Vous êtes sur la page 1sur 94

LES

CAHIERS

DE

GUIDE D’AUDIT

LA

RECHERCHE

Cartographie des risques

Groupe Professionnel

Assurance

LES CAHIERS DE GUIDE D’AUDIT LA RECHERCHE Cartographie des risques Groupe Professionnel Assurance

IFACI – Paris – juillet 2006

ISBN : 2-915051-16-X

CARTOGRAPHIE DES RISQUES

Toute représentation ou reproduction, intégrale ou partielle, faite sans le consentement de l’auteur, ou de ses ayants droits, ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1 er de l’article 40). Cette représentation ou reproduction, par quelque procédé que ce soit, constituerait une contrefaçon sanc- tionnée par les articles 425 et suivants du Code Pénal.

CARTOGRAPHIE DES RISQUES

REMERCIEMENTS DE L’IFACI

L’IFACI tient tout particulièrement à remercier les participants du groupe Assurance qui ont conçu et rédigé ce cahier :

Marc BARBIER

GROUPAMA PARIS VAL DE LOIRE

Philippe BERAUD

SCOR

Florence BERGERET

IFACI

Marie-Caroline BRASIER

FEDERATION CONTINENTALE

Eric BURLOT

LA MONDIALE

Franck COISNON

OTC CONSEIL

Patrick DUPUIS

AZUR GMF

Jean-Marc DEVAUD

GAN PREVOYANCE

Nicolas FAQUET

AXA

Jacques FASSEL

SCOR

Anne FUSS

MONDIAL ASSISTANCE

Florence FRADIN

IFACI

Dominique GALINIE

MACIF

Valérie GHESQUIERE

FEDERATION CONTINENTALE

Jean-Marc GUITEAU

MMA

Patrick KREPPER

MONDIAL ASSISTANCE

Sylvie LEROY

GAN PREVOYANCE

Pierre LEVEILLER

MMA

Dominique MACE

MONDIAL ASSISTANCE

Didier MERCKLING

GROUPAMA SA

Pascal MILLARD

MACIF

Philippe MOULAY

MACIF

Jean-Paul NICOLAÏ

OTC CONSEIL

Patrick SAINT MAXENT

LA MONDIALE

Philippe SALAUN

CNP

Nelly SALUS

OTC CONSEIL

Alain SINEAU

MMA

Marc TOURTELIER

GROUPAMA PARIS VAL DE LOIRE

Serge VALERINO

MMA

Christophe de VAUBLANC

SWISS LIFE

Louis VAURS, Délégué Général

GUIDE D’AUDIT

3
3
4
4

CARTOGRAPHIE DES RISQUES

GUIDE D’AUDIT

CARTOGRAPHIE DES RISQUES

REMERCIEMENTS DU PRÉSIDENT DU GROUPE PROFESSIONNEL ASSURANCE DE L’IFACI

La publication de « la cartographie des risques » par le Groupe Professionnel Assurance

de l’IFACI constitue une double source de satisfaction. Il s’agit d’abord d’une démarche

collégiale, engagée fin 2003, par le « Club d’Audit des Assureurs » sous la forme d’un

groupe de travail qui a su, sous l’impulsion de Jean-Marc GUITEAU, Déontologue Groupe

et Responsable du contrôle interne des MMA, fédérer les apports d’une dizaine de contri-

buteurs. Le document de synthèse qui a été produit, au terme de 2 années d’échanges,

forme ensuite un outil, marqué par une connaissance intime des métiers de l’assurance,

qui se révélera extrêmement précieux pour tous ceux qui, dans le cadre de la Loi de

Sécurité Financière, des dispositions Sarbanes-Oxley ou du COSO 2, se préoccupent du

renforcement de leur contrôle interne et de leur maîtrise des risques.

Je tiens à remercier Jean-Marc GUITEAU et l’ensemble des participants aux différentes ses-

sions du groupe de travail pour leur persévérance et la très grande qualité du travail

réalisé. Il nous appartient désormais, dans un environnement d’audit et de contrôle

interne qui ne manque pas de sujets d’actualité, notamment sur le plan réglementaire, de

relever le défi d’une future contribution qui ne pourrait être que tout aussi remarquable.

Jean-Yves PELISSON Président du Groupe Professionnel Assurance de l’IFACI, Directeur de l'Audit Général Groupe AGF

GUIDE D’AUDIT

5
5
6
6

CARTOGRAPHIE DES RISQUES

GUIDE D’AUDIT

CARTOGRAPHIE DES RISQUES

TABLE DES MATIÈRES

INTRODUCTION

9

PRÉAMBULE

11

I. LA DÉMARCHE

13

1.1

Conditions préalables

13

1.1.1 Volonté forte des dirigeants

13

1.1.2 Passage obligé par la cartographie des processus

13

1.1.3 Utilisation de deux approches complémentaires : Top Down et Bottom Up . 14

1.1.4 Positionnement des opérationnels au cœur du dispositif

17

1.1.5 Communication à tous les niveaux

18

1.1.6 Actualisation régulière

18

1.2

Etapes de la construction d’une cartographie des risques

19

1.2.1 Définir les objectifs

19

1.2.2 Répertorier les processus

19

1.2.3 Identifier les risques

19

1.2.4 Evaluer les risques

20

1.2.5 Eviter les écueils

20

II. LA NOTION DE RISQUE

21

2.1 Définition du risque

21

2.2 Typologie des risques

21

2.3 Mesure du risque

22

2.4 Niveau de granularité

23

2.5. Evaluation des risques

24

2.6

Quelques exemples

27

2.6.1 Exemples d’évaluation des risques

27

2.6.2 Exemple du processus de souscription de contrat automobile

27

III. LES MENACES IGNORÉES

30

3.1 Risques ignorés

30

3.2 Méthodologies possibles pour identifier les risques « ignorés »

31

3.2.1 Exemples de facteurs d’alerte

31

3.2.2 Priorisation du traitement des menaces ignorées

32

CONCLUSION

33

ANNEXES

35

ANNEXE 1 : Glossaire

37

ANNEXE 2 : Evaluation des risques majeurs

39

ANNEXE 3 : Exemple de restitution de la démarche de cartographie associée au processus de gestion immobilière

55

ANNEXE 4 : Typologie des risques

60

ANNEXE 5 : Détail des macro processus d’une entreprise d’assurance

79

ANNEXE 6 : Démarche de cartographie : processus de souscription d’un contrat d’assurance automobile

81

ANNEXE 7 : Tableau des menaces

87

GUIDE D’AUDIT

7
7
8
8

CARTOGRAPHIE DES RISQUES

GUIDE D’AUDIT

CARTOGRAPHIE DES RISQUES

INTRODUCTION

Le groupe de travail a fonctionné de façon pragmatique et collégiale. Pragmatique dans la mesure où chacun y a participé sur une base volontaire afin d’y apporter sa propre expé- rience et s’enrichir de celle des autres participants. Collégiale car il s’agissait de définir de façon consensuelle la position du groupe de travail.

L’objectif du groupe de travail, ou sa lettre de mission, était de mettre à disposition des professionnels de l’assurance une méthodologie et une boîte à outils permettant le démar- rage et la conduite d’un projet de cartographie des risques dans les meilleures conditions de réussite possibles.

