de sinistralit et des risques stratgiques.
Le troisime pilier : transparence du march et communication financire

Le troisime pilier du dispositif Solvency II rside dans lexistence dune discipline
du secteur de lassurance et dune transparence du march. ce titre, il est intres-
sant danalyser laide que peuvent fournir des outils de communication financire
telles que les normes IFRS 4 (actifs et passifs dassurance) et IFRS 7 (tats financiers).
ORSA (Own Risk and Solvency Assessment) et directive Solvency II

La mise en uvre dun dispositif Solvency II passe obligatoirement par la modlisation
dune valuation interne des risques dnomme Own Risk and Solvency Assessment .
Ce modle interne doit contenir :
lvaluation dun besoin global de solvabilit ;
la couverture permanente des exigences de fonds propres et de provisionnement ;
ladquation ou non du modle interne aux profils de risque de lentreprise ;
lidentification des principaux risques auxquels est expose lentreprise, et des sc-
narii conomiques adverses.
La dmarche ORSA exige que les fonds propres soient en permanence suffisants
pour couvrir les SCR et MCR.
La frquence de calcul du SCR doit tre adapte au profil de risque au moins une
fois par an pour un profil de risque moyen, chaque changement significatif de
profil de risque.
Le MCR doit tre calcul tous les trimestres.
Solvency II impose dautre part la mise en uvre dexigences de reporting, qui se
traduira par une intervention gradue des autorits de contrle en fonction des
exigences de solvabilit, savoir :
si les fonds propres sont intgrs entre le SCR et le MCR : notification du super-
viseur, fourniture dun plan de redressement (leve de fonds, rduction des ris-
ques), runions rgulires avec le superviseur ;
si les fonds propres sont infrieurs au niveau de capital minimum (MCR) : fourni-
ture dun plan de sauvetage financier, ventuel arrt de la souscription, prparation
par le superviseur du plan de retrait dagrment et de dissolution.
Groupe Eyrolles
Chapitre 2
Le risk management bancaire

Le dveloppement du risk management bancaire passe la fois par la mise sous
contrle de risques financiers spcifiques aux tablissements bancaires et par la mise
sous contrle de risques oprationnels gnriques ou spcifiques (blanchiment
dargent, financement du terrorisme, etc.).
La mise sous contrle des risques financiers (contrepartie,

crdit, etc.)
Gestion ALM et risk management bancaire
La gestion ALM (asset-liability management) vise trois objectifs :
matriser les dures via la gestion des impasses ;
matriser le risque de taux ;
valuer la banque.
Lapproche ALM peut tre dcline de faon dynamique et statique :
statique : activit frache mise zro et seuls les encours existants scoulent
jusqu puisement ;
dynamique : intgrant les objectifs de collecte et demplois ajouts aux objectifs
initiaux.
Matrise des dures, gestion des impasses

la date darrt de bilan, les encours dactif et de passif ont une dure moyenne de
disponibilit (passif) ou dimmobilisation (actif).
Ils gnrent des flux de capitaux faisant partie du TRE : tableau emplois/ressources :
dpts, retraits pour les ressources ;
versements amortissements pour les crdits ;
achats ventes remboursement pour le portefeuille titres.
Les carts mensuels entre les flux entrants et sortants reprsentent, sils sont ngatifs,
les impasses de gestion. tablies sur une dure de cinq ans et regroupes par
tranche : trois mois, six mois, un an, deux ans, trois ans, quatre ans, cinq ans et plus.
La matrise des impasses a un effet sur la structure de la collecte prvisionnelle et des
crdits moyen et long terme.
Groupe Eyrolles
ALM et gestion du risque de taux

Le risque de taux est dfini comme le risque encouru en cas de variation des taux
dintrt du fait de lensemble des oprations de bilan et de hors-bilan.
Il existe un risque de variation des rsultats gnrs par les variations des taux
dintrt se traduisant par une diminution du PNB (produit net bancaire).
On dnombre deux risques :
taux fixe taux fixe ;
taux fixe taux variable.
Le risque de taux fixe taux variable peut tre couvert par un swap de taux :
il sagit dune macro-ouverture revenant un change dintrts et non de capital ;
le prix du swap est obtenu en actualisant les flux de capitaux et dintrts taux
fixe (premire jambe) ;
et les mmes taux variable (deuxime jambe).
valuation de ltablissement bancaire et ALM

La valorisation de la valeur liquidative de la banque passe par le calcul de la valeur
actuelle nette des actifs et des passifs :
dans le calcul des impasses les encours sont classs la date darrt selon leur dure
restant courir en actif comme en passif ;
ces chanciers de flux financiers sont complts par ceux correspondant aux
autres encours (immobilisations, participations, fonds propres) et sont actualiss au
taux de la courbe de taux ;
lapproche dynamique applique le mme raisonnement en intgrant en plus les
prvisions dactivit sur cinq ans. Les flux prvisionnels gnrant un bilan actuariel
compltent le bilan valoris dans lapproche statique.
La mise sous contrle des risques oprationnels

Environnement dentreprise et gouvernement dentreprise de la banque
Les acteurs cls du gouvernement dentreprise dans le secteur bancaire sont :
le comit daudit : il supervise les mthodes mises en uvre en termes de contrle
interne et externe ;
le comit des rmunrations : il fixe la rmunration des membres du conseil
dadministration et lattribution des stock-options ;
la direction de laudit interne : elle pilote ventuellement le projet SOX impos
par la SEC ou le projet 8e directive EEC dans le secteur bancaire, ainsi que la stra-
tgie ALM.
Les attributions cls du comit daudit en vue de construire un risk mana-

gement bancaire mature
Groupe Eyrolles
On entend par comit daudit un comit qui peut tre cr par lorgane dlibrant
pour lassister dans lexercice de ses missions.
Cette cration nest pas obligatoire ce jour (elle le devient avec la 8 e directive euro-
penne sur laudit lgal) et, mme si elle est formellement encourage par les autorits
Ch. 2 Le risk management bancaire 109
de tutelle, il appartient au seul organe dlibrant de ltablissement de crdit de dcider

ou non de sa cration, sa composition, ses missions et modalits de fonctionnement.
Sa cration est de nature faciliter le contrle effectif par les conseils dadminis-
tration dont le comit daudit est une manation, et sa mission ne doit pas se limiter
lanalyse des comptes, mais stendre lapprciation de la qualit des dispositifs de
contrle et des outils de pilotage.
Il a deux missions principales :
il est charg de vrifier la clart des informations fournies et de porter une appr-
ciation sur la pertinence des mthodes comptables adoptes par ltablissement des
comptes individuels et, le cas chant, consolids ;
il doit porter une apprciation sur la qualit du contrle interne, notamment la
cohrence des systmes de mesure, la surveillance et la matrise des risques, ainsi
que proposer, autant que de besoin, des actions complmentaires ce titre.
Le comit daudit assure galement dautres tches, telles que :
maintenir la communication entre le conseil dadministration, les dirigeants et les
auditeurs internes et externes, afin dchanger des informations et des points de vue ;
surveiller et apprcier lindpendance de la qualit, le rapport efficacit/cots et le
champ de la fonction daudit interne ;
effectuer un examen indpendant des tats financiers annuels et dautres informa-
tions externes pertinentes ;
donner des avis sur la nomination dun auditeur externe ;
sassurer que ltablissement de crdit opre dans le respect des lois et des rgle-
mentations.
Les outils du dispositif de risk management bancaire

Le dispositif de risk management bancaire se compose des outils suivants :
procdures de rvision comptable/commissariat aux comptes en Domestic GAAP,
IFRS et US GAAP (en cas de rconciliation des comptes consolids IFRS US
GAAP) ;
existence de plans de continuit de lexploitation et dfinition des applicatifs
critiques ;
cartographie exhaustive des processus compatibles avec les dispositifs de contrle
qualit ;
plan de protection des informations ;
processus de rvision et darrts de comptes de type Sarbanes-Oxley en cas de
cotation aux USA ;
requtes informatiques dautocontrle (identification doprations anormales) ;
Groupe Eyrolles
procdures crites ;
manuel de conventions intragroupe ;
cartographie type des critures comptables (schmas comptables autoriss) ;

tableaux de bord sinistralit/non-qualit.
Ces composantes servent la fois alimenter le Sirm (systme dinformation risk
management) et le volet monitoring du COSO.
Les outils spcifiques de gestion de crise (plans de continuit, communica-

tion de crise)
Les tablissements bancaires se doivent de simuler les impacts des scnarii de crise
bancaire et dvaluer leur impact via un indicateur financier, Value At Risk (VAR) : il
sagit de la perte potentielle maximale encourue par une banque dans un dlai dter-
min. Cette perte maximale est obtenue par application dune mthode dvaluation
des risques, aprs limination des 1 % des occurrences les plus dfavorables.
Cette mthode, utilise partir de 1998 pour rpondre aux exigences des rgulateurs
en matire de calcul des fonds propres rglementaires sur lessentiel des risques de
march, est celle de la simulation historique et repose sur les principes suivants :
constitution dun historique de paramtres de march reprsentatifs du risque
des positions ;
dtermination de 250 scnarii correspondants aux variations sur un jour observes
sur un historique dun an glissant ;
dformation des paramtres du jour selon ces 250 scnarii ;
revalorisation des positions du jour sur la base de ces 250 dformations des condi-
tions de march.
Matrice dvaluation des impacts
Trs lev lev Moyen Faible
Pertes financires Lchelle des pertes est dfinie par le management en sappuyant sur les
directes donnes comptables de lactivit tudie (PNB moyens journaliers/men-
Pertes de revenu suels/annuels) et sur les indicateurs de risques (par exemple : VAR)
Incapacit Incapacit
La banque nest
Incapacit rpondre cer- rpondre certai-
pas dans linca-
rpondre aux taines obligations nes obligations
pacit de faire
obligations rgle- rglementaires rglementaires
Impacts rgle- face ses obli-
mentaires. Per- majeures. Mises dans les dlais
mentaires gations et/ou
tes de licence ou sous surveillance. impartis, bien que
tolrance proba-
de droit oprer Risques de sus- les rgulateurs
ble des rgula-
sur les marchs pension tempo- puissent accepter
teurs
raire des activits quelques retards
Nombreuses Plaintes et pour- Quelques plaintes
plaintes et poursuites avec des ou poursuites
Possibilit
Groupe Eyrolles
suites avec pna- clients et des con- possibles de la

limite dactions
Impacts lits financires treparties avec part de clients ou
en justice
lgaux/juridiques majeures. Les diri- possibilit de de contreparties
contre
geants de la ban- pnalits finan- mais avec des
la banque
que sont exposs cires cons- pnalits finan-
des poursuites quentes cires limites


Trs lev lev Moyen Faible
Perte dun nom-

La banque est Pertes de clients
bre significatif de Probabilit faible
mise en dehors mineurs ou perte
clients majeurs. de perdre des
du march. La limite de clients
Altration sensible clients court
reconstruction de majeurs. La rpu-
des relations avec terme. Pas
Impacts sur la rputation tation de la ban-
les contreparties. deffort suppl-
limage/ demandera plu- que pourra tre
La reconstruction mentaire requis
la rputation sieurs reconstruite en
de la rputation pour grer
mois/annes quelques semai-
demandera des limage de la
avec des cots et nes avec des
mois avec des banque aprs le
des efforts trs efforts suppl-
cots et des efforts sinistre
importants mentaires
supplmentaires
Perturbations Perturbations Quelques pertur-
Peu ou pas
Impacts sur les importantes de la majeures sur un bations mineures
dimpact sur les
autres processus plupart des activi- nombre significa- sur dautres
autres activits
de la banque ts critiques de la tif dautres activi- activits travers
de la banque
banque ts de la banque la banque
Les difficults lies la mise en uvre dune rflexion du type gestion

de crise, plan de continuit
La rflexion en termes de conception dun plan de reprise dactivit (PRA) passe par
un certain nombre darbitrages :
les arbitrages en termes de cot financier et social ;
les arbitrages techniques sur la faisabilit (on ne peut pas tout faire) ;
les arbitrages stratgiques (les risques oprationnels ne sopposent-ils pas aux businesses) ;
il y a un quilibre trouver entre business et efficacit oprationnelle, contrle et
rsilience, contrle et activit
La plupart des tests doivent tre raliss par prcaution les jours o lactivit est
nulle. Les acteurs des tests se doivent de simuler des transactions fictives, par
exemple en envoyant dans le systme une opration de 1 euro. Ces tests sont raliss
dans des environnements aseptiss, contrls et scuriss. Cela a un intrt certain,
mais peu reprsentatif dune situation relle en cas de crise.
Do la proposition dun test en situation relle avec des transactions relles. Ce test
pourrait tre effectu :
en production normale, cest--dire en semaine ;
ou en journe Target (jours fris pour lesquels les marchs financiers sont
ouverts), cest--dire en production limite.
Il existe des liens de dpendance forts avec certains partenaires, parties prenantes
Groupe Eyrolles
(structures dinfogrance par exemple). Ceux-ci doivent aussi tre rsilients ou

travailler dans ce sens. quoi bon effectuer un effort pour homogniser les plans
de continuit des activits dans une organisation qui dpend troitement dune autre
entit non rsiliente ? Do limportance de la communication, de la sensibilisation
et de ladhrence des partenaires cette dmarche.
Le benchmark est aussi une problmatique des autorits financires de faire rf-
rence aux diffrents tests de place. Par exemple, la place financire de Paris effectue
rgulirement des tests, la FSA galement. Dans une logique densemble on conver-
gera vers une rduction du risque systmique.
Lvolution des PCA vers une convergence intragroupe soulve de nouveaux
besoins, comme un rfrentiel commun : il faut un rfrentiel commun qui recense
les activits, processus et sous-processus de lentit et qui rpertorie et tablit les liens
entre diffrentes entits. Ces rfrentiels de processus, et les cartographies (applica-
tives, fonctionnelles, etc.) affrentes, devront tre maintenus jour.
La transversalit est un concept important : la plupart des grands groupes commu-
niquent sur leur structure ( Cohrence et subsidiarit ). Dans la plupart de ces
groupes, on note un fonctionnement majoritairement en silo. Il convient de
dpasser cette vision et de progresser vers une dimension transversale.
Contrle des activits dans le secteur bancaire

Les risques spcifiques (hold-up, informatique)
Le risque de hold-up
Le risque de hold-up est un risque spcifique au secteur bancaire qui ncessite
dengager une politique de prvention ddie passant par :
un quipement systmatique des agences en sas de scurit ;
la suppression de remise et transactions en liquide dans certaines agences risque ;
une politique dapprovisionnement hautement scurise via les convoyeurs.
Le risque informatique
Le risque informatique, bien que non spcifique aux tablissements bancaires, est un
risque majeur qui ncessite dengager des mesures prventives substantielles, compte
tenu du caractre de dmatrialisation de lactivit bancaire, telles que :
duplication du rseau ;
back-up informatique intragroupe et externe (avec constructeur et structure
dinfogrance).
Les dlais darrt de lexploitation informatique doivent tre trs courts et paralyse-
ront compltement lensemble des processus bancaires.
Cependant, les autres outils de mise sous contrle des risques prsents dans cet
ouvrage (assurance, prvention, etc.) seront, bien entendu, mis en uvre et activs.
La prvention du risque de blanchiment et du financement du terrorisme

Les dispositifs de prvention du risque de blanchiment et de financement du terro-
risme sont la hauteur de leurs enjeux et de la complexit des circuits utiliss.
Ils stayent sur les piliers suivants :
Groupe Eyrolles
dispositifs organisationnels (formation des chargs de clientle, supervision et

contrle managrial) ;
processus de contrle interne spcifique (formalisation de lentre en contact, suivi
des flux et des transactions, documentation et conservation des preuves, dclara-
tion de soupons).
Les lments permettant didentifier de tels risques sont les suivants :

transaction suprieure 150 000 euros ne paraissant pas avoir de justification co-
nomique ou dobjet lgal ;
cas de versements en espces substantiels ;
transferts de fonds frquents ;
distance importante non justifie entre ltablissement bancaire et la situation du client ;
mouvements frquents et non justifis sur comptes dans diffrents tablissements ;
cycle de vie des comptes rapide ;
mouvements frquents non justifis de fonds entre des tablissements se trouvant
dans des zones gographiques diffrentes.
Le dispositif de contrle interne relatif labus de march

