Cartographie Des Risques (2e Éd.) - Groupe Assurance (Octobre 2013)

Cahier de la
Recherche
La cartographie
des risques
2 e dition
LIFACI est affili

Ralis par le Groupe Professionnel Assurance The Institute of Internal Auditors
LA CARTOGRAPHIE DES RISQUES
D ANS LA MME COLLECTION
De la cartographie des risques au plan daudit, Groupe Professionnel Banque ( paratre)

Laudit du versement des subventions aux associations, Groupe Professionnel Collectivits
Territoriales (fvrier 2013)
Slectionner un outil informatique pour les services daudit et de contrle internes : un vritable
projet, Unit de Recherche Informatique IFACI (dcembre 2012)
Laccs et la conservation des dossiers relatifs aux missions daudit, Unit de Recherche IFACI (octobre
2012)
La dlgation de gestion en assurance de personnes : pistes pour un contrle interne efficace, Unit
de Recherche IFACI (juin 2012)
Les variables culturelles du contrle interne, Unit de Recherche IFACI (dcembre 2011)
Des cls pour la mise en uvre et loptimisation du contrle interne, Unit de Recherche IFACI (octo-
bre 2011)
Transposition des normes professionnelles de laudit interne et bonnes pratiques : Edition spciale
Administrations dEtat, Groupe Professionnel Administrations de lEtat (septembre 2011)
Transposition des normes professionnelles de laudit interne et bonnes pratiques : Edition spciale
Collectivits Territoriales, Groupe Professionnel Collectivits territoriales (avril 2011)
La fraude : Comment mettre en place un dispositif de lutte contre la fraude ? Unit de Recherche de
lIFACI (dcembre 2010)
La cration de valeur par le contrle interne, Unit de Recherche de lIFACI (octobre 2010)
Prise de Position du Groupe Professionnel Banque pour un urbanisme du contrle interne effi-
cient, Groupe Professionnel Banque (Avril 2010)
Laudit de la fraude dans le secteur bancaire et financier, Unit de Recherche de lIFACI (janvier 2010)
Cration et gestion dune petite structure daudit interne, Unit de Recherche IFACI (janvier 2009)
Une dmarche daudit de plan de continuit dactivit, Unit de Recherche IFACI (juillet 2008)
Guide daudit du dveloppement durable : comment auditer la stratgie et les pratiques de dve-
loppement durable ?, Unit de Recherche IFACI (juin 2008)
Contrle interne et qualit : pour un management intgr de la performance, Unit de Recherche
IFACI (mai 2008)
Evaluer et dvelopper les comptences des collaborateurs, Antenne rgionale Aquitaine IFACI (novem-
bre 2007)
Audit des prestations essentielles externalises par les tablissements de crdit et les entreprises
dinvestissement 2me Edition, Groupe Professionnel Banque (janvier 2007)
Laudit interne et le management des collectivits territoriales, Unit de Recherche IFACI (mai 2006)
Une dmarche de management des connaissances dans une direction daudit interne, Unit de
Recherche IFACI (mai 2006)
Lauto-valuation du contrle interne, Unit de Recherche IFACI (octobre 2005)
Cartographie des Risques, Groupe Professionnel Immobilier Locatif (septembre 2005)
tude du processus de management et de cartographie des risques, Groupe Professionnel Industrie
et commerce (janvier 2004)
Pour un bon audit du dispositif de lutte contre le blanchiment des capitaux, Groupe Professionnel
Banque (fvrier 2004)
Lefficacit des Comits daudit Les meilleures pratiques, PwC The IIA Research Foundation
Traduction IFACI PwC (mai 2002)
Gouvernement dentreprise et Conseil dadministration, PwC The IIA Research Foundation
Traduction IFACI PwC (mai 2002)
valuation de la comptence dans la pratique de laudit interne, Prise de position de lECIIA
Traduction IFACI (2001)
Management des risques, IIA UK Traduction Unit de Recherche IFACI (2001)
Le rle de lauditeur interne dans la prvention de la fraude, Prise de position de lECIIA Traduction
IFACI (2000)
Pour plus dinformations : www.ifaci.com
2 IFACI
R EMERCIEMENTS
LIFACI tient remercier toutes les personnes qui ont contribu aux diffrentes tapes de llaboration
de ce Cahier.
Pilotage et revue densemble :

Groupe professionnel Assurance de lIFACI, prsid par Anne SAVEY, Responsable Contrle
Gnral, Groupe MMA
Animation et rdaction :
Philippe BERTOMEU, Manager Audit interne, Axa France
Wilfried BRIAND, Charg de mission du Directeur Gnral, CNP Assurances
Michel BUZEJIC, Responsable Audit interne, Quatrem, animateur de lunit de recherche
Guillaume KUCH, Responsable du service pilotage des Clientles Bancaires, CNP Assurances
Eric LHUISSIER, Responsable Contrle interne et conformit, MMA
Alain MARTEL, Directeur de la Matrise des Risques, MATMUT
Lamyaa NADARI, Auditeur interne / Inspecteur, Allianz IARD
Marine NGUYEN, Responsable du dpartement de politique indemnisation et contrle interne, Generali
Emmanuel RUFFIN, Responsable Contrle interne et Conformit, MATMUT
Christelle SAINATO, Responsable de la Matrise des Risques, Harmonie Mutuelle
Patrick SAINT-MAXENT, Responsable Pilotage des risques oprationnels et Qualit, AG2R LA
MONDIALE
Raphael SIFFERT, Coordinateur de contrle permanent, BNP Paribas Cardif
Lunit de recherche remercie Marina CRISTOFARI, Compliance & Control, BNP Paribas Assurance,
Sbastien SAIDANE, Responsable de module de Risque, MATMUT et Fabienne VIBOUD, Manager
Audit interne, COFACE pour leur contribution.
Comit de rdaction et de rvision :

Michel BUZEJIC, Responsable Audit interne, Quatrem, animateur de lunit de recherche
Vianney DUMONT, Responsable Audit interne, MAIF, Reprsentant du GP Assurances de lIFACI
Batrice KI-ZERBO, Directeur de la Recherche, IFACI
Alain MARTEL, Directeur de la Matrise des Risques, MATMUT
Patrick SAINT-MAXENT, Responsable Pilotage des risques oprationnels et Qualit, AG2R La
Mondiale
Raphael SIFFERT, Coordinateur de contrle permanent, BNP Paribas Cardif
Organisation des runions et mise en forme du document :

Perrine BNARD, Documentaliste, IFACI
NDella YATERA, Charge de missions Recherche, IFACI
Philippe MOCQUARD, Dlgu Gnral, IFACI
IFACI 3
S OMMAIRE
INTRODUCTION .................................................................................................................................... 7
1- LEXERCICE DE CARTOGRAPHIE DES RISQUES :
ETAT DES LIEUX ET PERSPECTIVES ................................................................................................ 9
1.1- Retour dexprience des membres de lunit de recherche .................................................... 10
1.2- Cadres normatifs et rglementaires .......................................................................................... 11
1.3- Cadre spcifique aux activits dassurance .............................................................................. 14
1.3.1- Les dcrets relatifs au contrle interne ........................................................................... 14
1.3.2- Les attentes de lAutorit de Contrle Prudentiel (ACP) ............................................. 15
1.3.3- La directive Solvabilit II ................................................................................................... 17
2- ACTEURS ET GOUVERNANCE ................................................................................................... 19
2.1- Les acteurs-cls de la cartographie des risques ....................................................................... 20
2.1.1- Les fonctions oprationnelles .......................................................................................... 21
2.1.2- Les fonctions support de matrise des risques ............................................................... 21
2.1.3- Laudit interne ................................................................................................................... 23
2.1.4- En synthse : six tapes cls et des responsabilits clairement dfinies ...................... 24
2.2- Les instances de gouvernance .................................................................................................. 25
2.2.1- Organe dadministration, de gestion ou de contrle ..................................................... 25
2.2.2- Gouvernance institutionnelle : comit daudit et/ou des risques ................................. 26
2.2.3- Gouvernance oprationnelle : comit managrial des risques ..................................... 26
2.2.4- Autres comits internes participant la gestion des risques dans le cadre
de dcisions oprationnelles ....................................................................................................... 27
3- IDENTIFICATION ET EVALUATION DES RISQUES .............................................................. 29
3.1- La notion de risque .................................................................................................................... 30
3.1.1- Dfinitions ......................................................................................................................... 30
3.1.2- Apptence pour les risques et seuil de tolrance ........................................................... 31
3.1.3- La nomenclature des risques ........................................................................................... 32
3.2- Mesure du risque ........................................................................................................................ 35
3.2.1- La frquence ...................................................................................................................... 36
3.2.2- Limpact .............................................................................................................................. 37
3.2.3- Le risque brut .................................................................................................................... 39
3.2.4- Les lments de matrise .................................................................................................. 39
3.2.5- Le risque rsiduel .............................................................................................................. 40
4 IFACI
3.3- Deux approches complmentaires ............................................................................................ 41

3.3.1- Lapproche bottom-up ........................................................................................................ 41
3.3.2- Lapproche top-down ......................................................................................................... 46
3.3.3- Intgration des deux dmarches ...................................................................................... 47
4- SUIVI PERMANENTDES RISQUES ............................................................................................. 53
4.1- Une modalit particulire de suivi partir de la base dincidents ......................................... 54
4.2- Une communication approprie ............................................................................................... 55
4.2.1- Reporting interne ............................................................................................................... 56
4.2.2- Reporting externe ............................................................................................................... 59
CONCLUSION ....................................................................................................................................... 61
ANNEXES ................................................................................................................................................ 63
1- Exemples de processus - Secteur assurances ............................................................................. 64
2- Nomenclature des risques ............................................................................................................ 65
3- Prsentation des risques de la formule standard du calcul du SCR ....................................... 109
4- Exemple dimpact financier ........................................................................................................ 118
5- Evaluation de limpact financier dun incident ......................................................................... 119
6- Illustration - Synthse du processus de collecte des vnements .......................................... 122
7- Directive Solvabilit II (Extraits) ................................................................................................. 123
8- Dcret n2006-287 du 13 mars 2006 relatif au contrle interne des entreprises d'assurance
et modifiant le Code des assurances (Extraits) .............................................................................. 127
9- Dcret n2008-468 du 19 mai 2008 relatif au contrle interne des institutions
de prvoyance, des mutuelles et de leurs unions .......................................................................... 128
10- Exemple de reporting ................................................................................................................. 130
BIBLIOGRAPHIE ................................................................................................................................. 135
IFACI 5
Avertissement aux lecteurs
Ce cahier de la recherche a t ralis partir de contributions de professionnels de laudit et du

contrle internes. Ce travail collectif, ralis sous lgide de lIFACI, fournit un tat des lieux des
pratiques professionnelles et des pistes damlioration qui nengagent pas les organisations repr-
sentes.
LAutorit de Contrle Prudentiel (ACP) est devenue lAutorit de Contrle Prudentiel et de

Rsolution (ACPR) par la loi n 2013-672 du 26 juillet 2013, de sparation et de rgulation des
activits bancaires. Le prsent ouvrage rdig durant le 1er semestre 2013, na donc pas intgr ce
changement de dnomination.
IFACI Paris septembre 2013 ISBN : 978-2-915042-56-6 ISSN : 1778-7327

Toute reprsentation ou reproduction, intgrale ou partielle, faite sans le consentement de lauteur, ou de ses ayants droits,
ou ayants cause, est illicite (loi du 11 mars 1957, alina 1er de larticle 40). Cette reprsentation ou reproduction, par
quelque procd que ce soit, constituerait une contrefaon sanctionne par les articles 425 et suivants du Code Pnal.
6 IFACI
I NTRODUCTION
Le premier ouvrage du Groupe Professionnel Assurance de lIFACI, publi en 2006, a t un outil

de rfrence pour la sensibilisation aux dmarches de cartographie des risques ou pour leur mise en
uvre. Ainsi, il a pu tre utilis dans des organismes dassurance qui formalisaient leur dispositif de
contrle interne (notamment dans le cadre de la Loi de Scurit Financire, ou Sarbanes-Oxley), mais
galement accompagner ceux qui ont engag des dmarches globales de gestion des risques du type
ERM (Entreprise Risk Management).
Les volutions rglementaires constantes, les demandes de plus en plus prcises de la part du super-
viseur, lintrt croissant des instances de gouvernance ainsi que la volont de faire progresser la
matrise des risques de chaque organisme dassurance ont conduit le Groupe Professionnel
Assurance actualiser le cahier de la recherche.
Cette mise jour a pu sappuyer sur la diversit des mtiers (contrle interne, gestion des risques, audit
interne) reprsents dans lunit de recherche pour identifier les axes damlioration des dmarches de
cartographies des risques existantes, notamment dans la perspective de la mise en uvre de la directive
Solvabilit II.
Lunit de recherche a fonctionn de faon pragmatique et collgiale. Pragmatique dans la mesure o

chacun y a particip sur une base volontaire afin dy apporter sa propre exprience et senrichir de celle
des autres participants. Collgiale car il sagissait de dfinir de faon consensuelle la position du groupe
de travail.
Les travaux se sont drouls en 2012, les contributeurs ont notamment :

tenu compte de lvolution du niveau de maturit des dmarches de cartographie des
risques et des retours dexpriences partages,
mieux pris en compte les risques conomiques, de solvabilit, et de rputation dans la mise
jour de la typologie des risques,
prcis les rles des acteurs des dmarches de cartographie des risques et les responsabilits
des organes de gouvernance,
mis laccent sur le reporting appropri permettant chacun de ces acteurs de jouer efficace-
ment leur rle,
attir lattention sur la ncessaire intgration de la cartographie des risques dans le dispo-
sitif de matrise des risques (lien avec les bases dincidents, les plans dactions, etc.),
fait rfrences aux risques spcifiques (blanchiment, protection de la clientle, etc.) et leur
prise en compte dans la dmarche globale de cartographie des risques,
introduit les principes thoriques de lORSA (qui sont en cours de mise en uvre actuelle-
ment) et leur impact sur les pratiques de cartographie des risques.
IFACI 7
En proposant des cls de lecture et des guides mthodologiques pour chaque tape de la cartographie
des risques, ce cahier de la recherche permettra aux diffrents acteurs des organismes dassurance
dapprhender leur rle dans ce processus. Dun abord didactique, il nest pas rserv aux experts de
la matrise des risques. En effet, la cartographie des risques nest pas une fin en soi. Les membres des
organes excutifs et les administrateurs y trouveront des principes fondamentaux pour assumer leurs
responsabilits de surveillance de ces dmarches et assurer leur intgration efficace au processus global
de gestion des risques.
8 IFACI
PARTIE 1
L EXERCICE DE CARTOGRAPHIE DES RISQUES :
TAT DES LIEUX ET PERSPECTIVES
Le prsent cahier de la recherche sinscrit dans le prolongement de la premire publication du

Groupe Professionnel Assurance de lIFACI. Il prend en compte les bonnes pratiques rsultant
des travaux de cartographie des risques dans les organismes dassurance depuis 2006. Il sintgre
galement dans la perspective de la mise en uvre de la directive Solvabilit II. Nanmoins, les
propositions formules cet gard devront sans doute tre revisites compte tenu du niveau de
dploiement de cette directive la date de finalisation du cahier.
IFACI 9
1.1 R ETOUR D EXPRIENCE DES MEMBRES DE L UNIT DE RECHERCHE
Un benchmark portant sur les dmarches de cartographies des risques montre que 83% des orga-
nismes dassurance reprsents dans lunit de recherche ont utilis la premire dition du cahier
de la recherche, aussi bien pour la mise en place des cartographies des risques que pour leurs
actualisations.
Il est utilis par diffrentes entits : directions des risques, directions de contrle interne ou direc-
tions de l'audit interne. Ces dernires lutilisent dans le cadre de l'laboration du plan d'audit ou
des programmes de travail d'une mission.
Les principaux apports mentionns par les utilisateurs concernent la description pdagogique de
la mthodologie ainsi que la nomenclature des risques.
Les premires dmarches structures et formalises de cartographies des risques ont t mises en
place partir de 2003 gnralement pour rpondre aux exigences de la Loi Sarbanes-Oxley, de la
Loi de Scurit Financire et du dcret du 13 mars 2006 relatif au contrle interne des entreprises
d'assurance1. Depuis 2010, des dmarches complmentaires ont t inities pour notamment assu-
rer le suivi des risques dits majeurs . Ainsi, certains organismes dassurance peuvent disposer de
plusieurs types de reprsentation de leurs risques.
Conformment la nomenclature propose en 2006, les principales familles de risques concernent

les risques oprationnels, les risques financiers, les risques dassurance et techniques. Les risques
stratgiques ou les risques externes (par exemple : volutions rglementaires, risque pays, concur-
rence, etc.) sont peu mentionns. Pourtant, ils font partie des proccupations majeures des direc-
tions gnrales des organismes dassurance.
Dans 54% des cas, llaboration des cartographies des risques est centralise au niveau d'une entit
ddie aux risques, qui donne la mthodologie, la trame, l'impulsion. La responsabilit de leur suivi
incombe aux directions et/ou entits oprationnelles, qui peuvent tre amenes nommer un
correspondant risques . Ce dispositif s'est mis en place progressivement dans les organismes et
traduit une certaine maturit sur ces sujets. Il concerne principalement les risques oprationnels
et/ou les processus mtiers.
La communication et le reporting sont principalement destination du management des entits,

des fonctions risques , du contrle interne , de laudit interne et des comits daudit ou des
risques. Le niveau et le format de restitution sont dclins en fonction de cette diversit de desti-
nataires.
1 Cf. Article R336-1 du code des assurances.
10 IFACI
48% des organismes ont fait lacquisition ou ont dvelopp des progiciels ddis la matrise des
risques1. La mise en place de tels outils peut faciliter une vision intgre de diffrents lments de
la matrise des risques (cartographies des risques, plans d'actions, suivi des incidents, recomman-
dations des audits internes et externes, etc.).
Les avances ralises par le secteur et la professionnalisation croissante des acteurs de la matrise
des risques sont notables. Elles sinsrent dans le cadre dune volution gnrale des organisations
et dexigences spcifiques au secteur de lassurance (notamment les exigences des autorits de
tutelle et de la directive Solvabilit II).
1.2 C ADRES NORMATIFS ET RGLEMENTAIRES
Historiquement, les pratiques de cartographies des risques ont t portes par les projets de
contrle interne. Si le contrle interne est un sujet assez ancien, les crises (Enron, WorldCom ou
Parmalat) du dbut des annes 2000, ont donn naissance des rglementations dans de
nombreux pays, et ont contribu renforcer les pratiques de contrle interne et de matrise des
risques au sens large.
Ainsi, la loi Sarbanes Oxley, vote en 2002, requiert que les socits cotes New York documentent
les dispositifs de contrle interne des processus conduisant ltablissement des tats financiers.
Tests par les oprationnels eux-mmes, lexistence et le bon fonctionnement de ces dispositifs
sont attests par les commissaires aux comptes. La mise en uvre de cette loi sest clairement
appuye sur le rfrentiel COSO dont lune des composantes-cls2 concerne lvaluation des
risques.
Vote en 2003, la loi de scurit financire sinscrit galement dans cette volont de renforcer la
transparence et le contrle interne des entreprises cotes. En 2006, lAMF (Autorit des Marchs
Financiers) propose aux metteurs un cadre de rfrence de contrle interne. Compatible avec les
principes du COSO, le cadre de rfrence a t actualis en 2010 pour intgrer les exigences de la
8me directive europenne en matire de suivi de lefficacit des systmes de gestion des risques et
de contrle interne par les comits daudit.
1 Cf. Cahier de la recherche Slectionner un outil informatique pour les services daudit et de contrle internes : un vritable projet et la
revue Audit & Contrle Internes - Ifaci - N212 - Novembre / dcembre 2012.
2 Les 5 composantes interdpendantes du contrle interne propos par le COSO sont : lenvironnement de contrle, lvaluation des risques,
les activits de contrle, linformation et la communication, les activits de pilotage. Le COSO dfinit le contrle interne comme un processus
mis en uvre par le Conseil, le management et les collaborateurs, et qui est destin fournir une assurance raisonnable quant
la ralisation d'objectifs lis aux oprations, au reporting et la conformit.
IFACI 11
Un processus de gestion des risques comprenant, au sein de son contexte interne et

externe la socit, trois tapes :
Identification des risques : tape permettant de recenser et de centraliser les principaux

risques, menaant latteinte des objectifs. Un risque reprsente une menace ou une oppor-
tunit manque. Il se caractrise par un vnement, une ou plusieurs sources et une ou
plusieurs consquences. Lidentification des risques sinscrit dans une dmarche continue.
Analyse des risques : tape consistant examiner les consquences potentielles des prin-
cipaux risques (consquences qui peuvent tre notamment financires, humaines, juri-
diques, ou de rputation) et apprcier leur possible occurrence. Cette dmarche est
continue.
Traitement du risque : tape permettant de choisir le(s) plan(s) daction le(s) plus
adapt(s) la socit. Pour maintenir les risques dans les limites acceptables, plusieurs
mesures peuvent tre envisages : la rduction, le transfert, la suppression ou lacceptation
dun risque. Le choix de traitement seffectue notamment en arbitrant entre les opportuni-
ts saisir et le cot des mesures de traitement du risque, prenant en compte leurs effets
possibles sur loccurrence et/ou les consquences du risque.
Cf. Les dispositifs de gestion des risques et de contrle interne : cadre de rfrence / AMF. - 2010.
Dautres rfrentiels de gestion des risques proposent des dfinitions et des principes dont lunit
de recherche sest inspire :
Le management des risques de lentreprise : COSO 2

Le rfrentiel publi par le COSO en 2004 promeut la notion de gestion globale des risques de len-
treprise, lEnterprise Risk Management ou ERM ; dont lun des enjeux consiste amener lentreprise
aligner sa stratgie et sa gestion des risques. Ainsi, ce rfrentiel (COSO 2) reprend les trois objec-
tifs et les cinq composantes du rfrentiel relatif au contrle interne, quil complte avec la prise en
compte des objectifs stratgiques et de trois composantes supplmentaires :
la fixation des objectifs,
lidentification des vnements,
le traitement des risques selon les 4 modalits classiques (lvitement, lacceptation, la
rduction, le partage).
Ces principes permettent de repositionner la cartographie des risques dans un dispositif plus global
de pilotage des activits. Il ncessite une identification pralable des niveaux de risque acceptables
au regard dobjectifs (par exemple : profiter de nouvelles opportunits, conserver des avantages)
dfinis par les instances dirigeantes et dclins tous les niveaux de lorganisation.
12 IFACI
ISO 31000 : 2009

La norme ISO 31000 vise galement un management global des risques. Elle propose de faire de
ce dispositif un vritable outil daide la dcision.
La norme ISO 31010 : 2009 relative aux techniques dvaluation des risques prcise lintrt de ces
approches pour :
apprhender les risques et leurs impacts potentiels sur les objectifs,
fournir des informations aux dcideurs et les aider tablir des priorits,
aider la slection de mesures de traitement appropries,
identifier les principaux facteurs de risques au sein des systmes de gestion et des organi-
sations,
comparer des options dorganisation, de dploiement de technologies,
contribuer la prvention des incidents par une meilleure comprhension des facteurs
dclencheurs et des impacts,
rpondre des exigences rglementaires,
sassurer que les niveaux de risque correspondent aux seuils accepts par lorganisation.
FERMA OR I GI N
E E X T E R NE
Le FERMA (Federation of European

Risk Management Associations) RISQUES FINANCIERS RISQUES STRATEGIQUES
TAUX D'INTERET COMPETITION
propose un cadre de rfrence de la TAUX DE CHANGE CHANGEMENTS DES CLIENTS
CREDIT CHANGEMENTS DANS L'ACTIVITE
gestion des risques (2003) et orga- DEMANDE DES CLIENTS
nise les facteurs de risques internes

et externes comme suit :
FUSION ACQUISITION
INTEGRATIONS
LIQUIDITE & RECHERCHE & DEVELOPPEMENT

CASH FLOW CAPITAL INTELLECTUEL
ORIGINE INTERNE
SYSTEME DE CONTROLE
DES COMPTES
SYSTEMES D'INFORMATION
RECRUTEMENT EMPLOYES
CHAINE D'APPROVISIONNEMENT MOBILIER
BIENS & SERVICES
REGLEMENTATIONS CONTRATS
CULTURE EVENEMENTS NATURELS
COMPOSITION DE FOURNISSEURS
L'INSTANCE DIRIGEANTE ENVIRONNEMENT
RISQUES OPERATIONNELS PERILS