Dans ce contexte, la démarche mise en œuvre a consisté à identifier dans un premier temps les éléments constitutifs d’une cartographie des risques. Ainsi, ont été dissociés les « maté- riaux de base » que sont les processus, les risques définis selon le COSO 2 1 comme, la « possibilité qu’un évènement se produise et ait une incidence défavorable sur la réalisa- tion des objectifs », les éléments de maîtrise de ces risques et la mesure de leur efficacité.

Ensuite, la solidité et la pertinence de cette réflexion préalable ont été confrontées à la réalité du terrain au travers de tests de cartographies menés par certaines des entreprises participantes. Ce sont ces éléments que nous allons détailler dans le présent document.

Ce cahier de la recherche ne propose ni solution miracle, ni démarche exacte, et d’ailleurs certaines des sociétés participantes au groupe de travail ne l’ont pas appliquée strictement. En effet, toute démarche de cartographie doit tenir compte du contexte dans lequel elle est mise en œuvre, et notamment :

• du dispositif de contrôle interne préexistant et de l’organisation dans lesquels la démar- che est mise en œuvre ;

• de la maturité de l’entreprise en matière de gestion des risques et de l’impact de « Solvabilité II » 2 sur son organisation et sa gestion de risques ;

• des risques que l’on souhaite effectivement appréhender et piloter au moyen d’une car- tographie ; s’agit-il principalement des risques les plus graves ou au contraire de l’ensemble des risques identifiés ?

Enfin, ce cahier traite de l’identification, de la mesure et du pilotage des risques découlant de la mise en œuvre opérationnelle du métier d’assureur et non des risques acceptés et garantis dans le cadre de ce même métier.

1 Ouvrage traduit en français par l’IFACI et PwC en 2005 sous le titre « Le Management des risques de l’entreprise » - copyright en français IFACI.

2 Tout comme « Bâle II » pour le secteur bancaire, la directive européenne « Solvabilité II » prévue en juillet 2007 a pour objectif principal de faire en sorte que les exigences imposées aux entreprises d’assurance reflètent mieux les risques auxquels celles-ci sont réellement confrontées.

GUIDE D’AUDIT

9
9
10
10

CARTOGRAPHIE DES RISQUES

GUIDE D’AUDIT

CARTOGRAPHIE DES RISQUES

Contexte :

PRÉAMBULE

Depuis une vingtaine d'années, des dispositifs plus ou moins complets ont vu le jour au plan international. Les affaires ENRON, WORLDCOM, VIVENDI, pour ne citer que les plus symptomatiques, ont provoqué une nouvelle prise de conscience. Les différents codes ou lois promulgués, que ce soit le TURNBULL GUIDANCE en Angleterre, le SARBANES- OXLEY ACT aux Etats-Unis, ou la Loi de Sécurité Financière plus proche de nous répon- dent à l’objectif principal de donner l’assurance aux administrateurs, aux actionnaires, aux clients, aux partenaires, aux autorités de contrôle, que les activités sont maîtrisées grâce à un contrôle interne efficient.

La loi de sécurité financière publiée en août 2003 et le décret du 3 janvier 2005 pour les Sociétés d’Assurance mutuelles, imposent au Président du Conseil d’Administration ou de Surveillance de rendre compte, dans un rapport, des procédures de contrôle interne mises en place; ces procédures, pour leur partie relative à l’élaboration et au traitement de l’information comptable et financière, devant faire l’objet en outre d’un rapport spécial des commissaires aux comptes.

Même si les rapports portant sur les exercices 2003 et 2004 font état de descriptions du dispositif de contrôle interne et des principaux risques sans appréciation de l’efficacité du dispositif, on peut penser qu’il s’agit d’une première étape.

Cette loi et ce décret incitent à identifier les risques liés aux activités de la société, l’analyse des risques constituant un des points majeurs de tout dispositif de contrôle interne.

Même si les fonctions de contrôle interne sont apparues plus récemment dans le domaine de l'Assurance que dans le secteur bancaire, de nombreuses Sociétés d'Assurance n'ont bien sûr pas attendu la promulgation de la LSF pour se préoccuper d'audit et de contrôle internes, l'évaluation du risque étant, par nature, au cœur du métier d'Assureur.

On peut simplement observer que ce contexte, pour certaines Sociétés d'Assurance, est venu conforter et légitimer les activités d'audit et de contrôle internes déjà en place et, que pour d'autres , cela a été l'occasion de les organiser.

Mais au-delà du respect de la loi, le renforcement du contrôle interne est source de valeur ajoutée et permet notamment de :

• favoriser la transparence et la fiabilité des informations financières ;

• optimiser l’efficacité de l’organisation et des processus ;

• garantir le respect des lois et règlements ;

• assurer la qualité de la gouvernance.

La dimension « risque » vient enrichir la vision des dirigeants en complément des axes stratégiques et opérationnels et devient un élément de management à part entière.

GUIDE D’AUDIT

11
11
12
12

CARTOGRAPHIE DES RISQUES

GUIDE D’AUDIT

CARTOGRAPHIE DES RISQUES

I.

LA DÉMARCHE

1.1

Conditions préalables

Cette partie aurait pu tout aussi bien s’intituler « Principes à respecter », ou les « Facteurs clés de succès », ou plus encore « Nos convictions », dans la mesure où elle regroupe les principales conditions à réunir pour réussir une cartographie des risques. Ces conditions sont au nombre de six.

1.1.1 Volonté forte des dirigeants

Cette volonté doit se trouver à deux niveaux :

• Le Conseil d’Administration ou Conseil de Surveillance tout d’abord, dont le Président, il faut le rappeler, se doit de produire le « Rapport du Président » sur les pro- cédures de contrôle interne. Or l’identification et l’évaluation des risques est à la base d’un bon dispositif de contrôle interne. Lorsqu’il existe, le Comité d’Audit est le lieu privilégié où doit se manifester cette volonté.

• La Direction Générale, qui doit donner l’impulsion à l’ensemble du dossier, mais sur- tout créer les conditions et mettre en place les moyens de réaliser cette cartographie des risques, ce qui passe inévitablement par l’allocation de ressources dédiées. Plus large- ment, le Comité de Direction doit être complètement partie prenante, ne serait-ce que parce que chaque Directeur, qu’il soit opérationnel ou fonctionnel, doit initier cette démarche dans sa propre Direction.

1.1.2 Passage obligé par la cartographie des processus

Il y a de multiples raisons d’élaborer une cartographie des processus dans une entreprise :

simple modélisation des process, migration d’un système d’information vers un autre, harmonisation des process après fusion d’entreprises… Mais il en est au moins une qui la rend indispensable : l’élaboration de la cartographie des risques.

D’une façon générale, nous retrouvons trois grandes catégories de processus :

• les processus métiers, ou processus opérationnels, ou processus de réalisation : vente, souscription, production, sinistres… ;

• les processus managériaux ou de pilotage : stratégie, plans d’actions, budget… ;

• les processus supports : ressources humaines, finances, comptabilité, informatique, logistique…

GUIDE D’AUDIT

13
13

CARTOGRAPHIE DES RISQUES

1.1.3 Utilisation de deux approches complémentaires : Top Down et Bottom Up

Dans le cadre d’une démarche de cartographie, il est possible de distinguer parmi les nom- breuses méthodes possibles deux grandes approches. La première consiste à partir des processus pour identifier les différents risques de l’entreprise, la seconde est basée sur un recensement des risques par le Comité de Direction. Ces deux possibilités ne s’opposent pas mais se complètent :

Métier

Top down

Domaine

Processus

Opérations

Tâches élémentaires

Domaine Processus Opérations Tâches élémentaires Bottom up Cette partie reprend les grandes séquences de
Domaine Processus Opérations Tâches élémentaires Bottom up Cette partie reprend les grandes séquences de

Bottom up

Cette partie reprend les grandes séquences de chaque méthode, discute des avantages et des inconvénients de chacune et indique les écueils à éviter.