La directive europenne Abus de march se fixe pour objectif de renforcer lintgrit
des marchs en rglementant le dlit diniti et la manipulation des cours de march.
La directive intgre une dimension dclarative visant prvenir ces risques :
pour lmetteur : tablissement dune liste dinitis sur laquelle figurent toutes les
personnes travaillant pour lmetteur ou ses relations professionnelles ayant accs
des informations privilgies ;
pour les dirigeants des groupes cots : dclarer toute opration pour leur propre
compte sur instruments financiers ou instruments de march (au sens de lIAS 39)
de la socit concerne dans les cinq jours ouvrables conscutifs la transaction ;
pour les analystes et journalistes : informations prcises fournir pour sassurer de
leur indpendance et de la pertinence de leurs recommandations ;
pour les prestataires de services dinvestissement : effectuer une dclaration dopra-
tion suspecte ds que ltablissement un soupon sur un abus de march possible.
Les enjeux de la mise en uvre de la directive MIF du 21 avril 2004

La directive europenne MIF (March des instruments financiers) a pour objectif de
renforcer le niveau de protection des investisseurs via la meilleure excution des
transactions (best transactions), par la classification des clients par leur niveau de risque,
par ladaptation de linformation financire et de la qualit de service en fonction de
cette classification, par la prvention des conflits dintrts.
Elle se traduit aussi par un largissement du primtre du risk management bancaire
en termes dacteurs (ouverture en conseil en investissement), de typologies
dinstruments financiers (intgration des contrats drivs en matires premires) et
des transactions ralises.
Elle se matrialise par la classification des clients en trois typologies se concrtisant
par un service personnalis (suitability/appropriateness), savoir :
Groupe Eyrolles
contreparties ligibles (tablissements de crdit, socits de gestion) ;

clients professionnels (entreprises, institutionnels) ;
particuliers ncessitant de bnficier dune protection renforce.
La directive MIF met ainsi en exergue la ncessit dune mise sous contrle de la
relation client en fonction de sa catgorie dappartenance, passant pralablement par
une information pralable claire et non trompeuse et se traduisant par une meilleure
connaissance du client, une prvention des conflits potentiels optimisant la politique
de best execution (gestion des ordres client) et autorisant la mise en uvre de la suita-
bility/appropriateness.
Les risques gnriques

Les compagnies bancaires partagent de nombreux risques oprationnels communs
avec les groupes industriels, tels que :
risque de rupture dapprovisionnement sur les achats de frais gnraux ;
risque politique pour les filiales et partenariats tablis dans les pays en dveloppement ;
risque IARD ;
risque humain concernant les collaborateurs de la banque.
Les outils utiliss pour mettre sous contrle ces risques sont identiques ceux des
groupes industriels et nous invitons le lecteur se reporter aux chapitres de
louvrage traitant de ces thmes.
La mise sous contrle du lancement des produits risque

(techniques de titrisation)
La chute rcente de grands groupes bancaires amricains et europens attire notre
attention sur les causes de ces dfaillances. Le rapport Ricol nous interpelle sur les
dfaillances des dispositifs de gouvernance des banques lis au lancement des produits
risque (pas de rle dalerte et rupture dans les chanes de commandement).
Mais, de fait, quoi correspondent ces produits risque qui ont ncessit de raliser
des tests de dprciation des actifs financiers des tablissements bancaires ?
Incendie du sige
du Crdit lyonnais
Exploitation Rinstallation des Impossibilit de Destruction de Mise en place de

informatique : agences dans le continuer les lautocommutateur lquipe gestion de
Dlai : immdiat quartier : interventions salle crise
Back-up sur centre de march : destruction Tlcommunication
de traitement de secours Dlai : 3 jours de 200 postes de trader
Back exploitation Duplication des Back-up sur filiale Dploiement des

informatique sur les informations SANIS : 120 postes archives vives :
constructeurs : financires : de traders mmos, rpertoires
DIGITAL et HP REUTER
Groupe Eyrolles
/BLOOMBERGE
Transfert dune
partie des traders
sur les filiales
trangres
Plan de reprise dactivit salles de marchs : lincendie du sige du Crdit lyonnais

Les diffrentes techniques de titrisation

Il existe deux types de techniques de titrisation :
titrisation on balance sheet ;
titrisation off balance sheet.
La titrisation on balance sheet se caractrise par lmission par une banque de titres
gags sur un pool de crances qui restent lactif du bilan mais sont cantonnes dun
point de vue juridique.
Ce type de technique ne prsente aucun intrt en vue de modifier la structure
financire dans une optique de respect des contraintes lies Ble II.
La titrisation off balance sheet a pour effet de doper la rentabilit de la banque par
dconsolidation de ses crances.
Dans ce montage, la banque a un vhicule de refinancement de ses crances. Le SPV
(Special Purpose Vehicle) finance lacquisition des crances par mission de titres
(asset-backed securities).
Les revenus encaisss par les investisseurs du SPV proviennent des revenus des
crances transfres et inscrites lactif du bilan du vhicule de refinancement.
On distingue les mortgage backed securities si les crances titrises sont des crdits
hypothcaires, des ABS, si les crances titrises correspondent des prts la
consommation ou des prts automobiles.
Les causes de dfaillance de ces techniques de titrisation

Les troubles apparus lt 2007 sont intervenus aprs une priode de croissance
exceptionnelle de distribution du crdit et de recours, pour financer ce crdit, un
levier dendettement considrable dans le systme financier.
Les banques prteuses ont utilis la titrisation et vendu leurs crances dautres
intermdiaires financiers (suivant le modle dit originate to distribute), en dehors de
toute rgulation, sous la forme de vhicules dinvestissement structurs (SIV) et
dautres vhicules hors bilan. Ces vhicules, qui regroupaient des crances de long
terme et de qualit variable, taient financs par des investisseurs court terme.
Aprs plusieurs annes de conditions macroconomiques favorables et dans un
contexte de liquidit abondante, les investisseurs se sont montrs de moins en moins
vigilants au regard des risques croissants de ces nouveaux produits financiers toujours
plus complexes, mais nanmoins trs bien nots par les agences de notation, ce qui
sous-entendait un faible risque pour les investisseurs, les institutions financires et les
autres acteurs.
Laugmentation du taux de dfaut des emprunteurs sur les prts hypothcaires
subprimes aux tats-Unis a entran un asschement de la liquidit sur ces marchs.
Les relations interbancaires en ont t largement affectes au travers dune crise de
confiance. Les banques ont par consquent eu subir de lourdes pertes, ce qui a in
Groupe Eyrolles
fine dclench une crise financire mondiale. Les banques centrales ont d, et
doivent encore, effectuer des injections rptes de liquidit pour maintenir une
certaine confiance.
Chapitre 3
Le risk management dans les compagnies

dassurances
Les compagnies dassurances sont culturellement peu habitues raisonner en termes
de risques oprationnels internes, bien que leur mtier consiste financer les risques
purs de leurs clients.
Elles ont se protger face deux types de risques :
les risques lis au mtier financier (dont gestion dactifs et mandats de gestion
intragroupe ou pour le compte de tiers) ;
les risques oprationnels gnriques quelles rencontrent dans la ralisation de leurs
diffrents mtiers (assurance-vie, non-vie, gestion immobilire, banque, etc.).
Risk management des mtiers financiers

Le risque de contrepartie
Dfaillance dun metteur obligataire
Ce risque correspond au cas de figure de lacquisition par une compagnie dassu-
rances de titres dtenus chances (emprunts obligataires remboursables in fine et
gnrant des coupons sur la priode damortissement du risque).
En IFRS, cet emprunt est trait selon la mthode du cot amorti, comptabilisant
soit une prime dans le cas dun cart de performance en faveur de linvestisseur ou
de dcote dans lhypothse dun cart de performance en dfaveur du souscripteur.
Le risque voqu nest pas celui dune sous-performance des titres dtenus
chance, se traduisant par un test de dprciation, mais par une insolvabilit de
lmetteur ncessitant de dprcier intgralement la valeur de lactif dans le bilan de
la compagnie.
Dfaillance dune contrepartie sur drivs

Ce risque correspond linefficacit totale de la contrepartie dun instrument de
couverture, se traduisant :
soit par une diminution du rsultat financier, dans le cas dune couverture de juste
valeur (hypothse dun instrument de couverture portant sur des actifs ou des pas-
sifs existants) ;
soit par une diminution de la rserve de juste valeur dans le cas dune couverture
Groupe Eyrolles
de cash-flows (protection de cash-flows prvisionnels de la compagnie).

Le risque de march
Dprciation sur actions
Ce risque se traduit par un cart de performance structurel entre le rendement
attendu dune action cote en Bourse et son rendement rel.
noter que lIASB (International Accounting Standards Board) et le FASB (Finan-
cial Accounting Standards Board), face la crise conomique et financire du
dernier trimestre 2008, ont pris une position nouvelle faisant apparatre la notion de
march inactif, limitant ce type de risque.
Lors du sommet des tats de la zone euro du 12 octobre 2008, leurs dirigeants ont
fix les termes dun plan daction concerte prvoyant, en particulier, une approche
coordonne visant assurer assez de flexibilit dans la mise en uvre des rgles
comptables IFRS . Compte tenu des circonstances exceptionnelles actuelles, les
institutions financires comme les institutions non financires doivent pouvoir
comptabiliser, en tant que de besoin, leurs actifs en prenant en compte leurs modles
dapprciation des risques de dfaillance de prfrence aux valeurs de march imm-
diates qui ne sont plus pertinentes dans des marchs qui ne fonctionnent plus.
Cette dclaration suit la recommandation mise lors de lEcofin du 7 octobre 2008,
lattention des superviseurs et des auditeurs de lUnion europenne, dviter toute distor-
sion de traitement entre les banques amricaines et europennes du fait des normes
comptables, et ce, ds la clture des comptes intermdiaires au 30 septembre 2008.
Le Conseil national de la comptabilit, lAutorit des marchs financiers, la
Commission bancaire et lAutorit de contrle des assurances et des mutuelles ont
labor, aprs une runion avec la Compagnie nationale des commissaires aux
comptes, une recommandation conjointe destine rappeler le traitement comp-
table de certains instruments financiers (IAS 39), pour lesquels les perturbations des
marchs ne permettent plus dobserver un prix de march fiable.
Cette recommandation vise apporter les clarifications ncessaires pour larrt des
comptes intermdiaires ou annuels clos partir du 30 septembre 2008. Elle
sapplique aux comptes consolids, tablis selon les normes IFRS en vigueur, telles
quadoptes par lUnion europenne, des entits dtenant des actifs financiers valo-
riss la juste valeur et pour lesquels les marchs sont inactifs (cas dune crise bour-
sire o le cours ne reflte plus la valeur dune entreprise).
Dans le contexte actuel, la valeur de march de certains actifs financiers nest pas,
elle seule, pertinente et ne permet pas une bonne apprciation de la situation finan-
cire et des rsultats des entreprises.
En outre, la dtermination de la juste valeur de certains instruments financiers, dont
la variation de valeur affecte le rsultat ou les capitaux propres, soulve des difficults
pratiques importantes, tant pour les prparateurs que pour les commissaires aux
comptes et les utilisateurs de linformation.
Groupe Eyrolles
cet gard, les quatre autorits prennent bonne note de la communication

conjointe de la Securities and Exchange Commission (SEC) et du FASB du
30 septembre 2008, et de la publication du FASB du 10 octobre (FSP FAS 157-3),
qui apportent des clarifications utiles sur la comptabilisation la juste valeur des
actifs financiers lorsque les marchs ne refltent plus la valeur des groupes.
Ch. 3 Le risk management dans les compagnies dassurances 119
Les autorits prcites prennent galement acte des dclarations de lIASB des 2 et
14 octobre 2008, qui indiquent que les clarifications apportes par la SEC et le
FASB sont conformes la norme IAS 39 Instruments financiers : comptabilisation
et valuation .
Les clarifications voques dans ces communications, qui ont lagrment des quatre
autorits et sappliquent dans le cadre de la norme IAS 39 en situation de march
inactif, portent sur lutilisation des hypothses dveloppes par lentreprise en
labsence de donnes de march pertinentes.
Lorsque les marchs sont en crise, lutilisation dhypothses internes dveloppes par
la compagnie relative aux flux de trsorerie futurs, et de taux dactualisation correc-
tement ajusts des risques que prendrait en compte tout participant au march
(risque de contrepartie, de non-performance, de liquidit ou de modle notam-
ment) est justifie. Ces ajustements sont pratiqus de manire raisonnable et appro-
prie, aprs examen des informations disponibles.
Cette rforme de la norme IAS 39 autorise donc les compagnies dassurances
concevoir des modles internes sappuyant sur des modles dvaluation des titres
perfectionns, tels que :
mthode des comparables ;
mthode du fair value rating, base sur la construction dune grille de scoring strat-
gique et financire permettant de dfinir une prime de risque ;
la place des cotations de courtiers dans lapprciation des informations disponibles ;
dans le contexte dun march inactif, les cotations des courtiers ne sont pas nces-
sairement reprsentatives de la juste valeur, lorsquelles ne sont pas le reflet de
transactions intervenant sur le march ;
la place des transactions forces dans la dtermination de la juste valeur.
Les transactions rsultant de situations de ventes forces nont pas tre prises en
compte pour la dtermination de la juste valeur dun instrument financier.
En priode de march illiquide, il nest pas appropri de conclure que toute lacti-
vit de march traduit des liquidations ou des ventes forces. Cependant, dans ces
mmes conditions, il nest pas non plus appropri de conclure que tout prix de tran-
saction observ est ncessairement reprsentatif de la juste valeur.
Lapprciation du caractre forc dune transaction repose sur lexercice du jugement.
Notamment sur les prix de transactions observs sur un march inactif. Les prix des
quelques transactions qui interviennent sur un march inactif sont une donne
prendre en considration dans la valorisation dun instrument financier, mais ne
constituent pas ncessairement une composante dterminante.
La dtermination du caractre actif ou pas dun march, qui peut sappuyer sur des indi-
cateurs tels que la baisse significative du volume des transactions et du niveau dactivit
sur le march, la forte dispersion des prix disponibles dans le temps et entre les diffrents
Groupe Eyrolles
intervenants de march ou le fait que les prix ne correspondent plus des transactions
suffisamment rcentes, requiert, en tout tat de cause, lutilisation du jugement.
Enfin, les quatre autorits prennent acte de ladoption par lIASB, le 13 octobre 2008,
de la rvision de la norme IAS 39 en vue de permettre le reclassement de certains
instruments financiers en titres dtenus chance, et ce, conformment aux souhaits

exprims lors de la runion Ecofin prcite.
Dprciation sur actifs de placement

Ce risque se matrialise par une sous-performance des immeubles de placement en
contrepartie de provisions techniques (IAS 40), dans lhypothse o les revenus locatifs
gnrs sont structurellement infrieurs aux prvisions tablies et communiques.
Dprciation sur participations non cotes

Ce risque se traduit par la ralisation dun test de dprciation dans lhypothse o la
performance attendue par la participation dans une socit non cote ne se matria-
liserait pas (pas de versements de dividendes ou dividendes encaisss structurellement
infrieurs aux prvisions).
Ce type de dprciation aura obligatoirement un impact sur le goodwill associ dans
lhypothse o le business plan de la socit cible ne se matrialiserait pas.
Les risques lis aux mandats de gestion dactifs

Les risques lis aux mandats de gestion, aussi bien pour le compte de filiales intra-
groupes ou pour le compte de clients tiers, sont des risques significatifs que doivent
grer les groupes dassurances. Le dispositif de risk management li la gestion
dactif se dcompose en six tapes.
laboration du business plan

Les principaux risques identifis ce niveau sont les suivants :
analyse stratgique non ou mal ralise (forces, faiblesses, menaces et opportunits) ;
erreur dans les estimations de cash-flows gnrs par les actifs subordonns.
Audit des contraintes rglementaires du client

Le principal risque identifi ce niveau est un risque de lgalit (infraction une
rglementation en vigueur) concernant le droit obligataire, le droit des socits, le
droit fiscal dans le cadre de lvaluation des contraintes rglementaires lies au
mandat de gestion prvisionnelle confi par le client.
Dfinition du cadre de gestion