Exemples de facteurs internes et externes (extrait
de Gestion des risques / FERMA. 2003)
OR I GI N
E E X T E R NE
IFACI 13
1.3 C ADRE SPCIFIQUE AUX ACTIVITS D ASSURANCE
Des exigences propres au secteur de lassurance viennent prciser les attentes en matire de
contrle interne et de gestion des risques.
1.3.1 Les dcrets relatifs au contrle interne
1.3.1.1 Le dcret du 13 mars 2006 relatif au contrle interne des entreprises dassu-
rance
Toute entreprise mentionne larticle L. 310-1 du code des assurances est tenue de mettre en
place un dispositif permanent de contrle interne. Le conseil dadministration ou le conseil de
surveillance approuve, au moins annuellement, un rapport sur le contrle interne, qui est transmis
lAutorit de Contrle Prudentiel (cf. annexe 8). [...] Toutefois, les entreprises faisant appel public
lpargne ne sont pas tenues de fournir ces lments lorsquelles transmettent lAutorit de
Contrle Prudentiel le rapport mentionn, selon les cas, larticle L. 225-371 ou larticle L. 225-
68 du code de commerce.
1.3.1.2 Le dcret du 19 mai 2008 relatif au contrle interne des institutions de

prvoyance, des mutuelles et de leurs unions
Pour les institutions de prvoyance ou unions : Toute institution ou union mentionne larticle
R. 931-43 du code de la scurit sociale est tenue de mettre en place un dispositif permanent de
contrle interne. Le conseil dadministration approuve, au moins annuellement, un rapport sur le
contrle interne, qui est transmis lAutorit de Contrle Prudentiel.
Pour les mutuelles ou unions : Toute mutuelle ou union mentionne larticle R. 211-28 du code
de la mutualit est tenue de mettre en place un dispositif permanent de contrle interne. Le conseil
dadministration approuve, au moins annuellement, un rapport sur le contrle interne, qui est
transmis lAutorit de Contrle Prudentiel. Un extrait du dcret est propos en annexe 9.
1 Dans les socits dont les titres financiers sont admis aux ngociations sur un march rglement, le prsident du conseil d'administration
rend compte, dans un rapport joint au rapport mentionn aux articles L. 225-100, L. 225-102, L. 225-102-1 et L. 233-26, de la composition
du conseil et de l'application du principe de reprsentation quilibre des femmes et des hommes en son sein, des conditions de prparation
et d'organisation des travaux du conseil, ainsi que des procdures de contrle interne et de gestion des risques mises en place par la
socit, en dtaillant notamment celles de ces procdures qui sont relatives l'laboration et au traitement de l'information comptable
et financire pour les comptes sociaux et, le cas chant, pour les comptes consolids. Sans prjudice des dispositions de l'article L. 225-
56, ce rapport indique en outre les ventuelles limitations que le conseil d'administration apporte aux pouvoirs du directeur gnral.
14 IFACI
1.3.2 Les attentes de lAutorit de Contrle Prudentiel (ACP)
Par ses instruments juridiques et ses contrles permanents, lAutorit de Contrle Prudentiel (ACP)
donne des orientations quil convient de prendre en considration dans lexercice de cartographie
des risques.
1.3.2.1 Les recommandations et les positions de lACP
En complment des textes lgislatifs et rglementaires, lACP met des positions ou des recom-
mandations destination des organismes soumis son contrle et au public. L'ACP cre ainsi un
droit souple ou soft law pour exercer ses missions danalyse et de contrle concernant :
lapplication des lois et des rglements en matire prudentielle,
la vigilance permanente en matire de lutte contre le blanchiment des capitaux et le finan-
cement du terrorisme (LCB-FT),
le respect des rgles en matire de commercialisation de produits et protection de la clien-
tle.
LACP publie un recueil de l'ensemble des codes de conduite, rgles professionnelles et autres
bonnes pratiques constates ou recommandes dont elle assure le respect (article L612-29-1 du code
montaire et financier). Les organismes dassurance sont donc tenus dintgrer ces positions et
recommandations afin de se couvrir de tout risque de non-conformit ou dimage.
Dispositions sectorielles
Droit des assurances (contrats)
Droit de la distribution des produits dassurance
Fiscalit des produits dassurance
Lutte anti-blanchiment
Rglementation
Dispositions relevant du droit commun

Code civil, Droit de la consommation
CNIL (informatique et liberts)
Rgles de la concurrence (DGCCRF)
Droit du patrimoine
Instruments et pouvoirs particulirement
Droit de la proprit intellectuelle Codes de bonne conduite approuvs :
adapts la protection de la clientle
Droit de limmobilier et de lenvironnement approbation demande par les associations

Droit des socits professionnelles
Recommandations : prconisations de bonnes

Receuil publi par lACP
Codes de conduite homologus

pratiques adresses aux personnes contrles
Mise en garde : mesure de police administrative prise

Soft law
Codes de conduite approuvs par lACP lorsquune personne a des pratiques susceptibles de
mettre en danger les intrts de ses clients. LACP peut la
Bonnes pratiques professionnelles que lACP mettre en garde lencontre de la poursuite de ces
constate ou recommande pratiques tant quelles portent atteinte aux rgles de
bonne pratique de la profession concerne
Sanctions disciplinaires
Engagements des associations professionnelles
dans le cadre du CCSF, la demande du ministre
Schma rcapitulatif du corpus de textes de lACP
IFACI 15
1.3.2.2 Le contrle permanent de lACP
LACP veille ce que les organismes dassurance soient en mesure de tenir tout moment les
engagements quils ont pris envers leurs assurs, adhrents et bnficiaires, et quils les tiennent
effectivement.
Pour mener bien ses missions, lACP sappuie notamment sur des diagnostics individualiss pour
chaque organisme. A titre dillustration, 531 organismes dassurance ont fait lobjet dune valua-
tion de leur profil de risque (cf. Rapport d'activit annuel 2011 de lACP).
Ces valuations portent sur les domaines suivants :
Le risque de souscription :
- engagements pris envers les assurs, adhrents et bnficiaires des contrats,
- tarification,
- surveillance du portefeuille,
- adaptation de la politique de rassurance.
La qualit et la suffisance des provisions :
- taux dactualisation et table employs,
- volution de la frquence des sinistres et des cots moyens,
- suivi des sinistres graves.
La diversification suffisante et lvaluation prudente des placements :
- classement rglementaire,
- comptabilisation des dprciations durables ncessaires,
- constitution de provision complmentaire le cas chant.
Le risque oprationnel li notamment au :
- risque de fraude ou derreur,
- dficience des systmes dinformation,
- risque de rputation.
La qualit de la gestion actif-passif et de la gestion du risque de taux dintrt.
La qualit de lorganisation du dispositif de conformit et de contrle interne, incluant les
modalits de surveillance et de matrise des risques.
La gouvernance dentreprise et le fonctionnement rgulier des organes dlibrants et
dirigeants.
La rentabilit des oprations dassurance et la formation du rsultat.
Le niveau, la structure et la prennit des fonds propres.
La situation de chaque organisme est analyse en se fondant sur :

des donnes quantitatives au regard de chacun des critres dvaluation, ainsi que de sa
situation financire ;
des donnes qualitatives visant valuer la qualit du dispositif de surveillance et de
matrise des risques.
16 IFACI
1.3.3 La directive Solvabilit II
Afin de garantir la capacit des organismes dassurance respecter les engagements qu'ils pren-
nent auprs de leurs clients, la directive Solvabilit II1 poursuit plusieurs objectifs :
assurer la protection des assurs en renforant la solvabilit des assureurs ;
encourager une meilleure allocation des fonds propres face aux risques techniques, finan-
ciers, oprationnels, etc.
Pour ce faire, la directive retient une approche articule autour de trois piliers :
Pilier 1 - Exigences quantitatives :

- lments de calculs des provisions techniques,
- exigence minimale de fonds propres,
- exigence de marge de solvabilit,
- rgles dinvestissement.
Pilier 2 - Exigences qualitatives de bonne gouvernance :

- rgles dhonorabilit et de comptence,
- fonctions cls (de gestion des risques, de vrification de la conformit, actuarielle, dau-
dit interne),
- valuation interne du risque et de la solvabilit (ORSA Own Risk and Solvency
Assessment).
Pilier 3 - Discipline de march par une information rgulire des autorits de surveil-
lance et du public :
- communication financire,
- transparence.
Les travaux de lunit de recherche sintgrent plus particulirement dans le cadre du Pilier 2,
mme si une interaction existe avec les autres piliers. En effet, les fonctions cls participent active-
ment la dmarche. De mme, la cartographie des risques viendra alimenter lORSA.
1 Directive 2009/138/CE du 25 novembre 2009 sur laccs aux activits de lassurance et de la rassurance et leur exercice (Solvabilit II).
IFACI 17
18 IFACI
PARTIE 2
ACTEURS ET GOUVERNANCE
La gouvernance de la gestion des risques prsente une dimension stratgique et une dimension
oprationnelle, permettant une rpartition claire et une sparation approprie des responsabilits
des acteurs impliqus.
Un certain nombre dacteurs est amen intervenir dans lexercice de cartographie des risques, en
qualit de sponsor , de coordinateur , de contributeur , dutilisateur . Lallocation prcise
de ces rles devrait tre cohrente avec le modle des trois lignes de dfense (ou des lignes de
matrise) et le modle dorganisation de chaque organisme dassurance.
IFACI 19
2.1 L ES ACTEURS - CLS DE LA CARTOGRAPHIE DES RISQUES
En termes dorganisation, la directive et les documents associs instituent des fonctions cls. En
outre, des organisations professionnelles (ECIIA/FERMA, IIA, AMRAE /IFACI) proposent un pilo-
tage efficient des dispositifs de gestion des risques en sappuyant sur trois lignes de dfense, repr-
sentes dans le modle suivant :
Conseil dadministration / Comit daudit
Direction gnrale
1re ligne de dfense 2me ligne de dfense 3me ligne de dfense
Gestion des risques

Actuariat
Audit externe
Rgulateurs
Vrification de
la conformit
Management Contrle interne Audit

oprationnel S.I. interne
Ressources humaines
Juridique
Finance / Comptabilit
Qualit
Contrle de gestion
Lgende : Fonctions cls (SII)
Autres fonctions support
Positionnement et rles de chaque ligne de dfense dans les systmes de gestion des risques et
de contrle interne :
la premire ligne de dfense correspond aux contrles pilots par le management opra-
tionnel ou mtier,
la deuxime ligne de dfense est celle des diffrentes fonctions institues par les organisa-
tions pour assurer le contrle et le suivi des risques. Les fonctions cls dfinies par la direc-
tive Solvabilit II bnficient dune certaine autonomie voire indpendance, par rapport aux
activits oprationnelles / mtiers afin de garantir la fiabilit de leurs valuations des
20 IFACI
risques, ladquation de leurs propositions de plans de remdiation et leur suivi. En tant que
fonctions support du management, elles peuvent directement intervenir dans la modifica-
tion et la mise au point des systmes de contrle interne et de gestion des risques la diff-
rence de laudit interne.
Outre les fonctions cls, des fonctions support plus traditionnelles participent la deuxime
ligne de dfense (directions financires, informatiques, ressources humaines, juridique,
qualit, etc.) ; elles-mmes amenes mettre des politiques et/ou directives applicables au
sein des organisations ; elles assurent galement des activits de contrles.
la troisime ligne de dfense est celle de lassurance indpendante fournie par laudit
interne. De plus, laudit interne bnficie de rgles dontologiques et professionnelles qui
confortent son indpendance et son objectivit.
Lunit de recherche a choisi de prciser les rles des acteurs de la cartographie des risques en
partant de ce modle.
2.1.1 Les fonctions oprationnelles
La premire ligne regroupe les oprationnels (par exemple, les directions mtiers charges de la
gestion des contrats dassurance, des sinistres, des cotisations, etc.). Leur connaissance des mtiers
les place dans un rle incontournable dans lidentification des risques inhrents leur activit, la
maintenance de cette cartographie des risques, sa primo-valuation et le dploiement des
contrles-cls destins matriser les risques identifis.
Ainsi, le management a la responsabilit de la matrise des risques sur son primtre. Il examine
les expositions de risques, dfinit les priorits la lumire de lanalyse des risques. Il doit promou-
voir la sensibilit aux risques dans les units et faire connatre les objectifs de gestion des risques.
2.1.2 Les fonctions support de matrise des risques
Le suivi des risques, effectu par les directions oprationnelles et les structures de contrles hirar-
chiques, est renforc par les activits de la deuxime ligne de dfense dans laquelle se retrouvent
les fonctions cls gestion de risques, actuarielle et de vrification de la conformit.
2.1.2.1 La fonction gestion des risques
Celle-ci veille ce que le niveau de risque pris par lorganisme dassurance, soit cohrent avec les
orientations1 et les objectifs dfinis par les organes dadministration, de gestion, de contrle. Ainsi,
1 La stratgie, la politique des risques en particulier le niveau dapptit pour les risques et les seuils de tolrance.
IFACI 21
la fonction gestion des risques propose aux dirigeants un profil des risques de lorganisme,
travers :
une vision holistique des risques de lorganisme,
une perspective largie lors de la prise de dcisions stratgiques,
des plans de matrise des risques.
Elle anime lensemble du dispositif didentification, de mesure, de traitement, de surveillance et de

reporting des risques, notamment ceux noncs par la directive Solvabilit II.
2.1.2.2 La fonction actuarielle
La fonction actuarielle contribue lamlioration du systme de gestion des risques. Elle donne
avec objectivit une opinion aux organes dirigeants et dlibrants, sur la fiabilit et le caractre
adquat du calcul des provisions techniques (opinion et marge dincertitude), sur les politiques de
souscription et les dispositifs de rassurance. Dans ce cadre, elle tablit un rapport annuel desti-
nation des organes dirigeants et dlibrants. A noter que le document de travail du CEIOPS
CP582 prcise que la fonction actuarielle doit disposer dun niveau suffisant dindpendance
fonctionnelle.
2.1.2.3 La fonction de vrification de la conformit
La fonction de vrification de la conformit veille au respect des obligations dcoulant des

dispositions lgales et rglementaires, des normes professionnelles et dontologiques ainsi que des
rgles internes dictes par les organismes dassurance. Elle value les impacts probables des chan-
gements dans lenvironnement lgal et rglementaire.
Dans ce cadre, la fonction de vrification de la conformit doit identifier, valuer et contrler

lexposition aux risques lgaux, juridiques et rglementaires. Enfin, elle apporte un conseil aux
organes de gouvernance sur les problmatiques de conformit. Ses missions se traduisent dans un
plan de conformit dtermin en fonction des activits prsentant un risque de non-conformit. La
dfinition de ce plan sinscrit dans lanimation du dispositif de contrle interne des organismes
dassurance. Ce dernier permet aux organismes dassurance de renforcer la conduite des activits
par des moyens de contrles (organisations, indicateurs, procdures, etc.) lui permettant de matri-
ser ses risques ou de prvenir les zones de dfaillance.
2.1.2.4 Les autres fonctions support
Outre les fonctions prvues dans la directive Solvabilit II, dautres fonctions participent la
deuxime ligne de dfense, telles que le contrle interne, la scurit des systmes (Responsabilit
1 CEIOPS Advice for Level 2 Implementing Measures on Solvency II: Supervisory Reporting and Public Disclosure Requirements (former
Consultation Paper 58).
22 IFACI
Scurit et Systme dInformation) ou la continuit des activits, elles compltent laction des
directions support plus traditionnelles (directions financires, informatiques, ressources humaines,
juridique, qualit, etc.) amenes mettre des politiques et/ou directives applicables au sein des
organisations.
Les services fonctionnels, responsables de domaines dexpertise

Les services fonctionnels jouent un rle particulier, parfois considrable, dans le dispositif de
contrle interne,
soit du fait quils ont reu une autorit et un pouvoir de contrle sur certaines oprations
ou certains processus,
soit du fait de lassistance effective, sur le terrain, quils sont en mesure dapporter aux diff-
rentes entits pour identifier, comprendre, valuer les principaux risques affrents leur
domaine, et les aider concevoir les contrles techniques les plus pertinents.
Les missions des services fonctionnels sont souvent analyses en quatre grandes familles :
missions oprationnelles : il convient dassurer des activits oprationnelles, dans lintrt
de lensemble du groupe. Exemples : produire les comptes consolids, raliser une augmen-
tation de capital, effectuer les achats dnergie ou de matires premires pour toutes les
filiales, etc. ;
missions normatives et rgaliennes : proposer les politiques du groupe, par domaines dac-
tivit, ainsi que les analyses de risque correspondantes et les meilleures procdures de
contrle obligatoires ou recommandes, dvelopper les meilleures pratiques et les
changes, benchmarker en externe et en interne ;
missions de conseil et dassistance : offrir ses services aux units qui en ont besoin, pour
mettre en place certaines procdures, tableaux de bord ou autres systmes ;
missions de supervision : cette 4me grande famille de missions qui consiste observer et
rendre compte du fonctionnement effectif des processus dont ils ont la charge dans les
diverses units de lentreprise ou du groupe, sest considrablement dveloppe depuis
quelques annes avec laffirmation dun fort degr de responsabilit des services fonction-
nels sur les rsultats et les performances des processus.
Extrait de la prise de position de lIFACI sur lUrbanisme du contrle interne, octobre 2008.
2.1.3 Laudit interne
Enfin, la 3me ligne de dfense est constitue de la fonction audit interne qui est exerce dune
manire objective et indpendante des autres fonctions. Par son rattachement au plus haut niveau
et la ralisation dun plan daudit fond sur une approche par les risques, laudit interne value
IFACI 23
notamment ladquation et lefficacit du systme de contrle interne et les autres lments du

systme de gouvernance en conformit avec larticle 47 de la directive Solvabilit II. Les autres
lments prendre en considration par laudit interne peuvent concerner le fonctionnement des
organes dlibrants et excutifs, les exigences de comptence et dhonorabilit, le processus dva-
luation interne du risque et de la solvabilit (ORSA), la matrise de la sous-traitance, etc.
Lexploitation des constats et des recommandations de laudit interne permet denrichir la carto-
graphie des risques et de la faire vivre.
Laudit interne rend compte de son valuation du niveau de matrise des risques aux organes dad-
ministration, de gestion ou de contrle.
Les services daudit exercent leurs missions conformment au cadre de rfrence international de
lIIA / IFACI.
2.1.4 En synthse : six tapes cls et des responsabilits clairement dfinies
Loutil de cartographie des risques permet aux diffrents acteurs davoir une vision systmatise et
rgulirement mise jour des risques de lorganisme dassurance. Si les managers prennent les
risques et les endossent, les 2me et 3me lignes sont plus directement impliques pour donner une
assurance sur la matrise des risques et mettre jour de la cartographie des risques.
Principales tapes Parties du cahier

Premire ligne Deuxime ligne Troisime ligne
de la cartographie de la recherche
Sponsor Sponsor Sponsor

Coordinateur Coordinateur Coordinateur
Partie 3.1
Identifier et
Contributeur Contributeur Contributeur
Partie 3.2
valuer les risques
Utilisateur Utilisateur Utilisateur
Partie 3.3

Dfinir des dispo-
Partie 3.3.3.2
sitifs de traitement
Partie 3.1
des risques

Mettre en uvre
Partie 3.1
les traitements des
Partie 3.3.3.3
risques
Assurer une
surveillance Sponsor Sponsor Sponsor
permanente et le Coordinateur Coordinateur Coordinateur
Partie 4
pilotage du niveau
des risques rsi- Utilisateur Utilisateur Utilisateur
duels
24 IFACI
Principales tapes Parties du cahier

Premire ligne Deuxime ligne Troisime ligne
de la cartographie de la recherche
Evaluer priodi- Sponsor Sponsor Sponsor

quement le dispo- Coordinateur Coordinateur Coordinateur
Partie 4.2.1.3
sitif de gestion des
risques Utilisateur Utilisateur Utilisateur

Mettre jour la
cartographie des Partie 3
risques
2.2 L ES INSTANCES DE GOUVERNANCE
La gestion des risques est guide et surveille par les diffrents acteurs des organes dadministra-
tion, de gestion, ou de contrle (ou AMSB - Admistrative, Management or Supervisory Body - en rf-
rence la directive Solvabilit II) ainsi que par les membres de comit daudit ou des risques, qui
forment le gouvernement dentreprise .
2.2.1 Organe dadministration, de gestion ou de contrle
Il dtermine les orientations stratgiques de lorganisme et cre lenvironnement et les structures

pour une gestion des risques efficace. Ses responsabilits portent, la fois, sur la surveillance et le
pilotage du systme de gestion des risques. Il impacte les dmarches de cartographies des risques
travers :
La dfinition de la stratgie et de la politique des risques (notamment lapptit pour les
risques et les seuils de tolrance).
Lapprobation annuelle des politiques crites concernant leur gestion des risques, leur
contrle interne, leur audit interne et, le cas chant, la sous-traitance (article 41 de la direc-
tive Solvabilit II). Les politiques de gestion des risques concernent notamment les
domaines cits larticle 44 : la souscription et le provisionnement, la gestion actif-passif,
les investissements, la gestion du risque de liquidit et de concentration, la gestion du
risque oprationnel, la rassurance et les autres techniques dattnuation du risque
(annexe 7).
Le suivi de ladquation des dispositifs de gestion des risques et du respect du niveau gn-
ral des risques dfinis par lorganisme.
Il doit disposer des comptences et des ressources pour exercer ses missions. En outre, lexercice de
ses missions peut tre ralis au travers de comits spcialiss.
IFACI 25
En France, lorgane dadministration de gestion ou de contrle sera reprsent par le conseil

dadministration et le directeur gnral ou, dans le cas dune structure duale, par le conseil de
surveillance et le directoire .
Rapport dactivit annuel 2012 de lACP
Bien que la gestion des risques relve de la responsabilit collective de lorgane dadministration,
de gestion ou de contrle, celui-ci doit dsigner au moins un membre pour surveiller lefficacit du
systme de gestion des risques en place .
2.2.2 Gouvernance institutionnelle : comit daudit et/ou des risques
Le comit daudit (et/ou des risques) est une manation du conseil, il joue un rle essentiel dans le
suivi de la qualit des dispositifs de gestion des risques et de contrle interne des organismes das-
surance et bnficie ce titre de reporting sappuyant parfois sur des cartographies des risques, dont
les travaux daudit interne.
Il apprcie toute dviance par rapport au cadre de tolrance aux risques, dfini par lorgane dad-
ministration, de gestion ou de contrle, sur la base notamment dtudes prospectives et de diff-
rents exposs techniques.
Le comit d'audit doit disposer de plusieurs sources d'information (cartographie des risques,
synthse des CAC, rapports d'audit interne, etc.) et veiller la cohrence globale de ces documents.
Le comit d'audit avec la mise en uvre de la directive Solvabilit II devra mettre des avis sur
plusieurs politiques et rapports (dont le rapport ORSA et le rapport actuariel qui comprend un avis
sur la politique de souscription et les provisions).
2.2.3 Gouvernance oprationnelle : comit managrial des risques
Le comit des risques vis ici est un comit managrial interne dont le positionnement et le rle
sont tout fait diffrents de ceux du comit daudit et/ou des risques voqus ci-dessus. Sa prsi-
dence est assure par un membre de lorgane dirigeant et il est ddi la surveillance et au pilotage
de la solvabilit ainsi quau management de lensemble des risques significatifs et levs :
les risques viss dans la formule standard (souscription, march, oprationnel, etc.),
les autres risques non ou mal apprhends dans la formule standard : risques stratgiques,
de pilotage et dimage.
26 IFACI
Sur proposition de la direction des risques, le comit prend les principales dcisions concernant la
mise en uvre des dispositifs de gestion des risques et lencadrement des principaux risques. Il
assure le suivi de la mise en uvre des solutions de remdiation.
2.2.4 Autres comits internes participant la gestion des risques dans le cadre
de dcisions oprationnelles
Pour assurer le dploiement oprationnel de la gestion des risques, les organismes dassurance
mettent en place des comits managriaux tels que :
le comit de gestion actif-passif (ALM - Asset and Liability Management)
le comit de souscription,
le comit des placements,
etc.
Ces comits managriaux doivent tre transverses. Les informations et les dcisions doivent circu-
ler de manire trs fluide entre les structures.
La gouvernance des comits doit tre formalise par un rglement intrieur (composition, mode de
fonctionnement, primtre, cration ventuelle de sous-comits, dispositif de remonte dinforma-
tion, etc.).
Tout comit doit mettre et archiver un ordre du jour, un compte rendu et les documents prsents
en sance.
Laudit interne doit avoir accs linformation, notamment pour llaboration du plan. Ainsi,laudit
interne doit tre destinataire des comptes rendus des comits et/ou tre invit aux comits, avec
voix consultative.
IFACI 27
28 IFACI
PARTIE 3
I DENTIFICATION ET VALUATION DES RISQUES
Le recensement des risques vise capter un instant donn, les risques qui peuvent porter atteinte
la ralisation des objectifs dune organisation, dun processus, ou dune activit.
IFACI 29
3.1 L A NOTION DE RISQUE
Les rfrentiels de contrle interne et de gestion des risques proposs dans la partie 1 proposent
des dfinitions et des principes pour mieux apprhender les risques.
3.1.1 Dfinitions
Selon la norme ISO 31000 qui fait rfrence au Guide 73:2009 Management du risque
Vocabulaire , le risque est leffet de lincertitude sur l'atteinte des objectifs . A noter que cette
dfinition ne caractrise pas leffet, celui-ci peut donc tre un cart ngatif ou positif par rapport
aux attentes.
Les objectifs en questions peuvent avoir diffrents aspects (par exemple, objectifs financiers, de
conformit, oprationnels, etc.) et peuvent concerner diffrents niveaux (stratgique, projet,
produit, processus ou un organisme tout entier).
Le cadre de rfrence de lAMF considre que le risque reprsente la possibilit quun vnement
survienne et dont les consquences seraient susceptibles daffecter les personnes, les actifs, lenvi-
ronnement, les objectifs de la socit ou sa rputation .
Le COSO dfinit le risque comme tant la possibilit quun vnement se produise et affecte la
ralisation des objectifs 1. Dans le cadre du processus d'identification et d'valuation des risques,
une organisation peut galement dceler des opportunits, qui sont des vnements susceptibles
daffecter positivement la ralisation des objectifs. Il est important de saisir ces opportunits et de
les communiquer au processus de dfinition des objectifs 2.
Pour ses travaux, lunit de recherche sest base sur la dfinition du risque propose par le COSO
en 2013.
Ces rfrentiels proposent dapprhender les risques selon au moins deux dimensions : dune part,
par les notions de frquence, de probabilit, dalas, dincertitude, et dautre part, par les cons-
quences, les impacts sur les organisations, les individus ou les objectifs. Seule la combinaison de
ces deux composantes (par exemple, la frquence et limpact) permet destimer raisonnablement le
niveau de risque.
Enfin, il convient de distinguer :

le risque brut ou inhrent qui mesure le risque sans aucun lment de matrise : absence
de procdures, absence dactivits de contrle, absence de systme informatique, etc.
1 Cf. Internal Control - Integrated Framework / COSO. - mai 2013. La version franaise paratra dbut 2014.
2 Composante valuation des risques du COSO 2013.
30 IFACI
le risque rsiduel ou le risque net qui mesure le risque aprs mise en place des lments
de matrise : contrle interne, couverture financire, partage du risque, etc.
3.1.2 Apptence pour les risques et seuil de tolrance
Lapptence pour le risque est en gnral formule de faon quantitative ou qualitative. Dfinie par
les organes de gouvernance et de direction, elle encadre la prise de risque en fixant les limites des
impacts quun organisme est prt accepter. Ce concept se traduit pratiquement dans la gestion
quotidienne de lentreprise : par exemple, les politiques de souscription cadrent les produits auto-
riss la vente, ou les conditions de souscription acceptables, ou les engagements maximaux.
Elle est souvent complte par la notion de tolrance au risque dfinit dans le COSO 2 comme le
niveau de variation acceptable dans latteinte dun objectif . Par exemple, si lobjectif de satisfac-
tion des clients est fix 98%, lorganisation peut accepter une tolrance de 96 100%.
La mise en uvre oprationnelle de ces critres ncessite donc une identification pralable des
objectifs et des consquences des risques. Ils permettent de retenir les mesures de traitement
appropries pour maintenir les niveaux de risque en de de ces seuils. Ils sont donc utiliss dans
le cadre du contrle interne pour la conception et le suivi de lefficacit des lments de matrise.
Conception et suivi des indicateurs de risques