1.1.3.1 L’approche Top Down

Première étape : l’analyse des risques

Dans cette démarche, le risque est appréhendé dans une vision globale de l’entreprise. L’approche consiste à faire identifier les risques majeurs par les membres du Comité de Direction. Ainsi, les dangers sont recensés au regard de la stratégie suivie par l’entreprise. Une autre approche consiste à identifier les risques par parties prenantes (salariés, action- naires, clients, etc.) afin de recenser les menaces qui pèsent sur l’entreprise. Cette dernière approche a été testée par le Groupe de travail, mais elle ne s’est toutefois pas avérée opé- rationnelle.

Deuxième étape : le rattachement des risques aux processus

Au cours de cette phase, il s’agit de remplir le double objectif de mise en cohérence des risques identifiés avec les activités de l’entité et d’exhaustivité de la cartographie. En effet, les risques mis en évidence au niveau de la démarche Top-Down doivent être rat- tachés aux processus de l’activité. Ce rapprochement a également pour effet bénéfique de s’assurer de la complétude de l’analyse.

14
14

GUIDE D’AUDIT

CARTOGRAPHIE DES RISQUES

Troisième étape : l’évaluation et la hiérarchisation des risques

Les risques d’une compagnie d’assurance sont analysés en approche « Top-Down » avec la Direction générale, en s’appuyant sur une représentation graphique bidimensionnelle (fréquence/impact) sous forme de matrice de criticité (cf. annexe 2). La finalité d’une telle approche est de schématiser le profil de risques propre à la compagnie, et de déterminer un ordre de priorité des risques majeurs pour leur traitement.

Les niveaux de criticité en impact (perte potentielle en unités de valeur) pourront cor- respondre à des seuils fixés dans le cadre de la gestion des fonds propres (ceux de la société mère et ceux de la filiale concernée) et dans le cadre de la réassurance (réassurance des événements catastrophiques, réassurance par sinistre).

Les niveaux de criticité en fréquence (nombre de survenances possibles d’un risque en une année), pourront être faibles (inférieurs à un seuil très bas pouvant correspondre à celui recommandé par BALE II), moyens, élevés et certains (c’est à dire avec survenance certaine plusieurs fois dans l’année).

La matrice de criticité pourra enfin être représentée sous trois versions : les risques bruts, les risques résiduels acceptés et les risques résiduels réels.

Enfin une méthodologie peut être développée afin d’appuyer l’évaluation des risques majeurs sur le niveau de qualité du contrôle interne et de la maîtrise des risques (voir annexe 2).

1.1.3.2 L’approche Bottom Up

Première étape : l’identification des processus

Le recensement des processus de l’entreprise constitue le point de départ de cette démar- che. Un niveau de détail approprié doit être choisi en fonction des objectifs de la cartographie. Ce niveau doit être suffisamment fin pour identifier de façon pertinente les risques signi- ficatifs mais ne doit pas conduire à lister l’ensemble des sous processus de l’entreprise. Ce choix permet ensuite de déterminer le niveau hiérarchique d’interlocuteur à rencontrer afin de collecter les informations. Une fois le contexte de cette démarche rappelé aux personnes interrogées, l’entretien peut se dérouler de deux manières distinctes. Il peut être basé sur un questionnaire ou se dérou- ler de façon ouverte, permettant ainsi une plus grande liberté dans l’expression de la vision des processus et des risques de la part des opérationnels. Les informations recueillies au cours de cette étape sont ensuite classées afin d’établir une nomenclature des processus majeurs. Ils sont à la base de l’établissement de la cartographie des risques et peuvent être classés en 3 grandes familles. Les processus relatifs à la production quotidienne (processus métiers), ceux relatifs aux activités permettant le bon fonctionnement de l’entreprise (pro- cessus supports) et ceux concernant les activités de management (processus managériaux).

GUIDE D’AUDIT

15
15

Deuxième étape : l’identification des risques

CARTOGRAPHIE DES RISQUES

Une première identification des risques est réalisée au cours des entretiens avec les opéra- tionnels. Comme pour le recensement des processus, la description des risques peut se faire soit sur la base d’un questionnaire soit de manière ouverte, facilitant ainsi l’identifi- cation de risques. Cette première identification est construite conjointement par le management de l’activité opérationnelle et les équipes en charge de la cartographie. Le recensement des risques étant réalisé à partir de différentes activités prises isolément, il apparaît important d’identifier également les risques liés aux interrelations entre ces acti- vités. Ce n’est qu’une fois cette étape franchie que ces risques pourront être classés. Plusieurs possibilités sont alors offertes. L’entreprise peut faire le choix d’une typologie spécifique à l’entreprise, en fonction du domaine d’activité et des objectifs définis pour la démarche.

Troisième étape : l’évaluation et la hiérarchisation des risques

Avant de se lancer dans cette étape, il convient de définir un certain nombre de principes structurants tels que les méthodes d’évaluation des risques. Elles sont différentes selon qu’il s’agit de répondre à une question de stratégie ou d’analyse de type rentabilité/risque. Les risques sont évaluables quantitativement par les informations recueillies dans le cadre de l’analyse des processus. Ce sont soit des données déjà existantes : statistiques et tableaux de bord, bases incidents, comptes techniques, … ; soit des données constituées pendant la démarche d’identification des risques : comptage d’opérations et d’anomalies, mise en place de statistiques d’observation, etc. De même que pour la démarche « bottom- up », il est préférable que ce travail soit réalisé avant tout par les opérationnels concernés.

En résumé, l’évaluation pourra être soit qualitative et être établie sur la base de rapports de l’audit interne ou d’avis d’experts, soit semi-quantitative et basée sur un système de notation du couple fréquence/impact, soit quantitative quand un chiffre de perte proba- ble est associé à un risque

1.1.3.3 La construction de la cartographie

Cette phase est essentielle dans la démarche de cartographie dans la mesure où elle per- met de s’assurer de la meilleure identification des risques de l’entreprise. En effet, l’iden- tification des risques inhérents aux processus opérationnels de l’entreprise ne permet pas de prendre en compte certains dangers dits stratégiques. Par exemple, le risque d’image ou bien le risque légal (responsabilité des dirigeants) pourrait être omis sans la réalisation de cette étape. Pour répondre à ce besoin, ces risques stratégiques doivent être étudiés et rapprochés de la cartographie obtenue par l’analyse des processus. Selon les participants du groupe de travail qui ont entrepris une démarche de cartographie au sein de leur entreprise, la construction s’effectue en référence permanente avec la typo- logie des risques afin de veiller à ne pas oublier certains risques. Ce rapprochement per- met également l’élaboration de tableaux de cartographie, tableaux dont des exemples sont joints en annexe 3.