Le risque principal cette tape est un risque dinfraction la sparation des pouvoirs des
acteurs demande en termes de mandats de gestion (dpositaire, gestionnaire, etc.).
Le cadre de gestion doit dcrire les modalits de fonctionnement entre ces diffrents
acteurs, les flux dinformations associs (dont le reporting sur la performance des
actifs), les modalits de gestion de contentieux ventuels (intgration ou non dune
clause de renonciation recours).
Groupe Eyrolles
Proposition dallocation dactifs

Le principal risque identifi ce niveau est un risque de non-respect du couple
risque/rendement associ au mandat de gestion prvisionnelle.
Ce risque peut tre prvu en utilisant des modles de gestion de portefeuille tels que :
la droite de march (modle de Modigliani et Miller) pour les portefeuilles domi-
nante actions, modle postulant que la rentabilit prvisionnelle dune action dpend :
de la rentabilit financire prvisionnelle du march (mesure par un indice
boursier),
du risque exogne,
du risque endogne de la socit (valu par leffet de levier dexploitation) ;
le Modle dquilibre des actifs financiers (Mdaf) pour les mandats de gestion
bass sur des actifs subordonns dominante obligation. Ce modle considre que
chaque obligation mise par un groupe de droit priv doit proposer une prime de
risque compltant un rendement moyen observ sur le march obligataire risque
nul (garanti par ltat).
Mise en uvre de lallocation dactifs

Il existe de nombreux facteurs de risques lis lallocation effective des actifs subor-
donns lis aux mandats de gestion :
dcalage sur mix par rapport la proposition initiale ;
non-optimisation dans lencaissement des dividendes, des coupons, des produits
financiers par le gestionnaire ;
erreurs sur oprations titres lors des passations dachat ou de vente, non-ralisation
ou retard de ralisation des transactions pouvant se traduire par un prjudice
(moins-value) pour le client.
Reporting
Dans ce domaine les principaux risques anticiper sont les suivants :
erreur dans le reporting (relevs de performance) se traduisant par un prjudice ou
par une plus-value non fonde avec exercice de cette dernire pour le client ;
retard de production du reporting li, par exemple, un dysfonctionnement des
systmes dinformation du gestionnaire.
Risque en propre des filiales (recapitalisation)

Ce risque se matrialise par lobligation de recapitaliser une filiale stratgique, quelles
que soient les raisons de cette capitalisation (march en baisse, secteur en phase de
dclin, etc.), ou de lui accorder des prts intragroupe des taux bonifis limitant
ainsi la capacit du groupe dassurances financer la croissance dautres entits du
groupe prennes.
Groupe Eyrolles
Le processus de la mise sous contrle des risques oprationnels

La mise sous contrle des risques oprationnels ncessite une organisation spcifique
du dispositif de risk management afin de garantir son efficacit.
Lorganisation du dispositif de risk management au sein des groupes

dassurances
Au sein du groupe dassurances, la direction du risk management a pour objectifs
lidentification, la quantification et la gestion des principaux risques auxquels le
groupe est expos. Pour ce faire, des mthodes et des outils de mesure et de suivi,
proposs dans cet ouvrage, sont dvelopps par la direction risk management.
Ce dispositif permet de proposer une gestion optimale des risques pris par le groupe
et de contribuer, dune part, la diminution de la volatilit des rsultats grce la
fixation de normes conduisant une meilleure apprciation des risques pris et,
dautre part, une optimisation des fonds propres allous par le groupe dassurances
ses diffrentes activits.
La fonction de risk management au sein du groupe est en gnral coordonne par
une quipe centrale, laquelle est relaye par des quipes de risk management locales
(par zone gographique linternational pour les groupes cots) dans chaque entit
oprationnelle du groupe.
Les principes et priorits de la fonction risk management

dans le secteur assurance
Afin dapporter une contribution tangible et mesurable aux activits du groupe, la
fonction risk management doit tre construite au sein dun groupe dassurances
autour de trois orientations stratgiques :
une approche pragmatique centre sur des priorits clairement identifies ;
une approche oprationnelle en liaison directe avec les activits du groupe ;
une approche dcentralise base sur le principe de subsidiarit en ligne avec
lorganisation gnrale du groupe dassurances.
Le risk management se doit davoir cinq missions prioritaires :
le pilotage et le suivi de la gestion actif-passif ainsi que la mise en uvre des tra-
vaux de capital conomique ;
lapprobation pralable au lancement des nouveaux produits et la promotion de
linnovation en matire de produits ;
la gestion des expositions dassurance qui comprend notamment la revue des pro-
visions techniques et loptimisation des stratgies de rassurance ou de coassurance
en tant que cdante ou en tant que cessionnaire ;
lidentification et la mesure des risques oprationnels ;
la gestion des systmes dinformation : outils de projection, de simulation, de
mesure de risques, dagrgation et de reporting.
Le dispositif de reporting risk management

Groupe Eyrolles
La structure groupe doit tre principalement organise autour dun directeur du risk
management. Ce dernier doit tre plac sous lautorit du comit des risques, qui est
responsable de la dfinition des standards mthodologiques du groupe dassurances
concernant les principaux risques.
Cela inclut le dveloppement et le dploiement doutils de mesure et de gestion du

risque (dont les bases incidents permettant de mesurer la sinistralit interne du groupe).
Cette direction doit coordonner galement les processus de dtection et de
gestion des risques au niveau du groupe et indirectement au niveau des filiales.
Cela inclut notamment lensemble des procdures de reporting de risque et leur
agrgation au niveau mondial. Enfin, cette direction se doit de coordonner les
quipes locales (zones gographiques) de risk management des diffrentes filiales
du groupe.
Risk managers par zone gographique ou locaux

Les quipes locales de risk management doivent tre en charge de lapplication des
standards groupe en matire de gestion des risques dune part, et de la mise en
uvre des exigences minimales dfinies par la direction dautre part.
Ce mode dorganisation permet la mise en uvre effective du dispositif de risk
management en ce qui concerne ltude des risques ci-dessous.
La mise sous contrle des risques oprationnels

Risque dirrgularit relative aux contrats
La non-conformit des contrats intgre un certain nombre de sous-cas de figure :
Risque dirrgularit relative aux contrats
Dfaut de formalits substantielles, informa-

Carences concernant lexhaustivit du contrat
tions errones sur les caractristiques du pro-
ou la conformit des produits aux rglemen-
duit, engagement sur une performance
tations
financire non tenue
Transactions ou pratiques non compatibles

Insuffisance du formalisme juridique
avec les normes groupe
Utilisation de documents dont le format est

Non-actualisation du contenu des contrats
non valide, dnonciation hors dlai
Insuffisance concernant lobligation de Dfaut de conseil, manquements lis aux con-

moyens en matire de performance ditions ncessaires de la prestation
Non-respect des clauses des contrats clients,

Pas de respect des engagements contrac-
des contrats de partenaires et parties lies, de
tuels
fournisseurs
Groupe Eyrolles
Lie la complexit de la rdaction, des

clauses optionnelles, la non-comprhen-
Erreur dinterprtation ou danalyse
sion linguistique, la mconnaissance dun
systme juridique tranger
Ces risques se matrialiseront par une remise en cause de la responsabilit civile, par
des pertes financires et une perte dimage pour la compagnie dassurances (risque
assurable pouvant tre couvert par une police responsabilit civile professionnelle).
Risque de non-conformit rglementaire

Ce risque intgre un certain nombre de cas de figure prsents ci-dessous. La mat-
rialisation de ces risques aura un impact au civil et/ou au pnal.
Risque de non-conformit rglementaire
Infraction la lgislation sociale sur le fonctionnement des

instances reprsentatives et sur les rgles applicables aux
personnes (par exemple : absence dinstance, entrave, dis-
crimination, marchandage, harclement sexuel, temps de
travail) ;
infraction aux rgles applicables aux socits cotes ou
mettant des emprunts obligataires ou des actions (par
Infraction la rglementation
exemple : segment reportinga, interim reportingb, formalits
et aux obligations contractuelles
de publicit, cumul des mandats) ;
infraction aux rgles de fonctionnement des instances de
gouvernance (par exemple : formalits, pouvoirs, ing-
rence), infraction fiscale, (par exemple : TVA, IS) ;
infraction aux rgles Cnil, violation du secret mdical, infrac-
tion aux rgles antiblanchiment ou financement du terro-
risme, non-respect dune obligation dassurance
Droit de la concurrence, droit civil et pnal, droit des assu-

Ignorance de la rglementation rances, droit social, droit fiscal, droit des socits, droit des
affaires, droit de la concurrence
Erreur dinterprtation et de
Droit social, droit fiscal, droit des socits
qualification
Avec les clients, les prestataires et partenaires, les salaris

Litiges et contentieux
(licenciement, sanctions disciplinaires)
Absence de jurisprudence, revirement,

volution ngative de la juris-
(par exemple : requalification des contrats dassurance ),
prudence
limitation de lexercice professionnel
Erreur dinterprtation face Textes dapplication non parus, conflit dinterprtation,

une nouvelle rglementation jurisprudence contradictoire, absence de prcdent
Mconnaissance dun change- Rgles nationales ou internationales, insuffisance de la veille

Groupe Eyrolles
ment de rglementation rglementaire, manque danticipation
a. tats financiers par branche.

b. Arrt des comptes trimestriels.
Les consquences au civil dune infraction aux contraintes rglementaires peuvent

tre couvertes par une police dassurance responsabilit civile mandataires sociaux.
La souscription dune telle police, mme si elle revt un caractre lgal et vise
limiter le prjudice caus par un acte dlictuel commis par un mandataire social,
outre le fait quelle peut sembler choquante dun point de vue moral ou thique,
pose des problmes de conformit en termes de gouvernance.
Exemple de police dassurance RC mandataires sociaux dun groupe banque/assurance
RC mandataires sociaux
Faits gnrateurs
Infraction en matire bancaire et boursire
Infraction par rapport la rglementation AMF
Dlit de manipulation des cours
Dlit diniti
Dlit de fausses informations
Erreurs dans la gestion de comptes bancaires, dans lutilisation de services ou oprations de
caisse
Pratiques, pouvant mettre en pril la marge de solvabilit
de la compagnie ou lexcution des engagements con-
tracts envers les assurs, socitaires adhrents ou
ayants droit
Omission de transmission ou retard de transmission dans
le rapport joint au rapport de gestion des conditions de
prparation et dorganisation des travaux du conseil ainsi
que les procdures de contrle interne mises en uvre
(article 117, loi 1er aot 2003)
Faute de gestion
Imprudence ou imprvoyance dans la gestion du patri-
moine social
Abstention fautive
Abus de biens sociaux
Responsabilit pour violation dun texte
Violation de la loi
Violation des statuts sociaux
Infraction fiscale
Extension directeur gnral dlgu
Groupe Eyrolles
Au sens loi NRE (nouvelles rgulations conomiques)

Risques lis un dysfonctionnement des systmes dinformation

Les compagnies dassurances, du fait du caractre immatriel de leurs prestations et de la
monte en puissance des prestations informatises (souscription de polices en ligne par
exemple), sont trs sensibles au risque informatique physique (destruction dune salle
dexploitation, dune salle rseau) ainsi quau risque immatriel (contamination virale, etc.).
Risques lis aux systmes dinformation
Analyse des besoins incomplte, sous-dimen-

sionnement des serveurs et/ou des rseaux,
Inadaptation de la configuration des matriels
surdimensionnement, inadquation des choix
techniques, obsolescence
Indisponibilit des matriels et des rseaux,

indisponibilit des outils de communication
avec les partenaires, pannes des matriels ou
Inadaptation de la maintenance lies un dysfonctionnement de lenvironne-
ment physique des matriels, dlai/cots de
maintenance levs, non-respect des proc-
dures de maintenance
Accident, blocage ou grve, malveillance,

Inaccessibilit physique
sinistre
Les consquences dun tel risque informatique physique seront les suivantes :
pertes matrielles affectant le patrimoine informatique, quelle que soit sa qualifica-
tion juridique ;
pertes dexploitation lies linterruption de lexploitation informatique (et donc
limpact sera limit par la capacit de mettre en uvre trs rapidement le plan de
reprise informatique) ;
responsabilit civile gnre par les dommages immatriels causs aux clients et soci-
taires (incapacit de raliser certaines transactions crant un prjudice lassur) ;
pertes humaines (en cas de dcs affectant un salari de la compagnie) ;
risque informatique immatriel.
Ce risque est un risque majeur pour les compagnies dassurances, compte tenu du
caractre exorbitant des frais de reconstitution des mdias. De nombreuses compa-
gnies, en raison du caractre inacceptable de ce scnario, investissent de faon
majeure titre prventif dans une deuxime salle dexploitation ou signent des
Groupe Eyrolles
contrats de back-up avec des constructeurs et des structures dinfogrance.

Les diffrents cas de figure concernant le risque systmes dinformation
Doublons, absence de donnes, alimentation

Architecture applicative inadapte automatique non prvue, modularit insuffi-
sante, sur ou sous-dimensionnement
Analyse des besoins incomplte, non-confor-

mit par rapport aux besoins dfinis, volume
Inadquation de la conception des appli-
de traitement insuffisant, dlai/ractivit insuf-
cations
fisante, besoins fonctionnels mal identifis ou
dfinis
Indisponibilit des applications, cot/dlai

trop long, non-respect des procdures de
Inadquation de la maintenance
maintenance, non-traabilit des interventions
de maintenance, rupture unilatrale du contrat
Double traitement/absence de traitement,

erreur de programmation lors de la concep-
Erreur applicative
tion ou de la maintenance, retard de ralisa-
tion de la transaction
Introduction dun virus, utilisation non autori-

Intrusion, criminalit se de ressources informatiques, criminalit
informatique
Non-intgrit des donnes, donnes erro-

nes ou effaces, destruction de fichiers, sau-
Altration des donnes
vegarde oublie ou perdue, malveillance,
archives vives non identifies
Divulgation dinformation des tiers non auto-

Confidentialit non respecte riss, divulgation de rgles de gestion, scu-
rit logique insuffisante
Panne, accident, sinistre, grve, non-respect

Indisponibilit des donnes des dlais de mise disposition de la part
dun prestataire
Impossibilit de reconstituer un change

Carence de pistes daudit dinformation, la valeur dune donne, de jus-
Groupe Eyrolles
tifier dun retraitement

Risques de dommages aux biens et aux personnes

Mme si ce risque semble tre moins significatif que dans les groupes industriels (parfois
risques hautement protgs), il est cependant ncessaire de pas ngliger ce type de risque au
sein des compagnies dassurances, compte tenu de limpact mdiatique pouvant tre gnr
par un incendie majeur et surtout par le dcs dun salari ou dun tiers. Les diffrents cas
de figure mettre sous contrle par le risk manager de la compagnie sont les suivants :
Risques de dommages aux biens et aux personnes
Amiante, lgionellose, contamination, intoxi-

Atteintes la sant du fait de lenvironnement cation, maladies professionnelles rperto-
ries ou non
Affection lie au poste de travail, audition,

Atteintes la sant du fait de lactivit exerce
vision, stress, menaces, harclement
Accidents du fait de lenvironnement Incendie, lectrocution, chute, inondation
Accidents de la circulation, brlure, manuten-

Accidents du fait de lactivit exerce
tion de charges, grve
Atteinte lintgrit physique Agression, attentats, prise dotage(s)
Occupation des locaux, incendie, inondation,

Indisponibilit des locaux dexploitation
attentat
Incendie, inondation, rupture de structure,

Sinistre relatif aux btiments
explosion, dfaillance du btiment
Matriels non conformes, dfectueux, non

Indisponibilit des matriels
livrs
Gaz, eau, lectricit, chauffage, fournisseurs

Rupture dapprovisionnement
stratgiques
Destruction des biens, vols de matriels, vols

Vol, dgradation dobjets personnels, irruptions de personnes
externes
Les consquences dun tel risque (pertes matrielles, pertes dexploitation, pertes
humaines, cot de la responsabilit civile, impact sur limage) seront dautant plus
limites que la compagnie aura dcrit les processus critiques avant sinistre, quelle
aura modlis et test ses plans de continuit de lexploitation.
Groupe Eyrolles
Risque social et humain