Des indicateurs de risques et des seuils dalerte sont conus et suivis chaque niveau du disposi-
tif :
Au niveau des instances de gouvernance, cest essentiellement lapptence globale pour les
risques qui est dtermine en fonction de la stratgie et des valeurs de lorganisation.
Lorgane dirigeant fixe les objectifs gnraux en prcisant une tolrance de dviation et un
horizon temporel. La direction gnrale sassure de la bonne dclinaison de ces mtriques
dans les diffrentes activits.
Les fonctions en charge du suivi des risques proposent, en lien avec les directions mtiers
concernes, des indicateurs permettant de vrifier ladquation des donnes remontes des
directions oprationnelles par rapport au profil de risque dfini (apptence et tolrance
dfinies par les instances de gouvernance). Pour ce faire, elles peuvent tre amenes
accompagner la spcification de ces limites et la mise en uvre des lments de matrise
des risques avec les directions mtiers. Elles rendent comptent, en autonomie par rapport
aux directions oprationnelles, aux instances de gouvernance, le cas chant, elles accom-
pagnent la mise en uvre des actions correctrices.
Les directions oprationnelles sapproprient les mtriques de la politique de risques. Pour
cette dclinaison et pour la matrise de leurs activits, elles peuvent sappuyer sur les fonc-
tions de la deuxime ligne de dfense, et en particulier les directions de la gestion des
risques, du contrle interne ou de la conformit.
IFACI 31
Laudit interne vrifie de faon indpendante que la politique des risques est clairement
dfinie pour tre mise en uvre par la premire et la deuxime ligne de dfense. Il sassure
priodiquement que le niveau de matrise des processus reste dans les limites acceptables.
Il fait des propositions pour amliorer la gestion globale du dispositif et la fiabilit des indi-
cateurs.
Bonne pratique concernant les indicateurs de risques :

Les indicateurs conus et utiliss aux diffrents niveaux du dispositif doivent tre cohrents les uns
avec les autres.
Les indicateurs doivent tre directement lis aux limites de risque dfinies. Ils constituent le lien
entre la ralit oprationnelle et le pilotage de lentreprise.
Ils doivent tre comprhensibles par des non techniciens et permettre la prise de dcision.
Des alertes doivent tre mise en place sur ces indicateurs pour vrifier que les limites ne sont pas
dpasses.
3.1.3 La nomenclature des risques
La typologie des risques propose par lunit de recherche facilite :

lidentification des risques,
la bonne couverture du recensement des risques,
ltablissement de liens entre les risques capts des niveaux diffrents,
le dialogue entre les diffrents acteurs,
la consolidation des diffrents reporting oprationnels ou rglementaires.
Deux principales natures de risques sont rencontres (cf. galement le modle FERMA dans la
partie 1.2) :
les risques endognes, propres lactivit de lorganisation, qui sont lis ses processus, son
organisation, son systme dinformation, son management, etc.
les risques exognes dont lorigine provient de lenvironnement de lorganisation : les
clients, les fournisseurs, les socitaires ou actionnaires, les concurrents, les marchs finan-
ciers, les catastrophes naturelles ; lorganisation ayant peu demprise sur cette nature de
risques, il est nanmoins ncessaire de mettre des lments de matrise et de surveillance
pour en limiter les impacts.
32 IFACI
3.1.3.1 Une classification en 4 grandes familles
Conu de manire arborescente selon trois niveaux de risques, la nomenclature de lunit de

recherche propose en annexe 2 permet de prciser les risques identifis et de les rattacher lune
des quatre familles de risques retenues1.
Cette nomenclature est construite sur trois niveaux de risques complmentaires :

le niveau 1 concerne les quatre grandes familles de risques :
- financiers : risques lis lvolution des marchs financiers, de gestion de bilan ou
financire ;
- assurances : risques spcifiques aux activits techniques dassurance (souscription, tari-
fication, provisionnement technique, etc.) ;
- oprationnels : risques de pertes rsultant de procdures internes, de membres du
personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs ;
- stratgiques et environnementaux : risques relatifs au pilotage de lentreprise, aux
risques de rputation directs et aux risques gnrs par lenvironnement de lentreprise
et aux risques mergents.
le niveau 2 permet de dfinir des catgories de risques au sein de chaque famille (exemple
pour les risques financiers : liquidit, march, crdit, etc.).
le niveau 3 offre un degr de dtail supplmentaire au sein de ces catgories (exemple :
pour le risque financier de crdit : rglement livraison, dfaut metteur, etc.).
Chacune de ces quatre familles a t dcline en 27 risques de niveau 2, lesquels ont t leur tour
dclins en 192 risques de niveau 3. Ainsi, selon le niveau de granularit souhait, elle permet
davoir un degr de finesse variable dans la vision des risques encourus.
De plus, cette nomenclature actualise intgre les risques dfinis pour la formule standard par la
directive Solvabilit II.
3.1.3.2 Focus sur le risque oprationnel
Larticle 13 de la directive Solvabilit II (cf. annexe 7), dfinit le risque oprationnel comme le
risque de pertes rsultant de procdures internes, de membres du personnel ou de systmes
inadquats ou dfaillants, ou dvnements extrieurs. Cette dfinition englobe une grande diver-
sit de risques. Hormis, la mention aux vnements externes, elle est trs proche de celle propose
par Ble 2 qui vise les pertes directes ou indirectes dues une inadquation ou une dfaillance
des procdures, du personnel et des systmes internes. Compte tenu de cette similitude, lunit de
recherche a repris la dclinaison en sept catgories du risque oprationnel de Ble 2 :
clients, produits et pratiques commerciales,
excution, livraison et gestion des processus,
1 Le prcdent rfrentiel comportait 6 familles de risques (assurance, financier, comptable, oprationnel, pilotage, externe), ce passage 4
familles de risques sexplique par le retour dexprience des membres de lunit de recherche Cf. Cartographie des risques / Groupe profes-
sionnel Assurance . IFACI, 2006.
IFACI 33
dysfonctionnements de lactivit et des systmes,

pratiques en matire demploi et de scurit sur le lieu de travail,
dommages aux actifs corporels,
fraude interne,
fraude externe.
En vertu de larticle 49.2.b de la directive Solvabilit II, la sous-traitance d'activits ou de fonc-

tions oprationnelles importantes ou critiques ne doit pas tre effectue d'une manire susceptible
daccrotre indment le risque oprationnel. Pour matriser les risques oprationnels, il est donc
indispensable de ne pas se limiter aux frontires de lorganisation. Pour mmoire, un groupe de
recherche de lIFACI a fait des propositions pour la matrise des activits en dlgation de gestion1.
Compte tenu de la palette des risques oprationnels, il nest pas rare de trouver des cartographies
thmatiques, par exemple, sur le risque de fraude ou les pratiques commerciales.
3.1.3.3 Focus sur les risques de la formule standard sous Solvabilit II
Sous le rgime Solvabilit II, le SCR2 (capital de solvabilit requis) reprsente lexigence de capital.
Il correspond au montant de fonds propres dtenir pour permettre dviter la ruine 99,5 %
lhorizon dun an.
Le SCR est bas sur le profil de risque de lorganisme dassurance, le SCR peut tre calcul soit par
une formule standard calibre uniformment sur le march europen, soit par un modle interne
dvelopp par lorganisme dassurance et aprs autorisation par le superviseur, soit par une combi-
naison de ces deux mthodes.
Le SCR formule standard est calcul selon une approche modulaire (cf. schma ci-aprs).
Lorganisme doit calculer la perte subie en cas dvnement dfavorable li une trentaine de sous-
modules de risques, rpartie travers sept modules de risques3 :
Le module risque de march ,
Le module risque de souscription en sant ,
Le module risque de contrepartie ,
Le module risque de souscription en vie ,
Le module risque de souscription en non-vie ,
Le module risque sur actifs incorporels ,
Le risque oprationnel.
1 La dlgation de gestion en assurances de personnes : pistes pour un contrle interne efficace [Cahier de la Recherche] / Unit de Recherche
de lIFACI. - IFACI, 2012.
2 Solvency Capital Requirement.
3 Cf. Annexe 3 : Prsentation des risques de la formule standard.
34 IFACI
Les risques dcrits pour dterminer la formule standard constituent donc une base pour cartogra-
phier les risques de lorganisme dassurance. Aussi, la nomenclature des risques prsente en
annexe 2, fait rfrence aux modules et sous modules de risques de cette formule.
SCR
Ajustement BSCR Oprationnel
March Sant Contrepartie Vie Non-vie Actifs

incorporels
Prime et
Taux dintrt SLT 1 Catastrophe NSLT 2 Mortalit
rserve
Actions Mortalit Prime et Longvit Rachat

rserve
Actifs Incapacit
Immobiliers Longvit Catastrophe
Rachat Invalisit
Marge Incapacit Rachat

Invalidit
Change Rachat Dpenses
Concentration Dpenses Rvision

Ajustement d leffet
Contracyclique Rvision Catastrophe dabsorption des participations
aux bnfices futures
1
SLT (Similar to Life insurance Techniques) : Similaire aux techniques dassurance-vie
2
NSLT (Non Similar to Life insurance Techniques) : Non similaire aux techniques dassurance-vie
Daprs le schma de la directive Solvabilit II.
3.2 M ESURE DU RISQUE
A minima, deux critres sont apprcis pour coter le risque brut : la frquence et limpact :
Risque brut = Frquence x Impact
Le risque rsiduel mesure le risque aprs mise en place des lments de matrise :
Risque rsiduel = Frquence x Impact x Elment de matrise
Les chelles dvaluation facilitent la hirarchisation des risques et in fine les arbitrages sur des
actions mener. Les chelles paires quatre niveaux sont privilgier.
IFACI 35
3.2.1 La frquence
Comment dterminer la frquence de survenance du risque ? Par lestimation de loccurrence des

vnements pouvant tre lorigine du risque. Lchelle de mesure de la frquence doit tre tablie
et adapte la structure.
Ci-aprs sont proposes deux illustrations de mesure de la frquence.
Illustration 1 : Echelle de mesure de la frquence
Cotation Frquence Elment de mesure
1 Exceptionnel Occurrence quasi nulle (<1%) sur 2 ans
2 Rare Occurrence possible mais peu probable (1 10%) sur 2 ans
3 Probable Occurrence plausible (10 50%) sur 2 ans
4 Trs probable Occurrence trs probable (>50%) sur 2 ans
Illustration 2 : Echelle de mesure de la frquence
Cotation Frquence Elment de mesure
1 Rare Frquence de lordre d1 2 fois en 3 ans
2 Modr Frquence de lordre d1 fois par an
Frquence pluriannuelle (quelques fois par an, de lordre du trimestre, du

3 Occasionnel
mois)
4 Frquent Frquence quotidienne ou hebdomadaire
36 IFACI
Illustration 3 : Probabilit doccurrence - Menaces
Estimation Description Indicateurs
A le potentiel de survenir plusieurs fois dans la

Forte Susceptible de survenir chaque anne ou
priode considre (par exemple dix ans).
(probable) plus de 25% de chances de survenir.
Sest produit rcemment.
Pourrait survenir plus dune fois dans la priode

Susceptible de survenir dans les dix considre (par exemple dix ans).
Modre
prochaines annes ou moins de 25% de Peut tre difficile matriser en raison dinfluences
(possible)
chances de survenir. externes.
Y a-t-il un historique de survenance ?
Peu susceptible de survenir dans les dix

Faible (peu Ne sest pas encore produit.
prochaines annes ou moins de 2% de
probable) Peu susceptible de survenir.
chances de survenir.
Source : Cadre de rfrence de la Gestion des Risques / FERMA. 2003.
3.2.2 Limpact
Quelle est la consquence si le risque se concrtise ? Lunit de recherche propose de dcliner les
impacts en 3 principales catgories1, savoir :
limpact financier (ex : perte financire, baisse des revenus, hausse des cots), direct ou indi-
rect, immdiat ou terme. Lannexe 4 vous propose une liste non-exhaustive dimpacts
financiers ;
limpact juridique (ex : responsabilit civile et/ou pnale, sanctions lgales et/ou profession-
nelles, etc.) ;
limpact sur limage (dgradation de limage, rputation remise en cause).
Une estimation systmatique des consquences financires, base sur des scnarios de risques
prcis peut tre un exercice trs lourd et complexe. Il est en effet difficile dexiger une valuation
financire prcise de tous les impacts (humains, conformit, rputation, etc.).
Pour faciliter lexercice dvaluation, il est toutefois souhaitable dtablir des critres objectifs pour
chaque niveau de gravit.
1 Ces trois principales catgories dimpact sont adaptes au secteur assurantiel. En fonction du domaine dactivit des entreprises, dautres
catgories dimpact peuvent tre pertinentes. Par exemple, les impacts environnementaux peuvent tre appropris lindustrie (nuclaire,
minire, ptrolire) ou encore les impacts sur la vie humaine peuvent tre envisags dans les secteurs des travaux publics, de la scurit
(arme, police), ou lindustrie minire.
IFACI 37
Lchelle de mesure de limpact doit tre tablie et adapte lorganisme. Ci-aprs sont proposes
deux illustrations de mesure de limpact. Dautres valuations de limpact financier sont proposes
en annexe 4.
Illustration 1 : Echelle de mesure de limpact
Impact Impact financier Impact image Impact lgal rglementaire
1 Faible < 10 000 euros Impact local Observation des autorits de tutelle
Avertissement des autorits de tutelle

Entre 10 000
2 Modr Impact rgional Mise en cause juridique devant une juri-
100 000 euros
diction autre que pnale
Blme des autorits de tutelle

Entre 100 000 Impact national
3 Significatif Mise en cause devant une juridiction
500 000 euros Un seul canal
pnale
Impact national Sanction des autorits de tutelles
4 Elev > 500 000 euros
Couverture large Condamnation pnale
Illustration 2 : Echelle de mesure de limpact
Cotation Impact Financier (Rsultat) Image / rputation ou encore rglementaire
< 10% du rsultat Attention de tiers (presse, groupes de pression, etc.)

1 Limit
annuel sur des sujets jugs sensibles
10% 50% du rsultat Communication dfavorable dans des mdias sur

2 Significatif
annuel une partie de lentreprise et un niveau local
Couverture mdiatique plus large, mais nentranant

3 Majeur 50% 100%
pas deffet majeur
Attaque mdiatique ayant des consquences signifi-

4 Critique > au rsultat annuel
catives sur limage et la rputation du Groupe
Comment dfinir les seuils financiers dans les chelles de mesure dimpact ?
Les diffrents seuils retenir doivent tre discriminants et permettre une distribution des
risques rgulire sur lensemble des seuils retenus : si tous les risques valus se situent sur le
mme niveau, l'chelle retenue ne sera pas utile la bonne hirarchisation des risques.
38 IFACI
3.2.3 Le risque brut
Limpact et la frquence permettent de dterminer la cotation brute ou inhrente du risque.
S S E E F Risque Faible
M M S E M Risque Modr
F M S E S Risque Significatif
Frquence
F F M S E Risque Elev
Impact
Pour certains, cette tape est considre comme une tape intermdiaire. Ils prfrent directe-
ment raisonner sur le risque rsiduel, en intgrant les lments de matrise ds les premiers travaux
dvaluation des risques. Ils rsolvent ainsi une limite cognitive des acteurs qui narrivent pas
raisonner sur les risques en faisant abstraction des lments de matrise existants.
3.2.4 Les lments de matrise
Llment de matrise se dfinit comme le moyen existant ou mettre en place pour permettre de
rduire ou dliminer le risque. Il peut porter aussi bien sur la frquence que sur limpact du risque
titre prventif ou correctif. Ainsi, chaque risque est associ un ou plusieurs lments de matrise.
Il est entendu quun mme lment de matrise peut venir agir sur plusieurs risques.
Ces lments de matrise sont constitus gnralement de :

missions, tches donnes aux collaborateurs,
manuels de procdures, modes opratoires,
niveaux de savoir-faire des collaborateurs,
tableaux de bord,
systmes informatiques,
organigrammes ou structures clairement dfinis et formaliss,
directives, consignes, rgles claires et crites,
actions de vrifications : auto-contrle, contrle humain, contrle automatique,
sparation des tches,
dlgations de pouvoirs formalises.
Lchelle dapprciation des lments de matrise doit tre tablie et adapte lorganisme.
IFACI 39
Illustration 1 : Echelle dapprciation des lments de matrise
Cotation Niveau de matrise Elment de mesure
Dispositifs mis en place permettant de rduire la frquence ou limpact

du risque un niveau satisfaisant : rgles crites et dtailles, contrles
1 Maitris
formaliss et appliqus (indicateurs de suivi et de contrle, valuation
des procdures, etc.).
Dispositifs mis en place permettant de rduire notablement la frquence
2 Acceptable ou limpact du risque : rgles crites mais complter, lments de
matrise existants et pertinents, formaliss mais complter.
Dispositifs mis en place ne permettant pas de rduire significativement
3 Insuffisant la frquence ou limpact du risque : rgles orales, lments de matrise
partiellement existants ou pertinents et peu formaliss.
Absence dlment de matrise : pas ou peu de rgle, on se fie lexp-
4 Faible rience, pas ou peu de remontes dinformations, pas ou peu de sensibili-
sation du personnel aux risques.
3.2.5 Le risque rsiduel
Le risque rsiduel est la criticit que prsente le risque aprs prise en compte de leffet protecteur
des lments de matrise en place.
Risque rsiduel = Frquence x Impact x Elment de matrise
Le poids du risque ainsi dtermin permet une hirarchisation des principaux risques et une prio-
risation des plans dactions peut tre tablie.
Illustration 1 : Echelle de mesure du risque rsiduel
L = risque faible, gr par les Limpact sur latteinte des objectifs nest pas proccupant, le risque est
procdures en place sous contrle
M = risque modre, un suivi Limpact sur latteinte des objectifs est limit. Des actions doivent tre
spcifique doit tre organis entreprises mais ne sont pas urgentes.
S = risque significatif, une alerte

Limpact sur latteinte des objectifs est significatif. Ncessit de prendre
au senior management est nces-
des actions immdiates pour limiter le risque.
saire
Limpact sur latteinte des objectifs est dune telle ampleur que les objec-
H = risque lev, action immdiate
tifs ne seront trs probablement pas atteints. Ncessit de prendre des
requise
actions immdiates pour limiter le risque, et alerter la direction.
40 IFACI
Les risk managers peuvent mobiliser des critres complmentaires limpact et la frquence
pour affiner lvaluation des risques. Par exemple :
la vlocit,
la volatilit,
le fait quil soit plus ou moins contrlable,
la capacit.
3.3 D EUX APPROCHES COMPLMENTAIRES
Du fait des volutions rapides de lenvironnement rglementaire et de la complexification des acti-

vits, les directions gnrales ont fait de la cartographie des risques un vritable outil global de pilo-
tage et en sont devenues les principaux commanditaires.
Lapprhension systmatique des risques se fait gnralement selon deux approches :

Lapproche bottom-up, partant de lanalyse des processus et permettant de mettre en
uvre les dispositifs de matrise des risques adquats.
Lapproche top-down, partant de la vision du top management et permettant daboutir
directement une valuation des expositions majeures pour lorganisation.
Le rapprochement entre ces deux approches doit permettre lorganisme dassurance didentifier
les risques pouvant avoir un impact sur les objectifs majeurs de lorganisation et daboutir une
cartographie globale des risques pour un pilotage efficace de lorganisation.
3.3.1 Lapproche bottom-up
Lapproche bottom-up (ou lapproche par les processus) didentification et dvaluation des risques
repose sur les tapes suivantes :
1. Identification des processus.
2. Identification et cotation des risques au niveau de chaque processus.
3. Identification et valuation des lments de matrise existants.
4. Cotation du risque rsiduel.
3.3.1.1 Identification des processus
Un processus peut tre dfini comme lensemble des oprations ou activits ralises par des
IFACI 41
acteurs, avec des moyens et dans un cadre donn, partir d'un vnement dclencheur externe
(input) pour aboutir un rsultat, une finalit (ouput).
Input Processus Sous-processus 1