16
16

GUIDE D’AUDIT

CARTOGRAPHIE DES RISQUES

1.1.3.4 Avantages, inconvénients, écueils à éviter

La méthode Bottom-up présente des avantages à 3 niveaux.

• L’approche par les processus permet d’obtenir une bonne connaissance des activités de l’entreprise et les résultats peuvent ensuite être utilisés à d’autres fins, dans le cadre d’une réorganisation ou à l’occasion d’une démarche qualité.

• L’analyse dans le détail des activités permet un recensement exhaustif des risques.

• La consultation des opérationnels pour la réalisation de la cartographie permet d’obte- nir une implication satisfaisante de leur part.

En revanche, c’est une démarche consommatrice de temps dans la mesure où elle requiert la tenue de nombreux entretiens et la collecte d’informations en masse. Par ailleurs, elle peut s’avérer coûteuse en termes de compétences et de systèmes car la collecte des don- nées nécessite souvent le recours à des outils adaptés.

Quant à l’approche Top-down, elle permet une mise en œuvre plus légère puisque les entretiens nécessaires sont moins nombreux et ne nécessitent pas une analyse des proces- sus. L’examen des risques stratégiques permet également de s’assurer de la prise en compte plus immédiate des processus transversaux ou managériaux, ce qui peut être plus en adéquation avec les attentes de la Direction générale. Cependant, elle présente l’inconvénient d’être moins précise, tant dans l’identification des risques que dans leur quantification. Par ailleurs, les opérationnels n’étant pas associés, ils peuvent avoir du mal à s’approprier la démarche.

Le groupe de travail considère ces deux démarches comme complémentaires et c’est pour- quoi il recommande, dans la mesure du possible, de les combiner en fonction des moyens et des délais accordés.

En effet, ces deux approches, non seulement ne s’opposent pas, mais sont complémentai- res. Elles peuvent être conduites soit de façon successive, soit de façon simultanée, la ques- tion du choix pouvant se poser lors du démarrage d’un projet de cartographie.

L’approche Top Down facilite la fixation de priorités d’actions dans ce qui remonte de l’approche Bottom Up, et cette dernière permet de valider et de compléter les éléments res- sortis dans l’approche Top Down.

Ces deux méthodes ont ainsi naturellement vocation à alimenter et faire vivre la carto- graphie.

Enfin, il convient de préciser que, quelles que soient la ou les méthodes utilisées, nous ne pouvons jamais être certain de couvrir l'exhaustivité des risques.

1.1.4 Positionnement des opérationnels au cœur du dispositif

On entend ici par opérationnels, l’ensemble des collaborateurs qui agissent dans l’entre- prise : les commerciaux (qu’ils soient salariés ou mandataires), les gestionnaires (tant en production qu’en sinistres ou prestations), mais aussi tous les collaborateurs fonctionnels

GUIDE D’AUDIT

17
17

CARTOGRAPHIE DES RISQUES

d'un Siège : comptables, chargés d’études, gestionnaires paie…. L’encadrement de proxi- mité fait partie intégrante des opérationnels.

Chaque opérationnel, chaque manager de proximité est propriétaire de ses risques.

Ils doivent s’approprier la démarche et être les premiers consultés, quelles que soient les méthodes mises en œuvre, que celles-ci reposent sur des questionnaires individuels, des ateliers ou des interviews.

1.1.5 Communication à tous les niveaux

Si l’impulsion, en terme de communication, doit aussi être donnée par la Direction Générale, il appartient à chaque Directeur, cadre supérieur, cadre de proximité de relayer cette communication et ce, sur deux registres.

D’abord, par le canal classique hiérarchique, communication :

• entre la Direction Générale et les Directeurs ;

• entre le Directeur et son encadrement supérieur ;

• entre l’encadrement supérieur et l’encadrement de proximité ;

• entre l’encadrement de proximité et les opérationnels ;

en étant vigilant sur les risques de déperdition d’information entre les différents niveaux.

Mais la communication doit aussi fonctionner de façon transversale :

• entre les Directions opérationnelles ;

• entre les Directions fonctionnelles ;

• entre les Directions opérationnelles et les Directions fonctionnelles;

chacune des Directions étant presque toujours intégrée dans un macro-processus, tour à tour client puis fournisseur des autres Directions.

1.1.6 Actualisation régulière

Avoir finalisé la cartographie des risques de son entreprise représente une étape essentielle dans la mise en œuvre du dispositif de contrôle interne.

Encore faut-il, ensuite, faire vivre cette cartographie des risques, en l’actualisant régulière- ment. A défaut, et compte tenu de la rapidité de l’évolution de la vie de l’entreprise, cette cartographie deviendrait rapidement inopérante et l’entreprise perdrait le bénéfice de l’investissement réalisé au départ. Mais, là aussi, cela nécessite d’allouer un minimum de ressources à la maintenance de cet outil.

Par ailleurs, cette actualisation sera facilitée s'il existe notamment :

• un Comité des Risques au niveau de l'entreprise ;

• un Responsable des Risques au sein de chaque entité opérationnelle.

Enfin, des facteurs tels que les évolutions réglementaires, les nouveaux risques, les incer- titudes croissantes liées à l'environnement, rendent indispensables cette actualisation.

18
18

GUIDE D’AUDIT

CARTOGRAPHIE DES RISQUES

Ces six conditions présentées ci-dessus constituent une situation quasi-idéale, dont il faut essayer de se rapprocher. Bien évidemment, le principe de réalité fait que certaines condi- tions seront imparfaitement remplies, ce qui ne doit pas empêcher la production d’une car- tographie des risques.

1.2 Etapes de la construction d’une cartographie des risques

Quelle que soit l’approche utilisée – Top Down ou Bottom Up – la démarche d’élaboration d’une cartographie des risques ne peut réussir que si les cinq étapes ci-dessous sont fran- chies.

1.2.1 Définir les objectifs

Nous sommes, lors de cette première étape, dans l’environnement de contrôle interne. Quels sont les objectifs découlant de la stratégie et ce, pour chaque entité de l’entreprise, en fonction de son organisation : par métier, par zone géographique, par segment de mar- ché… ? Quels résultats en attend l’entreprise : objectifs de chiffre d’affaires, de production, de marge technique, de qualité de service client, de produits financiers, de résultat d’exploi- tation… ?

1.2.2 Répertorier les processus

Quels sont les principaux processus de l’entité concernée ? Permettent-ils l’atteinte des objectifs ?

Il faut, ici, notamment dans l’approche Bottom Up avec les opérationnels, certes décom- poser les macro-processus en sous-processus (ou processus spécialisés) mais aussi veiller à ne pas descendre à un niveau trop fin (les tâches élémentaires par exemple), ce qui ren- drait la cartographie complexe, voire inopérante. Il convient en effet de rester au niveau des processus supposés porteurs de risques significatifs.

1.2.3 Identifier les risques

Dans chaque entité, qu’elle soit opérationnelle ou fonctionnelle et processus par processus, il est indispensable de procéder à l’identification des risques, au sens d’événements venant perturber l’atteinte des objectifs, en utilisant pour ce faire, toutes les méthodes appropriées (cf. documents joints en annexe 2). Mais s’arrêter à la seule identification des risques serait néanmoins insuffisant.