Les limites entre management des ressources humaines et risk management sont
parfois difficiles cerner.
Et pourtant, les frontires des deux fonctions sont clairement dlimites :

la DRH de coordonner la stratgie de gestion des ressources humaines et la ges-
tion des relations sociales et, en cas de grve, de jouer le rle de mdiateur ;
au risk manager de la compagnie de mettre en uvre, en cas de grve, les plans de
continuit concernant les mtiers critiques et de prioriser le redploiement des
acteurs cls sur des sites de back-up non risqus (trsorerie, actuariat, call center,
exploitation informatique, etc.).
Les diffrents risques associs ce dispositif sont les suivants :
Risque social et humain
Sous-effectifs, dpendance vis--vis de res-

sources rares, dpart de personnes cls,
Carences de personnels recours des ressources prcaires ou exter-
nes sur fonctions sensibles, mobilit exces-
sive des quipes, march de lemploi en crise
Recrutement inadapt, formation inadapte,

Inadquation des postes et des comptences
profils sur ou sous-dimensionns
Sureffectifs, formation inutilise, potentiel non

Ressources inemployes
dtect
Esprit dentreprise, motivation des quipes,

Dmotivation dsimplication, pas dadhsion la culture
dentreprise
Manquements dans la production de donnes

Non-production des liasses sociales
employeur
Non-respect de la protection des donnes

Vie prive, sant, sexualit
individuelles des salaris
Grve, contestations syndicales, manifesta-

Conflits collectifs
tions, infraction au droit social
Non-respect de la dontologie profession-

nelle, infraction au rglement intrieur, alcoo-
lisme, drogue, utilisation des ressources de
Infraction aux rgles thiques de lentreprise
lentreprise des fins personnelles, divulga-
tion dinformations, non-exercice du devoir
Groupe Eyrolles
dalerte, clause de conscience non applique

Risque administratif et comptable

Cette typologie de risque concerne en priorit le dispositif de production des tats
financiers, et de reporting financier des compagnies dassurances.
Lobjectif est de sassurer de la sincrit de la production des tats financiers en
conformit avec le rfrentiel IFRS et ou US GAAP et, en particulier, avec la
norme IFRS4 (actif et passif dassurance).
La non-sincrit des comptes peut provenir soit de dysfonctionnements imputables
au processus comptable lui-mme (retard de production, dperdition de flux comp-
tables, etc.), mais aussi danomalies venant des activits mtiers et dportes sur le
processus comptable. Le rle du risk manager consiste donc faire comprendre aux
managers oprationnels limportance de la mise sous contrle de leurs activits en
termes de sincrit des comptes (souscription, rglement de sinistre, reconnaissance
du chiffre daffaires, constitution des provisions techniques, etc.).
Le risk manager doit, de concert avec la direction du contrle permanent et de
laudit interne de la compagnie dassurances, sassurer de lexistence dun plan
darrts de comptes en cas de gestion de crise, coupl un plan de reprise dactivit
informatique (en fixant des scnarii acceptables de production des tats financiers en
accord avec les co-commissaires aux comptes).
En ce qui concerne cette typologie de risque, les diffrentes composantes mettre
sous contrle sont les suivantes :
Risque comptable
Non-respect des normes rglementaires

Non-application des normes, amnagement,
French GAAP-Domestic GAAP IFRS US
dtournement
GAAP
Procdures incohrentes, ignores, non com-

Non-respect des procdures internes
prises
Erreur de paramtrage ou de table, erreur de

Erreur saisie, dimputation, de valeur, non-saisie de
donnes
Absence de suivi des corrections, reporting

Carence des contrles
insuffisant ou inexact des tats financiers
Manquements dans la production Oubli dtats lgaux, inexactitude ou retard

des comptes des dclarations comptables
Groupe Eyrolles
Modification des dispositions fiscales applica-

Remise en cause des rgles applicables aux
bles aux socits (IS, plus-value), changement
socits dassurances
des normes comptables IFRS ou US GAAP
Risque li la communication
La communication financire, tout comme la communication produit des compa-
gnies dassurances, quelle soit forme socitaire, mutualiste ou quasi mutualiste,
savre tre un domaine trs sensible ncessitant de mettre en uvre des dispositifs
spcifiques rattachs la gouvernance.
Dune part, les exigences en termes de communication financire ne font que
saccrotre via la rglementation (cf. la directive transparence intra-Union
europenne) imposant aux groupes cots de communiquer leurs prvisions
budgtaires par trimestre, ainsi que la ralit comptable dans les mmes dlais
(inter-reporting).
La production dun rapport dactivit est aujourdhui trs complexe, incluant, outre
les tats financiers consolids, le segment reporting (chiffres cls par unit daffaires
et zone gographique), les comptes consolids pro forma (en cas de changement de
primtre de consolidation), les documents suivants :
rapport stratgique ;
rapport du prsident du conseil sur le contrle interne (passant dune dmarche
dclarative une vision valuative) ;
rapport sur le management durable de lenvironnement ;
rapport sur le dispositif de risk management.
Lensemble de ce rapport dactivit est ainsi pass au crible par les analystes, le
march tant sensible tout cart de communication entre les prvisions et la
ralit (ce qui peut se traduire pour les groupes cots par un profit warning).
Dautre part, la communication sur les diffrents produits est aussi excessi -
vement sensible surtout en ce qui concerne une ventuelle performance
annonce portant sur les produits financiers grs par mandats de gestion ou
portant sur les OPCVM. Tout dcalage entre la performance prvisionnelle
prvue dun point de vue contractuel et la performance relle des actifs subor -
donns peut se traduire par une ventuelle remise en cause de la responsabilit
civile de la compagnie dassurances.
Groupe Eyrolles
Diffrents risques concernant le dispositif de communication externe
Non-fiabilit de la communi- Informations financires errones,

cation financire incompltes, tardives
Communication
financire Messages contradictoires mis par diffrents
Non-acceptabilit par le mar-
services ou socits du groupe, messages non
ch de la communication
crdibles, non convaincants, retard de com-
financire
munication
Baisse de la notorit spontane ou assis-

Perte de notorit
te, communication inadapte
Communication
institutionnelle
Communication en dcalage avec les valeurs
Inadaptation des messages traditionnelles de lentreprise, communica-
tion perue comme choquante
Campagne clients agressive , adhsion

Inadaptation des messages
force, contenu des messages peru
clients
Risque de comme choquant, boycott
communication
client
Mauvais planning des actions Superposition de campagnes, lassitude
de communication de la clientle, surexposition
Groupe Eyrolles
Conclusion
es fondements du libralisme conomique ont toujours mis en vidence la mise
L sous contrle du risque entrepreneurial.
Historiquement, le droit des socits a t conu pour faciliter la croissance des
entreprises, tout en limitant le risque patrimonial de lentrepreneur.
Lmergence dun systme conomique nolibral confort par ladoption du
rfrentiel de contrle interne au sein de lUnion europenne a fait apparatre,
de la fin XIXe sicle au dbut du XXe sicle, la ncessit de mettre sous contrle
aussi bien les risques de sinistralit (corporate risk management) que les risques
stratgiques (business risk management) en vue de protger les objectifs dcrits
dans le plan et la rmunration de lactionnaire.
Les rcents scandales financiers ont fait ressortir les insuffisances conceptuelles des
rfrentiels de contrle interne (dont le COSO), ou les limites dans les modalits de
mise en uvre.
Lefficacit des dispositifs de risk management, quant elle, concernant les risques
tangibles (IARD, informatique), semble avre, la diffrence de lefficacit de la
mise sous contrle des risques immatriels (par exemple, du risque de fraude).
Reste une problmatique majeure : la pertinence dans la ralisation des cartogra-
phies de risques et de lactualisation de leurs contenus (comment sassurer dune
identification rationnelle et objective des risques significatifs pouvant affecter la
prennit de lentreprise ?). Reste aussi ouverte la question portant sur les leviers
daction permettant daugmenter lefficacit du dispositif de risk management au
sein des groupes industriels, bancaires et dassurances.
De notre point de vue, il savre ncessaire de remettre du bon sens dans laction et
dans la dcision, en arrtant de se protger derrire des mthodologies censes
permettre une couverture parfaite de ces risques. Il est ncessaire de renforcer
lengagement des dirigeants dans la mise en uvre dun dispositif, quils se doivent
de porter au titre de leur responsabilit entrepreneuriale.
Les prconisations du rapport Ricol vont dans ce sens, en prnant une augmenta-
tion de la responsabilit pnale des mandataires sociaux.
De mme, lallocation des fonds propres par mtier, en fonction de la qualit de la
couverture des risques, semble tre une priorit de la nouvelle rglementation que le
lgislateur envisage pour faire monter en puissance les dispositifs de risk mana-
gement des groupes cots.
Nous esprons que cet ouvrage contribuera redonner un sens la construction
dun dispositif de risk management au sein de votre entreprise.
Groupe Eyrolles
Groupe Eyrolles
ANNEXES
Annexes de la premire partie
Socit gnrale : une dprciation de 7 milliards deuros
La mauvaise nouvelle est tombe. Depuis plusieurs semaines, les rumeurs allaient
bon train sur les marchs. Des craintes plus que fondes puisque la Socit gnrale
a rvl, jeudi 24 janvier 2008, quelle doit lever 5,5 milliards deuros aprs la
dcouverte dune fraude et le passage de nouvelles dprciations dactifs pour son
exposition aux subprimes. Daniel Bouton a prsent sa dmission au conseil dadmi-
nistration de la Socit gnrale, qui la rejete et lui a renouvel toute sa confiance
ainsi qu lquipe de direction.
Cest un cataclysme pour le secteur bancaire franais. Aprs des mois de messages
rassurants sur la solidit de son activit et sa faible exposition aux subprimes, la
Socit gnrale avoue ce jeudi avoir t victime dune fraude au sein de son acti-
vit de courtage qui se monte 4,9 milliards deuros, auxquels sajoutent 2 milliards
de dprciations lies la crise des subprimes, soit un total de 6,9 milliards deuros,
un montant similaire celui des banques amricaines Citigroup ou Merrill Lynch.
Comme pour Calyon, la banque dinvestissement du Crdit agricole, la Socit
gnrale a t victime de lexposition dun trader courant 2007 et dbut 2008, en
charge dactivits de couverture de futures sur des indices boursiers europens. Sa
connaissance approfondie des procdures de contrle, acquise lors des prcdentes
fonctions, lui a permis de dissimuler ses positions grce un montage labor de
transaction fictives , prcise le groupe dans son communiqu.
Des dclarations qui laissent perplexes certains observateurs. Comment un seul
homme, Jrme Kerviel, peut-il faire perdre autant dargent une banque qui,
depuis des annes, a fait du contrle des risques son cheval de bataille ? Cest se
demander, estiment certains, si la Socit gnrale ne profite pas de cet incident
pour cacher et masquer des problmes bien plus importants sur sa prise de risques sur
les subprimes.
Groupe Eyrolles
138 Annexes de la premire partie
Questionnaires risk management

Cartographie des risques
Note
Critre Poids Note
globale
Avez-vous ralis un mapping systmatique
1 4
des risques par macro et microprocessus ?
Lanalyse des faits gnrateurs a-t-elle fait
2 lobjet dune validation par le comit daudit 1
et les commissaires aux comptes (C&C) ?
Lanalyse des consquences des dysfonction-
nements affectant les processus a-t-elle fait
3 2
lobjet dune validation par les C&C et le
comit daudit ?
La cartographie des risques a-t-elle fait
4 lobjet dun dispositif spcifique pour les pro- 1
cessus ayant un niveau de matrialit lev ?
La quantification des pertes humaines par
5 sinistre maximum possible a-t-elle t 4
ralise ?
La quantification des pertes matrielles par
6 4
SMP a-t-elle t ralise ?
La quantification des pertes dexploitation
7 3
par SMP a-t-elle t ralise ?
La quantification ou limpact financier du
8 cot de la responsabilit civile ont-ils t 3
chiffrs ?
La quantification des pertes maximum possi-
9 bles a-t-elle t mise en relation avec la 4
capacit dacceptation des risques ?
La valeur rsiduelle a-t-elle t dtermine
10 comme tant la diffrence entre le cot du 4
risque et la valeur indemnisable ?
Total 30
Groupe Eyrolles
Questionnaires risk management 139
Prise de risques
Note
Critre Poids Note
globale
La cartographie est-elle ralise par macro-

1 4
risques purs et spculatifs ?
Les consquences financires dun sinistre

2 1
financier maximum sont-elles values ?
Les consquences stratgiques dun sinistre

3 maximum possible sur les objectifs stratgi- 2
ques du groupe sont-elles values ?
La cartographie des risques linternational

4 1
a-t-elle t ralise ?
Les risques DIL (difference in limit) ont-ils t

5 4
identifis ?
Les risques DIC (difference in condition) ont-

6 4
ils t identifis ?
Les risques mergents (risques purs non

7 3
assurables) ont-ils t identifis ?
Les techniques lies aux financements alter-

natifs ont-elles t envisages (rassurance
8 3
financire, systmes captifs de rassurance,
captives compartiments) ?
Les plans de reprise dactivit sont-ils prvus

9 4
par processus critiques ?
Les plans de reprise dactivit sont-ils tests

10 4
rgulirement ?
Total 30
Groupe Eyrolles
valuation des consquences
Note
Critre Poids Note
globale
Vous appuyez-vous sur votre dispositif de
1 contrle de gestion pour valuer les sinistres 4
maximums possibles par centre de risque ?
Pour estimer les pertes matrielles, prenez-
2 vous en compte la valeur expertise des 1
immobilisations mises sous contrle ?
Pour estimer les pertes dexploitation, vous
basez-vous sur la diffrenciation entre char-
3 2
ges fixes et variables au sein du compte de
rsultat par centre de risque avant sinistre ?
Pour estimer les pertes humaines concernant
les salaris, vous basez-vous sur lindemni-
4 1
sation a minima prvue par la Scurit
sociale ?
Pour estimer les pertes humaines concernant
les salaris, vous basez-vous en deuxime
5 4
ligne sur les capitaux prvus dans la police
collective dcs invalidit ?
Pour estimer le cot de la responsabilit
civile par scnario de crise, analysez-vous la
6 4
jurisprudence antrieure sur des cas
similaires ?
Pour estimer le cot de la responsabilit
civile par scnario de crise, et en labsence
7 3
de jurisprudence antrieure, estimez-vous le
risque de faon qualitative ?
Lestimation des pertes dexploitation prend-
8 elle en compte les modalits de back-up 3
identifies en prventif ?
Lestimation des frais de reconstitution des
mdias prend-elle en compte lidentification
9 4
des applicatifs critiques raliss
pralablement ?
Lestimation des frais de retrait des produits
du march, et/ou des frais de communica-
10 tion de crises associes, prend-elle en 4
compte les scnarii de retrait des produits du
Groupe Eyrolles
march anticip ?
Total 30
Analyse causale des risques

Note
Critre Poids Note
globale
Tous les cas de figure lis la criminalit
1 4
externe ont-ils t envisags ?
Tous les cas de figure lis la criminalit
2 1
interne ont-ils t envisags ?
Tous les cas de figure lis aux sinistres exo-
3 2
gnes ont-ils t identifis ?
Les risques purs pouvant tre mis sous con-
4 trle titre prventif par le CEO ont-ils t 1
inventoris (notion dlment inhabituel) ?
Les risques purs ne pouvant tre anticips
5 par le CEO ont-ils t clairement dlimits 4
( Act of God, extraordinary items ) ?
Tous les risques lis une insuffisance ou
6 une dfaillance de la maintenance prventive 4
ont-ils t identifis ?
7 une dfaillance de la qualit totale ont-ils t 3
identifis ?
une dfaillance du dispositif de management
8 3
durable de lenvironnement ont-ils t
identifis ?
9 une dfaillance du dispositif de scurit ont- 4
ils t identifis ?
Avez-vous prvu un dispositif de ractualisa-
10 4
tion automatique des risques ?
Total 30
Groupe Eyrolles
Impact financier, risque rsiduel