- Activit 1
- Activit 2
- Activit 3
- ...
Sous-processus 2
- Activit 1
- Activit 2
- ...
Output
Partir des processus permet de sappuyer sur un cadre plus stable que les structures organisation-
nelles.
Le recensement des processus de lentreprise est fonction du modle conomique et est gnrale-
ment ralis par (ou en liaison avec) la direction de lorganisation ou de la qualit.
Pour les organismes dassurance ayant dj dcrit les processus dans le cadre de dmarches
connexes telles que la certification ISO ou encore de formalisation des procdures de lentreprise,
il est recommand de sappuyer sur les dmarches existantes afin dune part doptimiser les
moyens et dautre part assurer une homognit des dmarches dans les organisations.
Les processus peuvent tre classs en 2 grandes familles :

les processus relatifs la production quotidienne (processus mtiers ou oprationnel),
les processus relatifs au bon fonctionnement (processus supports).
Lannexe 1 propose une illustration des principaux processus dun organisme dassurance.
Le niveau de granularit retenu dpendra des objectifs de la cartographie et de la taille des organi-
sations. Ce niveau doit tre suffisamment fin pour identifier de faon pertinente les risques signi-
ficatifs mais ne doit pas conduire lister lensemble des tches de lorganisation.
La dfinition de la granularit est essentielle car plus le niveau de dtail est fin, et plus le travail
correspondant didentification des risques est important. Elle impacte donc llaboration de la
cartographie et sa maintenance ultrieure.
42 IFACI
Choisir le bon niveau de granularit est galement important afin de calibrer la dmarche aux
moyens disponibles et au planning souhait. Ainsi, cinq niveaux de granularit, en partant du plus
large au plus particulier, sont proposs :
le mtier : IARD, vie, assistance, rassurance, etc. ;
le domaine : pour le mtier IARD : habitat, auto, transport arien, etc. ;
le processus : processus de souscription, processus de paiement des prestations, etc. ;
lactivit : pour le processus de paiement des prestations : enregistrement, rglement du
sinistre, etc. ;
la tche lmentaire : pour lopration rglement du sinistre : envoi du chque.
Cest la granularit qui dterminera le niveau hirarchique adquat des interlocuteurs rencontrer
afin de collecter les informations.
Lunit de recherche sest accorde pour dsigner le niveau mdian processus comme le niveau
pertinent dune cartographie. En effet, celui-ci constitue dune part le meilleur compromis entre le
temps pass llaboration de la cartographie et le degr de pertinence de la vision des risques.
Dautre part, cest le niveau dquilibre permettant de faire converger et de relier les lments obte-
nus selon les deux principales mthodes (top-down et bottom-up).
Il est possible de limiter le primtre de la cartographie en ne retenant que des processus cls .
Il sagit, par exemple, des processus impact client fort ou identifis comme particulirement expo-
ss financirement.
Ecueils viter
La maturit de lorganisme dassurance en matire dapproche par les processus est un facteur cl
de succs : dfaut de processus suffisamment prcis et stabiliss, ltape suivante didentification
des risques peut vite devenir complexe avec des redondances inutiles. Dans ce cas, une entre
supplmentaire par entits / directions peut tre ncessaire.
3.3.1.2 Identification et cotation des risques au niveau des processus
Une premire identification des risques est ralise au cours des entretiens ou dateliers avec les
oprationnels. Comme pour le recensement des processus, la description des risques peut se faire
soit sur la base dun questionnaire soit de manire ouverte, facilitant ainsi lidentification des
risques.
Cette premire identification est construite conjointement par le management de lactivit opra-
tionnelle et les quipes en charge de la cartographie des risques. Chaque risque est tabli partir
de la collecte dinformations sur le domaine concern, et le partage des enjeux et des problma-
IFACI 43
tiques avec le responsable du primtre. Un risque doit faire lobjet dune dfinition prcise. Il en
va de lefficacit du dispositif de matrise qui dcoulera de la cartographie.
Pour ce faire, le risque est gnralement document avec les caractristiques suivantes :
Le contexte dans lequel le risque sinscrit (ex. : matrise de la sinistralit dans un environ-
nement conomique conjoncturel difficile et concurrentiel fort).
La description du risque, (ex. : risque de paiement tort dune prestation, dans le processus
de gestion des prestations).
Les causes possibles du risque (ex. : absence de supervision).
Eventuellement les facteurs de risques, savoir les lments aggravants (ex. : changement
dorganisation rcent).
Les impacts ou les consquences possibles (ex. : paiement dune prestation tort => impact
financier : du montant de la prestation paye tort). Sa frquence, tablie le plus souvent
dire dexpert, de retour dexprience (ex. : probabilit de payer tort reprsente 2% des
dossiers traits).
Le recensement des risques tant ralis partir de diffrentes activits prises isolment, il est
important didentifier galement les risques lis aux interrelations entre ces activits.
?
Bote outils : Questions cls pour recenser les risques au niveau des processus
La dmarche consiste identifier tout ce qui pourrait empcher la ralisation des objectifs du
processus. Il convient donc davoir, pour chaque processus, une vision claire des objectifs et des
critres de performance attendus. Les informations recueillies lors de la description des processus
permettent de rpondre aux questions :
Quels sont les objectifs du processus ?
Quels sont les facteurs cls de succs ?
Quels sont les critres de performance attendus du processus ?
Rechercher les risques lis Quels dysfonctionnements sont susceptibles dintervenir dans le droule-
aux lments intrinsques ment du processus ?
au processus Quelles sont les phases critiques du processus : quest-ce qui pourrait
chouer ?
Quest-ce qui doit imprativement fonctionner correctement ?
Quels sont les maillons faibles au sein du processus ?
Quelles sont les ressources cls protger ?
Quels sont les erreurs, omissions, actions ou incidents qui peuvent avoir un
impact significatif sur la performance du processus ?
Votre organisation est-elle adapte vos activits ? Prciser.
Votre systme dinformations est-il adapt vos besoins ? Prciser.
44 IFACI
Identifier les risques prove- En quoi les autres processus peuvent interfrer ngativement sur la perfor-
nant de facteurs externes mance du processus ?
au processus Quels sont les points de dpendance les plus critiques ? (systmes dinfor-
mation instables, qualit des informations reues insuffisante, etc.)
En quoi lenvironnement actuel peut empcher la ralisation des objec-
tifs du processus ?
En quoi une volution de lenvironnement peut empcher la ralisation
des objectifs du processus ?
Quelles causes externes rendent le processus plus vulnrable : volution de
lenvironnement lgal ou rglementaire, de lenvironnement concurrentiel,
de lenvironnement technologique, etc.
Chercher avoir une vision exhaustive des risques mme si le risque est faible pour pouvoir
suivre son volution.
La documentation structure de chaque risque est un investissement pour lensemble du
dispositif. En effet, certains dentre eux peuvent tre repris pour tablir une cartographie sur
des primtres analogues bien que distincts (mme type dactivit, mme nature de probl-
matiques, etc.).
3.3.1.3 Identification et valuation des lments de matrise existants
De mme que lors de lidentification et de lvaluation des risques, les lments de matrise doivent
tre documents et apprcis notamment partir de donnes sur :
lorganisation (par exemple, pour rpondre la question de lorganisation de la gestion des
prestations ; collecter les lments relatifs lorganisation, aux dfinitions de postes, aux
habilitations ouvertes dans les SI, aux rgles de sparation de fonction) ;
le management et lanimation ;
la documentation (ex. : existence de procdure et modes opratoires relatives la gestion
des prestations) ;
la formation (ex. : existence de formations rgulires et actualises) ;
les activits de contrle (quels types de contrles [humain, automatique] ? Par exemple,
contrles manuels, vrification par une tierce personne, en fonction de la nature et le
montant de la prestation, avant paiement de la prestation) ;
le reporting et le suivi dactivit (ex. : nombre de dossiers traits et montant pay, analyse
des carts ventuels dune priode sur lautre).
Cette analyse pourra se fonder sur des constats factuels de la ralit de lexistence et de lefficacit
des lments de matrise.
IFACI 45
3.3.1.4 Cotation du risque rsiduel
Une fois les lments relatifs aux risques et aux lments de matrise identifis, la cotation du risque
rsiduel peut tre obtenue.
Risque rsiduel = Frquence x Impact x Elment de maitrise
Exemple : Risque de paiement tort associ au processus de gestion des prestations.
A partir des mtriques prsentes (Parties 3.2.1 / 3.2.2 / 3.2.4 / 3.2.5 - Illustrations 1).
Pour le rglement dun capital dcs (200 000 ).
La frquence de payer tort est estime comme occasionnelle => cotation = 3.
Limpact de 200 000 considr comme significatif => cotation = 3.
Les lments de matrise sont faibles : pas de procdure formalise, pas de contrle de supervision
pour les sinistres lourds, calcul des garanties et du montant de la prestation non intgr dans le SI
=> cotation = 4.
Risque rsiduel = 3x3x4 = 36, qui prsente un risque lev et ncessite la mise en place dactions
correctives et de mesures de matrise des risques.
Les cartographies thmatiques
Il existe de plus en plus de cartographies des risques thmatiques pour le diagnostic de sujets parti-
culiers. Les plus courantes sont les cartographies des risques lis aux systmes dinformation, aux
risques juridiques, aux risques de blanchiment des capitaux et du financement du terrorisme ou
encore aux risques de fraude. Les mthodes utilises sont similaires celles exposes ci-dessus
mais elles peuvent senrichir de critres spcifiques pour lvaluation des risques (par exemple,
temps dindisponibilit pour les systmes dinformation).
3.3.2 Lapproche top-down
La cartographie des risques top-down est une dmarche qui consiste collecter au niveau du top
management, lensemble des grands risques pouvant limiter ou empcher latteinte des objectifs
stratgiques de lorganisation, ou menacer ses principaux actifs. Elle se droule selon les
tapes suivantes :
1. Lidentification des risques et leur valuation.
2. Le rapprochement de ces risques avec la nomenclature des risques de lorganisation.
3. Le rapprochement de ces risques avec les processus de lorganisation.
46 IFACI
3.3.2.1 Identification et valuation des risques dire dexpert
Le top management est en mesure de recenser les grands risques avec un impact fort ou/et une
frquence importante. Ce type danalyse aura donc un faible niveau de granularit.
Cet exercice de collecte, de formalisation et dvaluation des risques par les principaux responsables
dun organisme dassurance se fait gnralement par entretien et/ou questionnaire ouverts. Lide
tant que ces dirigeants sexpriment sur leur vision des risques pesant sur lorganisation et leur
domaine de responsabilit. Ce type danalyse peut-tre ralise travers la formalisation de scna-
rios.
Lexercice de normalisation (rattachement au rfrentiel des risques, et des processus de lorgani-

sation) et de hirarchisation pourra se faire dans un second temps.
3.3.2.2 Rapprochement avec la nomenclature des risques de lorganisation
Gnralement, lidentification des risques se fait avec le top management par entretien, avec des
questions ouvertes (ex. : citer les 3 principaux risques pouvant affecter lentreprise, citer les 3 prin-
cipaux risques pouvant affecter votre domaine de responsabilit). Aussi, pour permettre de conso-
lider les rsultats et proposer une vision exhaustive des risques, le rattachement la nomenclature
des risques de lorganisation est prvoir.
3.3.2.3 Lien avec les processus de lorganisation
Le rattachement des risques au processus est une tape ncessaire pour permettre les regroupe-
ments et les consolidations.
Au cours de cette phase, il sagit de remplir le double objectif de mise en cohrence des risques
identifis avec les activits de lentit et dexhaustivit de lanalyse.
3.3.3 Intgration des deux dmarches
Les dmarches top-down et bottom-up sont des dmarches complmentaires qui doivent tre
combines et dveloppes dans les organisations afin de couvrir au mieux lensemble des risques.
Ces deux mthodes ont vocation alimenter et faire vivre la cartographie des risques de lorgani-
sation.
IFACI 47
Approche Botton-up Approche Top-down
Risques non identifis

botton-up
Identification et Identification et
valuation des Cartographie valuation des
risques des des risques risques majeurs
activits
Risques non identifis

top-down
Rapprochement &
Consolidation
En effet, ces deux approches, non seulement ne sopposent pas, mais sont complmentaires. Elles
peuvent tre conduites soit de faon successive, soit de faon simultane, la question du choix
pouvant se poser lors du dmarrage dun projet de cartographie, les avantages et les inconvnients
de ces dmarches sont rsumes ci-aprs.
La mthode bottom-up prsente au moins les trois avantages suivants :

Lapproche par les processus permet dobtenir une bonne connaissance des activits de
lentreprise et les rsultats peuvent ensuite tre utiliss dautres fins, dans le cadre dune
rorganisation ou loccasion dune dmarche qualit.
Lanalyse dans le dtail des activits permet damliorer lexhaustivit du recensement des
risques.
La consultation des oprationnels pour la ralisation de la cartographie permet dobtenir
une implication satisfaisante de leur part.
48 IFACI
En revanche, cest une dmarche consommatrice de temps dans la mesure o elle requiert la tenue
de nombreux entretiens et la collecte dinformations en masse. Par ailleurs, elle peut savrer
coteuse en termes de comptences et de systmes car la collecte de ces donnes ncessite souvent
le recours des outils informatiques.
Quant lapproche top-down, elle permet une mise en uvre plus lgre puisque les entretiens
ncessaires sont moins nombreux. Lexamen des risques stratgiques permet galement de sassu-
rer de la prise en compte plus immdiate des processus transversaux ou managriaux, ce qui peut
tre plus en adquation avec les attentes de la direction gnrale.
Cependant, elle prsente linconvnient dtre moins prcise, tant dans lidentification des risques
que dans leur quantification. Par ailleurs, les oprationnels ntant pas associs, ils peuvent avoir
du mal sapproprier la dmarche.
Enfin, il convient de prciser que, quelles que soient la ou les mthodes utilises, nous ne pouvons
jamais tre certains de couvrir l'exhaustivit des risques.
3.3.3.1 Consolider et hirarchiser les principaux risques
Ces deux dmarches complmentaires doivent alimenter et faire vivre la cartographie des risques
de lorganisation. Le rapprochement et la consolidation des lments issus de ces deux mthodes
seront facilits par lutilisation dun corpus commun et cohrent en termes de nomenclature des
risques, de rfrentiel des processus de lorganisation et de rgles de quantification.
Cette consolidation permettra de hirarchiser les risques, didentifier les principaux risques (signi-
ficatifs et/ou levs) et de fournir les lments ncessaires la prise de dcision.
3.3.3.2 Dcider des mesures de traitements
Face un risque, quatre types de dcision peuvent tre prises :
1. Acceptation : le risque est accept soit lorsque celui-ci entre dans la politique de gestion
des risques de lorganisation (par exemple, acquisition dun nouveau portefeuille de
contrats, sachant que celui-ci prsente un risque de drive de la sinistralit connue) ; soit
lorsque les cots de mises en uvre des lments de matrise deviennent trop excessif au
regard du risque encouru.
IFACI 49
2. Rduction : cette mesure vise rduire le risque sans ncessairement le faire totalement
disparaitre. En effet, des actions correctives ou prventives peuvent tre mises en place pour
rduire ou maitriser le risque.
3. Evitement : cette action consiste liminer le risque, c'est--dire sa probabilit de surve-

nance. Par exemple, la dcision de ne pas acqurir un portefeuille de contrats dficitaire
apportant des pertes financires suprieures aux gains escompts.
4. Partage : certains risques peuvent tre partags, par exemple par la souscription dune
couverture dassurance (ex. : garantie perte dexploitation en cas de sinistre dans un bti-
ment de lentreprise), la mise en place dun trait de rassurance (ex. : pour cder un risque
de souscription) ou encore la sous-traitance de certaines activits (ex. : externalisation de la
gestion dune tche afin de garantir les dlais).
Le traitement dun risque peut gnrer dautres risques, il est donc important de prendre en
considration les effets en cascade.
3.3.3.3 Concevoir, mettre en place et suivre les plans dactions
Les dcisions prises font lobjet de la dfinition et de la mise en place de plans dactions. Ces
derniers devront tre formaliss et rattachs aux risques identifis. Un dispositif de suivi de ces
plans dactions devra tre mis en place, et constituera ainsi un des lments de suivi permanent des
risques.
BOITE OUTILS
Pour la mise en Un Sponsor au niveau de la direction gnrale assure linterface et

place dune la promotion du projet.
dmarche de carto- Un Comit de Pilotage peut intgrer des reprsentants de fonctions
?
graphie des risques : impliques dans la dmarche de cartographie. Son rle sera de suivre
une structure projet le dploiement et de valider les orientations, dcisions et livrables qui
indispensable lui seront proposs.
Une quipe projet prend en charge la ralisation de la dmarche et
aura pour tche essentielle de coordonner l'ensemble des moyens
matriels et humains ncessaires la russite du projet.
Une liste d interlocuteurs cls , identifier pour participer aux
entretiens et ateliers.
50 IFACI
BOITE OUTILS
Pour prenniser la Pass le premier exercice de cartographie, la question de son utilisation
?
dmarche : dfinir effective et de sa prennisation se pose. Lorganisation suivante
une organisation contribue cette prennisation :
Un point central, le risk manager , qui anime le dispositif dans le
temps et assure la cohrence des dmarches et les reporting.
Un rseau de propritaire de risques peut complter le dispositif.
Un comit de suivi des principaux risques et des plans dactions asso-
cis doit tre dfini et mis en uvre.
Pour une approba-
?
La cartographie des risques doit faire lobjet dune approbation formelle
tion de la cartogra- au niveau des diffrents responsables concerns, puis au niveau de la
phie des risques et direction gnrale. Cette validation peut intervenir sur prsentation dun
de la dmarche dossier de synthse pouvant contenir des lments tels que :
La synthse des travaux.
Une prsentation dtaille des travaux.
Exemples dlments prsenter pour la validation de la cartographie des risques pour :
La synthse des travaux lobjectif de la dmarche,

le primtre analys,
une prsentation synthtique du rsultat des travaux (nombre de
risques, leur nature, leur valuation, etc.).
Une prsentation dtaille une description des processus,

des travaux un focus sur les risques critiques,
une prsentation des lments de matrise,
une prsentation des plans dactions.
IFACI 51
52 IFACI
PARTIE 4
S UIVI PERMANENT DES RISQUES
Dans le cadre du suivi permanent des risques, il est ncessaire de mettre en uvre et de sappuyer
sur un certain nombre doutils :
le suivi de la mise en uvre des plans dactions ;
la ralisation de plan de contrles ou de tests , afin de vrifier que les lments de
matrise ont effectivement t conformment mis en uvre ;
la mise en place dune base dincidents afin de recenser les vnements susceptibles davoir
un impact ngatif pour lorganisation ;
la dfinition et la mise en place de ratios conomiques ou dindicateurs de suivi de lvolu-
tion des risques.
Ces lments sont ncessaires dune part lactualisation de la cartographie des risques et dautre
part alimenter des reporting internes ou externes.
Avoir finalis la cartographie des risques reprsente une tape essentielle dans la mise en
uvre du dispositif de contrle interne. Encore faut-il, ensuite, faire vivre cette cartographie des
risques, en lactualisant rgulirement. A dfaut, et compte tenu de la rapidit de lvolution de la
vie de lentreprise, cette cartographie deviendrait rapidement inoprante et lorganisme dassu-
rance perdrait le bnfice de linvestissement ralis au dpart. Mais, l aussi, cela ncessite dal-
louer un minimum de ressources la maintenance de cet outil.
Enfin, des facteurs tels que les volutions rglementaires, les nouveaux risques, les incertitudes
croissantes lies l'environnement, rendent indispensables cette actualisation.
IFACI 53
4.1 U NE MODALIT PARTICULIRE DE SUIVI PARTIR DE LA BASE D INCIDENTS
Un incident est un vnement dorigine interne ou externe ayant un impact ngatif pour lorgani-
sation. Labsence ou le dysfonctionnement des procdures peut se traduire par :
des pertes financires ;
une atteinte limage ou la rputation ;
des incidences juridiques ou de conformit (une mise en cause judiciaire ou une sanction
pour non-respect des rglementations applicables).
L'objectif dune base dincidents n'est pas d'identifier les responsables personnes physiques
dun incident dans le but de les sanctionner. De ce fait, ce titre, elle doit tre dpourvue de toute
donne nominative.
La base dincidents permet :

de recenser et centraliser lensemble des incidents survenus ;
de dtecter des lments de matrise inefficaces ou des risques non identifis dans la carto-
graphie des risques ;
denregistrer et suivre les mesures correctives prises en consquence ;
de contribuer la connaissance des principaux risques de lorganisme dassurance ;
didentifier les zones de vulnrabilit et de permettre la mise en place de dispositifs de
contrles adquats ;
dalimenter les modles statistiques qui permettent de dimensionner plus prcisment les
montants de fonds propres mobiliser pour couvrir le risque oprationnel dans le cadre de
Solvabilit II ;
de mettre ainsi jour galement la cartographie des risques.
Les donnes collectes sont classes de faon structure : cause, vnement, impact, et les actions
et/ou solutions mises en uvre effet immdiat ou prvues.
Analyse
des faits Identification
de la cause
Lexploitation de la base dincidents sinscrit dans
une logique de cercle vertueux en sappuyant
Suivi
Base
notamment sur la cartographie des risques en
daction incidents
vrifiant que le risque survenu a t identifi, et corrective Revue
en apprciant la performance des lments de cartographique
matrise rputs en place, et sur les actions correc- des risques
tives relatives lincident. Recherche

de laction
corrective
54 IFACI
Une fiche de restitution peut tre tablie afin dinformer de manire transverse les diffrents
acteurs concerns directement ou indirectement par la problmatique rsultant dun incident trait.
Ce principe de fiche de restitution sinscrit dans un objectif de non-reproduction de l'incident,
empruntant ainsi une dmarche damlioration continue.
Lalimentation de la base repose sur lorganisation dun maillage adquat des entits qui permettra
lidentification, lanalyse, la remonte et la validation des vnements. Ds lors, il convient de dfi-
nir avec prcision :
les typologies ncessaires la description de lincident (origine, dtection, consquences,
impact) ;
le dispositif, les rles et responsabilits de chacun ainsi que les modalits de remonte des
incidents :
une attention particulire doit tre accorde au rle des activits connexes au contrle
interne (contrle qualit, par exemple) en matire de remonte dincident,
- les incidents transverses (incidents dtects par une entit mais relevant dune autre)
doivent faire lobjet dune procdure spcifique ;
- les modalits denregistrement ;
les modalits de chiffrage de limpact financier ;
les rgles de rapprochement avec la cartographie des risques (imputer lincident au risque
selon le rfrentiel en place et le lier au processus concern).
A propos de la gestion des incidents informatiques, se reporter au GTAG 6 : Grer et auditer les
vulnrabilits des technologies de linformation et lannexe 6.
4.2 U NE COMMUNICATION APPROPRIE
Une cartographie des risques naurait aucune raison dtre si son contenu ne servait fournir des
informations appropries un certain nombre de destinataires. Le reporting permet donc de rendre
compte des travaux et de faire vivre la dmarche.
Illustrations des modes de reporting en annexe 10.
Ces remontes dinformations matrialisent linsertion de la cartographie des risques dans le

dispositif de gestion des risques. Elles sont intgres aux informations ncessaires un pilotage
adapt et ractif des activits. Elles participent galement la production de reporting de plus en
plus dtaills et denses requis par la rglementation, et plus particulirement par lACP.
Ces reporting interne et externe doivent tre adapts aux destinataires.
IFACI 55
4.2.1 Reporting interne
Pour un dploiement des cartographies des risques dans la dure et pour accrotre leur fiabilit, il
est indispensable quelles trouvent des clients.
4.2.1.1 Rpondre aux attentes des managers
Acteur cl des dispositifs de gestion des risques et de contrle interne, le management sappuie sur
diffrents lments et indicateurs cls pour diffuser la sensibilit aux risques dans son primtre
de responsabilit, et ainsi faire connatre les objectifs de gestion des risques.
Les managers ont gnralement besoin davoir accs des synthses concernant :
les travaux de cartographies relatifs leur domaine de responsabilit avec un zoom sur :
- les risques majeurs identifis et/ou faisant lobjet dune matrise insuffisante,
- les mmes risques classs par nature en lien avec le rfrentiel de risque (technique,
oprationnels, externes, etc.),
- les plans doptimisation de la matrise par ordre de priorit et le suivi du respect des
chances associes.
les contrles cls leur permettant notamment de suivre :
- les taux de ralisation,
- les taux danomalie (notamment par rapport au seuil de tolrance),
- les corrections apportes.
les incidents :
- le nombre et la rcurrence des incidents,
- le dlai de traitement,
- les pertes financires directes ou indirectes gnres.
les plans dactions :
- les actions chues,
- les actions ralises,
- le respect des chances,
- le taux davancement global des actions en-cours, etc.
En complment, le management organise le suivi dindicateurs sur les risques cls (KRI Key Risk
Indicators), et sur des points sensibles des activits dont il porte la responsabilit.
4.2.1.2 Reporting lusage des acteurs de la seconde ligne
Laction des managers oprationnels est renforce par celles des acteurs de la deuxime ligne de
dfense. Certains de ces acteurs sont amens communiquer le niveau de matrise des risques aux
instances dirigeantes de lorganisme via notamment :
56 IFACI
une vision consolide des cartographies des risques (nombre de risques, leur nature, leur
valuation, etc.) ;
un focus sur les risques critiques insuffisamment matriss ;
une prsentation des plans dactions et un suivi du respect des chances.
La fonction gestion des risques joue un rle cl en laborant des reporting sur le respect des
mtriques dfinit par lorganisme dassurance :
Indicateurs par famille de risques sur la base des limites fixes (apptence et seuils de tol-
rance aux risques).
Alerte dploye en cas de dpassement de lallocation de capital dfinie dans lapptence
aux risques.
Au titre de lanimation permanente du contrle interne, il sagit de recueillir des informations sur
les incidents, les contrles-cls et les plans dactions associs. Cest la consolidation de ces infor-
mations qui permettra dalimenter le reporting aux managers.
En fonction des besoins, lorganisme dassurance pourra laborer des reporting par grand domaine
tel que :
la fraude ;
la protection de la clientle dont le suivi des rclamations ;
la protection des donnes confidentielles ;
la scurit des biens et des personnes ;
la lutte contre le blanchiment et le financement du terrorisme (LCB-FT),
etc.
Autant que possible, ces reporting seront conus de manire pouvoir optimiser la production des
reporting externes.
En outre, la fonction actuarielle pourra laborer des reporting concernant :

la qualit des provisions techniques ;
le caractre appropri des mthodologies, des modles sous-jacents et des hypothses utili-
ss ;
la qualit des donnes et des hypothses retenues.
Selon les structures, la fonction actuarielle peut galement sassurer que les stratgies dinves-
tissement dployes dcoulent dune analyse des quilibres actifs / passifs : elle produit alors des
tudes sur les flux de trsorerie et de rendement, sur ladquation des durations entre actifs et
passifs, sur lvolution dindicateurs financiers, et des tudes de scnarios de risques.
IFACI 57
4.2.1.3 Source dinformation pour laudit interne
Sur la base dun plan daudit fond sur une approche par les risques, laudit interne apporte une
opinion sur lefficacit des processus de contrle interne, de gestion des risques et de gouvernance.
En particulier, laudit interne, peut partir de la cartographie des risques de lorganisme dassu-
rance (y compris lanalyse de la base dincidents) :
prendre en compte les principaux risques identifis ;
utiliser les donnes concernant les risques associs aux processus quil value au cours de
ses missions.
Laudit interne contribue galement au reporting interne sur les risques en :