GUIDE D’AUDIT

19
19

1.2.4 Evaluer les risques

CARTOGRAPHIE DES RISQUES

Ausitôt après avoir identifié un risque, l’étape suivante consiste à l’évaluer au regard des deux paramètres fondamentaux en la matière, que sont l’impact (I) et la fréquence (F), là aussi en utilisant les approches méthodologiques les plus adaptées (cf. documents en annexe 2), telles que la matrice de criticité.

Il s’avère utile également de bien préciser que l’on travaille sur le risque brut, le risque rési- duel, résultant de la mise en œuvre des éléments de maîtrise.

1.2.5 Eviter les écueils

Quelle que soit la démarche retenue, les écueils sont nombreux et il convient d’en tenir compte dès le début de la mise en œuvre de la cartographie.

Le recensement des processus et des risques inhérents ne doit pas descendre, en matière de granularité, à un niveau de finesse excessive. De même, la recherche de l’exhaustivité des risques peut conduire à un long travail d’identification ; certains de ces risques s’avé- rant in fine non significatifs ou non pertinents.

L’absence d’outils dédiés et le recours à des produits bureautiques divers peut rendre la consolidation et l’exploitation des informations difficiles.

Par ailleurs, une approche trop dirigiste lors des entretiens peut entraîner une identifica- tion partielle des risques, l’opérationnel rencontré étant cantonné à un cadre délimité par des questionnaires ou cartographies de référence. De plus, les opérationnels peuvent être réticents à indiquer certains risques du fait d’une approche trop inquisitrice, installant de fait un climat moins propice aux échanges et à l’expression spontanée des risques.

Concernant l’évaluation, il s’agit bien de s’assurer de l’adéquation des méthodes utilisées avec les objectifs assignés à la démarche de cartographie. Une approche quantitative peut en effet s’avérer inappropriée dans certains cas. En revanche, le recours à des méthodes purement qualitatives ne permet pas toujours d’évaluer avec justesse l’importance des mesures de contrôle à mettre en œuvre ; l’entreprise pouvant renoncer à des couvertures jugées trop coûteuses sur la base de risques évalués grâce à une échelle de notation.

20
20

GUIDE D’AUDIT

CARTOGRAPHIE DES RISQUES

II.

LA NOTION DE RISQUE

2.1

Définition du risque

Un risque est communément défini comme « une menace qu’un événement ou une action se produise dans le futur et entraîne des effets négatifs pour l’entreprise dans les objectifs qu’elle s’est fixée ».

L’IFACI définit le risque (lexique « Les mots de l’Audit ») comme étant « un ensemble d’aléas susceptible d’avoir des conséquences négatives sur une entité et dont le contrôle interne et l’audit ont notamment pour mission d’assurer autant que faire se peut la maîtrise ». Dans une approche plus internationale, la définition du Risque proposée dans le COSO 2 est la suivante : « Possibilité qu’un évènement se produise et ait une incidence défavorable sur la réalisation des objectifs ». Cette connotation négative du risque doit se transformer en « une opportunité que l’entre- prise doit anticiper, comprendre et gérer dans le cadre de sa stratégie pour atteindre ses objectifs et créer de la valeur ». Ceci repose également sur l’élaboration d’une cartographie des risques.

2.2 Typologie des risques

En préalable, il convient de préciser que la typologie des risques telle que l’a abordée le groupe de travail ne porte pas sur les risques acceptés et garantis dans le cadre du métier d’assureur mais sur ceux découlant de la mise en œuvre opérationnelle de ce métier.

Le risque est inhérent à l’activité de l’entreprise. Deux catégories majeures de risques sont alors rencontrées :

• les risques endogènes, propres à l’activité de l’entreprise, qui sont liés à ses processus, son organisation, son système d’information, son management, etc. ;

• les risques exogènes dont l’origine provient de l’environnement de l’entreprise : les clients, les fournisseurs, les sociétaires ou actionnaires, les concurrents, les marchés financiers, les catastrophes naturelles ; l’entreprise ayant peu de prise sur cette dernière catégorie de risques.

Dans ces deux grandes catégories, les risques se déclinent en :

risques avérés, c’est à dire qui se sont déjà concrétisés dans le passé ;

risques potentiels, c’est à dire qui sont connus mais qui ne se sont pas encore concréti- sés ;

risques non identifiés ou risques ignorés (cf. partie III).

GUIDE D’AUDIT

21
21

CARTOGRAPHIE DES RISQUES

Le groupe de travail a élaboré une « Nomenclature des risques d’une entreprise d’assuran- ces » (présentée en annexe 4) permettant de lister et structurer les risques encourus par une compagnie d’assurance et ainsi avoir un vocabulaire commun. Sans être exhaustive, cette nomenclature descend à un niveau de détail suffisant pour être exploitable, c’est à dire pour définir non seulement les risques au niveau de l’entreprise d’assurance, mais aussi au niveau de chaque secteur opérationnel de l’entreprise.

Cette modélisation a conduit à définir trois niveaux de risques complémentaires, permet- tant ainsi un degré de finesse satisfaisant :

le niveau 1, qui concerne les grandes familles de risques (financiers, opérationnels…) ;

le niveau 2, qui permet de mieux cerner dans quelle catégorie de risques on se situe au sein d’une même famille (exemple pour les risques financiers : liquidité, marchés, cré- dit…) ;

le niveau 3, qui offre un degré de détail supplémentaire au sein de ces catégories (exem- ple pour le risque financier de crédit : Règlement livraison, défaut émetteur….).

La démarche de modélisation des risques ainsi mise en œuvre a conduit à les désigner par leur cause, c’est à dire l’origine première du phénomène dont il résulte :

Les risques de niveau 1 ont été déclinés en 6 familles 1 :

risques financiers : risques de gestion de bilan ou financière ;

risques d’assurance : risques spécifiques aux activités d’assurance ;

risques opérationnels : risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement ;

risques comptables : risques relatifs au domaine comptable ;

risque de pilotage : risques relatifs au management d’entreprise ;

risques externes : risques générés par l’environnement de l’entreprise.

Chacune de ces 6 familles a ensuite été déclinée en risques de niveau 2, au nombre de 31, lesquels ont été à leur tour déclinés en risques de niveau 3, au nombre de 164.

Ainsi, selon le niveau auquel l’entreprise souhaite descendre, elle peut travailler sur un nombre plus ou moins grand de risques, permettant alors un degré de finesse variable dans la vision des risques encourus.

2.3 Mesure du risque

Les composantes du risque sont explicitement définies tant par la définition ISO du risque que dans le glossaire des Normes professionnelles de l’audit interne, voire dans le cadre de COSO 2 : « la possibilité que se produise un événement qui aura un impact sur la réalisation des objectifs. Il se mesure en termes de conséquences et de probabilité. »

1 Ce découpage est certes différent de celui proposé dans Solvabilité II, mais il semble aux membres du groupe de travail qu’il est plus proche des préoccupations des opérationnels.