Note
Critre Poids Note
globale
Le risque rsiduel postprocessus indemnisa-
1 tion a-t-il t systmatiquement dtermin 4
par scnario de crise ?
Avez-vous men une tude de faisabilit de
2 location de compte captif de rassurance 1
pour autofinancer les franchises ?
Avez-vous men une tude de faisabilit de
cration dune socit captive de rassu-
3 2
rance pour mutualiser les risques de fr-
quence matriss ?
Avez-vous envisag la constitution dune
provision pour propre assureur, pour les ris-
4 1
ques purs sur lesquels ne porte pas une obli-
gation dassurance ?
Avez-vous envisag le recours la rassu-
5 rance financire pour trouver une deuxime 4
ligne de capitaux compltant lassurance ?
Avez-vous envisag le recours la rassu-
6 rance financire pour financer des risques 4
mergents, non assurables ?
Les risques de gravit sont-ils ports via un
7 3
assureur apriteur tiers ?
Avez-vous spcialis vos outils de finance-
8 ments alternatifs par typologie de risques 3
(retraite, IARD) ?
Le risque fiscal li ces montages est-il mis
9 4
sous contrle ?
Le risque de non-sincrit des comptes li
10 4
ces montages est-il mis sous contrle ?
Total 30
Groupe Eyrolles
Risque informatique
Note
Critre Poids Note
globale
Le risque informatique a-t-il t dcrit partir
1 du plan durbanisme/schma directeur des 4
SI ?
Le risque informatique a-t-il t dcrit partir
2 1
de larchitecture rseau ?
Avez-vous construit une grille de scoring per-
3 2
mettant didentifier les applicatifs critiques ?
Lefficacit du plan de reprise informatique
4 1
est-elle teste rgulirement ?
Avez-vous fait procder une certification
5 4
SAS 70 par un cabinet indpendant ?
Avez-vous souscrit une clause frais de
6 4
reconstitution des mdias ?
Avez-vous souscrit une clause frais suppl-
7 3
mentaires dexploitation informatique ?
Avez-vous souscrit une clause extensions
8 3
risques informatiques ?
Cette clause est-elle limite la criminalit
9 4
informatique externe ?
Les investissements de scurit informatique
10 4
sont-ils tests rgulirement ?
Total 30
Groupe Eyrolles
Fiches mthodes risk management

Fiche mthode construction dun plan de reprise dactivit
avant sinistre par centre de risque
Prsentation : lobjectif de cette fiche mthode est de prsenter la mthodologie de
construction dun plan de reprise dactivit titre prventif.
Description de la mthode
La construction du plan de reprise dactivit par centre de risque passe par :
lidentification des processus critiques du centre de risque avant sinistre ;
lidentification des actifs critiques (moules, plans, etc.) par visite de site avant sinistre ;
lidentification des hommes cls via interviews avant sinistre ;
lidentification des ressources logistiques critiques avant sinistre (heures-hommes,
heures-machines, m2, m3 disponibles avant sinistre en intragroupe) ;
lidentification des sites de redploiement des processus critiques sur les sites non
sinistrs du groupe disposant de ressources logistiques, ou la signature de contrats de
back-up avec des tiers (sous-traitants, fournisseurs, constructeurs informatiques) ;
la dfinition des registres de communication de crise interne et externe associe
ces plans de reprise dactivit.
Conditions de russite
Ralisation dinterviews collectives en mode brainstorming.
Fiches associes
Modalits de quantification des pertes.
Fiche mthode quantification des pertes par centre de risque

Prsentation : lobjectif de cette fiche mthode est de quantifier les pertes gnres
par un sinistre majeur et destimer le cot rsiduel la charge de lentreprise.
Description de la mthode
Quantification des pertes matrielles par centre de risque : valeur expertise de
limmobilisation, quelle que soit sa qualification juridique le pourcentage de des-
truction estim de lactif.
Quantification des pertes dexploitation : structuration du compte de rsultat du
centre de risque avant sinistre en diffrenciant les charges variables et les charges
fixes. Il est aussi ncessaire de dterminer le nombre de jours ncessaires la mise
en uvre dun plan de reprise dgrad.
Groupe Eyrolles
Fiches mthodes risk management 145
Estimation des consquences financires dun sinistre majeur sur le compte de

rsultat par centre de risque par :
estimation du pourcentage de diminution du CA ;
quantification des pertes humaines : somme lie lindemnisation scurit
sociale + ventuelle indemnisation lie la souscription dune police dassu-
rance-vie/dcs,
quantification du cot de la remise en cause de la responsabilit civile fonde
soit sur une exploitation de la jurisprudence existante, soit sur la construction
dun indice qualitatif estimant limpact du sinistre majeur sur la surface finan-
cire.
Le cot des pertes gnres par un sinistre majeur est gal la somme des quatre
typologies de pertes.
Le cot rsiduel la charge du groupe est gal la diffrence entre le cot global
minor de lindemnisation assurance ;
estimation du pourcentage de diminution des charges variables post-sinistre ;
estimation des nouveaux frais fixes aprs sinistre (mesures conservatoires, frais de
reconstitution des mdias, frais de dmolition, frais dexpertise, etc.).
Le montant des frais aprs sinistre est gal la somme des frais fixes avant sinistre
+ % de diminution des charges variables + nouveaux frais fixes gnrs par le
sinistre.
La perte dexploitation aprs sinistre est gale la diffrence entre le rsultat analy-
tique avant sinistre moins le rsultat analytique aprs sinistre.
Conditions de russite
Sassurer de lexistence de compte de rsultat analytique de centre de profit avant
sinistre.
Groupe Eyrolles
Annexes de la deuxime partie
Extrait du rapport risk management du groupe EDF 2007
Politiques sectorielles de contrle des risques
Contrle des risques marchs nergies
La politique de risques marchs nergies, formalise par la dcision du prsident-
directeur gnral du 9 dcembre 2005, codifie la gestion de ces risques pour le pri-
mtre dEDF SA et des filiales contrles et prcise lensemble du dispositif nces-
saire sa mise en uvre et au contrle de son application. Pour les filiales rgules et
les filiales co-contrles, la politique de risques marchs nergies et le processus de
contrle sont revus dans le cadre des instances de gouvernance de ces socits
(conseil dadministration, comit daudit).
Cette note de politique dcrit :
le systme de gouvernance et de mesure, sparant clairement les responsabilits de
gestion et de contrle des risques et permettant de suivre ;
lexposition sur le primtre ci-dessus dfini ; les processus de contrle des risques
impliquant la direction dEDF SA en cas de dpassement des limites de risques.
noter quun dispositif de contrle renforc est mis en place pour la filiale EDF
Trading.
Les objectifs de la politique de gestion et de contrle des risques sont de :
permettre lidentification et la hirarchisation des risques dans tous les domaines en
vue den assurer une matrise de plus en plus robuste, sous la responsabilit du
management oprationnel ;
permettre aux dirigeants et aux organes de gouvernance dEDF SA davoir une
vision consolide, rgulirement mise jour, des risques majeurs et de leur niveau
de contrle ;
contribuer scuriser la trajectoire stratgique et financire du groupe ;
rpondre aux attentes et informer les parties prenantes externes sur les risques du
groupe et sur le processus de management de ces risques. Le primtre de gestion
des risques comprend les activits dEDF SA et celles des filiales contrles. Il ne
comprend donc pas les filiales rgules et les filiales co-contrles qui assurent la
gestion de leurs risques sous leur responsabilit respective.
Le primtre de contrle des risques est celui du groupe, lexception des partici-
pations. Ce contrle est ralis en direct pour le primtre EDF SA et filiales contrles,
ou par le biais des organes de gouvernance pour les filiales rgules ou co-contrles.
Groupe Eyrolles
Dune faon gnrale, la gestion des risques est de la responsabilit des entits opra-
tionnelles et fonctionnelles, pour les risques qui relvent de leur primtre dactivit.
Le contrle des risques est assur par une filire mise en place en toute indpendance
148 Annexes de la deuxime partie
des fonctions de gestion des risques (complte par des filires de contrle spcifi-
ques notamment pour les risques marchs financiers et marchs nergies).
Cette filire assure notamment une approche homogne en matire didentification,
dvaluation et de matrise des risques.
Selon ces principes, chaque semestre, en cohrence avec les chances associes la
publication semestrielle des comptes consolids, EDF labore la cartographie conso-
lide de ses risques majeurs pour le primtre dEDF SA et des filiales contrles et
co-contrles ( lexception de Dalkia International).
Cette cartographie consolide est ralise partir des cartographies tablies par
chaque entit oprationnelle ou fonctionnelle sur la base dune mthodologie
commune (typologie, principes didentification, dvaluation, de mise sous contrle
des risques).
Chaque risque identifi fait lobjet dun plan daction dcrit.
Les risques majeurs sont placs sous la responsabilit dun pilote dsign par le
TOP4.
La cartographie consolide fait lobjet chaque semestre dune validation par le TOP4
et dune prsentation au comit daudit du conseil dadministration dEDF SA. Elle
fait galement lobjet dchanges frquents avec les tats-majors des principales
directions contributrices et les membres de la filire contrle des risques .
Le processus global de cartographie des risques constitue un support pour de
nombreux autres processus : notamment llaboration du programme daudit, la
politique assurances et sa mise en uvre, la documentation financire (notamment
le chapitre Facteurs de risques du document de rfrence AMF), lanalyse des
risques portant sur des dossiers examins par les organes dcisionnels dEDF (TOP 4,
comit des engagements et des participations, CEP-dossiers combustibles, comit
amont-aval trading, etc.). Le processus de contrle des risques contribue notamment
la scurisation du processus dinvestissements et dengagements long terme en
veillant au respect des principes mthodologiques danalyse des risques pour les
dossiers prsents au comit des engagements et participations.
En complment, une politique de gestion de crise, dont la dernire actualisation a
t signe par le prsident-directeur gnral en juin 2005, est mise en uvre sur le
primtre dEDF SA et des filiales contrles. Elle consiste notamment :
sassurer de lexistence de dispositifs de crise pertinents, au regard des risques
encourus, dans chaque direction dEDF SA participant la gestion de la crise et
dans les filiales contrles ;
dfinir les modalits de coopration avec les filiales rgules en priode de crise ;
vrifier la cohrence densemble.
Un programme dexercices de crise permet de tester rgulirement lefficacit de ces
dispositifs et de capitaliser les retours dexprience. Enfin, lorganisation de crise est
Groupe Eyrolles
rgulirement rajuste, notamment chaque changement significatif dorganisation

interne ou denvironnement externe, ainsi quaprs chaque retour dexprience de
crise majeure.
Extrait du rapport risk management du groupe EDF 2007 149
La politique de gestion et de contrle des risques dEDF (document

de rfrence 2007)
Le comit daudit dEDF SA rend un avis sur la politique de risques marchs ner-
gies et sur ses volutions. Le TOP 4 valide annuellement les mandats de gestion de
risques des entits qui lui sont prsents avec le budget.
Contrle des risques financiers

EDF a mis en place un dpartement contrle des risques financiers , en charge de
la matrise des risques de taux, de change, de liquidit et de contrepartie pour les
filiales contrles. Ce contrle sexerce via :
la vrification de la bonne application des principes du cadre de gestion financire,
notamment au travers du calcul rgulier dindicateurs de risque et du suivi de limi-
tes de risque ;
des missions de contrle mthodologie et organisation sur les entits dEDF
SA et les filiales contrles ;
le contrle oprationnel de la salle des marchs dEDF en charge de la gestion de
la trsorerie. Pour ces activits, un systme dindicateurs et de limites de risque
vrifis quotidiennement est en place pour suivre et contrler lexposition aux ris-
ques financiers. Il implique le directeur trsorier du groupe, le chef de la salle des
marchs et le responsable du contrle des risques financiers, qui sont immdiate-
ment saisis pour action en cas de dpassement de limites. Un comit ad hoc vrifie
priodiquement le respect des limites et statue sur les modifications de limites sp-
cifiques ventuelles.
Il est rendu compte de la mise en uvre des politiques de gestion des risques financiers
au comit daudit sur un rythme annuel. Rattach la direction corporate finance et
trsorerie de la direction financire, ce dpartement a un lien fonctionnel fort avec la
direction du contrle des risques groupe en vue de garantir son indpendance.
Contrles spcifiques
Procdure dapprobation des engagements
Le comit des engagements et des participations (CEP), prsid par le directeur
gnral dlgu finances, examine lensemble des engagements du groupe, hors filiales
rgules et filiales co-contrles, notamment les projets dinvestissement, les projets de
cessions et les contrats long terme combustibles . Il valide tout investissement dun
montant suprieur 20 millions deuros. Depuis la fin de mars 2003, les runions du
comit sont systmatiquement prcdes dune runion o sont associs les experts du
niveau corporate (DCRG, DJ, DF), afin de vrifier lexhaustivit et la profondeur
des analyses de risques des dossiers prsents. Ces travaux sappuient sur un rfrentiel
mthodologique danalyse des risques des projets de dveloppement qui intgre
Groupe Eyrolles
lensemble des impacts et en particulier la valorisation des scnarii de stress.

Contrle des systmes dinformation (SI)

Organisation du contrle interne de la filire SI : le dispositif de contrle interne
de la filire SI sintgre dans la politique de contrle interne du groupe
(propositions dobjectifs de contrle dcliner par les entits oprationnelles) et
porte sur la mise en uvre des politiques de la filire. Ces politiques touchent en
particulier la scurit des systmes dinformation, au pilotage des projets SI, la
gestion des risques SI et au respect des lois informatique et libert.
Actions dans le domaine de la scurit des SI : les orientations et lorganisation de
la scurit des SI sont dfinies dans deux documents de rfrence : la politique de
scurit des systmes dinformation du groupe EDF et le rfrentiel de politique
scurit des SI dEDF SA. Le dploiement de ces politiques ainsi que le niveau de
scurisation sont suivis de faon trimestrielle par un comit scurit, prsid par la
DSI Groupe, rassemblant les responsables de scurit des systmes dinformation
de toutes les entits dEDF SA. Le comit scurit rend compte annuellement au
comit des directeurs de systmes dinformation. Une action a t mene concer-
nant la matrise des risques lis un sinistre majeur sur les principaux centres de
calcul. Des plans de continuit dactivit sont dfinis et ont t tests pour les
applications les plus critiques pour le fonctionnement de lentreprise.
Autres actions du domaine SI : une nouvelle politique informatique et libert a t
dfinie et dploye sur le primtre EDF SA en conformit avec la nomination fin
2006 dun correspondant informatique et liberts. La DSI groupe et la direction de
laudit ont lanc conjointement un diagnostic concernant la robustesse du disposi-
tif de contrle interne sur les systmes dinformation dEDF. Ce diagnostic vise
amliorer la matrise par le groupe des risques lis aux SI ; ses conclusions sont
attendues pour la fin du premier trimestre 2008.
Ladministration et la surveillance des filiales

Toute socit filiale ou en participation ( lexception des filiales rgules) est suivie
par un directeur, membre du comex ou par son dlgu. Celui-ci propose les admi-
nistrateurs reprsentant EDF au sein des instances de gouvernance de ces socits, et
leur adresse une lettre de mission et une lettre dobjectifs. Une actualisation de ces
rattachements est valide chaque anne par le comit des cadres dirigeants.
La dlgation administrateurs et socits, en place depuis 2002, veille tout
particulirement :
la mise jour de la cartographie du rattachement des socits, en fonction des
dcisions prises par le TOP4 ;
au suivi des compositions cibles , visions anticipes et collectives des compten-
ces, ainsi que des profils ncessaires une bonne reprsentation dEDF au conseil
Groupe Eyrolles
des socits filiales et participations, en fonction de la stratgie dfinie par les

directeurs de rattachement ;
Extrait du rapport risk management du groupe EDF 2007 151
au respect du processus de dsignation des administrateurs, pralable managrial

la proposition de nomination (conformit la composition cible, contrle du
nombre de mandats, avis du hirarchique de ladministrateur propos) ;
la professionnalisation des nouveaux administrateurs (formation initiale par luni-
versit groupe, information via le site Internet de la communaut administrateurs,
formation permanente via les sminaires et ateliers administrateurs).
Autres politiques de contrle