sassurant du niveau de couverture de lidentification des risques ;
vrifiant lexistence et le bon fonctionnement des lments de matrise ;
rendant compte de ses travaux la direction gnrale, au comit daudit et au Conseil.
Ces lments permettent dactualiser la cartographie des risques.
4.2.1.4 Reporting destination des organes dirigeants et dlibrants
Pour mener bien leurs missions, les organes dirigeants et dlibrants sappuient sur diffrents
reporting et indicateurs. Il sagit dadapter la conduite de lorganisme son environnement interne
et externe, et au niveau de risque associ.
La directive oblige chaque organisme dassurance mettre en place un systme de gestion des
risques efficace1, parfaitement intgr la structure organisationnelle et aux procdures de prise de
dcision. Il doit donc tre dment pris en compte par les dirigeants. Cela ncessite donc une int-
gration aux tableaux de bords des organismes dassurance de tous les lments relatifs la
gestion des risques (agrgats conomiques macro, analyse des principaux risques existants et
potentiels auxquels est expos lorganisme).
De plus, les tableaux de bords devront intgrer une dimension prospective : laide de modles de
simulations, chaque organisme dassurance devra projeter sa situation financire sur lhorizon du
plan stratgique en prenant en compte plusieurs hypothses dvolution du contexte conomique
(projections des bilans, comptes de rsultat, SCR Solvency Capital Requirement, MCR Minimum
Capital Requirement, indicateurs du profil de risques, etc.).
Ces projections serviront doutil daide la dcision pour lorgane dirigeant afin dassurer sur le
long terme ladquation entre la prise de risque et la solvabilit.
1 Article 44 de la directive Solvabilit II (cf. annexe 7)
58 IFACI
4.2.2 Reporting externe
Compte tenu du cadre rglementaire rappel dans la partie 1.3, les organismes dassurance sont
soumis des obligations de reporting de plus en plus prcis.
4.2.2.1 Reporting en rponse aux exigences de lACP
Actuellement, les lments ci-aprs doivent tre tablis et communiqus lACP. Ces lments
intgrent pour partie les rsultats et les travaux oprs dans les dmarches de cartographies des
risques :
rapports rglementaires (tats financiers, rapport de gestion, rapport de solvabilit, rapport
sur le contrle interne, rapport dintermdiation) ;
tats prudentiels.
Un point sur la directive Solvabilit II est propos ci-aprs, afin didentifier les principales volutions
venir sur ce domaine.
4.2.2.2 Prparer Solvabilit II
Les lments de reporting externes sont dfinis dans le Pilier 3 de la directive et le primtre des
reporting concerns est celui dcrit dans le document de travail du CEIOPS CP581 .
Les organismes dassurance devront produire un ensemble de rapports annuels, qualitatifs et

quantitatifs ; destination du rgulateur et du public, remplacement de certains tats de reporting
prudentiel et les rapports narratifs de solvabilit et de contrle interne :
1- RSR (Regular supervisory report) : Rapport destin lACP comprenant un rapport narratif
et les tats quantitatifs (annuels et trimestriels, notamment les QRT - Quantitative Reporting
Template). Lobjectif du RSR est double : servir de base aux ventuels contrles et mesurer
les risques systmiques.
2- SFCR (Solvency and financial condition report) : Rapport diffus au public comportant la
structure du RSR sans les informations destination des rgulateurs. Lobjectif est daccro-
tre galement la transparence des informations, et de renforcer la discipline de march.
3- Rapport ORSA (Own Risk and Solvency Assesment) : Rapport prsentant :

les rsultats qualitatifs et quantitatifs du dispositif ORSA,
les mthodes et principales hypothses utilises,
1 CEIOPS Advice for Level 2 Implementing Measures on Solvency II: Supervisory Reporting and Public Disclosure Requirements (former
Consultation Paper 58)
IFACI 59
des informations sur le besoin global de solvabilit valu par lORSA,

une comparaison entre le besoin global en solvabilit, les exigences rglementaires de
capital (SCR et MCR) et les fonds propres,
une information si besoin sur les risques non compris dans la formule standard comme
les risques stratgiques, de rputation ou encore extrmes.
60 IFACI
CONCLUSION
IFACI 61
La cartographie nest pas une fin en soi. Elle doit sinscrire dans le cadre du pilotage global de lor-
ganisation tout en contribuant la conformit rglementaire.
Mme si les dirigeants et les managers ont une vision globale des risques inhrents leurs activits,
construire une cartographie des risques leur apportera de nouveaux lments dobservation desti-
ns mieux matriser et orienter leurs objectifs.
Ainsi, la dimension risques vient enrichir la vision des dirigeants en complment des axes stra-
tgiques et oprationnels et devient un lment de management part entire.
Les applications dune cartographie des risques sont nombreuses et conduisent les utilisateurs
privilgier tel ou tel aspect des rsultats obtenus afin de redfinir leurs priorits.
Du conseil dadministration la direction gnrale, en passant par les responsables oprationnels,

les risk managers, les contrleurs internes et les auditeurs internes, chacun pourra utiliser la carto-
graphie comme support des actions propres leur organisation.
Pour ce faire, les organismes dassurance doivent instaurer un environnement permettant daboutir
des cartographies des risques fidles et dynamiques.
Les facteurs cls de succs pour faire de la cartographie des risques un outil au service du pilotage
du dispositif de gestion des risques et un lment daide la dcision sont :
une clarification des acteurs et de la gouvernance ;
un sponsoring par la direction gnrale et le comit de direction ;
une sensibilisation et la diffusion de la culture des risques tout niveau ;
une documentation du fonctionnement de lentreprise ( qui fait quoi ? , procdures, fiches
de fonction, etc.) ;
la formalisation de la stratgie de lorganisme dassurance et dun plan daffaires moyen
terme ;
une responsabilisation des managers sur ces questions ;
une organisation en mode projet lors du lancement de toute dmarche.
Conscient de lapport potentiel des outils informatiques dans ce type de dmarche, le groupe de
travail attire nanmoins lattention sur limportance dune identification pralable des besoins
spcifiques chaque organisme. Lorsque loption retenue est dacqurir un progiciel plutt que de
dvelopper en interne une solution informatique, le dialogue avec les diteurs et la gestion de lou-
til devront sappuyer sur les fondamentaux de la gestion de projets et les changes de bonnes
pratiques avec des pairs1.
Le succs dune cartographie des risques rside dans son utilisation effective, dans la capacit des
utilisateurs la faire vivre dans le temps. Cest dans ce sens que le rfrentiel commun qui vous a
t prsent a t construit.
1 Cf. les bonnes pratiques proposes dans le cahier Slectionner un outil informatique pour les services daudit et de contrle internes de lunit
de recherche Informatique de lIFACI (2013), les clubs dutilisateurs ou les articles dans la revue de lIFACI.
62 IFACI
ANNEXE
ANNEXES
IFACI 63
ANNEXE 1
Exemples de processus - Secteur assurances
Analyse du march : concurrence, besoins des clients, tendance,
nouveaux marchs
Dfinition du produit : quel type de produit, destination de qui,
Dvelopper
pour quel vecteur de distribution
l'offre
Elaboration du produit : conditions gnrales ; tarifaires
Lancement de l'offre : communication externe, publicit, vne- Nouvelle
mentiel, formation des forces de ventes) offre
Dclinaison de la politique commerciale et pilotage

Animation des rseaux de distribution
Etablissement des propositions tarifaires
Vendre
Ngociation
Enregistrement et mission des pices contractuelles Pices
Envoi et archivage contractuelles
Enregistement du contrat dans l'outil de gestion

ANNEXE
Appel de cotisations
Encaissement des cotisations
Gestion de la trsorerie
Grer le Mise jour des donnes contrat
contrat Gestion des avenants (analyse du dossier, avis mdical, enregis-
trement et mission, envoi et archivage)
Gestion des bnficiaires
Suivi des impays (relance, contentieux) Chiffre
Rmunration des tiers (intermdiaires, gestionnaires) daffaires
Etablissement des attestations fiscales (Madelin, rentiers, appor-

Traitement
teurs)
de fin
Revalorisation annuelle (dont hausse tarifaire)
d'anne Etats
Inventaire
Paramtrage des garanties
Instruction et contrle
Constitution du dossier
Contrles mdicaux
Calcul du montant
Grer les
prestations
Rglement
Rassureur
Recours contre tiers
Actualisation des dossiers (maintien, clture, demande de justifi-
catif ) Paiement
Provisionnement sinistres
Inventaire
Matriser
Statisitques
les rsultats
des contrats
Rvisions tarifaires Contrats
Redressement rengocis
64 IFACI
ANNEXE
ANNEXE 2
Nomenclature des risques
IFACI 65
Niveau Dfinition Risques Niveau Risques

Famille Dfinition Risques Niveau 2
1 Niveau 1 2 Niveau 2
Risques rsultant d'un niveau des

Risques lis lvolution des Risques de fonds propres et quasi-fonds
R1 Financiers marchs financiers, de R101 solvabilit propres infrieur au minimum
gestion de bilan ou financire rglementaire


Risques rsultant d'une inadqua-

Risques lis lvolution des tion, en montant ou en structure,
Adquation
R1 Financiers marchs financiers, de R102 entre le passif correspondant aux
Actif / Passif
gestion de bilan ou financire engagements pris envers les clients
et l'actif mis en reprsentation
ANNEXE

Adquation
Actif / Passif
Adquation
Actif / Passif
Adquation
Actif / Passif
Adquation
Actif / Passif
Adquation
Actif / Passif
Adquation
Actif / Passif
Adquation
Actif / Passif
66 IFACI
Catgorie S2
Niveau Risques
Dfinition Risques Niveau 3 Module de Sous module
3 Niveau 3 Autres
risque de risque
Risques de Risques rsultant d'un niveau des fonds
solvabilit propres et quasi-fonds propres infrieur Solvabilit
R10101 rglementaire au minimum rglementaire en social globale
en social pour chaque entit
Risques de Risques rsultant d'un niveau des fonds

solvabilit propres et quasi-fonds propres infrieur Solvabilit
R10102 rglementaire au minimum rglementaire dans les globale
en consolid comptes consolids (solvabilit ajuste)
Risques rsultant d'un niveau des fonds
Risques de propres et quasi-fonds propres infrieur Solvabilit
R10103 solvabilit de au montant estim par les analystes ou globale
march les marchs financiers entranant un seuil
de dclenchement de "triggers"
Correspond une volution du passif

Risques de
R10201 court terme engendrant des insuffisances March ALM
liquidit d'actifs ralisables
ANNEXE
Correspond un manque de diversifica-
Risques de tion, tant l'actif qu'au passif, qui conduit
limitation par
R10202 une exposition trop forte sur un risque March ALM
catgorie d'ac- particulier (type de risque assur, risque
tif ou de passif de taux, risque actions, etc.)
Risques de Correspond une structure de passif

disparits de
R10203 clate et difficile mettre en adquation March ALM
lignes de avec des actifs
passifs
Risques de Se matrialise par une inadaptation ou

R10204 couverture une insuffisance de la structure des actifs March ALM
imparfaite au regard de celle des passifs
Risques d'inadquation actif / passif

Risques de
R10205 provenant du comportement des March ALM
taux marchs de taux

Risques
actions marchs d'actions

Risques de
change marchs de devises

Risques
immobiliers marchs immobiliers
IFACI 67

Risques lis lvolution des Gestion Risques relatifs la gestion des

R1 Financiers marchs financiers, de R103 d'actifs actifs
gestion de bilan ou financire




ANNEXE






R1 Financiers marchs financiers, de R103
gestion de bilan ou financire d'actifs actifs

68 IFACI
Catgorie S2
Niveau Risques
3 Niveau 3 Autres
risque de risque
Rsulte d'un manque de liquidits dispo-
Risques de
R10301 nibles court terme pour faire face aux March Liquidit
trsorerie obligations de rglement
Est la consquence d'une inadquation
ou d'un dfaut de financement permet-
Risques de
R10302 tant d'obtenir les liquidits suffisantes March Liquidit
refinancement pour faire face aux obligations de rgle-
ment
Correspond un manque de diversifica-
Risques de tion dans le placement des actifs qui Concentra-
R10303 March
concentration conduit une exposition trop forte sur tion
un risque particulier (actions, taux, crdit)
Consquence d'une volution des taux
Risques de
R10304 d'intrt sur la valeur des actifs obliga- March Taux
taux taires
Est li la variation de valeur d'une
Risques de devise par rapport l'euro, et l'impact
R10305 March Change
change de cette variation sur la valeur des actifs
ANNEXE
en devises
Consquence d'une volution des
Risques
R10306 marchs actions, ou d'une trop forte March Action
actions dpendance vis--vis de ce type d'actif
Consquence d'une volution des
Risques marchs immobiliers et fonciers, ou
R10307 immobiliers et March Immobilier
d'une trop forte dpendance vis--vis de
fonciers ce type d'actif
Dcoule du dfaut de la contrepartie

Risques de une opration, au moment o elle doit
R10308 Contrepartie
contrepartie remplir ses obligations (absence de paie-
ment l'chance, etc.)
Li au dfaut de l'metteur pralable-

Risques met- ment la ralisation de ses obligations
R10309 Contrepartie
teur (remboursement d'un emprunt
l'chance, etc.)
Correspond la variation de la qualit de

crdit d'un metteur conduisant l'aug-
R10310 Risques crdit Contrepartie
mentation de la prime de risque attendue
par ses cranciers
Risques rsultant de la surestimation

d'un lment d'actif, pouvant entraner Allocation
Risques d'va- notamment une constatation de moins- d'actif
R10311 March
luation d'actifs value en cas de cession ou d'ouverture de (concerne le
capital, ou un provisionnement suite non cot)
rvision
Risques de
rentabilit Risques rsultant d'un niveau de rentabi-
R10312 insuffisante lit annuelle insuffisant pour amortir les Stratgique
des participa- cots d'acquisition
tions et filiales
IFACI 69


Risques rsultant d'un endettement
Risques lis lvolution des
Endettement trop important eu gard aux
R1 Financiers marchs financiers, de R104 charges de remboursement ou aux
gestion de bilan ou financire taux des emprunts en cours
Risques rsultant d'un endettement

Risques lis lvolution des
Endettement trop important eu gard aux
R1 Financiers marchs financiers, de R104 charges de remboursement ou aux
gestion de bilan ou financire taux des emprunts en cours
Risques rsultant de caractris-

tiques des produits nuisant leur
Risques spcifiques aux acti-
R2 Assurances R201 Technique rentabilit (provenant ou non de la
vits techniques d'assurance ralisation de risques production
ou marketing)

ANNEXE

ou marketing)

ou marketing)
Risques relatifs la souscription de

contrats d'assurance, ou l'accep-
R2 Assurances R202 Souscription tation de traits ou facultatives de
vits techniques d'assurance rassurance, hors sinistralit et
prestations
prestations
prestations
prestations
prestations
70 IFACI
Catgorie S2
Niveau Risques
3 Niveau 3 Autres
risque de risque
Risque de dfaillance d'un rassureur
Risques crdit
R10313 rduisant ses capacits remplir ses Contrepartie
rassureurs engagements
Risques d'en- Niveau d'endettement du Groupe inexis-

R10401 dettement tant, l'empchant d'optimiser ses Stratgique
inadquat ressources ou sa rentabilit
Niveau d'endettement du Groupe trop

Risques de lev, pouvant entraner une crise de
R10402 surendette- Stratgique
liquidit ou rendre impossible le finance-
ment ment de la croissance du Groupe
Risques de dfi-
nition produit Risques provenant d'une dfinition des
(contrat d'assu- conditions d'assurance ou de rassurance
R20101 Souscription
rance ou trait impropres une viabilit conomique
de rassurance (quelle que soit la tarification)
en acceptation)
Risques de Risques issus de tarifs soit insuffisants
ANNEXE
tarification par rapport au cot rel des garanties et Primes et
R20102 (assurance ou Souscription
frais de gestion, soit trop levs et gn- rserves
rassurance rateurs d'anti-slection
accepte)
Risques de non-
rentabilit des
produits d'assu- Risques de non-rentabilit moyen ou Primes et
R20103 Souscription
rance ou des long terme rserves
traits de ras-
surance accepts
Risques de
qualit insuffi- Souscriptions de mauvaise qualit, quant
R20201 sante de l'ob- aux risques soucrits, malgr leur confor- Souscription
mit aux rgles
jet risque
Risques de Dpassement des engagements accepta-

R20202 cumul de bles sur un mme site, un mme client, Souscription
souscription ou un mme risque d'assurance
Risques de Effets cumulatifs dus la dpendance ou Primes et

R20203 cumul sous- la corrlation entre des risques de sous- Souscription rserves
cription / actif cription et des risques sur les actifs
Risques d'ap- Risques relatifs la gestion des coassu-

R20204 Souscription
rition rances ou des corassurances
Risques de
coassurance Risques de mauvaise gestion ou d'infor-
R20205 non apritrice mations insuffisantes manant de l'apri- Souscription
ou corassu- teur ou du corassureur leader
rance suiveuse
IFACI 71


prestations
Risques rsultant d'une dviation
Sinistralit de la charge sinistres ou prestations
Risques spcifiques aux acti- non vie /
R2 Assurances R203 compromettant l'quilibre attendu
vits techniques d'assurance Prestations entre primes et charges techniques
vie des portefeuilles
ANNEXE

Risques rsultant d'un provisionne-

Risques spcifiques aux acti- Provision- ment inadapt l'volution de la
R2 Assurances R204
vits techniques d'assurance nement charge sinistres et prestations en
cours ou venir

R2 Assurances R204
cours ou venir

R2 Assurances R204
cours ou venir
Participa- Risques relatifs aux participations

R2 Assurances R205 tions aux aux bnfices attribues aux assu-
vits techniques d'assurance bnfices rs vie
Risques spcifiques aux acti- Rassurance Risques rsultant des conditions

R2 Assurances R206
vits techniques d'assurance de protection ngocies avec les rassureurs
72 IFACI
Catgorie S2
Niveau Risques
3 Niveau 3 Autres
risque de risque
Risques d'an- Frquence leve de chute ou de rduc-

nulation, de
R20206 tions de contrats (arrt du paiement des Souscription Rachat
rsiliation, de primes)
rduction
Evolution dfavorable de la charge sinis-

Risques de tre dans une ou plusieurs catgories d'as- Primes et
R20301 dviation de la surance, d'une faon plus ou moins Souscription rserves
sinistralit rapide (augmentation de frquence ou
d'intensit)
Risques de
frquence des Survenance plus frquente qu'attendue, Primes et
R20302 Souscription
sinistres de de sinistres de montant lev rserves
pointe
Risques de Survenance d'un sinistre catastrophique,

R20303 cumul de d'un cumul RC ou sriel, ou d'un cumul Souscription Catastrophe
sinistres de sinistres entre plusieurs branches
ANNEXE
Risques de Frquence leve de rachats de contrats
R20304 Souscription Rachat
rachat (vie) "pargne"
Risques de Dure de survie des rentiers suprieure

longvit
R20305 ce qui avait t pris en compte dans les Souscription Longvit
(rentes tarifs de rentes
viagres)
Risques relatifs
aux montants
de provisions de Risques rsultant de provisions insuffi- Primes et
R20401 Souscription
santes devant la charge sinistres venir rserves
primes (hors
PM)
Risques relatifs Mortalit/
aux montants Risques rsultant de provisions math- Rachat/
R20402 de provisions matiques (PM) (vie et rente auto) insuffi- Souscription Rvision/
mathmatiques santes face aux prestations rgler Longvit
(PM)
Risques rela-
tifs aux Risques rsultant de provisions pour Primes et
R20403 montants de sinistres insuffisantes devant la charge en Souscription rserves
provisions sinistres survenus
pour sinistres
Risques rsultant d'un niveau insuffisant
Risques rela- des attributions de PB aux assurs (au vu
R20501 tifs au niveau Souscription
de la conccurence, des caractristisques
de PB du produit, des attentes des assurs)
Risques d'ina- Programme de rassurance insuffisant
dquation des pour protger correctement un porte- Primes et
R20601 Souscription
couvertures de feuille, compte tenu de la rtention rserves
rassurance supportable par l'entreprise
IFACI 73


R2 Assurances R206

R2 Assurances R206
Risques spcifiques aux acti- Matrise des Risques lis la matrise des rsul-
R2 Assurances R207
vits techniques d'assurance Rsultats tats
Pertes rsultant d'un acte non inten-

Risque de pertes rsultant de tionnel ou d'une ngligence dans l'exer-
procdures internes, de Clients / tiers, cice d'une obligation professionnelle
Opration- membres du personnel ou de produits et
R3 R301 face au client (incluant les exigences en
nels systmes inadquats ou pratiques matire fiduciaire et de conformit) ou
dfaillants, ou dvnements commerciales pertes rsultant de la nature ou de la
extrieurs conception d'un produit
ANNEXE

74 IFACI
Catgorie S2
Niveau Risques
3 Niveau 3 Autres
risque de risque
Risques de Primes et
R20602 surcot de la Traits de rassurance tarifs trop cher Souscription rserves
rassurance
Risques de Risques de contestation de garantie par Primes et
R20603 litige avec les Souscription
un rassureur rserves
rassureurs
Risque de
drive du ratio Primes et
R20701 S/C et/ou Souscription rserves
diminution du
CA
Conformit,
diffusion d'in-
formations et Non-respect de la rglementation appli- Opration-
R30101 devoir fidu- cable l'acte commercial nel
ciaire - Acte
commercial
ANNEXE
Conformit,
diffusion d'in- Non-respect des rgles relatives aux
formations et Opration-
R30102 informations privilgies et au secret
devoir fidu- nel
professionnel
ciaire - Secret
professionnel
Conformit,
diffusion d'infor-
mations et Non-respect des dispositions relatives Opration-
R30103 devoir fiduciaire la protection des donnes personnelles nel
- Protection des des personnes physiques (CNIL)
donnes
personnelles
Conformit,
diffusion d'infor-
mations et Utilisation abusive d'informations confi- Opration-
R30104 devoir fiduciaire dentielles nel
- Informations
confidentielles
Conformit,
diffusion d'infor- Opration-
R30105 mations et Pratiques de ventes agressives nel
devoir fiduciaire
- Vente agressive
Pratiques
commerciales Infraction la lgislation sur la concur- Opration-
R30106 / de place rence nel
incorrectes -
Concurrence
IFACI 75


ANNEXE

Risque de pertes rsultant de Pertes rsultant d'un acte non inten-

procdures internes, de Clients / tiers, tionnel ou d'une ngligence dans l'exer-
Opration- membres du personnel ou de produits et cice d'une obligation professionnelle
nels systmes inadquats ou pratiques
dfaillants, ou dvnements commerciales matire fiduciaire et de conformit) ou
extrieurs pertes rsultant de la nature ou de la
conception d'un produit
76 IFACI
Catgorie S2
Niveau Risques
3 Niveau 3 Autres
risque de risque
Pratiques
commerciales
/ de place Opration-
R30107 Dfaut d'agrment rglementaire
incorrectes - nel
Agrment
rglementaire
Pratiques Non-respect des rglementations rela-

commerciales tives au blanchiment de capitaux et au Opration-
R30108 / de place financement du terrorisme et aux obliga- nel
incorrectes - tions s'y rapportant (TRACFIN)
LCB-FT
Pratiques
commerciales Non-respect des rgles de fonctionne-
/ de place ment des marchs financiers (dclaration Opration-
R30109 incorrectes - en matire d'oprations suspectes, prin- nel
Marchs cipe de l'intgrit du march)
financiers
ANNEXE
Pratiques
commerciales
/ de place Non-respect des rgles de meilleure Opration-
R30110 incorrectes - excution des ordres nel
Meilleure
excution
Pratiques
commerciales Non-respect des rgles lies la sgr- Opration-
R30111 / de place gation des avoirs des clients nel
incorrectes
Pratiques
commerciales
/ de place Conflits d'intrts entre deux ou Opration-
R30112 incorrectes - plusieurs clients concerns par une nel
Sgrgation mme opration
des avoirs des
clients
Pratiques
commerciales
/ de place Non-respect de l'galit de traitement Opration-
R30113 incorrectes - des clients nel
Egalit de trai-
tement des
clients
Pratiques
commerciales Non-respect du principe de primaut de Opration-
R30114 / de place l'intrt du client nel
incorrectes
IFACI 77


ANNEXE

Risque de pertes rsultant de Pertes rsultant d'un acte non inten-

procdures internes, de Clients / tiers, tionnel ou d'une ngligence dans l'exer-
Opration- membres du personnel ou de produits et cice d'une obligation professionnelle
dfaillants, ou dvnements commerciales matire fiduciaire et de conformit) ou
extrieurs pertes rsultant de la nature ou de la
78 IFACI
Catgorie S2
Niveau Risques
3 Niveau 3 Autres
risque de risque
Pratiques
commerciales
/ de place Non-respect des dispositifs de muraille Opration-
R30115 incorrectes - de Chine et non application des proc- nel
Primaut de dures
l'intrt du
client
Pratiques
commerciales
/ de place Franchissement de seuil et seuils de Opration-
R30116 incorrectes - dtention non dclars nel
Franchisse-
ment de seuil
Dfauts dans Mauvaise implmentation des modles Opration-