22
22

GUIDE D’AUDIT

CARTOGRAPHIE DES RISQUES

En terme de conséquences :

• Quelle est la conséquence si le risque se concrétise ? Il est toutefois possible qu’elle soit selon les situations favorable ou défavorable. Il semble de bon sens d’évacuer de la démarche le fait que la survenance d’un risque soit source de gain et d’opportunité pour l’entreprise. Les différentes conséquences se déclinent en grandes catégories, à savoir :

• perte financière (baisse des revenus ou hausse des coûts), directe ou indirecte, immé- diate ou à terme ;

• responsabilité civile et/ou pénale ;

• sanctions légales et/ou professionnelles ;

• dégradation de l’image. Plutôt que de conséquences, nous parlerons d’impact.

En terme de probabilité :

• Quelle est la probabilité de survenance du risque ? C’est la possibilité plus ou moins forte de subir les conséquences de l’événement considéré, à tout moment ou dans le temps, on parlera alors de fréquence de survenance.

Seule la combinaison de ces deux composantes permet d’estimer raisonnablement le niveau de risque.

Enfin, il faut préciser à quel niveau de risque on se situe, risque brut ou risque résiduel, dans la mesure où il convient de tenir compte de l’existence d’éléments visant justement à réduire les conséquences de sa survenance :

le risque brut mesure le risque sans aucun élément de maîtrise : absence de procédu- res, absence de contrôle interne, absence de système informatique,…

le risque résiduel ou le risque net mesure le risque après mise en place des éléments de maîtrise : contrôle interne, couverture financière, transfert du risque…

La liste des risques identifiés et évalués se représente ensuite sous forme d’une « carto- graphie des risques » suivant un axe « fréquence » et un axe « impact potentiel ».

2.4 Niveau de granularité

On entend par granularité le niveau de détail sur lequel peut se construire une cartogra- phie. La définition de la granularité est essentielle car plus le niveau de détail est fin, et plus le travail correspondant d’identification des risques est important. Elle impacte donc l’élaboration de la cartographie et sa maintenance ultérieure. Choisir le bon niveau de gra- nularité est également important afin de calibrer la démarche aux moyens disponibles et au planning souhaité. Ainsi, cinq niveaux complémentaires de granularité, du plus large au plus particulier, ont été identifiés :

le métier : IARD, Vie, Assistance, Réassurance… ;

le domaine : pour le métier IARD : Habitat, Auto, transport aérien… ;

le processus : pour les particuliers : processus souscription, processus sinistres, proces- sus prestations… ;

GUIDE D’AUDIT

23
23

CARTOGRAPHIE DES RISQUES

l’opération : pour le processus prestations : enregistrement, règlement du sinistre… ;

la tâche élémentaire : pour l’opération règlement du sinistre : envoi du chèque.

Ces niveaux sont indépendants de la nature – managériale, métiers, supports – des modes opératoires (cf. annexe 2).

Le groupe de travail s’est accordé pour désigner le niveau médian « processus » comme le niveau pertinent d’une cartographie. En effet, celui-ci constitue d’une part le meilleur com- promis entre le temps passé à l’élaboration de la cartographie et le degré de pertinence de la vision des risques. D’autre part, c’est le niveau d’équilibre permettant de faire conver- ger et de relier les éléments obtenus à partir de chacune des deux principales méthodes (Top Down et Bottom Up).

2.5 Evaluation des risques

La question se pose donc de savoir comment apprécier le risque : par niveaux de fréquence (très probable, probable, peu probable ou très peu probable) ou selon une appréciation financière des impacts (quel est le coût estimé de la survenance d’un risque ?). L’évaluation d’un risque consiste à apporter des informations justifiables sur la fréquence et les impacts du risque.

L’appréciation doit être qualitative avant d’être quantitative. Cependant, cette apprécia- tion est insuffisante en général et doit être complétée par une évaluation de l’impact et de la fréquence de survenance (sa probabilité). En effet, le risque brut peut être résumé selon l’équation suivante :

Risque brut = impact prévisible x fréquence d’occurrence

Le risque brut est rarement celui effectivement supporté par l’organisation, car il suppo- serait une attitude complètement passive de cette dernière. Il s’agit en effet de son impact avant intervention des éléments de protection, éléments qui conduisent à maîtriser totale- ment ou partiellement le risque pour le contenir dans des zones acceptables en terme de conséquences. Ces éléments de maîtrise transforment donc le risque brut en un risque rési- duel.

Il s’avère, de façon couramment admise, que l’appréciation des risques bruts et résiduels est du ressort des opérationnels, qui en appréhendent plus aisément les impacts. Toutefois, cette estimation doit faire l’objet d’une confrontation avec la ou les personnes en charge de la cartographie afin de « valider » les hypothèses retenues en terme d’impact et de fré- quence. Le cas échéant en cas de divergence de vue, il peut être utile de faire trancher la question par un comité ad-hoc. En effet, nous pouvons être confrontés au fait que certains opérationnels ont tendance à minorer les impacts potentiels d’un risque dont ils ont la responsabilité. De plus, il est pos- sible que les opérationnels ne pensent pas aux risques majeurs à fréquence très faible. En tout état de cause, l’entité en charge de l’élaboration de la cartographie des risques doit veiller à la cohérence d’ensemble, notamment pour permettre une consolidation des risques pertinente.

24
24

GUIDE D’AUDIT

CARTOGRAPHIE DES RISQUES

Apprécier les éléments de fréquence constitue également une difficulté pour l’élaboration de la cartographie. Pour y parvenir, il convient de recenser toutes les sources possibles d’information (discussions avec les opérationnels, les contrôleurs internes, les auditeurs internes et les commissaires aux comptes, lecture des rapports d’audit existants, docu- ments du secteur, bases internes d’incidents, etc.).

L’idée est de nourrir l’argumentation pour confirmer l’appréciation réalisée. Ceci sert ensuite de base de discussion avec l’opérationnel afin de recueillir son avis sur cette fré- quence. Dans le cas contraire, il convient de procéder à un arbitrage en vue de s’accorder sur une fréquence potentielle.

Cette démarche itérative permet alors d’associer une fréquence à chaque couple proces- sus / risque.

Le groupe de travail recommande l’utilisation d’une échelle de fréquence de 1 à 4, du moins fréquent au plus fréquent, et de deux niveaux d’appréciation de cette fréquence : en temps (l’événement se produit tous les jours, toutes les semaines, tous les mois, tous les tri- mestres, tous les 1, 5, 7, 20 ou 100 ans) et/ou en volume (l’événement se produit dans 1% des cas, 10 % des cas, 0,1% des cas, etc.).

Le tableau suivant croise ces différents éléments :

Niveau

1

2

3

4

 

Très peu probable

Peu probable

Probable

Très probable

En temps

> 3 ans

1 - 3 ans

6 mois - 1 an

< 6 mois

En volume

< 1%

1 - 5 %

5 - 10 %

>= 10 %

L’échelle de temps peut être adaptée bien sûr selon la stratégie de l’entreprise et la nature des risques qu’elle encourt.

Par convention, il est préférable de retenir que plus le risque est grand, plus le chiffre doit l’être. De plus l’échelle proposée est une échelle paire, ceci afin de « prendre parti » et de catégoriser le risque, ce qui évite les risques « moyens » ne permettant pas une analyse per- tinente.

Ces évaluations se font en deux phases :

• risque pris en compte en supposant l’entreprise passive : risque brut ;

• risque pris en compte avec les mesures déjà en place : risque résiduel.

GUIDE D’AUDIT

25
25

CARTOGRAPHIE DES RISQUES

Le tableau ci après illustre la démarche d’évaluation selon les possibilités de mesure effec- tive du risque.