EDF a galement dfini :
une politique sant-scurit, signe par le prsident-directeur gnral en octobre 2003 ;
une politique dassurances prsente au conseil dadministration du 1 er juillet 2004,
suite au dossier prsent aux administrateurs le 23 octobre 2003 sur la couverture
du risque tempte pour les rseaux de distribution. Le conseil a alors pris acte
du bilan prsent sur la situation dEDF SA et de ses filiales contrles au regard
des risques assurables identifis et sur les couvertures mises en place. Il a valid un
programme de travail destin renforcer la connaissance des risques assurables du
groupe, dvelopper la dimension groupe des assurances, amliorer et optimiser
les couvertures existantes et mettre en place de nouvelles couvertures. ce der-
nier titre, le conseil a approuv, le 22 fvrier 2006 (aprs avis du comit daudit du
17 fvrier), la mise en place du nouveau programme dommages nuclaires ,
destin couvrir les dommages accidentels importants qui pourraient toucher les
centrales nuclaires dEDF SA.
Un point sur lavancement de la mise en uvre du programme de travail du
1er juillet 2004 a t prsent au comit daudit du 5 mai 2006 et celui du 2 avril
2007, qui a approuv ses lignes de dveloppement futures. Le comit a galement
pris connaissance de la vision actualise des risques assurables et des couvertures du
groupe. En outre, le comit daudit, rgulirement inform des volutions en la
matire, a reu une information, le 28 aot 2006, sur la finalisation des ngociations
relatives au programme dommages nuclaires et sur la mise en place de lassu-
rance tous risques chantier pour la tte de srie EPR Flamanville.
Rglementation lie lexploitation industrielle

Dans le domaine de lexploitation industrielle, de nombreuses procdures de
contrle existent et notamment pour le nuclaire, o deux acteurs peuvent tre plus
particulirement mentionns :
linspecteur gnral pour la sret nuclaire (IGSN) qui sassure, pour le compte
du prsident, de la bonne prise en compte des proccupations de sret et de
radioprotection dans toutes leurs composantes pour les installations nuclaires et
dont le rapport annuel est publi lexterne ;
Groupe Eyrolles
lInspection nuclaire, service directement rattach au directeur de la division pro-

duction nuclaire (DPN), dont les actions de vrification permettent dvaluer le
niveau de sret des diffrentes entits de la DPN. Il peut tre not que ces
champs ont fait lobjet dun audit corporate en 2007.
La loi du 28 juin 2006 et son dcret dapplication du 23 fvrier 2007 relatif la scu-
risation du financement des charges nuclaires imposent lentreprise de spcifier
dans un rapport les procdures et dispositifs permettant didentifier, dvaluer, de
grer et de contrler les risques lis lvaluation des charges nuclaires et la
gestion des actifs de couverture. La premire version du rapport, rpondant aux
exigences de la loi, a t finalise au mois de juin 2007 ; ce rapport comprend un
volet spcifique sur le contrle interne et sa mise jour se fera sur une base a minima
triennale, avec actualisation annuelle.
Dans les autres domaines (comme le contrle des appareils pression et la
surveillance des barrages), chaque entit est responsable de la dfinition et de la mise
en uvre des procdures de contrle adquates.
Autres rglementations
Des contrles sont galement effectus sur lapplication de la rglementation sociale et
du travail. La mise en place de systmes de management, en particulier dans le domaine
environnemental et de la sant-scurit, a permis dobtenir un meilleur contrle de
lapplication de la rglementation et danticiper les volutions rglementaires.
Groupe Eyrolles
Annexes de la troisime partie
Risk management dans le secteur bancaire
Cartographie des risques oprationnels
Macro-risques Micro-risques
Immeubles et infrastructure gnrale
Rupture dactivit provoque par des sinistres Incendies
Inondation
Autres catastrophes naturelles
Indisponibilit dune ressource
Litiges
Autres causes
Technologie de linformation et communications
Dysfonctionnements provoqus par des sys-
Pertes accidentelles dintgrit des donnes
tmes informatiques
Erreurs de dveloppement
Atteinte involontaire la scurit informatique
Dfaillance dun fournisseur informatique
Inadquation des SI
Panne systme, insuffisance, indisponibilit
passagre de ressources informatiques
Litiges
Autres
Relations avec le personnel et rglementation sociale
Relations Problmes deffectif, turnover excessif
Licenciements
Grves
Hommes cls
Autres
Scurit du travail Problmes dhygine et de scurit
Litiges
Non-conformit rglementaire
Discrimination Discrimination raciale
Groupe Eyrolles
Discrimination sexuelle

154 Annexes de la troisime partie

Supervision et ralisation des traitements
Saisie et traitement des transactions Erreurs humaines et involontaires
Non-respect ou mauvaise interprtation des
procdures
Dficiences dans les procdures
Inadquation des SI aux activits et produits
Erreurs de rglement/livraison
Mauvaise gestion des rfrentiels
Litiges clients
Autres
Qualit de linformation et du reporting Inexactitude du reporting interne ou externe
Inexactitude des dclarations comptables et
rglementaires
Documentation clientle Absence de documentation de dcharge
Absence ou non-exhaustivit des documents
Lgaux
Accs non autoris aux comptes clients
Gestion des comptes clients Information donne aux clients fausse
Dgradation des actifs clients
Relation avec les contreparties commerciales Erreur dune contrepartie
Litiges avec les contreparties
Relation avec les fournisseurs Erreur ou dfaillance dun sous-traitant
Litige
Risque projet Insuffisance dans la conduite des projets de
changement
Relation clientle produits et pratique commerciale/rglementation
Risque fiduciaire et li aux obligations rgle-
Problmes dans la gestion collective dactifs
mentaires dans la gestion dactifs
Mthodes de vente inappropries
Infraction aux rgles fiduciaires
Informations fausses sur les caractristiques
et performance des produits
Pratiques discriminatoires vis--vis de clients
Atteinte la vie prive ou la confidentialit
Violation du secret professionnel
Rotation excessive des comptes clients pour
gnrer des commissions
Groupe Eyrolles
Soutien abusif de crdit

Rupture abusive de crdit

Risk management dans le secteur bancaire 155

Relation clientle produits et pratique commerciale/rglementation
Pratiques commerciales ou de march Non-respect dexigence lgale et rglementaire

inappropries/problme dontologique Infraction la lgislation sur la concurrence
Pratiques incorrectes sur les marchs
Dlit diniti interne
Activit non autorise non intentionnelle
Financement du terrorisme
Blanchiment Blanchiment dargent
Obligations rglementaires lies un embargo Embargo
Dfauts dans les produits ou les modles Produits dfectueux on non autoriss
Erreur de modlisation
Problme de slection et de suivi clients Dfaut de connaissance du client
Dpassement de limite client
Vol/fraude malveillance
Absence dinformations sur les oprations
Activits non autoriss
ralises
Abus de pouvoir
Activits non autorises intentionnelles
Dissimulation volontaire de position
Vol, hold-up, agressions Vol
Agression
Fraude externe Fraude externe
Fraude relative aux cartes bancaires
Dlit diniti externe
Fraude interne Fraude interne
Fraude mixte
Atteinte volontaire lintgrit des SI et des Malveillance informatique
donnes
Vol et divulgation de donnes
Groupe Eyrolles
Matrice dexposition aux risques dans le secteur bancaire

Cartographie des risques oprationnels par processus mtier
Exposition au risque
lments de contexte susceptibles de faire
varier le niveau dexposition au risque
lments dalerte traduisant lexistence de ris-
ques
Dysfonctionnements matrialisant le risque
Impacts des nouveauts et volution
Impact des nouveaux produits/nouvelles acti-
vits/nouveaux clients
Impact en termes de risques des nouveaux SI
et organisations
Impact des nouvelles rglementations
Plan daction
Synthse des principales actions en cours
visant rduire le risque
Actions complmentaires prioritaires prconi-
ses par le risk manager
Groupe Eyrolles
valuation du risque brut et net

Lgende Risque net/(3)
valuation du risque
valuation
(1) Cotation risque brut Oprationnel
du contrle interne
Exposition
1 monitor 1 acceptable
rsiduelle faible
Exposition
2 optimis 2 surveiller
rsiduelle modre
Exposition rsiduelle
3 standardis 3 rduire
importante
Exposition
4 inefficace 4 inacceptable
rsiduelle forte
Risque valuation Risque Commentaires

Synthse des risques
brut par le contrle net
oprationnels
interne
Qualit 1 2 3
Thmes Pertes/incidents
transverses
Plan de continuit
des units commer-
ciales
Ressources
humaines
Comptabilit
1 Gestion commerciale
Thmes
Systmes informatiques
transverses
Processus Ouvrir un compte
Documenter
les comptes clients
Matriser des dlgations de pouvoir
et de signature
Grer le rfrentiel client
Groupe Eyrolles
Valider et acheminer les ordres du client

Mettre en uvre les conditions
particulires du client
Exploiter les donnes
historique au niveau client


2 Vente par canal gnraliste
Thmes Fournir un support technique aux vendeurs
transverses
Processus Produits et services attachs au compte

Restitution au client dinformations
de pilotage
Produits de placement bilan
Produit de placement tiers
Montique
Documentation des oprations
de financement
Prescription des partenaires et spcialistes
du groupe bancaire
Prescription de partenaires hors groupe
Risque valuation Risque Commentaires

Synthse des risques
brut par le contrle net
oprationnels
interne
3 Vente par canal
1 2 3
spcialiste
Thmes Assurer la synthse client
transverses Matriser les techniques pointues
Processus Produits de marchs et drivs

Gestion de trsorerie et ingnierie des flux
Montique et espces grand commerce
Produits de trade finance
Fusions-acquisitions
4 Vente par Internet

Thmes Scuriser les processus transactionnels
transverses Systmes informatiques
Groupe Eyrolles
Processus Promouvoir lalternative Internet

Fournir au client une cl daccs confidentielle
Assurer lefficacit des services transactionnels
Matrice daversion aux risques

Cartographie des risques oprationnels
Cotation des risques bruts
1 Gestion commerciale Risque brut Impact Potentialit
Calcul Modifi Global F I R
Thmes Systmes informatiques
transverses
Processus Ouvrir un compte
Documenter les comptes clients
Matriser des dlgations de pouvoir et
de signature
Grer le rfrentiel client
Valider et acheminer les ordres du client
Mettre en uvre les conditions particu-
lires du client
Exploiter les donnes historique au
niveau client

2 Vente par canal
Risque brut Impact Potentialit
gnraliste
Thmes Fournir un support technique aux vendeurs
Processus Produits et services attachs au compte

Restitution au client dinformations de
pilotage
Produits de placement bilan
Produit de placement tiers
Montique
Documentation des oprations de finan-
cement
Prescription des partenaires et
spcialistes du groupe bancaire
Prescription de partenaires hors groupe

Groupe Eyrolles

3 Vente par canal
Risque brut Impact Potentialit
spcialiste
Thmes Assurer la synthse client
transverses
Matriser les techniques pointues
Processus Produits de marchs et drivs
Gestion de trsorerie et ingnierie des flux
Montique et espces grand commerce
Produits de trade finance
Fusions-acquisitions

4 Vente par Internet Risque brut Impact Potentialit
Thmes Scuriser les processus transactionnels
Processus Promouvoir lalternative Internet
Fournir au client une cl daccs confi-
dentielle
Assurer lefficacit des services trans-
actionnels
Groupe Eyrolles
Exemple de communication de crise bancaire

Communiqu de presse
Paris, le 13 octobre 2008
Dmenti de rumeurs
La Socit gnrale dment formellement les rumeurs malveillantes lui imputant des
pertes significatives sur son activit de produits structurs au cours des derniers jours,
ncessitant une recapitalisation de la banque, et annonce quelle demande lAMF
denquter sur ces rumeurs et leurs consquences sur le cours de son titre, comme
elle en a le pouvoir en application de larticle 631-4 de son rglement gnral.
Socit gnrale
Socit gnrale est lun des tout premiers groupes de services financiers de la zone
euro. Avec 151 000 personnes dans le monde, son activit se concentre autour de
trois grands mtiers :
Rseaux de dtail & services financiers, qui comptent plus de 30 millions de
clients particuliers en France et linternational.
Gestions dactifs & services aux investisseurs, o le groupe compte parmi les prin-
cipales banques de la zone euro avec 2 733 milliards deuros en conservation et
381,4 milliards deuros sous gestion fin juin 2008.
Banque de financement & dinvestissement, Socit gnrale Corporate & Invest-
ment Banking se classe durablement parmi les leaders europens et mondiaux en
march de capitaux en euros, produits drivs et financements structurs.
Socit gnrale figure dans 3 indices internationaux de dveloppement durable :

FTSE, ASPI et Ethibel.
Groupe Eyrolles
Risk management dans les compagnies dassurances

Typologies dimpact dun incident en conformit avec Solvency II
Nomenclature des impacts
Type Impact Nature Manifestation
Rentabilit, dlais, volumes de
Dgradation des performances fonds propres, pertes dexploita-
financires tion, frais supplmentaires
dexploitation
Non-ralisation ou abandon dop-
Manque gagner rations, frais de reconstitution des
Impacts financiers mdias
Sorties de fonds
Pertes de valeurs (dprciations)
Pertes financires directes
Frais de reconstitution des mdias
Amendes, pnalits, indemnisation
Mcontentement / contentieux
Rsiliation unilatrale des contrats
Impacts commer-
Perte de clientles Perte de portefeuille
ciaux
Perte de parts de march structu-
relles
Interne (tensions sociales)
Perte de crdibilit
Externe
Article dfavorable dans la presse
Impacts en termes spcialise
dimage Baisse du cours de Bourse
Atteinte limage du groupe
Perte dimage relaye par les
mdias nationaux et internationaux
Diminution du cours de Bourse
Impacts pnaux ou Administratif

Condamnations et sanctions
disciplinaires Pnal
Groupe Eyrolles
Risk management dans les compagnies dassurances 163
Cartographie des processus dans le secteur assurance

Processus de pilotage
Dfinir et dcliner la politique gnrale

Dterminer les objectifs moyen terme
Assurer la veille stratgique
Assurer la reprsentation auprs des institutions et autorits de tutelle - lobbying
Assurer la planification stratgique et oprationnelle via le balanced scorecard
Dfinir les politiques pour atteindre ces objectifs
Dfinir la segmentation marketing
Conduire les dmarches de partenariat et de prescription
Dcider des oprations de croissance
Dfinir la politique financire
Piloter le risk management
Identifier et hirarchiser les risques
Dfinir une mthodologie de rfrence/ARM
Identifier les risques, mesurer leur impact financier en euros
Identifier et valuer les contrles en place et le niveau de couverture
Raliser une cartographie des risques et des outils de contrle
Dfinir les outils de gestion de crise
Piloter la matrise des risques
laborer les outils de pilotage, key risks indicators
Analyser les lments de reporting et retour dexprience
Mettre en uvre et suivre les plans de rduction des risques
Auditer et contrler le niveau defficacit dans la matrise des risques
laborer un programme de risk management
Piloter les self-assessments
Mener les plans daudits/missions
Suivre la mise en place des recommandations et actions correctrices
Piloter la gouvernance
tablir les rglements des organes de gouvernance du groupe
Groupe Eyrolles
Rglements intrieurs et dontologie des autorits de gouvernance

Dfinir les dlgations internes de pouvoirs et de signatures
Actualiser les dlgations


Dfinir et contrler les dlgations internes
Vrifier le respect des obligations statutaires et lgales
Prparer et tenir les runions du comit daudit et du comit des risques
tablir les comptes rendus des runions des organes de gouvernance
Assurer les dpts de publicit lgale
Autres obligations lgales et rglementaires
tablir le rapport annuel sur le contrle interne et le risk management
Piloter la communication financire vers les stakeholders
Piloter la communication financire vers les actionnaires individuels
Autres zones gographiques linternational
Piloter la conformit avec les autres rglementations sur le contrle interne Sarbanes-
Oxley pour la zone Amrique du Nord)
Piloter la stratgie groupe
Groupe
Dcliner les objectifs du groupe et dfinir les business plans
Cadrer les objectifs de la socit mre
Dterminer les objectifs globaux et par entit du groupe
Sassurer de la mise en uvre des objectifs sur les zones gographiques et units daffaires
Anticiper latteinte des objectifs
Rviser les objectifs globaux
Filiales et socits affilies trangres
Dcliner les objectifs et dfinir les prvisions dactivit
Valider le plan stratgique de chaque filiale trangre et consolider
Apprcier les projets stratgiques proposs par les filiales et socits affilies + co-entrepri-
ses
Sassurer de la mise en uvre des objectifs
laborer le reporting des filiales et des socits affilies + co-entreprises
Revoir la mise en uvre du plan stratgique
Superviser la communication
Dfinir les objectifs de communication groupe
Communication interne
Groupe Eyrolles
Dfinir les missions de communication