R30117 les produits (modules de tarification, pricers, etc.) nel
ANNEXE
Dfauts dans
les produits - Non-respect de la politique de tarifica- Opration-
R30118 Politique de tion nel
tarification
Dfauts dans
les produits - Opration-
R30119 Non-conformit des produits
Conformit nel
des produits
Dfauts dans
les produits - Non-respect de la procdure de valida-
Procdure de Opration-
R30120 tion des nouveaux produits et nouvelles
validation des nel
activits
nouveaux
produit
Dfauts dans
les produits - Non-respect des procdures relatives aux Opration-
R30121 Oprations oprations complexes et sensibles nel
complexes et
sensibles
Contreparties Non-respect de ses obligations par une Opration-

R30122 commerciales contrepartie / un tiers (hors clientle) nel
IFACI 79


extrieurs
ANNEXE

Risque de pertes rsultant de
procdures internes, de Clients / tiers, Risques rsultant de dfaillance de
R3 R301 qualit dans les relations avec les
dfaillants, ou dvnements commerciales tiers
extrieurs
Risque de pertes rsultant de Pertes rsultant d'un problme
procdures internes, de Excution, dans le traitement d'une transac-
Opration- membres du personnel ou de livraison et tion ou dans la gestion des proces-
R3 R302
nels systmes inadquats ou gestion des sus ou pertes subies avec les
dfaillants, ou dvnements processus contreparties commerciales et les
extrieurs fournisseurs
R3 R302
80 IFACI
Catgorie S2
Niveau Risques
3 Niveau 3 Autres
risque de risque
Sponsorship Dpassement des limites d'exposition Opration-

R30123 exposure d'un client (en gestion d'actifs) nel
Slection / Opration-
R30124 Analyse clien- Insuffisance de l'analyse client nel
tle
Risques de
contractualisa- Risques d'absence de formalisation des Opration-
R30125 rapports avec un tiers ou de contractuali-
tion insuffi- nel
sation insuffisante
sante
ANNEXE
Activits de Informations inappropries, fausses ou Opration-
R30126 conseil obsoltes dlivres aux clients nel
Risques de Risques de mauvaise notation par une

R30127 Rputation
notation agence spcialise
Risques rela-
tifs aux infor- Risques de non-disponibilit des infor- Opration-
R30128 mations mations ncessaires la gestion des nel
disponibles actifs
sur le march
Saisie, excu-
tion et suivi Erreurs dans la saisie, le suivi ou le char- Opration-
R30201 des transac- gement des donnes nel
tions - Erreur
Saisie, excu-
tion et suivi
des transac- Non-respect ou mauvaise interprtation Opration-
R30202 tions - Respect des procdures nel
des proc-
dures
IFACI 81


R3 R302

R3 R302
R3 R302
ANNEXE

R3 R302
R3 R302
R3 R302
R3 R302
R3 R302
R3 R302
82 IFACI
Catgorie S2
Niveau Risques
3 Niveau 3 Autres
risque de risque
Saisie, excution
et suivi des
transactions - Dficiences dans l'organisation et les Opration-
R30203 Dficiences procdures internes de traitement ou de nel
dans l'organisa- contrle
tion et les proc-
dures
Risques de dysfonctionnement des inter-

Risques d'in- faces entre plusieurs fonctions, qu'elles Opration-
R30204 terface inter- s'appuient sur des moyens humains, de nel
services connectique, informatiques ou autres
moyens logistiques
Saisie, excution
et suivi des Problmes dus l'inadquation des
transactions - Opration-
R30205 systmes d'information aux activits et
Inadquation nel
produits
des systmes
d'informations
Saisie, excu-
ANNEXE
tion et suivi
des transac- Opration-
R30206 Mauvaise gestion des rfrentiels
tions - nel
Gestion des
rfrentiels
Saisie, excu-
tion et suivi Erreur de manipulation ou de param- Opration-
R30207 des transac- trage d'un modle / systme nel
tions -
Paramtrage
Saisie, excu-
tion et suivi
des transac- Erreur d'affectation comptable (compte, Opration-
R30208 tions - entit, etc.) nel
Affectation
comptable
Saisie, excu-
tion et suivi Dfaut de preuve (archivage, traabilit) / Opration-
R30209 des transac- piste d'audit (SOX) nel
tions - Piste
d'audit
Saisie, excu-
tion et suivi
des transac- Opration-
R30210 Problmes de communication
tions - nel
Communica-
tion
Saisie, excution
et suivi des Non-respect des dlais et/ou des obliga-
transactions - Opration-
R30211 tions envers les clients et/ou les fournis-
Dlais et obliga- nel
seurs
tions envers les
clients
IFACI 83


R3 R302
R3 R302
R3 R302
ANNEXE
R3 R302
R3 R302
R3 R302
R3 R302
R3 R302
R3 R302
84 IFACI
Catgorie S2
Niveau Risques
3 Niveau 3 Autres
risque de risque
Saisie, excution
et suivi des
transactions - Insuffisance de surveillance des comptes Opration-
R30212 Surveillance des et/ou des oprations nel
comptes et/ou
oprations
Saisie, excu-
tion et suivi
des transac- Dfaillance dans le traitement des rcla- Opration-
R30213 tions - mations nel
Traitement des
rclamations
Saisie, excu-
tion et suivi Autres causes lies aux traitements et Opration-
R30214 des transac- procdures ( prciser) nel
tions - Autres
Monitoring et
reporting - Inexactitude d'informations communi-
Inexactitude Opration-
ANNEXE
R30215 ques l'extrieur (occasionnant des
d'informations nel
pertes)
communiques
l'extrieur
Monitoring et
reporting -
Manquement Manquement une obligation dclara- Opration-
R30216 une obliga- tive (comptable ou rglementaire) nel
tion dclara-
tive
Monitoring et
reporting - Risque de rsultat comptable et ou fiscal Opration-
R30217 Risque de erron nel
rsultats erro-
ns
Documents
contractuels
clients - Documents contractuels imprcis, inad- Opration-
R30218 Imprcis, quats ou manquants nel
inadquats ou
manquants
Documents
contractuels Dfaillance dans la collecte et la conser- Opration-
R30219 clients - vation des dossiers et des documents nel
Collecte et relatifs aux clients
conservation
Gestion des Non scurisation des accs aux comptes Opration-

R30220 comptes clients - Scurisation nel
clients
IFACI 85


R3 R302
R3 R302
R3 R302
ANNEXE
R3 R302
R3 R302
R3 R302
R3 R302
R3 R302
R3 R302
86 IFACI
Catgorie S2
Niveau Risques
3 Niveau 3 Autres
risque de risque
Gestion des
comptes Donnes errones communiques aux Opration-
R30221 clients - clients nel
Donnes
Fournisseurs -
Mauvaise Mauvaise excution des prestations, y Opration-
R30222 excutions des compris dlgataires de gestion externes nel
prestations
Absence de dispositions contractuelles

Fournisseurs - encadrant les obligations et les engage- Opration-
R30223 Dispositions ments pris en matire de performance nel
contractuelles par les sous-traitants
Fournisseurs - Opration-
ANNEXE
R30224 Litiges avec les fournisseurs
Litiges nel
Risques judi- Risques lis l'volution du droit et aux Opration-

R30225 ciaires dcisions des tribunaux nel
Risques de Nombre insuffisant de vendeurs pour Opration-

R30226 rseau insuffi- atteindre les objectifs de vente nel
sant
Risques de
non-respect Abus ou non-respect de pouvoir de dl- Opration-
R30227 des limites de gation de la part d'un dlgataire nel
dlgation commercial ou mandataire
commerciale
Risques de Risques gnrs par un systme ou une

commission- grille de commissionnement des inter- Opration-
R30228 nement mdiaires non conforme avec les objectifs nel
inadapt de vente ou de rentabilit
Risques de Risques gnrs par la faillite d'un cour- Opration-

R30229 dfaillance tier nel
d'un courtier
IFACI 87


R3 R302
R3 R302
procdures internes, de Excution,
Opration- membres du personnel ou de livraison et Risques rsultant de l'intervention
R3 R302
nels systmes inadquats ou gestion des humaine dans les activits
dfaillants, ou dvnements processus
extrieurs
ANNEXE
R3 R302
R3 R302
R3 R302
R3 R302
R3 R302
R3 R302
88 IFACI
Catgorie S2
Niveau Risques
3 Niveau 3 Autres
risque de risque
Risques de Mauvaise attribution de pouvoir de dl- Opration-

R30230 dlgation de gation (dfaut de comptence, incoh- nel
pouvoir rence avec l'organisation, etc.)
Risques d'or- Mauvaise attribution de pouvoir d'or- Opration-

R30231 donnance- donnancement (dfaut de comptence, nel
ment incohrence avec l'organisation, etc.)
Risques relatifs Risques de carences ou maladresses dans

la diffusion de la diffusion des messages et des donnes Opration-
R30232 l'information et en interne (hors logistique courrier nel
des donnes en interne)
interne
Risques rela-
tifs au rgime Risque li l'omission de facturation de Opration-
ANNEXE
R30233 de TVA et la TVA ou de dclaration nel
facturation
Risques rela- Risques de non respect des obligations

tifs la taxa- Opration-
R30234 en matire de taxation des contrats das-
tion des nel
surance
contrats
Risques rela- Risque li l'absence de procdure en Opration-

R30235 tifs aux proc- matire de Contrle Fiscal des nel
dures CFCI Comptabilits Informatises (CFCI)
Risques lis la prsentation d'tats

Etats rgle- Opration-
R30236 rglementaires inexacts ou la non-
mentaires nel
prsentation d'tats rglementaires
Risques d'en- Risques que certains engagements reus

gagements sur sur actifs soient survalus ou ne puis- Opration-
R30237 valorisation nel
sent tre recouvrs
d'actifs
Risques d'en- Risques que certains engagements

gagements sur donns sur passifs soient insuffisamment Opration-
R30238 valorisation de estims ou non recenss au bilan nel
passifs
IFACI 89


R3 R302
procdures internes, de Dysfonction Pertes rsultant d'interruptions de
Opration- membres du personnel ou de nements de
R3 R303 l'activit ou de dysfonctionnement
nels systmes inadquats ou l'activit et
dfaillants, ou dvnements des systmes des systmes
extrieurs
extrieurs
ANNEXE

extrieurs
extrieurs
extrieurs
extrieurs
extrieurs
extrieurs
90 IFACI
Catgorie S2
Niveau Risques
3 Niveau 3 Autres
risque de risque
Risques de Risques que les garanties, avals ou Opration-

R30239 caution ou cautions ne soient pas suffisamment nel
assimils valus ou recenss dans les comptes
Systmes -
Perte ou alt-
ration irrm- Perte ou altration irrmdiable de Opration-
R30301 diable de donnes informatiques (accidentelle) nel
donnes infor-
matiques
Systmes - Opration-
R30302 Dveloppe- Erreurs de dveloppement nel
ment
Systmes - Opration-
ANNEXE
R30303 Scurit Atteinte involontaire la scurit logique nel
logique
Systmes - Inadquation de ressources informa- Opration-

R30304 Ressources tiques nel
informatiques
Systmes - Panne systme, insuffisance, indisponibi- Opration-

R30305 Disponibilit lit passagre de ressources informa- nel
des systmes tiques
Systmes -
Autres causes Autres causes d'origine technologiques Opration-
R30306 d'origine tech- ( prciser) nel
nologiques
Systmes -
Disponibilit
d'une ressource Dfaillance ou indisponibilit d'une Opration-
R30307 (nergie, tl- ressource (nergie, tlcommunication) nel
communica-
tion)
Transports et Interruption totale ou partielle de l'acti- Opration-

R30308 autres pertur- vit nel
bations
IFACI 91


Opration- membres du personnel ou de Livraison et tion ou dans la gestion des proces-
R3 R302
extrieurs
extrieurs
ANNEXE

extrieurs
extrieurs
Risque de pertes rsultant de Pratiques en Pertes rsultant d'actes incompati-
procdures internes, de matire bles au regard de la loi en matire
Opration- membres du personnel ou de d'emploi et d'emploi, de lgislation relative la
R3 R304
nels systmes inadquats ou de scurit sant ou la scurit, du paiement
dfaillants, ou dvnements sur le lieu de d'indemnits ou de discrimination
extrieurs travail sociale
R3 R304
R3 R304
R3 R304
92 IFACI
Catgorie S2
Niveau Risques
3 Niveau 3 Autres
risque de risque
Rgression suite la livraison et la mise

Systmes - en production de nouveaux programmes Opration-
R30309 Rgression informatiques ou suite la mise jour de nel
programmes ou fonctionnalits existants
Risques de prennit de l'outil informa-

Systmes - tique : correspond un outil informa- Opration-
R30310 Prennit tique pour lequel la dure de vie est nel
incertaine
Systmes - Donnes informatiques errones, non Opration-

R30311 Donnes conformes aux attentes nel
Risques de Non-continuit de l'exploitation par

plan de conti- absence de procdures de secours en cas Opration-
ANNEXE
R30312 nuit informa- de difficults graves dans le fonctionne- nel
tique ment des systmes informatiques
Correspond des tests, jeux d'essais

Systmes - incomplets qui peuvent induire des Opration-
R30313 Recette erreurs plus ou moins graves en produc- nel
tion
Scurit du
lieu de travail Non-respect des rgles de sant et de
- Accidents du Opration-
R30401 scurit sur le lieu de travail => accidents
travail / mala- nel
du travail / maladies professionnelles
dies profes-
sionnelles
Scurit du
lieu de travail Responsabilit civile => accidents de tiers Opration-
R30402 - (clients, partenaires, fournisseurs, autres, nel
Responsabilit etc.)
civile
Relations de
travail - Opration-
R30403 Grve, contes- Grve, contestation syndicale nel
tation syndi-
cale
Relations de
travail - Litiges avec les employs / Opration-
R30404 Litiges avec les Indemnisation du personnel nel
employs
IFACI 93


R3 R304
R3 R304
R3 R304
ANNEXE
R3 R304
R3 R304

R3 R304

R3 R304
R3 R304
R3 R304
94 IFACI
Catgorie S2
Niveau Risques
3 Niveau 3 Autres
risque de risque
Egalit et Comportement impropre : discrimination Opration-

R30405 discrimination / harclement nel
Gestion des
ressources Opration-
R30406 humaines - Recrutements inadapts nel
Recrutements
inadapts
Gestion des
R30407 humaines - Formation inadapte nel
Formation
inadapte
Gestion des
ressources
humaines - Gestion des emplois et des comptences Opration-
ANNEXE
R30408 Gestion des inadapte nel
emplois et des
comptences
Gestion des
R30409 humaines - Politique salariale inadapte nel
Politique sala-
riale
Gestion des
ressources
humaines - Inadaptation de la politique de rmun- Opration-
R30410 Politique de ration variable et d'valuation annuelle nel
rmunration et des collaborateurs
d'valuation des
collaborateurs
Gestion des
R30411 Turnover excessif
humaines - nel
Turnover
Gestion des
R30412 Dpart / absence d'une ressource cl
humaines - nel
Ressource cl
Gestion des
ressources Violation des dispositions concernant la Opration-
R30413 humaines - protection de la vie prive et des donnes nel
Protection de personnelles des salaris
la vie prive
IFACI 95


R3 R304
R3 R304
R3 R304
ANNEXE
R3 R304
R3 R304
procdures internes, de Pertes rsultant de la perte ou du
Dommages
Opration- membres du personnel ou de dommage sur un actif corporel la
R3 R305 aux actifs
nels systmes inadquats ou suite d'une catastrophe naturelle
corporels
dfaillants, ou dvnements ou d'un autre sinistre
extrieurs
Dommages
R3 R305 aux actifs
corporels
extrieurs
Dommages
R3 R305 aux actifs
corporels
extrieurs
Dommages
R3 R305 aux actifs
corporels
extrieurs
96 IFACI
Catgorie S2
Niveau Risques
3 Niveau 3 Autres
risque de risque
Gestion des
ressources Non-respect de la rglementation sociale Opration-
R30414 humaines - (code du travail, conventions collectives, nel
Rglementa- etc.)
tion sociale
Gestion des
ressources Autres problmes lis la gestion des Opration-
R30415 humaines - ressources humaines nel
Autre
Risques d'un niveau de salaire globale-

ment plus lev que ce qu'il ne devrait
Risques rela- tre compte tenu de l'tat du march du Opration-
R30416 tifs aux cots travail, conduisant des surcots portant nel
salariaux prjudice la comptitivit de l'entre-
prise
Risques rela- Non-respect par un membre du person- Opration-
ANNEXE
R30417 tifs aux rgles nel des rgles rgissant la profession en nel
de dontologie matire d'thique
Risques rela-
tifs aux rgles Non-respect de la dontologie des rela- Opration-
R30418
de dontologie tions avec un rseau d'apporteurs nel
Catastrophes Opration-
R30501 et autres sinis- Catastrophes et autres sinistres nel
tres
Catastrophes
et autres sinis-
tres - Autres Autres dommages causs aux actifs Opration-
R30502 dommages corporels nel
causs aux
actifs corporels
Catastrophes
et autres sinis-
tres - Destruction malveillante de biens / Opration-
R30503 Destruction, vandalisme nel
malveillante
de biens
Catastrophes
et autres sinis- Litiges lis aux immeubles et infrastruc- Opration-
R30504 tres - Litiges
immeubles et tures nel
infrastructures
IFACI 97


Dommages
R3 R305 aux actifs
corporels
extrieurs
Dommages
R3 R305 aux actifs
corporels
extrieurs
Dommages
R3 R305 aux actifs
corporels
extrieurs
Risque de pertes rsultant de Pertes dues un acte intentionnel
procdures internes, de de fraude, de dtournement de
Opration- membres du personnel ou de Fraude biens, d'infractions la lgislation
ANNEXE
R3 R306
nels systmes inadquats ou interne ou aux rgles de l'entreprise qui
dfaillants, ou dvnements implique au moins une personne
extrieurs en interne
R3 R306
R3 R306
R3 R306
R3 R306
R3 R306
98 IFACI
Catgorie S2
Niveau Risques
3 Niveau 3 Autres
risque de risque
Catastrophes
et autres sinis-
tres - Autres causes lies l'indisponibilit des Opration-
R30505 Indisponibilit immeubles et infrastructures nel
immeubles et
infrastructures
Catastrophes
et autres sinis- Pandmie Opration-
R30506 tres - nel
Pandmie
Risques gn- Risques de sinistre (incendie, dommages

rs par les des tiers, etc.), risques relatifs la
immeubles Opration-
R30507 continuit des oprations, risques relatifs
d'exploitation nel
la gestion des immeubles (hors scurit
(en proprit du personnel)
ou en location)
Activit non
autorise - Opration-
ANNEXE
R30601 Dissimulation Dissimulation volontaire de position nel
volontaire de
position
Activit non
autorise - Transactions intentionnellement non Opration-
R30602 Transactions notifies nel
non notifies
Activit non
autorise - Abus de pouvoir, activit intentionnelle Opration-
R30603 Abus de non autorise nel
pouvoir
Activit non
autorise - Opration-
R30604 Fausses dclarations intentionnelles
Fausses dcla- nel
rations
Vol et fraude -
Vol / dtour- Opration-
R30606 Vol / dtournement de fonds
nement de nel
fonds
Vol et fraude -
Vol / dtour- Opration-
R30607 Vol / dtournement de biens
nement de nel
biens
IFACI 99


R3 R306
R3 R306
R3 R306
ANNEXE
R3 R306
R3 R306
R3 R306
R3 R306
R3 R306

R3 R306
100 IFACI
Catgorie S2
Niveau Risques
3 Niveau 3 Autres
risque de risque
Vol et fraude - Opration-

R30608 Contrefaon Contrefaon de documents nel
de documents
Vol et fraude -
Usurpation de Opration-
R30609 Usurpation de compte / d'identit
compte / nel
d'identit

R30610 Fraude fiscale / vasion dlibre
Fraude fiscale nel
ANNEXE
R30605 Autres fraudes internes
Autre nel
Non-respect des rgles en matire

R30611 d'oprations financires personnelles /
Dlits d'initis nel
dlits d'initis
Vol et fraude - Non-respect des rgles dontologiques Opration-

R30612 Cadeaux et relatives aux cadeaux et aux invitations nel
invitations
Scurit des
systmes - Malveillance informatique (virus, Opration-
R30613 Malveillance destruction de fichiers, piratages, etc.) nel
informatique
Scurit des Opration-

R30614 systmes - Vol et divulgation de donnes nel
Donnes
Risque de faire usage sciemment de

biens, du crdit de la socit, ou des
pouvoirs possds par des dirigeants
Vol et fraude - sociaux (droits reconnus par la loi ou les Opration-
R30615 abus de biens statuts aux dirigeants sociaux) contraire nel
sociaux aux intrts de la socit et dans un
intrt personnel, intrt du dirigeant
social, des membres de sa famille, de ses
proches.
IFACI 101


procdures internes, de Pertes dues un acte intentionnel
Opration- membres du personnel ou de Fraude de fraude, de dtournement de
R3 R307
nels systmes inadquats ou externe biens, deffractions la lgislation
dfaillants, ou dvnements ou aux rgles par une tierce partie
extrieurs
R3 R307
extrieurs
R3 R307
extrieurs
ANNEXE
R3 R307
extrieurs
R3 R307
extrieurs
R3 R307
extrieurs
R3 R307
extrieurs
R3 R307
extrieurs
Risques relatifs au pilotage de
lentreprise, aux risques de
Stratgiques Risques rsultant du comportement
rputation directe et aux March de
R4 et environ- R401 des acteurs du march de l'assu-
risques gnrs par lenviron- l'assurance
nementaux rance
nement de lentreprise et aux
risques mergents
102 IFACI
Catgorie S2
Niveau Risques
3 Niveau 3 Autres
risque de risque

R30701 Fausses dcla- Fausses dclarations intentionnelles nel
rations

R30702 Contrefaon Contrefaon de documents nel
de documents

R30703 Vol
Vol nel
ANNEXE
R30704 Autres fraudes externes
Autre nel
Vol et fraude -
Usurpation de Opration-
R30705 Usurpation de compte / d'identit
compte / nel
d'identit
Scurit des
systmes - Malveillance informatique (virus, Opration-
R30706 Malveillance destruction de fichiers, piratages, etc.) nel
informatique
Scurit des Opration-

R30707 systmes - Vol et divulgation de donnes nel
Donnes
Risques de corruption active ou passive

Risques de de membres du personnel, de commer- Opration-
R30708 corruption ciaux mandataires, salaris ou indpen- nel
dants (courtiers)
Risques rela- Risques rsultant de la pression du

R40101 tifs aux cycles march pratiquer des taux tarifaires bas Stratgique
tarifaires (cyclique en gnral)
IFACI 103


Stratgiques Risques rsultant du comportement
rputation directe et aux March de
R4 et environ- R401 des acteurs du march de l'assu-
risques gnrs par lenviron- l'assurance
nementaux rance
risques mergents
Stratgiques Risques de choix stratgiques, de
rputation directe et aux
R4 et environ- R402 Pilotage moyens associs ou de pilotage de
risques gnrs par lenviron-
nementaux la mise en oeuvre inadquats
risques mergents
risques mergents
ANNEXE

risques mergents
Stratgiques rputation directe et aux Risques rsultant d'une mauvaise
R4 et environ- R403 Marketing
risques gnrs par lenviron- dmarche marketing assurance
nementaux nement de lentreprise et aux
risques mergents
Stratgiques rputation directe et aux Risques rsultant d'une mauvaise
R4 et environ- R403 Marketing
risques gnrs par lenviron- dmarche marketing assurance
risques mergents
Stratgiques Risques rsultant de dfauts dans
R4 et environ- R404 Organisation l'organisation de l'entreprise et de
nementaux ses procdures
risques mergents
Stratgiques rputation directe et aux Risques lis une perception nga-
R4 et environ- R405 Rputation
risques gnrs par lenviron- tive de l'entreprise
risques mergents

risques mergents
104 IFACI
Catgorie S2
Niveau Risques
3 Niveau 3 Autres
risque de risque
Risques de Risques rsultant de l'exercice d'activits

R40102 Stratgique
concurrence similaires par d'autres entreprises
Risques sur la Dcalage entre la stratgie dfinie et sa

mise en mise en oeuvre, du fait d'erreurs d'appr-
R40201 Stratgique
oeuvre de la ciation ou de non-adquation des
stratgie moyens
Risques rela-
tifs au pilotage Risques provenant de dficiences du
R40202 stratgique Stratgique
des activits et pilotage
des filiales
Risque de drive des cots pour des

Risque de postes trs importants comme le person-
ANNEXE
R40203 drive des Stratgique
nel, les immeubles, les systmes dinfor-
cots mation
Risques de Risques provenant d'une mauvaise iden-

mauvaise tification des besoins, d'une mauvaise
R40301 Stratgique
analyse des segmentation clientle, etc., conduisant
marchs cibles l'laboration de produits inadapts
Risques d'er- Dcalage entre le contenu d'un message

reur de et sa comprhension, ou sa prise en
R40302 Stratgique
communica- compte, par le destinaire de l'informa-
tion marketing tion, et risques de publicit trompeuse
Risques d'inadquation de l'organisation