Façon :

Qualitative

   

Estimation de :

Semi-quantitative

Quantitative

la fréquence poten- tielle de la surve- nance du risque (f)

 

Nul/faible/moyen/

Moyenne attendue du nb de survenance dans l’horizon de temps choisi (Bâle II : f = N x p) *

fort

 

ou

   

échelle numérique à

 

l’impact potentiel, en termes de coût finan- cier (« severity »)

nombre

pair de

Montant sur échelle de valeur continue (ex. : millions d’)

niveaux

l’impact potentiel en termes d’image, de mise en cause des dirigeants, …

Description des effets, notamment :

Echelle de gravité selon critères objec- tifs, avec un nombre pair de niveaux

A définir au cas par cas si possible (sanc- tion pécuniaire : cf. impact financier supra)

mise en cause possi- ble des dirigeants

* - N : espérance, pendant l’horizon de temps (1 an), du nombre d’événements générateurs du risque.

- p : probabilité que le risque survienne lors d’un événement.

- Dans de nombreux cas, une de ces deux caractéristiques, notamment p, ne sont pas esti-

mables, et/ou il est plus simple de faire une estimation directe de la fréquence annuelle.

Enfin, la responsabilité de l’évaluation des risques doit être clairement arrêtée. Bien que les opérationnels soient les seuls propriétaires du risque, la responsabilité de l’évaluation peut toutefois être partagée. A cette fin, la démarche peut s’appuyer sur des expertises externes ou des techniques utilisées au sein des départements de Risk Management, d’audit ou de Contrôle internes.

26
26

GUIDE D’AUDIT

CARTOGRAPHIE DES RISQUES

2.6 Quelques exemples

2.6.1 Exemples d’évaluation des risques

Exemple 1 : Risque de marché extrême (gestion actif passif) :

Conséquences

Inadéquation actif / passif, risque de liquidité, risque de crédit (=> risque systémique).

Effets directs

Perte de valeur à l’actif, conditions de réalisation d’actif fondamentale- ment modifiées, intervention forcée sur la réallocation de l’actif ou du passif à un moment inopportun.

Effets indirects

Primes non collectées car entreprises défaillantes (conséquences sur le chiffres d’affaires, donc le compte de résultats, pas sur le bilan), risque sur la demande car il entraîne des conséquences commerciales sur l’acti- vité.

Probabilité

fréquence 5/10 ans. Mais par définition, difficile à « programmer » !

Exemple 2 : Risque sur la demande (Risque Marketing) :

Conséquences

Majoration de la demande, avec des impacts sur la qualité de la presta- tion voire de la solvabilité ; Minoration de la demande, et ses consé- quences en matière d’économies d’échelle,

Effets directs

allongement du temps pour atteindre le point d’équilibre financier, voire non atteinte de ce point d’équilibre, insatisfaction des clients et perte d’opportunité (offre couplée par exemple), perte potentielle d’activité,

Coûts liés

réalisation d’études Marketing supplémentaires, arrêt de la commercia- lisation du produit, embauche éventuelle de ressources humaines pour étoffer les moyens. Ce risque est cependant quantifiable en coût.

Probabilité

fréquence faible et par ailleurs difficile à estimer car elle implique direc- tement la compétence des collaborateurs !

2.6.2 Exemple du processus de souscription de contrat automobile

Le groupe de travail s’est penché sur l’analyse de ce processus afin de confirmer la validité des outils méthodologiques définis. Ce processus offre un double avantage, celui d’être partagé par le plus grand nombre d’entreprises représentées au sein du groupe de travail et d’être facilement appréhendable par les non spécialistes, ces derniers ayant pour la plu- part des voitures à assurer à titre personnel.

GUIDE D’AUDIT

27
27

CARTOGRAPHIE DES RISQUES

La démarche du groupe s’est réalisée en deux temps, le premier consistant à valider les niveaux de granularité, puis la typologie des risques.

Le groupe a ainsi retenu une structuration du processus comme suit, selon la nomencla- ture suivante :

- Processus :

Niveau 3,

- Opération :

Niveau 4,

- Tâche élémentaire :

Niveau 5.

Le processus « Souscription automobile » peut alors être découpé en éléments suivants (le chiffre entre parenthèse correspondant au niveau de granularité) :

1.Vente Contrat Auto (3)

- Collecte d’informations (4) Relevé d’informations (5)

- Emission Devis (4)

28
28

2. Souscription (3)

- Acceptation (4)

- Enregistrement (4)

- Emission de police (4)

3. Encaissement de la prime (3)

- Emission de quittance (4)

- Enregistrement (4)

- Encaissement (4)

Remise du chèque (5), Virement (5).

GUIDE D’AUDIT

CARTOGRAPHIE DES RISQUES

La pertinence de la typologie a été appréciée au travers du processus de développement d’une offre produit en assurance automobile. Le numéro indiqué entre parenthèse est le risque correspondant de la typologie de risques jointe en annexe 4.

Processus

Opérations

Risques associés

Marketing

Contenu de l’offre, Garanties

Mauvaise définition du produit

(20201)

 

Positionnement de l’offre par rap- port à la concurrence et aux atten- tes du marché

Mauvaise analyse du marché

(20101),

 

Tarification

Mauvaise tarification (20202), concurrence (60201)

 

Aspects relatifs à la marque, aux noms commerciaux (propriété)

Image (60403)

Juridique

Offre non conforme à la réglemen- tation

Non respect de la réglementation (20801, 60101)

Organisation &

Cahier des charges, spécifications détaillées

Non respect des procédures

Gestion

(30202),

 

Paramétrages systèmes d’informa- tion

Risques de modèle, de données, de traitements et de délais (30101 à

30104)

 

Formation des collaborateurs et réseaux commerciaux

Formation inadaptée (30207)

 

Retours d’expérience, traitement des anomalies

Inadéquation des processus

(30402)

Distribution

Canaux de distribution

Non conformité aux règles de dis- tribution (30301 à 30304)

 

Rémunération

Commissionnement inadapté

(30306)

 

Publicité

Erreur de communication (20102)

GUIDE D’AUDIT

29
29

III.

LES MENACES IGNORÉES

3.1

Risques ignorés

CARTOGRAPHIE DES RISQUES

Les assureurs sont des gestionnaires des risques, c’est leur spécialité, leur métier. Pourtant dans certaines circonstances des risques réputés identifiés, connus et maîtrisés peuvent prendre des proportions imprévues lorsqu’ils se combinent ou lorsque qu’un évènement frappe simultanément plusieurs organes de la société tels que :

les fonctions de management ;

le financier : actif / passif (réserves), Cash-Flow, réassurance

;

les fonctions opérationnelles de souscription et de gestion de sinistres ;

les fonctions support telles que l’informatique et les ressources humaines.

Il

suffit alors que des facteurs aggravants extérieurs interviennent pour que ces évène-

ments deviennent de véritables menaces pour les sociétés les plus solides. Ces facteurs aggravants extérieurs peuvent provenir des médias, de l’intervention des pouvoirs poli- tiques ou juridiques, des régulateurs, du pouvoir législatif…

A ces menaces sur des risques identifiés s’ajoutent celles sur les risques dits « ignorés »

c'est à dire soit totalement inconnus, soit connus seulement par des experts ou des per- sonnes averties mais qui ne sont pas pris en compte par les compagnies d’assurance, faute d'information, de sensibilisation ou de prise de conscience, voire d'« impasse stratégique ».