Dfinir les mdias et le mix mdias
Communication externe


Dfinir les stratgies de communication par canal
Dfinir le plan daction de communication (par mdia et par cible)
Mettre en uvre la communication
Communication interne
Assurer la veille, la collecte dinformations
Apprcier la pertinence de la communication avec les objectifs du groupe
Concevoir, vrifier et valider les informations
Raliser les actions de communication (mix promotion)
Mesurer lefficacit de la communication
Communication externe
Assurer la veille et analyser les rsultats (tableaux de bord commerciaux)
Concevoir les actions de communication et lalignement avec les objectifs
Formaliser et valider les actions de communication
Mettre en uvre les actions de communication
tablir un reporting des actions de communication (efficacit)
Sponsoring, mcnat et fondations
Dfinir les objectifs et le plan daction du mcnat et sponsoring
Mettre en uvre le plan daction du mcnat et sponsoring
Processus de support
Superviser les ressources humaines
Gestion prvisionnelle des emplois et comptences
Estimer les effectifs
Grer la bourse de lemploi et la mobilit internationale
Assurer la mobilit et le recrutement externe
Superviser la formation (collective, individuelle)
Piloter la masse salariale et les avantages au personnel
Grer un outil dvaluation de performances et comptences
Superviser les parcours professionnels des salaris et les mutations
Assurer la gestion administrative, statutaire des salaris
Groupe Eyrolles
Suivre le dossier individuel

Coordonner le cycle de paie et effectuer les dclarations fiscales-sociales
Coordonner le temps de travail et les absences


Administrer les frais de mission
Grer le personnel en CDD, intrim et stagiaires, expatris
Assurer la mdecine de prvention et du travail
Coordonner les relations sociales et les structures de contre-pouvoir
Piloter les entits de gouvernance
Ngocier les conventions, les accords dentreprise
Conseiller dans le domaine des affaires sociales et le droit du travail
Piloter la conformit juridique et fiscale
Piloter la veille juridique et la sret juridique
Suivre lvolution de la rglementation
Interprter la lgislation et la traduire en rgles de management
Respecter les exigences rglementaires et contractuelles (conventions)
Connatre et diffuser les obligations rglementaires intragroupe
Traiter les demandes des diffrentes entits du groupe
Rpondre aux demandes officielles et arbitrer
Coordonner les engagements contractuels
Grer les engagements contractuels des assurs
Superviser les engagements contractuels vis--vis des prescripteurs
Grer les engagements contractuels vis--vis des socitaires / des assurs
Grer les engagements contractuels vis--vis des autres prestataires / parties lies
Grer les engagements contractuels vis--vis des salaris
Coordonner les litiges
Prvenir les litiges (mdiation et prcontentieux)
Piloter les litiges (mdiation et prcontentieux)
Grer le contentieux
Provisionner les dossiers (IAS 37)
Analyser les rsultats (reprise sur provisions)
Exploiter les systmes dinformation
Organiser lvolution du systme dinformation
Dcliner la stratgie de lentreprise en matire de SI
Groupe Eyrolles
Dfinir lorganisation des SI et les rgles de dlocalisation / externalisations

Superviser les rgles dassistance matrise douvrage
Piloter le budget de fonctionnement et dinvestissement de la DSI
Financer les investissements informatiques et lactualisation des frais de dveloppement


Recenser les besoins des mtiers et faire un premier arbitrage
Appliquer les rgles de contrle interne sur les projets informatiques
Piloter les projets migration des SI et ERP/PGI
Grer les relations avec les SSII tiers et linfogrance
Prvenir les situations de crise informatique et simuler les plans de reprise dactivit informatique
Dvelopper et livrer des applicatifs informatiques
tudier la demande de la matrise douvrage
Faire des tudes de faisabilit
Piloter la phase de conception gnrale
Piloter la phase de conception dtaille
Paramtrer
Raliser les tests dintgration/recette technique
Valider la solution
Procder aux tests de recettes
Passer en phase de production
Fonctionner en parallle
Mettre en production la solution
Raliser le bilan de projet/bilan de mise en production
Suivre le project office
Grer les ateliers transverses (reprise des donnes, etc.)
Mettre en uvre la conduite du changement
Grer la qualit et le contrle interne du projet
Grer le fond documentaire projet et applicatif
Exploiter les systmes dinformation en interne et en externalisation/dlocalisation
Dfinir et grer un niveau de service
Grer les performances et capacit
Assurer une continuit de services
Assurer la scurit des systmes au niveau immatriel
Garantir la scurit physique des installations
Grer les donnes, apurer les bases
Groupe Eyrolles
Grer la configuration des systmes

Grer les problmes et incidents certifications SAS 70
Grer lexploitation informatique


Grer les moyens transverses
Grer les achats et le renforcement fournisseur
Dfinir et analyser les besoins de lentreprise
Grer le panel des fournisseurs potentiels et grer les consultations
Raliser/renouveler les appels doffres
Grer la relation client/fournisseur actuel
Grer les moyens gnraux
Tlphonie, standard, rservation visioconfrence
Dfinir et analyser les besoins/les demandes calcul de ROI
Engager les commandes et suivre les dpenses
Grer les moyens matriels
Maintenance
Dfinir et analyser les besoins et les demandes
Engager les commandes et suivre les dpenses dans lERP
Grer les moyens matriels
Assurer la scurit des biens et des personnes
Zone Union europenne
Assurer la scurit oprationnelle
Assurer la scurit par anticipation
Autres zones gographiques linternational
Assurer la scurit oprationnelle des expatris
Grer la comptabilit financire
Suivre et intgrer la rglementation comptable
Effectuer la veille rglementaire, participer aux principales instances
Interprter les normes et les avis techniques comptables (IFRS, US GAAP)
Dfinir les schmas comptables autoriss et les intgrer dans les systmes
Tenir la comptabilit (au fil de leau ) hors cut-off
Administrer les rfrentiels comptables IFRS et US GAAP
Mettre jour/diffuser les procdures comptables IFRS et US GAAP
Domaine assurances individuelles de personnes
Groupe Eyrolles
Passer les critures comptables (manuelles)

Domaine valeurs mobilires/OPCVM
Passer les critures comptables (semi-automatiques)


Domaine assurances collectives co- et rassurance
Domaine assurances collectives
Domaine Opex/charges dexploitation
Passer les critures comptables (semi-automatiques)/classe 9-6
Domaine immobilier et participations non cotes
Passer les critures comptables (semi-automatiques) apurement de charges
Effectuer les contrles comptables et le contrle interne associ
Contrles des flux (dversements) / administratif des flux
Contrler les comptes de bilan
Suivre le budget (contrle de gestion) rviser le budget
Collecter et contrler les donnes
Prparer les tats du budget et effectuer les actions correctrices en conformit avec la direc-
tive Transparence
Raliser et formaliser les analyses
Rpondre aux demandes dexplications et dinformations
Analyser les rsultats (comptabilit analytique) analyse dcarts
Collecter et contrler les donnes
Prparer les tats danalyse et effectuer les actions correctrices
Raliser les analyses et rpondre aux demandes ponctuelles
Arrter les comptes et grer le projet Fast Close
Domaine assurances individuelles
Intgration des donnes de gestion et interprtation
Justification et ajustements des comptes
tablissement et comptabilisation des critures dinventaire
Analyse et comptabilisation des critures finales et administration de flux
Intgration des donnes de gestion
Justification et ajustements des comptes (test Impairment)
Groupe Eyrolles
tablissement et comptabilisation des critures dinventaire

Justification et ajustements des comptes revue analytique
tablissement et comptabilisation des critures dinventaire (IFRS 4)


Immobilier dinvestissement (IAS 40)
Participations non cotes
laboration du dossier de clture (arrts de comptes)
Domaine frais et charges communes
Saisie des factures et provisions
Salaires, logiciels et dotations aux amortissements
Refacturations intragroupe
Ajustements comptables des frais gnraux du primtre Union europenne
Arrt des frais gnraux
Ventilation des charges corporate
Rpartition analytique en mthode ABC (comptabilit par activit)
Dtermination du chiffre daffaires partenaire / reconnaissance du CA (IAS 18)
Dtermination des provisions et des comptes techniques
Rassurance/coassurance technique et financire
Production financire et contrle du rsultat
Domaine consolidation
Travaux prparatoires la consolidation IFRS US GAAP
Intgration des donnes
Retraitement consolidation, annulation Interco
dition des tats de synthse consolids et des annexes
Raliser les dclarations fiscales, impts diffrs
Collecter les informations et les donnes
Calculer lassiette et limpt et effectuer les ajustements
tablir les dclarations fiscales et les liasses fiscales
Payer limpt (acomptes + solde)
Groupe Eyrolles
Processus oprationnels
Concevoir et suivre les produits
Comprendre et analyser les besoins
Zone Union europenne
tudier le march et le comportement des consommateurs
Identifier les besoins des consommateurs
Identifier les besoins du distributeur
valuer les enjeux pour lassureur
Concevoir loffre
Formaliser loffre dun produit dassurance
Raliser ltude dopportunit commerciale
Raliser ltude de faisabilit
laborer la tarification (individuelle & collective)
tudier la rentabilit (individuelle & collective) ROI
Faire valider le produit par les autorits de gouvernance (individuel & collectif) AMF
laborer les nouveaux produits ou customiser les produits existants
Rdiger la fiche produit et les documents contractuels individuel & collectif
Finaliser la tarification conditions de rassurance individuel & collectif et co-assurance
Obtenir les autorisations rglementaires individuel & collectif
Test commercial et enqutes clients sur les nouveaux produits individuel
laborer la communication client individuel & collectif
laborer le cahier des charges du produit individuel & collectif
Mise en gestion et recettage/industrialisation de loffre
Recetter les applications activer les frais de dveloppement
Mettre en exploitation
Produire sous contrle
Exploiter les systmes
Distribuer les produits
Dfinir les objectifs annuels et formaliser les plans de dploiement
Ngocier les objectifs de vente avec le partenaire
Groupe Eyrolles
Dcliner les objectifs et laborer le plan daction commercial

Mettre en uvre le plan daction commercial
Raliser les supports marketing et mix marketing
Former les rseaux commerciaux et partenaires


Animer les rseaux commerciaux (agents gnraux)
Vendre et suivre la ralisation des objectifs
Vendre au partenaire
Suivre les rsultats
Dterminer les actions correctrices
Assurances individuelles
Dfinir les objectifs annuels et formaliser les plans de dploiement
Ngocier les objectifs de vente avec le partenaire
Valider les actions commerciales avec le partenaire
Mettre en uvre le plan daction commercial
Raliser les outils daide la vente
Raliser les supports marketing + mix marketing
Faire souscrire et mettre le contrat
Retranscrire les informations client
Saisir et valider la souscription
Contrler les documents contractuels et administratifs
Contrler le dossier dadhsion ou de souscription
Saisir et mettre les documents
Traiter les anomalies, les cas exceptionnels incured but not reported (IBR)
Archiver les documents du dossier dadhsion/souscription
Appeler et encaisser les primes/cotisations
Encaisser les primes et rgulariser les impays
Encaisser les primes
Appeler les primes de versements rguliers
Encaisser les primes
Traiter les impays et recouvrer les primes
Affecter les versements
Suivre la vie du contrat
Enregistrer les modifications de nature administrative
Enregistrer les modifications de nature contractuelle
Groupe Eyrolles
Traiter les avances

Grer les placements
Domaine valeurs mobilires
Dterminer les stratgies dinvestissements


Grer ladossement actif/passif
Dfinir les stratgies financires
Grer les limites par metteur et le risque crdit groupe
Grer la trsorerie et les portefeuilles financiers
Matriser le niveau de trsorerie
Passer les ordres sur les portefeuilles long terme
Grer les placements de trsorerie
Grer les garanties annexes
Adossement actif/passif des UC (units de crdit)
Gestion postmarch
Valoriser
Suivis particuliers
Comptabiliser et calculer les rsultats des portefeuilles
Groupe Eyrolles
Cartographie des processus dans le domaine des mandats de gestion

dactifs du secteur assurance
Processus Activit/procdure
Grer les risques
Grer la mise jour du pro- Suivre le programme d'activit, les donnes lgales,
gramme d'activit l'adhsion
Grer le contrle interne
tablir la charte de contrle interne et le plan de contrle
annuel en conformit avec solvabilit 2/8e directive euro-
penne sur laudit lgal
Grer les procdures (procdure des procdures)
Dfinir les rgles pour la cration et la commercialisation des
nouveaux produits en conformit MIF
Grer les enregistrements tlphoniques en conformit CNIL
Contrler les activits
Raliser les contrles de second niveau conformment au plan
de contrle Solvency 2/8e directive europenne sur laudit lgal
Contrler les dlgataires de gestion
Contrler les prestataires - intermdiaires, dpositaires
Raliser les contrles de second niveau des ratios rglemen-
taires et statutaires solvabilit 2
Raliser la synthse des contrles et suivre les actions correcti-
ves ou d'amlioration prvues/produire les Key Risks Indicators
Assurer les contrles de conformit
Raliser les contrles priodiques par laudit interne
Grer la conformit
Dfinir les codes, chartes, rgles et modalits - dontologie,
conflits d'intrts, muraille de Chine, cadeaux et avantages,
personnel sensible, whistle blowing en conformit avec le
code ethique et dontologique
Suivre la mise en uvre des rgles chartes, codes et modali-
ts conformment la rglementation et laudit de lgalit
Rdiger et diffuser les rapports de suivi selon la rglementation
en vigueur (droit bancaire et droit des assurances)
Assurer veille rglementaire (projets de directives europennes
Grer la scurit
Dfinir et suivre le Plan de continuit de lactivit et les proc-
dures de gestion de crise associes
Groupe Eyrolles
Grer les habilitations de signatures et dlgations de pouvoir

Gouverner l'entreprise
Gouverner l'entreprise
Dfinir et piloter les stratgies


Crer les produits et les suivre
Crer les produits et les suivre

Concevoir les produits financiers
tudier la faisabilit de la demande entreprise via appels doffres
Suivre la cration des nouveaux OPCVM
Grer le comit des nouveaux produits via le comit daudit
Grer les relations commerciales
Assurer la relation client et commerciale
Entrer en relation avec de nou-

veaux clients
Qualification du besoin du client
Classification des clients en conformit MIF
Tenue et mise jour des dossiers clients
Optimiser la gestion des
fonds
Grer les OPCVM - activits
financires
Dfinir et mettre en uvre les politiques de taux
Dfinir et mettre en uvre les politiques ALM
Dfinir et mettre en uvre les politiques pour la multigestion
Slectionner les intermdiaires, les brokers
Intervenir sur les marchs terme et de gr gr
Passer les ordres
Passer les ordres sur OPCVM
Valider les VL (valeurs liquidatives) suite prvalidation middle
office
Analyser les performances
Mettre en uvre les dcisions de CS (conseil de surveillance) /
CA (conseil dadministration)
Grer les titres
Grer les comits d'investis-
sement et dengagement
Prparer les comits d'investissement et reporter au comit daudit
Mettre en uvre les dcisions des comits d'investissement et
dengagement
Groupe Eyrolles
Raliser les oprations

non financires sur OPCVM
Dfinir les politiques de vote et de contrle
Rpondre aux demandes dinformations


Contrler la gestion
sur les fonds, informer
Contrler les oprations
ralises par les
grants/gestionnaires
Pr-valider les VL (Valeurs liquidatives)
Contrler et suivre la trsorerie
Contrler les oprations inities par les grants/gestionnaires
Contrler les dlgations financires
Contrler et suivre le risque de contrepartie
Suivre les ratios statutaires
Raliser les oprations diverses
Suivre les interfaces SI et ladministration des flux
Grer les rtrocessions de com-
missions sur OPCVM externes
Grer les rtrocessions de commission
Raliser les reportings
sur les OPCVM gres
Contrler et suivre les donnes financires - rfrentiel et
reporting priodique IFRS/Domestic GAAP/US GAAP
Raliser le reporting mensuel IFRS/Domestic GAAP/US GAAP
Raliser l'information aux porteurs de parts (performance des
portefeuilles)
Grer les conseils de sur-
veillance (CS)/CA (Conseil
dAdministration)
Grer les membres des CS/CA
Grer les plannings et les convocations des CS/CA Secrtariat
des Socits
tablir dossier prsent au CS/CA
Grer les prsences aux CS/CA
Archiver les procs-verbaux (PV) des CS/CA
Suivre les mises en uvre des dcisions CS/CA
Raliser les reportings
sur les mandats
Contrler et suivre les donnes financires - rfrentiel et repor-
ting priodique en conformit IFRS/Domestic GAAP/US GAAP
Contrler et suivre le risque de contrepartie
Groupe Eyrolles
Suivre a priori et a posteriori les ratios statutaires Solvency 2

Raliser le reporting mensuel IFRS/Domestic GAAP/US GAAP


Grer la comptabilit
des OPCVM
Grer les oprations
comptables sur OPCVM
Cration de portefeuille
Valoriser les OPCVM (et dfinir rgles et mthodes de valorisa-
tion), suivre l'quilibre du nombre de parts en conformit IAS
39 rvision doctobre 2008
tablir les documents priodiques rglementaires en conformit
IFRS 7
Suivre a posteriori les ratios rglementaires Solvency 2
Contrler les erreurs de valorisation/IAS 39/tests de dprciation
Grer les fonds garantis
Raliser le suivi des diffrentes
rmunrations
Grer les commissions de mouvement sur OPCVM
Grer les frais de gestion variables sur OPCVM
Grer les rtrocessions
sur OPCVM
Raliser les tches lies au pilo-
tage
Dfinir l'ensemble des activits lies au pilotage
Grer les diffrentes tches lies au pilotage
Grer les fusions absorp-
tions OPCVM
Organiser le contrle opration-
nel
Dfinir l'organisation et les missions du contrle oprationnel
Prsenter les outils de suivi et tableaux de bord intgrant les KRI
Grer les RH et les relations
sociales
Grer les collaborateurs
Dontologie, MIF/comptences et implication
Grer les dtachements et rmunrations
Dcrire les fonctions
spcifiques lies aux mandats
de gestion/gestion dactifs
Grer la rglementation
Groupe Eyrolles
juridique et fiscale
Grer les agrments AMF- cra-
tion OPCVM, mutation OPCVM, Grer les relations avec le rgulateur
changements d'acteurs
Raliser le suivi (dpositaire...)