Risques d'ina- fonctionnelle aux activits, la mise en
dquation de oeuvre de la stratgie, au profil des
R40101 Stratgique
l'organisation comptences disponibles, la gestion des
fonctionnelle relations avec les intermdiaires et avec
les clients, etc.
Risques Risques rsultant de la mise en cause

d'image du publique de pratiques particulires d'une
R40501 Rputation
secteur de ou plusieurs compagnies (hors entente),
l'assurance ou d'erreurs de communication publique
Risques
d'image -
Risques prove- Risques provenant d'un manquement
nant d'un aux rgles de bonne conduite, aux
R40502 Rputation
manquement normes professionnelles ou aux valeurs
aux rgles de de la socit
bonne
conduite
IFACI 105


risques mergents
risques mergents
risques mergents
lentreprise, aux risques de Lgislatifs,
Stratgiques Risques lis l'apparition de
rputation directe et aux rglemen-
ANNEXE
R4 et environ- R406 taires et judi- nouvelles lois ou rglements, et

nementaux leur application
nement de lentreprise et aux ciaires
risques mergents
lentreprise, aux risques de Autres
Stratgiques rputation directe et aux risques Autres risques provenant de l'envi-
R4 et environ- R407
risques gnrs par lenviron- systmiques ronnement externe de l'entreprise
nementaux nement de lentreprise et aux et exognes
risques mergents
lentreprise, aux risques de Autres
Stratgiques rputation directe et aux risques Autres risques provenant de l'envi-
R4 et environ- R407
risques gnrs par lenviron- systmiques ronnement externe de l'entreprise
nementaux nement de lentreprise et aux et exognes
risques mergents
106 IFACI
Catgorie S2
Niveau Risques
3 Niveau 3 Autres
risque de risque
Risques Risques de mise en cause judiciaire ou
d'image - non, par une association de consomma-
R40503 Risques juri- teurs, par la presse, ou par un client Stratgique
diques et de important, de litige sur l'application d'un
mise en cause contrat
Risques Politique de communication sur l'identit

d'image - de l'entreprise inadquate au march,
R40504 Risques de Rputation
aux intermdiaires, aux interlocuteurs
communica- financiers ou institutionnels, etc.
tion externe
Risques Risques lis aux mdias sociaux qui affec-

d'image - tent court, moyen ou long terme la
R40505 Risques lis Rputation
confiance envers un organisme dassu-
aux mdias rance
sociaux
Lgislatifs,
rglementaires Risques lis l'apparition de nouvelles
ANNEXE
R40601 Rputation
lois ou rglements, et leur application
et judiciaires
Risques Risques d'inflation, de dpression, d'vo-

R40701 Stratgique
conomiques lution de la demande
Risques de guerre civile, d'meutes, de

Risques poli- Risques
R40702 guerre trangre, d'attentats et de terro-
tiques externes
risme
IFACI 107
Nombre de Risques
tiquettes de lignes
Niveau 3
Assurances 22
Maitrse des Rsultats 1
Participations aux bnfices 1
Provisionnement 3
Rassurance de protection 3
Sinistralit non vie / Prestations vie 5
Souscription 6
Technique 3
Financiers 26
Adquation Actif/Passif 8
Endettement 2
Gestion d'actifs 13
Risques de solvabilit 3
ANNEXE
Oprationnels 128
Clients / tiers, produits et pratiques commerciales 28
Dommages aux actifs corporels 7
Dysfonctionnements de l'activit et des systmes 13
Excution, Livraison et gestion des processus 39
Fraude externe 8
Fraude interne 15
Pratiques en matire d'emploi et de scurit sur le lieu de
18
travail
Stratgiques et environnementals 16
Autres risques systmiques et exognes 2
Lgislatifs, rglementaires et judiciaires 1
March de l'assurance 2
Marketing 2
Organisation 1
Pilotage 3
Rputation 5
Total gnral 192
108 IFACI
ANNEXE
ANNEXE 3
Prsentation des risques de la formule standard du calcul du SCR
IFACI 109
N Module Dfinition Commentaire
Le risque de march rsulte du niveau

Le module risque de march reflte ou de la volatilit des cours de march
ANNEXE
le risque li au niveau ou la volatilit des instruments financiers qui ont un

de la valeur de march des instruments impact sur la valeur des actifs et des
financiers ayant un impact sur la valeur passifs de lentreprise concerne.
1 Risque de march des actifs et des passifs de lentreprise Lexposition au risque de march est
concerne. Il reflte de manire mesure par limpact des mouvements
adquate toute inadquation structu- dans le niveau des variables financires
relle entre les actifs et les passifs, en tel que le cours des actions, les taux
particulier au regard de leur duration dintrt, les cours de limmobilier et
les taux de change
110 IFACI
N Sous module Dfinition Commentaire
Risque li la sensibilit de la valeur des actifs,

Risque de taux des passifs et des instruments financiers aux
1.1 dintrt changements affectant la courbe des taux din-
trt ou la volatilit des taux dintrt

des passifs et des instruments financiers aux
1.2 Risque sur actions changements affectant le niveau ou la volatilit
de la valeur de march des actions

Risque sur actifs des passifs et des instruments financiers aux
1.3 immobiliers changements affectant le niveau ou la volatilit
de la valeur de march des actifs immobiliers
ANNEXE
Risque li la des passifs et des instruments financiers aux
1.4 marge changements affectant le niveau ou la volatilit
(spread) des marges (spreads) de crdit par rapport la
courbe des taux dintrt sans risque
des passifs et des instruments financiers aux
1.5 Risque de change changements affectant le niveau ou la volatilit
des taux de change
Risques supplmentaires supports par lentre-
prise dassurance ou de rassurance du fait soit
dun manque de diversification de son porte-
Concentrations du
1.6 risque de march feuille dactifs, soit dune exposition importante
au risque de dfaut dun seul metteur de
valeurs mobilires ou dun groupe dmetteurs
lis
1.7 Contracyclique
IFACI 111

ANNEXE
Le risque de souscription Sant couvre

Le module risque de souscription en le risque de souscription pour toutes les
sant reflte le risque dcoulant de la garanties sant et accidents du travail ;
souscription dengagements dassu- il se divise en trois sous modules :
Risque de sous- rance sant, quil sexerce ou non sur
2 sant long terme pratique sur une
cription en sant une base technique similaire celle de base similaire celle de lassurance vie
lassurance vie, compte tenu des prils (qui nexiste quen Allemagne et
couverts et des procds appliqus Autriche), sant court terme et acci-
dans lexercice de cette activit dents du travail.
112 IFACI

Le risque de mortalit est le
risque que les assurs meurent
plus vite que ne le prvoyaient
Risque de perte, ou de changement dfavorable les hypothses initiales. Il s'ap-
de la valeur des engagements dassurance, plique tous les engagements
rsultant de fluctuations affectant le niveau,
Risque de morta- pour lesquels les prestations
2.1 lvolution tendancielle ou la volatilit des taux
lit payer en cas de dcs excdent
de mortalit, lorsquune augmentation de ces les provisions techniques, et
taux entrane une augmentation de la valeur pour lesquels une hausse de la
des engagements dassurance mortalit conduira donc une
augmentation des provisions
techniques.
Risque de perte, ou de changement dfavorable Le risque de longvit s'ap-
de la valeur des engagements dassurance, plique aux contrats pour
rsultant de fluctuations affectant le niveau, lesquels une baisse de la
Risque de long-
2.2 lvolution tendancielle ou la volatilit des taux mortalit conduirait une
vit de mortalit, lorsquune baisse de ces taux hausse des provisions tech-
entrane une augmentation de la valeur des niques, tels que les contrats de
engagements dassurance. retraite supplmentaire.
Risque de perte, ou de changement dfavorable
de la valeur des engagements dassurance,
Risque dinvalidit
2.3 rsultant de fluctuations affectant le niveau,
de morbidit lvolution tendancielle ou la volatilit des taux
ANNEXE
dinvalidit, de maladie et de morbidit
2.4 Risque de rachat rsultant de fluctuations affectant le niveau ou
la volatilit des taux de cessation, dchance,
de renouvellement et de rachat des polices
Risque de rsultant de fluctuations affectant le niveau,
2.5 dpenses lvolution tendancielle ou la volatilit des
dpenses encourues pour la gestion des
contrats dassurance ou de rassurance
2.6 Risque de rvision lvolution tendancielle ou la volatilit des taux
de rvision applicables aux rentes, sous leffet
dun changement de lenvironnement juridique
ou de ltat de sant de la personne assure
rsultant de lincertitude importante, lie aux
Risque de catas- pidmies majeures et laccumulation inhabi-
2.7 trophe en sant tuelle de risques qui se produit dans ces
circonstances extrmes, qui pse sur les hypo-
thses retenues en matire de prix et de provi-
sionnement
Risque de primes rsultant de fluctuations affectant la date de Dans sous module NSLT :
2.8 et de rserve en survenance, la frquence et la gravit des pratiqu en Allemagne et
sant vnements assurs, ainsi que la date et le Autriche
montant des rglements de sinistres au
moment du provisionnement
IFACI 113

Le module risque de contrepartie
reflte les pertes possibles que pourrait
entraner le dfaut inattendu, ou la
dtrioration de la qualit de crdit, des
contreparties et dbiteurs de lentre-
prise dassurance ou de rassurance
durant les douze mois venir. Le
module risque de contrepartie Le risque de dfaut ou de
couvre les contrats dattnuation des contrepartie reprsente le risque quun
Risque de dfaut risques, tels que les accords de rassu- dbiteur ou une contrepartie de la
3 ou de contrepartie rance, les titrisations et les instruments socit d'assurance ou de rassurance
drivs, et les paiements recevoir des nhonore pas ses engagements dans les
intermdiaires ainsi que tout autre conditions initialement prvues.
risque de crdit ne relevant pas du
sous-module risque li la marge . Il
prend en compte, de manire appro-
prie, les garanties ou autres srets
dtenues par lentreprise dassurance
ou de rassurance ou pour son compte,
et les risques qui y sont lis.
ANNEXE
Le module risque de souscription en Le risque de souscription Vie regroupe

vie reflte le risque dcoulant des lensemble des risques li une tarifi-
Risque de sous- engagements dassurance vie, compte cation insuffisamment prudente lors de
4 cription en vie tenu des prils couverts et des procds la souscription ou le rachat du contrat
appliqus dans lexercice de cette acti- (comprenant le risque de mortalit, de
vit. longvit, de rachat, etc.).
114 IFACI

Risque de morta-
lit de mortalit, lorsquune augmentation de ces
ANNEXE
taux entrane une augmentation de la valeur
des engagements dassurance
Risque de long-
vit de mortalit, lorsquune baisse de ces taux
entrane une augmentation de la valeur des
engagements dassurance.
Risque dinvalidit
4.3 rsultant de fluctuations affectant le niveau,
de morbidit lvolution tendancielle ou la volatilit des taux
dinvalidit, de maladie et de morbidit
Risque de rsultant de fluctuations affectant le niveau,
4.4 dpenses en vie lvolution tendancielle ou la volatilit des
dpenses encourues pour la gestion des
contrats dassurance ou de rassurance.
4.5 Risque de rvision lvolution tendancielle ou la volatilit des taux
de rvision applicables aux rentes, sous leffet
dun changement de lenvironnement juridique
ou de ltat de sant de la personne assure
Risque de catas- rsultant de lincertitude importante, lie aux
4.7 trophe en vie vnements extrmes ou irrguliers, qui pse
sur les hypothses retenues en matire de prix
et de provisionnement
IFACI 115
Le module risque de souscription en

non-vie reflte le risque dcoulant des
engagements dassurance non-vie, Le risque de souscription Non vie
compte tenu des prils couverts et des reprsente le risque dassurance spci-
procds appliqus dans lexercice de fique rsultant des contrats dassu-
Risque de sous- cette activit. Il tient compte de lincer- rance. Il fait rfrence lincertitude
5 cription en non- titude pesant sur les rsultats des concernant les rsultats de la souscrip-
vie entreprises dassurance et de rassu- tion de lassureur (montants et dlais
rance dans le cadre de leurs engage- de rglements des sinistres, taux de
ments dassurance et de rassurance primes ncessaires pour couvrir les
existants, ainsi que du nouveau porte- passifs, etc.).
feuille dont la souscription est attendue
dans les douze mois venir.
Le risque d'actifs incorporels porte sur

Risque de perte, ou de changement les actifs incorporels qui sont exposs
dfavorable de la situation financire, deux types de risques : le risque de
ANNEXE
rsultant de fluctuations affectant le march et le risque interne inhrent

Risque sur actifs
6 niveau ou la volatilit de la valeur des la nature mme de ces lments. Les
incorporels actifs incorporels (logiciels, brevets, actifs incorporels reprsentent les actifs
marques, etc.) prsents au bilan de l'or- immatriels de l'entreprise tels que le
ganisme d'assurance. "goodwill", les brevets, les licences, les
marques,
Le risque oprationnel est le risque de

perte rsultant de procdures internes
inadaptes ou dfaillantes, du person-
nel, des systmes ou dvnements
extrieurs. Il comprend galement les
risques juridiques, mais il exclut les
Risque opration- risques de rputation et les risques
7 nel rsultant de dcisions stratgiques. Le
module Risque oprationnel tient
compte des risques oprationnels non
explicitement couverts dans dautres
modules de risque. Le besoin en capital
pour couvrir le risque oprationnel est
calcul de faon forfaitaire.
116 IFACI

Risque de primes rsultant de fluctuations affectant la date de
5.1 et de rserve en survenance, la frquence et la gravit des
non-vie vnements assurs, ainsi que la date et le
montant des rglements de sinistres

Risque de catas- rsultant de lincertitude importante, lie aux
5.2 trophe en non-vie vnements extrmes ou exceptionnels, qui
pse sur les hypothses retenues en matire de
prix et de provisionnement.

ANNEXE
IFACI 117
ANNEXE 4
Exemple dimpact financier
Type deffets Description
Dprciation dactifs dans les comptes suite un vnement de risque opra-
Dprciation tionnel.
(Write-down) Par exemple : Vol au sein de la socit, fraude interne ou externe, erreur tarifaire
aboutissant un revers infrieur aux prvisions.
Paiements des tiers suite des vnements oprationnels dont la socit est
lgalement responsable.
Ddommagements Par exemple : Rclamations de clients suite un arrt dactivit de la socit ou
(Compensation) des erreurs tarifaires, intrts verss suite un retard dans un paiement, fraude
de salari sur compte client.
Cela ninclut pas la rduction du propre revenu de la socit en raison dun
arrt dactivit, les pertes rsultant dune atteinte la rputation de la socit.
Pertes rsultant de lincapacit de la socit mettre en uvre des
rclamations / recours auprs dun tiers. La perte peut tre encourue quand un
Pertes de recours tiers ne respecte pas ou ne peut pas respecter ses obligations, causes par un
(Loss of Recourse) vnement oprationnel.
ANNEXE
Par exemple : Un double paiement fait un tiers qui ne peut pas tre rcupr.
Frais encourus dans le cadre de litiges, de procs (y compris frais davocat,
rglements judiciaires, condamnations).
Responsabilits
juridiques Par exemple : Rglements lamiable, cots juridiques et autres dpenses y
(Legal Liability) affrentes.
Cela ninclut pas les cots relatifs lamlioration de la documentation ou des
traitements.
Amendes ou rglements imposs par les autorits / organismes rglementaires
la suite dactions non conformes faites par la socit.
Actions Par exemple : Amendes verses pour rgler des contraventions la rglementa-
rglementaires tion, etc.
(Regulatory Action) Cela ne comprend pas la perte de revenu suite la rvocation dune licence, les
honoraires davocat, etc., de recherche dun changement dune disposition
rglementaire qui serait favorable lentreprise.
Pertes encourues en raison de paiements dimpts supplmentaires auxquels la
Dpenses fiscales socit doit faire face.
(Tax Expenses)
Par exemple : Pnalits fiscales ou taxes supplmentaires
Dprciation des actifs corporels en raison de la survenance dun vnement
oprationnel (ngligence, incendie, accident, tremblement de terre).
Pertes ou dommages Par exemple : Cots de remplacement du matriel vol ou endommag, cot de
sur des actifs la reprise immdiate dactivits, cots associs aux rparations des actifs ;
(Loss / Damage to Physical pertes de biens incorporels (donnes, etc.).
Asset) Cela ninclut pas les amliorations apportes au cours de la reconstruction
aprs un incendie, une inondation ou une catastrophe naturelle (amliorations
par rapport la situation initiale avant lvnement).
Pertes et/ou cots non concerns par les natures prcdentes.
Par exemple : Cot des consultants externes / personnel temporaire pour
enquter ou rsoudre le problme, les cots de reproduction ou de remplace-
Autres cots ou pertes ment, etc.
(Other Losses and/or Costs) Cela ninclut pas le temps consacr lanalyse et la rsolution de problmes,
les cots de support interne (support informatique, audit interne), lamliora-
tion des contrles de prvention, baisse de revenus en raison dun impact sur la
rputation.
118 IFACI
ANNEXE 5
Evaluation de limpact financier dun incident
Exemples dvnement et leur retranscription en termes dimpact financier

1) Passation par pertes et profits de valeurs immobilises suite une destruction dac-
tifs
Passation en compte de perte et profit de valeurs immobilises corporelles suite
une destruction dactifs, destruction de locaux et matriels suite un sinistre.
Cot externe de remise en ltat de valeurs immobilises suite une dgradation.
Passation en compte de perte et profit de valeurs immobilises incorporelles suite
labandon dun projet informatique.
Cot dachat ou de remise en ltat de biens non immobiliss suite une destruc-
ANNEXE
tion ou un vol.
2) Diminution dactifs due la fraude, au vol ou une erreur dexcution

Diminution dactifs due au vol, la fraude, aux activits non autorises, aux pertes
de march.
Passation en compte de perte et profit de suspens comptables rsultant de la surve-
nance dun risque oprationnel.
3) Perte sche due une sortie de fonds non rcupre

Fonds transfrs par erreur, virements raliss en double et non rcuprs
auprs du bnficiaire.
Charges externes supplmentaires :
- cot de relogement temporaire des activits suite un sinistre,
- recours des intrimaires ou prestataires externes en situation de crise ou pour
rsoudre des problmes suite des dfaillances.
4) Perte sche lie la compensation de tiers en cas derreur imputable lorganisme

dassurance
Indemnisation du client ou intrts de retard verss une contrepartie, y compris
les avoirs sur factures et commissions.
Indemnisation et prises en charge en cas de responsabilit de lorganisme dassu-
rance sans quil soit en faute : indemnisation du personnel en cas daccident.
IFACI 119
5) Condamnation payer et autres frais juridiques

Condamnation payer et autres dommages et intrts attachs une procdure
judiciaire.
Cots juridiques attachs la procdure judiciaire (honoraires davocat, etc.).
6) Pnalit ou amende rglementaire ou fiscale

Pnalit ou amende rglementaire ou fiscale payer.
Intrts de retard fiscaux payer, dans tous les cas, que lentreprise se considre
dfaillante ou non (vnement externe).
Redressement fiscal correspondant limpt qui aurait d tre pay (TIMING
IMPACT).
7) Autres cots de trsorerie

Cots de trsorerie lorsquils permettent de traduire leffet dune crise majeure et
fondent une demande dindemnisation (erreur dans les transferts de fonds, erreur
dans les livraisons de titres, erreur dans la mise en place de couvertures, etc.).
ANNEXE
Augmentation des frais gnraux :

- cots de communication pour rsolution de crise,
- cots de reconstitution, rdition, rexpdition de documents.
Heures supplmentaires internes et astreintes consacres la rsolution dinci-
dents relevant du risque oprationnel.
8) Surcot interne de rparation

Temps pass par le personnel affect la rsolution de dysfonctionnements dans le
cadre de lhoraire lgal (cot standard).
Surcot interne li linactivit : heures non travailles dues lindisponibilit des
locaux ou postes de travail.
9) Consquence positive dune erreur

Dnouement positif dune erreur de bourse suite une volution favorable des
cours.
Autres cas
Manque gagner (non objectivement vrifiable) correspondant la perte doppor-
tunits commerciales lie la suspension temporaire dactivit (sanction ou inacces-
sibilit du site).
Manque gagner correspondant une perte de chiffre daffaires rcurrent, donc
prvisible et objectivement vrifiable suite une dfaillance des systmes dinforma-
tion ou un sinistre.
Exemple : panne prolonge ou rpte des applicatifs de souscription.
120 IFACI
Manque gagner correspondant des commissions dues mais non perues (dfaut
dans le processus de facturation ou de recouvrement)
Incident vit en labsence de contrle et sans consquence financire (voir
section 3.2.1 sur les quasi-pertes / near misses) :
- Erreur rattrape dans des dlais suffisants pour ne pas engendrer de pnalits ;
- Sommes verses par erreur mais rcupres dans les meilleurs dlais ;
- Fraude djoue.
Geste commercial ne venant pas compenser une erreur de lorganisme dassurance.
Dpassement de budget de projets.
ANNEXE
IFACI 121
ANNEXE 6
Illustration Synthse du processus de collecte des vnements
Processus Tches Acteurs
Notification de lvnement
oprationnels
Description de lvnement et de la
Services
cause
Identification Estimation des consquences finan- Dclarant
des vnements cires
Dfinition de la catgorie du risque
li
Contrle permanent
Analyse des cas dclars
Contrle interne
Enregistrement dans la base des Loss identifier
ANNEXE
Enregistrement et vnements / impacts ligibles la

validation des collecte
vnements
(niveau 1)
Vrification compltude et qualit Loss Assessor
Validation de la cohrence (superviseur)
des risques
Direction
Validation des Consolidation des donnes Loss Approver
vnements Validation des vnements dclars (valideur)
(niveau 2) Analyse et diffusion des donnes
122 IFACI
ANNEXE 7
Directive Solvabilit II (extraits)
Directive du parlement europen et du conseil sur l'accs aux activits de l'assurance et de la

rassurance et leur exercice (Solvabilit II). Version consolide du 25 novembre 2009.
Article 13 - Dfinitions
30. risque de souscription : le risque de perte ou de changement dfavorable de la valeur
des engagements dassurance, en raison dhypothses inadquates en matire de tarifi-
cation et de provisionnement ;
31. risque de march : le risque de perte, ou de changement dfavorable de la situation

financire, rsultant, directement ou indirectement, de fluctuations affectant le niveau et
ANNEXE
la volatilit de la valeur de march des actifs, des passifs et des instruments financiers ;
32. risque de crdit : le risque de perte, ou de changement dfavorable de la situation

financire, rsultant de fluctuations affectant la qualit de crdit dmetteurs de valeurs
mobilires, de contreparties ou de tout dbiteur, auquel les entreprises dassurance et de
rassurance sont exposes sous forme de risque de contrepartie, de risque li la marge
ou de concentration du risque de march ;
33. risque oprationnel : le risque de perte rsultant de procdures internes, de membres

du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs ;
34. risque de liquidit : le risque, pour les entreprises dassurance et de rassurance, de ne

pas pouvoir raliser leurs investissements et autres actifs en vue dhonorer leurs engage-
ments financiers au moment o ceux-ci deviennent exigibles ;
35. risque de concentration : toutes les expositions au risque qui sont assorties dun
potentiel de perte suffisamment important pour menacer la solvabilit ou la situation
financire des entreprises dassurance et de rassurance.
Article 41 - Exigences gnrales en matire de gouvernance

1. Les tats membres exigent de toutes les entreprises d'assurance et de rassurance
qu'elles mettent en place un systme de gouvernance efficace, qui garantisse une gestion
saine et prudente de l'activit.
IFACI 123
Ce systme comprend au moins une structure organisationnelle transparente adquate,

avec une rpartition claire et une sparation approprie des responsabilits, ainsi qu'un
dispositif efficace de transmission des informations. Il satisfait aux exigences nonces
aux articles 42 49.
Le systme de gouvernance fait l'objet d'un rexamen interne rgulier.
2. Le systme de gouvernance est proportionn la nature, lampleur et la complexit

des oprations de lentreprise dassurance ou de rassurance.
3. Les entreprises dassurance et de rassurance disposent de politiques crites concernant

au moins leur gestion des risques, leur contrle interne, leur audit interne et, le cas
chant, la sous-traitance. Elles veillent ce que ces politiques soient mises en uvre.
Ces politiques crites sont rexamines au moins une fois par an. Elles sont soumises
lapprobation pralable de lorgane dadministration, de gestion ou de contrle et elles
sont adaptes compte tenu de tout changement important affectant le systme ou le
domaine concern.
ANNEXE
4. Les entreprises dassurance et de rassurance prennent des mesures raisonnables afin de

veiller la continuit et la rgularit dans laccomplissement de leurs activits, y
compris par llaboration de plans durgence. cette fin, elles utilisent des systmes, des
ressources et des procdures appropris et proportionns.
5. Les autorits de contrle disposent des moyens, mthodes et pouvoirs appropris pour
vrifier le systme de gouvernance des entreprises dassurance et de rassurance et pour
valuer les risques mergents dtects par ces entreprises et susceptibles daffecter leur
solidit financire.
Les tats membres veillent ce que les autorits de contrle disposent des pouvoirs
ncessaires pour exiger que le systme de gouvernance soit amlior et renforc de faon
satisfaire aux exigences nonces aux articles 42 49.
Article 44 - Gestion des risques.