Assurer la veille rglementaire Organiser le lobbying
Grer les conseils
Vrifier le niveau de comptences des membres
de surveillance
Raliser les procs-verbaux des CS/CA
Suivre le programme d'activit, les donnes lgales, supervi-
ser le secrtariat des socits
Grer les systmes dinfor-
mation (SI)
Grer les applications SI Monter en puissance les releases
Grer les demandes dvolu-
Coordonner lanalyse fonctionnelle
tions SI
Grer les interfaces entre SI Synchroniser les interfaces
Grer la scurit des applica-
Tester les rgles de scurit applicative
tions
Grer le Plan de secours infor-
Tester les plans de reprise dactivit informatique
matique
Grer la comptabilit
et les finances
Assurer la gestion comptable
Dfinir les rgles comptables IFRS/Domestic GAAP/US GAAP
Grer la comptabilit financire
Arrter les comptes et raliser les bilans en intgrant la direc-
tive transparence
Raliser les documents d'information rglementaires
Suivre et grer la trsorerie
Suivre et grer les fonds propres IFRS 7
Raliser les rapprochements bancaires
Grer les acomptes sur dividendes
Grer les fournisseurs
Grer la facturation des fournisseurs
Grer la comptabilit
et les finances
Grer les budgets et les busi-
ness plans
laborer le budget (charges et ressources) en conformit avec
la directive transparence
Suivre les budgets, raliser les analyses (notamment dfinir les
rgles d'analyses et les critres), les intgrer dans le dispositif
Groupe Eyrolles
de communication financire
Grer les rtrocessions
sur OPCVM externes
Exemple de polices dassurance souscrites par un programme

dassurance
Exemple dune police globale informatique
Garanties de base
Biens assurs
Tout matriel informatique
Logiciel, progiciels
Garantis au repos, en activit
Faits gnrateurs garantis
Incendie, explosion
Dommages lectriques, lectroniques
Bris de machine
Dgts des eaux
Temptes, ouragans
Catastrophes naturelles
Chutes, heurts
Grle, gel
Tremblement de terre
Grves, meutes
Chutes daronefs
Franchissement mur du son
Malveillance dlibre
Sabotage
Contamination virale
Vol, intrusion, effraction
Utilisation fausses cls
Maladresse, ngligence
Utilisation non autorise de ressources informatiques interne/externe

Groupe Eyrolles

Clauses TRI et ERI
Pertes financires gnres par un dommage matriel et/ou immatriel
Informatique
Frais de reconstitution darchives
Frais de reconstitution des mdias
Frais supplmentaires dexploitation informatique
Location dun ordinateur de remplacement
Frais de communication de crise interne et externe lie au plan de survie
Extension risques informatiques
Garantie pertes de fonds affectant les comptes de la classe 5 (VMP, CCP, banque)
Caisse, rgies davances, virements internes, provision des dprciations de VMP
Jeux dcritures illicites en cas de dtournement
Virements effectus pour le compte de clients en cas dacte de malveillance
Paiement des agios bancaires
Paiement des loyers restant couvrir si recours la location financement
Groupe Eyrolles
Exemple de programme dassurance responsabilit professionnelle dune compagnie

dassurances
Polices dassurance
RC professionnelle
Faits gnrateurs mtier assurances, co- et rassurance

Convention spciale dtournements
Escroquerie
Dtournement, abus de confiance
Faux en criture, perte de fond et valeurs conscutives une cration, modification
Suppression dinformations passibles de poursuites pnales
Autres clauses
Insuffisance de moyens
Erreurs ou omissions dans les ordres de la clientle
Erreur de saisie de RIB
Erreur de montant dans la saisie
Erreur de saisie sur le nom ou prnom du souscripteur
Rachat de capital suite homonymie
Rachat de capital suite imitation de signature
Changement de clause bnficiaire crant un prjudice par rapport au bnficiaire initial
Modification de clause bnficiaire entre demande de mise sous tutelle et mise sous tutelle
effective du souscripteur
Dsignation bnficiaire dune association non reconnue dutilit publique non identifie par la
compagnie au moment de la souscription
Pertes pcuniaires favorises par une ngligence de lassur ou par inobservation de rgles de
prudence dans le secteur bancassurance
Refus ou omission de renouveler ou de rsilier un contrat dassurance ou un trait de rassu-
rance non justifi
Refus ou omission ou retard dans le rglement dun sinistre
Erreur ou omission faites par un souscripteur de la compagnie
Infraction avec la loi scurit financire du 13 octobre 2003, dont :
Article 39 rforme dmarchage bancaire et financier
Article 42 rglementation de la profession de conseiller en investissements financiers
Article 47 exercice des droits, notamment de vote, attachs aux titres dtenus par les OPCVM
gres par les socits de gestion de portefeuille
Dfaut de conseil
Vente de produits inappropris compte tenu du statut patrimonial du client
Versement de fonds un mauvais bnficiaire avec erreur imputable au commettant
Groupe Eyrolles
Manque de performance des actifs en reprsentation

Mauvaise interprtation des normes IFRS
Erreur darbitrage dans lallocation des actifs financiers


Non-conformit des visites de site ralises par lAMF dans le cadre du contrle des portefeuilles
Erreur de constitution de dossier ou non-respect des dlais dans la procdure dagrment
AMF en termes de cration dOPCVM
Avertissement, blme, interdiction temporaire ou dfinitive dune partie ou de la totalit des activits
Sanctions pcuniaires du conseil de discipline des OPCVM
Erreur ou retard de publication dans la production de la valeur liquidative
Erreur de transmission dans lidentification des acteurs
Erreur de transmission dans la caractrisation en cas de changement de structure de lOPCVM
Dclaratif des autres mtiers du groupe combin
Activit dassurance et de rassurance
Activit dingnierie et de prvention des risques
Activits de courtage dassurance ou de rassurance
Activits immobilires
Prestations de services informatiques
Prestations de services logistiques
Gestion pargne salariale
Activit de gestion de portefeuille et de placement
Production et ngoce en vin
Crdit-bail immobilier
Protection juridique
Recouvrement de crances
Assistance et information
Multiservices pour particuliers
Aide aux personnes handicapes
Gestion de centres sportifs
Remise dobjets publicitaires
Activits annexes connexes et/ou complmentaires
Soins mdicaux
Groupe Eyrolles
Extrait du rapport risk management du groupe AXA, 2007

Les informations de cette section viennent en complment de la Note 4 aux tats
financiers consolids , inclus dans la partie V de ce Rapport annuel, et sont couvertes
par lopinion des commissaires aux comptes sur les tats financiers consolids. AXA
est expos aux risques des marchs financiers au travers de ses activits de protection
financire ainsi quau travers du financement de ses activits dans le cadre de la
gestion des fonds propres et de la dette. Ces deux problmatiques distinctes peuvent
tre synthtises comme suit : gestion actif - passif des portefeuilles dassurance.
Lune des fonctions de base de lactivit dassurance consiste investir les primes
reues des clients en attendant de rgler les sinistres ventuels. Linvestissement de
ces primes doit tenir compte des conditions dans lesquelles ces sinistres sont rgls.
Cest le domaine de la gestion actif - passif. De faon protger et maximiser ses
bnfices, AXA gre activement son exposition aux risques de march.
La gestion du risque de march est dabord de la responsabilit des filiales. Celles-ci
ont en effet une connaissance prcise de leurs produits, de leurs clients et de leur
profil de risque. Cette approche leur permet de ragir de manire prcise et cible et
de sadapter aux variations des conditions des marchs financiers, aux cycles du
secteur de lassurance et plus gnralement aux modifications de leur environne-
ment politique et conomique.
De nombreuses techniques de gestion des risques sont utilises pour contrler et
optimiser le niveau de risque de march auquel les entits oprationnelles du groupe
AXA et le groupe lui-mme sont exposs :
Gestion actif - passif et, particulirement, dfinition dallocations stratgiques
dactifs optimales.
Couverture des risques financiers lorsquils dpassent le niveau de tolrance que le
groupe sest fix. Ceci comprend en particulier la couverture de garanties planchers
sur produits dpargne en units de compte ( variable annuities ). Tous les produits
ncessaires la mise en place de programmes de couverture avec recours aux instru-
ments drivs sont excuts avec lassistance des quipes spcialises des gestionnaires
dactifs du Groupe (AXA Investment Managers et Alliance Bernstein).
La rassurance est galement utilise dans les produits de type GMIB ( guaranteed mini-
mum income benefit , une garantie dans le cadre des sorties en rente sur les produits
dpargne en units de compte) comme outil de rduction des risques financiers.
Lquilibre global de la gamme de produits permet de profiter dventuels effets de
couverture naturels entre diffrents produits.
Des analyses dexposition sont effectues afin de piloter certains risques spcifique-
ment identifis.
Lexposition dAXA aux risques de march est minore par la diversit de ses acti-
Groupe Eyrolles
vits et de ses implantations gographiques, permettant ainsi dobtenir une bonne

diversification des risques. En outre, en vie, pargne, retraite.
AXA ralise une part importante de ses activits sur des produits en units de
compte pour lesquels la majorit des risques financiers est supporte directement par
les assurs (la valeur pour lactionnaire reste, nanmoins, sensible lvolution des
marchs financiers).
Groupe Eyrolles
Bibliographie
Publications de Pascal Kerebel

LAssurance franaise, Moyennes entreprises industrielles : faut-il souscrire un
compte captif de rassurance , septembre 1995.
Revue Banque, La captive de rassurance : une filiale part entire ?! , janvier
1996.
Argus (juillet 1996) et Risques (juillet 1998), Le risk management des conseils
gnraux : une approche complmentaire lassurance .
changes, Du crdit management au risk management : dune approche globale de
contrle du risque client une dmarche transversale de contrle des risques de
lentreprise , juillet 1998.
Autres auteurs
Blinn (James D.), Elliott (Michael W.), Head (George L.), Essentials of Risk Finan-
cing, volume II, Insurance Institute of America, 1993.
Bon-Michel (Batrice), Chapoteau (Georges), Contrle interne bancaire, Editea, 2008.
Chelly (Dan), Jimenez (Christian), Merlier (Patrick), Risques oprationnels, Revue
Banque, 2008.
Mekouar (Richard), Veret (Catherine), Fonction : risk manager, Dunod, 2005.
Groupe Eyrolles
187
Table des figures et tableaux
Analyse comparative des rglementations sur le corporate risk management 13

Exemple de cartographie des mta-risques 20
Bilan risk management 48
Exemple de business plan par unit gnratrice de trsorerie 83
Matrice dvaluation des impacts 110
Plan de reprise dactivit salles de marchs : lincendie du sige du Crdit lyonnais 114
Risque dirrgularit relative aux contrats 123
Risque de non-conformit rglementaire 124
Exemple de police dassurance RC mandataires sociaux
dun groupe banque/assurance 125
Risques lis aux systmes dinformations 126
Les diffrents cas de figure concernant le risque systmes dinformation 127
Risques de dommages aux biens et aux personnes 128
Risque social et humain 129
Risques comptables 130
Diffrents risques concernant le dispositif de communication externe 132
Groupe Eyrolles
Compos par IDT
Achev dimprimer : XXXX
N dditeur : 3863
N dimprimeur : xxxxxxx
Dpt lgal : Mai 2009
Imprim en France

Management Des Risques

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Management Des Risques

Transféré par

Droits d'auteur :

Formats disponibles

Management des risques

Directeur douvrage : Caroline Selmer

Le code de la proprit intellectuelle du 1er juillet 1992 interdit en effet expressment la

Groupe Eyrolles, 2009

Management des risques

Premire partie : Contraintes rglementaires et mthodologies ..................... 11

Deuxime partie : Lentreprise industrielle hors risque ................................. 55

La mise sous contrle du risque fournisseur ............................................................. 70

La mise sous contrle du risque atteinte lenvironnement ........................................ 76

Troisime partie : La banque ou la compagnie dassurances hors risque ...... 95

Conclusion ............................................................................................. 133

Annexes ................................................................................................. 135

Contraintes rglementaires et mthodologies

Lobjectif de cette premire partie consiste prsenter au lecteur :

Prsentation des contraintes rglementaires

Prconisations des rglementations europenne et amricaine

Points communs entre Points spcifiques

Pas de dfinition com- cessus gnrant cifique Pas de dfinition sp-

Limite des rglementations europenne et amricaine en termes de risk

La loi du 3 juillet 2008

lpargne, le prsident du conseil dadministration rend compte dans un rapport

La transposition de la 8e directive europenne en droit interne franais

La rglementation concernant les risques hautement protgs

Risques hautement protgs et Seveso II

ptrole, sidrurgie, etc.) au travers dune liste dactivits et de substances associes

Loi NRE et mise sous contrle des risques environnementaux

Les principales limites de la loi NRE

le manque de dispositifs de contrle ;

La recommandation du Conseil national de la comptabilit (CNC)

Rfrentiels comptables IFRS et US GAAP

de lactionnaire et de protger les cash-flows de lentreprise relve dune insuffisance

En effet, la norme IAS 16 impose la dcomposition des immobilisations corporelles

Outils didentification des risques

Audit documentaire et audit en risk management

Exemple de cartographies de mta-risques dans un groupe industriel

Juridique Appro / Achats Scurit / Sret / SIT

STRATGIE MANAGEMENT PILOTAGE

Exemple de cartographie des mta-risques

Audit documentaire pr-mission

schma directeur des systmes dinformation ;

transmises en utilisant les techniques de circularisation (demande dinformation

Audit documentaire pendant la mission

Exploitation documentaire post-mission

pour grer cette situation ?

1. Back-up : mise disposition de ressources logistiques en cas de sinistre.

Projection sur le futur

Simulation dune situation de crise

Le questionnement permet de raliser des benchmarks intersites et intragroupe, et de

Simulation de limpact dun sinistre majeur sur les objectifs

1. Entit organisationnelle (usine, magasin) regroupant des risques homognes.

dispositif de gestion de crise auquel il a rflchi titre prventif, et grer la situation

Simulation des consquences financires dun sinistre majeur

Estimation des pertes matrielles

Estimation des pertes dexploitation

Quantification des pertes humaines

indemnisation via la souscription dune police dassurance collective pour le

1. changes conomiques internes au groupe.

Valorisation du cot de la responsabilit civile et pnale

Quantification du cot rsiduel la charge de lentreprise

tude de la sinistralit antrieure

sinistralit flotte automobile ;

Modalits de mise sous contrle des risques

Contrle technique et scurit