1. Les entreprises dassurance et de rassurance mettent en place un systme de gestion des
risques efficace, qui comprenne les stratgies, processus et procdures dinformation
ncessaires pour dceler, mesurer, contrler, grer et dclarer, en permanence, les risques,
aux niveaux individuel et agrg, auxquels elles sont ou pourraient tre exposes ainsi
que les interdpendances entre ces risques. Ce systme de gestion des risques est efficace,
parfaitement intgr la structure organisationnelle et aux procdures de prise de dci-
sion de lentreprise dassurance ou de rassurance et dment pris en compte par les
personnes qui dirigent effectivement lentreprise ou qui occupent dautres fonctions cls.
124 IFACI
2. Le systme de gestion des risques couvre les risques prendre en considration dans le
calcul du capital de solvabilit requis conformment larticle 101, paragraphe 4, ainsi
que les risques nentrant pas ou nentrant pas pleinement dans ce calcul.
Le systme de gestion des risques couvre au moins les domaines suivants :
a) la souscription et le provisionnement ;
b) la gestion actif-passif ;
c) les investissements, en particulier dans les instruments drivs et engagements simi-
laires ;
d) la gestion du risque de liquidit et de concentration ;
e) la gestion du risque oprationnel ;
f) la rassurance et les autres techniques dattnuation du risque.
Les politiques crites concernant la gestion des risques vises larticle 41, paragraphe 3,
comprennent des politiques concernant le deuxime alina, points a) f), du prsent
paragraphe.
3. En ce qui concerne le risque dinvestissement, les entreprises dassurance et de rassu-
ANNEXE
rance dmontrent quelles satisfont aux dispositions du chapitre VI, section 6.
4. Les entreprises dassurance et de rassurance prvoient une fonction de gestion des

risques, qui est structure de faon faciliter la mise en uvre du systme de gestion des
risques.
5. Pour les entreprises dassurance et de rassurance utilisant un modle interne partiel ou

intgral qui a t approuv conformment aux articles 112 et 113, la fonction de gestion
des risques recouvre les tches supplmentaires suivantes :
a) conception et mise en uvre du modle interne ;
b) test et validation du modle interne ;
c) suivi documentaire du modle interne et de toute modification qui lui est apporte ;
d) analyse de la performance du modle interne et production de rapports de synthse
concernant cette analyse ;
e) information de lorgane dadministration, de gestion ou de contrle concernant la
performance du modle interne en suggrant des lments amliorer, et communi-
cation cet organe de ltat davancement des efforts dploys pour remdier aux
faiblesses prcdemment dtectes.
Article 45 - valuation interne des risques et de la solvabilit

1. Dans le cadre de son systme de gestion des risques, chaque entreprise dassurance et de
rassurance procde une valuation interne des risques et de la solvabilit.
IFACI 125
Cette valuation porte au moins sur les lments suivants :

a) le besoin global de solvabilit, compte tenu du profil de risque spcifique, des limites
approuves de tolrance au risque et de la stratgie commerciale de lentreprise ;
b) le respect permanent des exigences de capital prvues au chapitre VI, sections 4 et 5,
et des exigences concernant les provisions techniques prvues au chapitre VI, section
2;
c) la mesure dans laquelle le profil de risque de lentreprise scarte des hypothses qui
sous-tendent le capital de solvabilit requis prvu larticle 101, paragraphe 3,calcul
laide de la formule standard conformment au chapitre VI, section 4, sous-section
2, ou avec un modle interne partiel ou intgral conformment au chapitre VI, section
4, sous-section 3.
2. Aux fins du paragraphe 1, point a), lentreprise concerne met en place des procdures
qui sont proportionnes la nature, lampleur et la complexit des risques inhrents
son activit et qui lui permettent didentifier et dvaluer de manire adquate les
risques auxquels elle est expose court et long terme, ainsi que ceux auxquels elle est
expose, ou pourrait tre expose. Lentreprise dmontre la pertinence des mthodes
ANNEXE
quelle utilise pour cette valuation.
3. Dans le cas vis au paragraphe 1, point c), lorsquun modle interne est utilis, lvalua-
tion est effectue paralllement au recalibrage qui aligne les rsultats du modle interne
sur la mesure de risque et le calibrage qui sous-tendent le capital de solvabilit requis.
4. Lvaluation interne des risques et de la solvabilit fait partie intgrante de la stratgie

commerciale et il en est tenu systmatiquement compte dans les dcisions stratgiques
de lentreprise.
5. Les entreprises dassurance et de rassurance procdent lvaluation vise au para-

graphe 1 sur une base rgulire et immdiatement la suite de toute volution notable
de leur profil de risque.
6. Les entreprises dassurance et de rassurance informent les autorits de contrle des

conclusions de chaque valuation interne des risques et de la solvabilit, dans le cadre des
informations fournir en vertu de larticle 35.
7. Lvaluation interne des risques et de la solvabilit ne sert pas calculer un montant de

capital requis. Le capital de solvabilit requis nest ajust que conformment aux articles
37, 231 233 et 238.
126 IFACI
ANNEXE 8
Dcret n2006-287 du 13 mars 2006 relatif au contrle interne des
entreprises d'assurance et modifiant le Code des assurances (extraits)
Les entreprises dassurance doivent rendre compte dans une premire partie des conditions
de prparation et dorganisation des travaux du Conseil de surveillance, et dans une seconde
partie les procdures de contrle interne mises en place.
La seconde partie de ce rapport dtaille donc :
a) Les objectifs, la mthodologie, la position et l'organisation gnrale du contrle
interne au sein de l'entreprise ; les mesures prises pour assurer l'indpendance et l'ef-
ficacit du contrle interne et notamment la comptence et l'exprience des quipes
charges de le mettre en uvre, ainsi que les suites donnes aux recommandations
des personnes ou instances charges du contrle interne ;
b) Les procdures permettant de vrifier que les activits de l'entreprise sont menes
selon les politiques et stratgies tablies par les organes dirigeants et les procdures
ANNEXE
permettant de vrifier la conformit des oprations d'assurance aux dispositions
lgislatives et rglementaires ;
c) Les mthodes utilises pour assurer la mesure, l'valuation et le contrle des place-
ments, en particulier en ce qui concerne l'valuation de la qualit des actifs et de la
gestion actif-passif, le suivi des oprations sur instruments financiers terme et l'ap-
prciation des performances et des marges des intermdiaires financiers utiliss ;
d) Le dispositif interne de contrle de la gestion des placements, ce qui inclut la rpar-
tition interne des responsabilits au sein du personnel, les personnes charges d'ef-
fectuer les transactions ne pouvant tre galement charges de leur suivi, les
dlgations de pouvoir, la diffusion de l'information, les procdures internes de
contrle ou d'audit ;
e) Les procdures et dispositifs permettant d'identifier, d'valuer, de grer et de contr-
ler les risques lis aux engagements de l'entreprise et de dtenir des capitaux suffi-
sants pour ces risques, ainsi que les mthodes utilises pour vrifier la conformit des
pratiques en matire d'acceptation et de tarification du risque, de cession en rassu-
rance et de provisionnement des engagements rglements la politique de l'entre-
prise dans ces domaines, dfinie dans les rapports mentionns l'article L. 322-2-4
et l'article R. 336-5 ;
f) Les mesures prises pour assurer le suivi de la gestion des sinistres, le suivi des filiales,
la matrise des activits externalises et des modes de commercialisation des produits
de l'entreprise, et les risques qui pourraient en rsulter ;
g) Les procdures d'laboration et de vrification de l'information financire.
Dcret n 2006-287 du 13 mars 2006 relatif au contrle interne des entreprises d'assurance
et modifiant le code des assurances (partie rglementaire)
IFACI 127
ANNEXE 9
Dcret n2008-468 du 19 mai 2008 relatif au contrle interne des
institutions de prvoyance, des mutuelles et de leurs unions
Art. R. 931-43.- L'institution ou l'union est tenue de mettre en place un dispositif permanent
de contrle interne. Le conseil d'administration approuve, au moins annuellement, un
rapport sur le contrle interne, qui est transmis l'Autorit de contrle des assurances et des
mutuelles.
1 La premire partie de ce rapport dtaille les conditions de prparation et d'organisation

des travaux du conseil d'administration et, le cas chant, les pouvoirs ncessaires la gestion
de l'institution ou de l'union dlgus au directeur gnral par le conseil d'administration
dans le cadre de l'article R. 931-3-11.
2 La seconde partie de ce rapport dtaille :

ANNEXE
a) Les objectifs, la mthodologie, la position et l'organisation gnrale du contrle

interne au sein de l'institution ou de l'union ; les mesures prises pour assurer l'indpen-
dance et l'efficacit du contrle interne et notamment la comptence et l'exprience des
quipes charges de le mettre en uvre, ainsi que les suites donnes aux recommanda-
tions des personnes ou instances charges du contrle interne ;
b) Les procdures permettant de vrifier que les activits de l'institution ou de l'union
sont conduites selon les politiques et stratgies tablies par les organes dirigeants et les
procdures permettant de vrifier la conformit des oprations d'assurance aux disposi-
tions lgislatives et rglementaires ;
c) Les mthodes utilises pour assurer la mesure, l'valuation et le contrle des place-
ments, en particulier en ce qui concerne l'valuation de la qualit des actifs et de la
gestion actif-passif, le suivi des oprations sur instruments financiers terme et l'appr-
ciation des performances et des marges des intermdiaires financiers utiliss ;
d) Le dispositif interne de contrle de la gestion des placements, ce qui inclut la rpar-
tition interne des responsabilits au sein du personnel, les personnes charges d'effectuer
les transactions ne pouvant tre galement charges de leur suivi, les dlgations de
pouvoir, la diffusion de l'information, les procdures internes de contrle ou d'audit ;
e) Les procdures et dispositifs permettant d'identifier, d'valuer, de grer et de contr-
ler les risques lis aux engagements de l'institution ou de l'union et de dtenir des capi-
taux suffisants pour ces risques, ainsi que les mthodes utilises pour vrifier la
conformit des pratiques en matire d'acceptation et de tarification du risque, de cession
en rassurance et de provisionnement des engagements rglements la politique de
l'institution ou de l'union dans ces domaines, dfinie dans le rapport mentionn l'arti-
cle L. 322-2-4 du code des assurances ;
128 IFACI
f) Les mesures prises pour assurer le suivi de la gestion des sinistres, le suivi des filiales,
la matrise des activits externalises et des modes de commercialisation des produits de
l'institution ou de l'union, et les risques qui pourraient en rsulter ;
g) Les procdures d'laboration et de vrification de l'information financire et comp-
table.
Dcret n 2008-468 du 19 mai 2008 relatif au contrle interne des institutions de prvoyance,
des mutuelles et de leurs unions
ANNEXE
IFACI 129
ANNEXE 10
Exemples de reporting
10.1 Carte des risques prioritaires mettre sous contrle
Synthse des risques rsiduels consolidation

ANNEXE
Risque 12
Risque 13
Risque 14
Risque 7 Risque 15
Risque 8
Risque 9
Risque 2 Risque 16
Risque 3 Risque 4
Risque 10 Risque 17
Risque 5
Risque 1 Risque 11
Risque 18
Risque 6
Zone 1 : action prioritaire Zone 2 : action d'amlioration Zone 3 : action de

surveillance
130 IFACI
10.2 Exemple FERMA
Table - Description des risques
1. Nom du risque
Description qualitative des vnements, taille, type, nombre et interd-

2. Porte du risque
pendances
En gnral stratgique, oprationnelle, financire, lie aux connais-

3. Nature du risque
sances ou la conformit
4. Parties prenantes Parties prenantes et leurs attentes
5. Qualification du risque Importance et probabilit
ANNEXE
Perte potentielle et impact financier du risque
6. Tolrance / apptence pour Valeur risque
le risque Probabilit et amplitude des gains / pertes potentielles
Objectif(s) de la matrise des risques et niveau dsir de performance
Principaux moyens par quoi le risque est actuellement gr

7. Traitement du risque & Degr de confiance dans les moyens de matrise en place
mcanismes de matrise Identification des protocoles pour la surveillance des risques et leur
examen
8. Actions damlioration
Recommandations pour rduire le risque
possibles
9. Dveloppement de la strat-
Identification de la fonction responsable de dvelopper la stratgie et la
gie et de la politique face au
politique face ce risque
risque
Cadre de rfrence de la gestion des risques / FERMA (2003)
IFACI 131
10.3 Contrles proportionns la maturit du niveau de matrise des risques
Cette valuation peut par exemple sorienter selon les critres suivants :
les activits du SCI sont harmonises avec dautres fonctions de contrle. La

Optimis gestion des risques et le SCI sont exploits comme un systme intgr. Les
Niveau 5 activits de contrle sont largement automatises et lutilisation doutils
permet des ajustements rapides lorsque les conditions voluent.
les principes dexploitation du SCI sont dcrits de manire dtaille. Lexcution

des activits de contrle est surveille rgulirement et la traabilit assure.
Les contrles sont adapts en permanence aux risques et la documentation
Surveill est tenue jour. Une fois par an, la direction reoit un rapport sur lvaluation
Niveau 4 du SCI (efficacit, traabilit, efficience). Les activits de contrle sont
documentes selon un processus standardis. Un responsable SCI coordonne
et surveille les activits de contrle.
des principes simples dexploitation du SCI sont dfinis. Les processus

Standardis (activits et contrles) sont documents. La traabilit des contrles effectus
Niveau 3 est assure. Les contrles sont rgulirement ajusts lorsque les risques
ANNEXE
voluent. Une formation de base des collaborateurs a t organise.
des contrles internes existent mais ils ne sont pas standardiss. Les contrles
Informel existants ne sont existants ne sont excuts que rarement ou ne le sont pas du
Niveau 2 tout. Ils dpendent fortement des personnes ; il ny a ni formation, ni
communication les concernant.
Peu fiable il nexiste pas ou pratiquement pas de contrles internes. Selon les
Niveau 1 circonstances, les contrles existants sont peu fiables.
Niveau de maturit dun SCI (extrait de Mise en place dun systme de contrle interne
(SCI), 2e d. / Contrle fdral des finances suisse. p. 14).
132 IFACI
Optimis
Niveau 5
Qualit
A
Surveill
Niveau 4
B
Standardis
Niveau 3
Informel
Niveau 2
ANNEXE
Peu fiable
C
Niveau 1
Temps
Exigence de qualit en matire de SCI

A Processus avec une valuation continue de la qualit du contrle
B Contrles ponctuels (processus damlioration non integr)

C Affaiblissement normal de la qualit du contrle auf fil du temps
Evolution dun SCI (extrait de Mise en place dun systme de contrle interne
(SCI), 2e d. / Contrle fdral des finances suisse. p. 15).
IFACI 133
10.4 Illustration
140
120
100
44
80
8 43
7
44
60 29 9 5
ANNEXE
41 46 1
40 13 4- Likely
33
20 3- Possible
8
20
0 2- Rare
1- Minor
2- Significant 1- Unlikely
3- Major
4- Critical
L = risque faible, gr par les Limpact sur latteinte des objectifs nest pas proccupant, le risque
procdures en place est sous contrle.
M = risque modre, un suivi Limpact sur latteinte des objectifs est limit. Des actions doivent tre
spcifique doit tre organis entreprises mais ne sont pas urgentes.
S = risque significatif, une alerte

Limpact sur latteinte des objectifs est significatif. Ncessit de pren-
au senior management est nces-
dre des actions immdiates pour limiter le risque.
saire
Limpact sur latteinte des objectifs est dune telle ampleur que les
H = risque lev, action imm- objectifs ne seront trs probablement pas atteints. Ncessit de pren-
diate requise dre des actions immdiates pour limiter le risque, et alerter la direc-
tion.
134 IFACI
B IBLIOGRAPHIE
Lgislation
Directive 2009/138/CE du Parlement europen et du conseil 25 novembre 2009 sur laccs aux
activits de lassurance et de la rassurance et leur exercice (Solvabilit II)
Dcret n 2008-468 du 19 mai 2008 relatif au contrle interne des institutions de prvoyance,
des mutuelles et de leurs unions
Dcret n 2006-287 du 13 mars 2006 relatif au contrle interne des entreprises d'assurance et
modifiant le code des assurances (partie rglementaire)
Loi n 2003-706 du 1er aot 2003 de scurit financire. 2003
Public law 107-204 [Sarbanes-Oxley Act]. 2002
Loi n 2001-420 du 15 mai 2001 relative aux nouvelles rgulations conomiques
Rglement n 97-02 du 21 fvrier 1997 relatif au contrle interne des tablissements de crdit
et des entreprises dinvestissement
Code des assurances
Code de la scurit sociale
Code de la mutualit
Rfrentiel
Internal Control-Integrated Framework / COSO. - 2013. [version franaise attendue pour dbut
2014]
Trois lignes de matrise pour une meilleure performance : fiabiliser la stratgie par une gestion
organise des risques / AMRAE, IFACI. [ paratre en 2013].
IIA position paper: The Three Lines of Defense in Effective Risk Management and Control / IIA.
2013.
Prise de position de l'IIA : Les trois lignes de matrise pour une gestion des risques et une
contrle efficaces / IIA, IFACI, trad. 2013.
Guidance on the 8th EU company law directive: Part 2: implementing the 8th EU company law
directive / ECIIA ; FERMA. 2011.
Guidance on the 8th EU company law directive: Article 41 / ECIIA ; FERMA. 2010.
Les Dispositifs de gestion des risques et de contrle interne : Cadre de rfrence. / AMF. 2010.
Management du risque - Principes et lignes directrices : Norme internationale ISO 31000:2009
/ ISO. 2009.
Gestion des risques - Techniques d'valuation des risques : Norme internationale ISO
31010:2009 / ISO. 2009.
Le Dispositif de contrle interne : cadre de rfrence : Rsultats des travaux du Groupe de Place
tabli sous l'gide de l'AMF. IFACI, 2007.
Le Management des risques de l'entreprise : Cadre de rfrence - techniques d'application :
COSO II report / IFACI ; Price Waterhouse Coopers ; Landwell& Associs. Ed. d'organisation,
2005.
Cadre de rfrence de la Gestion des Risques (2003) / AIRMIC ; ALARM ; IRM : FERMA, trad.
2003.
IFACI 135
Monographies
Slectionner un outil informatique pour les services daudit et de contrle internes : un vritable
projet [Cahier de la Recherche]/ Unit de Recherche Informatique de lIFACI. IFACI, 2013.
Explanatory text on the proposal for guidelines on the system of governance / EIOPA. 2013.
Rapport annuel 2012 / ACP 2013.
Guide 73:2009 : Management du risque Vocabulaire / ISO. 2013.
Enterprise Risk Management: Understanding and Communicating Risk Appetite. COSO,
2012.
Rapport annuel 2011 / ACP. 2012.
Grer les risques sous solvabilit 2 / Dan Chelly ; Gildas Robert. Argus de lassurance, 2012.
La Dlgation de gestion en assurances de personnes : pistes pour un contrle interne efficace
[Cahier de la Recherche] / Unit de Recherche de lIFACI. IFACI, 2012.
L'Efficacit des conseils d'administration : les meilleures pratiques / IIA ; traduit de l'anglais par
IFACI et PWC. Paris : IFACI, 2012.
Board effectiveness: What works best, 2nd ed. / Catherine L. BROMILOW ; et al.. IIA, 2011.
L'Efficacit des comits d'audit : les meilleures pratiques / traduit de l'anglais par IFACI et
PWC. IFACI, 2011.
Audit committee effectiveness: What works best, 4th ed.. / Catherine L. BROMILOW ; et al..
IIA, 2011.
Solvency II: consultation paper on the proposal for guidelines on own risk and solvency assess-
ment [CP 008/2011]. CEIOPS, 2011.
Prise de position IFA - IFACI sur le rle de l'audit interne dans le gouvernement d'entreprise :
Mai 2009 / Groupe de travail IFA - IFACI. IFACI, 2009.
Le rle de l'audit interne dans le gouvernement d'entreprise / IFA ; IFACI. IFACI, 2009.
Le rle de l'administrateur dans la matrise des risques / IFA ; AMRAE. IFA, 2009.
CEIOPS Advice for Level 2 Implementing Measures on Solvency II: Supervisory Reporting and
Public Disclosure Requirements (former Consultation Paper 58) / CEIOPS. 2009.
La gestion des risques, 2e d. / Olivier Hassid. Dunod, 2008.
Mise en place dun systme de contrle interne (SCI), 2e d. / Contrle fdral des finances Ebzone Communication (www.ebzone.fr)
suisse. 2007.
GTAG 6 : Grer et auditer les vulnrabilits des technologies de linformation / Sasha ROMA-
NOSKY ; et al. . IIA ; IFACI, 2006.
La cartographie des risques [Cahier de la Recherche] / Groupe Professionnel Assurance de
lIFACI. IFACI, 2006.
Priodiques
Les Outils informatiques au service des auditeurs et des contrleurs internes : Leurs fonction-
nalits et leurs atouts. Audit & Contrle internes , n212 dcembre 2012.
Ralisation :
136 IFACI

Cartographie Des Risques (2e Éd.) - Groupe Assurance (Octobre 2013)

Transféré par

Informations du document

Description :

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Description :

Droits d'auteur :

Formats disponibles

Cartographie Des Risques (2e Éd.) - Groupe Assurance (Octobre 2013)

Transféré par

Description :

Droits d'auteur :

Formats disponibles

Cahier de la

LIFACI est affili

D ANS LA MME COLLECTION

De la cartographie des risques au plan daudit, Groupe Professionnel Banque ( paratre)

Pilotage et revue densemble :

Comit de rdaction et de rvision :

Organisation des runions et mise en forme du document :

Philippe MOCQUARD, Dlgu Gnral, IFACI

3.3- Deux approches complmentaires ............................................................................................ 41

Avertissement aux lecteurs

Ce cahier de la recherche a t ralis partir de contributions de professionnels de laudit et du

LAutorit de Contrle Prudentiel (ACP) est devenue lAutorit de Contrle Prudentiel et de

IFACI Paris septembre 2013 ISBN : 978-2-915042-56-6 ISSN : 1778-7327

Le premier ouvrage du Groupe Professionnel Assurance de lIFACI, publi en 2006, a t un outil

Lunit de recherche a fonctionn de faon pragmatique et collgiale. Pragmatique dans la mesure o

Les travaux se sont drouls en 2012, les contributeurs ont notamment :

Le prsent cahier de la recherche sinscrit dans le prolongement de la premire publication du

1.1 R ETOUR D EXPRIENCE DES MEMBRES DE L UNIT DE RECHERCHE

Conformment la nomenclature propose en 2006, les principales familles de risques concernent

La communication et le reporting sont principalement destination du management des entits,

1 Cf. Article R336-1 du code des assurances.

1.2 C ADRES NORMATIFS ET RGLEMENTAIRES

Un processus de gestion des risques comprenant, au sein de son contexte interne et

Identification des risques : tape permettant de recenser et de centraliser les principaux

Le management des risques de lentreprise : COSO 2

ISO 31000 : 2009

Le FERMA (Federation of European

nise les facteurs de risques internes

LIQUIDITE & RECHERCHE & DEVELOPPEMENT

RISQUES OPERATIONNELS PERILS

1.3 C ADRE SPCIFIQUE AUX ACTIVITS D ASSURANCE

1.3.1 Les dcrets relatifs au contrle interne

1.3.1.2 Le dcret du 19 mai 2008 relatif au contrle interne des institutions de

1.3.2 Les attentes de lAutorit de Contrle Prudentiel (ACP)

1.3.2.1 Les recommandations et les positions de lACP

Dispositions relevant du droit commun

Droit de limmobilier et de lenvironnement approbation demande par les associations

Recommandations : prconisations de bonnes

Codes de conduite homologus

Mise en garde : mesure de police administrative prise

Schma rcapitulatif du corpus de textes de lACP

1.3.2.2 Le contrle permanent de lACP

La situation de chaque organisme est analyse en se fondant sur :

1.3.3 La directive Solvabilit II

Pilier 1 - Exigences quantitatives :

Pilier 2 - Exigences qualitatives de bonne gouvernance :

2.1 L ES ACTEURS - CLS DE LA CARTOGRAPHIE DES RISQUES

Conseil dadministration / Comit daudit

1re ligne de dfense 2me ligne de dfense 3me ligne de dfense

Gestion des risques

Management Contrle interne Audit

Lgende : Fonctions cls (SII)

Autres fonctions support

2.1.1 Les fonctions oprationnelles

2.1.2 Les fonctions support de matrise des risques

2.1.2.1 La fonction gestion des risques

Elle anime lensemble du dispositif didentification, de mesure, de traitement, de surveillance et de

2.1.2.2 La fonction actuarielle

2.1.2.3 La fonction de vrification de la conformit

La fonction de vrification de la conformit veille au respect des obligations dcoulant des

Dans ce cadre, la fonction de vrification de la conformit doit identifier, valuer et contrler