Définition des « Risques ignorés » par Jean-Yves COMBY, Responsable Pollution à la Direction technique de SCOR :

« Risques nouveaux, nés de l'évolution technique, économique et humaine, qui ne sont pas encore perçus ni gérés par les professionnels du risque. Ils se situent à la jonction de la

technique et de l'homme dans toutes ses dimensions: santé, culture, mode de vie, droit, éco-

nomie, politique

l'assurance. Il ne s’agit donc pas de risques de développement, risques que l’état de la Science ne per- met pas de détecter au moment de la souscription et dont l’assureur peut tenter de se pro-

et peuvent conduire à des sinistres catastrophiques pour le secteur de

téger par des exclusions mais de risques latents non pris en compte par le souscripteur. (SCOR sept. 2002) ».

Si cette définition s’applique plus volontiers à des risques assurés, la problématique est

identique pour les risques opérationnels.

Le groupe de travail a ainsi recensé six types de menaces, dont le détail est joint en annexe 8 :

• évènements Naturels : Tsunami par exemple ;

• nouveaux Produits / Nouvelles technologies : OGM, virus informatiques… ;

• santé : manipulations génétiques, aléa thérapeutique … ;

• sociétés / Politique : terrorisme, guerre… ;

30
30

GUIDE D’AUDIT

CARTOGRAPHIE DES RISQUES

• économie / Finance : modifications structurelles des grands équilibres financiers mon- diaux… ;

• comportements managériaux : conflit social, fraude…

Les risques identifiés dans chaque type de menace sont mis en correspondance avec les risques identifiés dans la nomenclature des risques.

3.2 Méthodologies possibles pour identifier les risques « ignorés »

Il est possible d’identifier ce type de risques, en mettant en œuvre certains dispositifs, à

savoir :

• veille sur les grands sinistres de marché ;

• veille sur les évolutions sociologiques, réglementaires et techniques ;

• cartographie pour chaque menace des organes potentiellement touchés et des facteurs aggravants extérieurs ;

• intelligence économique et analyse des faillites et difficultés rencontrées par la concur- rence.

3.2.1 Exemples de facteurs d’alerte

Le tableau intitulé « Menaces ignorées, exemples de facteurs d’alerte » joint en annexe 8 présente l’exposition des macro-processus d’une entreprise à chaque type de menace, en tenant compte de l’impact éventuel de facteurs aggravants, d’origine extérieure.

Cette analyse est de nature qualitative. En effet, il n’existe pas d’éléments probants pour obtenir une évaluation quantitative des risques ignorés. En outre, ces risques sont suppo- sés avoir des impacts extrêmes, susceptibles de faire disparaître l’entreprise.

Les données recueillies par l’analyse aboutissent à une représentation graphique sous forme de radar, représentant les 6 axes (un par type de menace), du profil d’exposition de l’entreprise à ces risques.

A titre d’illustration, pour les risques d’événements naturels et liés aux nouvelles techno-

logies :

GUIDE D’AUDIT

31
31

CARTOGRAPHIE DES RISQUES

CARTOGRAPHIE DES RISQUES Cela permet de mesurer l’exposition aux risques ignorés en fonction du domaine concerné

Cela permet de mesurer l’exposition aux risques ignorés en fonction du domaine concerné : la sensibilité de l’entreprise à de tels risques dépend de la robustesse des macro- processus mis en cause dans chaque domaine. Cette sensibilité peut donc être évaluée de façon qualitative en fonction de la résistance dont ces macro-processus ont fait preuve lors d’événements antérieurement survenus. Ceci conduit naturellement à la mise en place de mesures d’amélioration des macro-processus et de renforcement du contrôle interne asso- cié.

Plus généralement, des scénarios de risques peuvent être modélisés afin de tester la résis- tance de l’entreprise, avec l’objectif d’accroître la flexibilité et la réactivité du système de gestion des risques et du dispositif de contrôle interne.

3.2.2 Priorisation du traitement des menaces ignorées

La mesure de l’exposition aux risques d’un domaine donné pourrait être représentée par l’aire de la surface étoilée, ce qui permettrait de définir des priorités de traitement des risques relatifs aux menaces ignorées.

En outre, plus la surface étoilée est allongée vers le haut, plus l’impact des facteurs aggra- vants d’origine extérieure est important, et plus il sera difficile à l’entreprise de faire face aux risques relevant de ce domaine. Il convient alors en toute première priorité de limiter l’exposition à de tels risques notamment par des mesures de veille préventive.

Cette méthode, présentée ici succinctement dans ses grands principes, nécessite un appro- fondissement méthodologique et une adaptation spécifique à chaque entreprise.

32
32

GUIDE D’AUDIT

CARTOGRAPHIE DES RISQUES

CONCLUSION

Dans un monde de plus en plus complexe et imprévisible, les Dirigeants des sociétés d’Assurance ont bien compris que la gestion des risques garantissait des informations éco- nomiques, stratégiques, structurelles ou encore opérationnelles, plus fiables et de meilleure qualité.

Même si les responsables des organisations ont une vision et une approche globale des risques inhérents à leurs activités, construire une cartographie des risques ne peut que leur apporter de nouveaux éléments d’observation destinés à mieux maîtriser et orienter leurs objectifs. C’est pour cette raison que les Dirigeants doivent être convaincus de l’intérêt d’une carto- graphie des risques, encourager et participer activement à sa mise en place.

Les applications d’une cartographie des risques sont nombreuses et conduisent les utilisa- teurs à privilégier tel ou tel aspect des résultats obtenus afin de redéfinir leurs priorités. Du Conseil d’Administration à la Direction Générale, en passant par les responsables opé- rationnels, les gestionnaires de risques, les contrôleurs internes et les auditeurs internes, chacun pourra utiliser la cartographie comme support à des actions propres à leur organi- sation.

Toute cartographie des risques ne doit pas être une fin en soi mais un point de départ à l’action.

Simple dans son principe mais complexe à élaborer, une cartographie doit, tout d’abord, recevoir l’approbation et l’adhésion de tous les participants afin que les résultats reflètent la réalité de l’organisation et de ses risques. Pendant et après sa réalisation, les opérationnels doivent s’approprier la cartographie en prenant conscience des risques importants et essentiels, entreprendre une démarche volontariste d’analyse de ces risques pour, enfin, définir un plan d’actions destiné à réduire l’exposition aux risques identifiés.

Le succès d’une cartographie des risques réside dans son utilisation future, dans la capa- cité des utilisateurs à la faire vivre dans le temps. C’est dans ce sens que le référentiel commun qui vous a été présenté a été construit.

GUIDE D’AUDIT

33
33
34
34

CARTOGRAPHIE DES RISQUES

GUIDE D’AUDIT

S

E

X

E

N

N

A

CARTOGRAPHIE DES RISQUES

ANNEXES

Annexe 1 :

Glossaire

Annexe 2 :

Evaluation des risques majeurs

Annexe 3 :

Exemple de restitution de la démarche de cartographie associée au processus de gestion immobilière

Annexe 4 :

Typologie des risques

Annexe 5 :

Détail des macro processus d’une entreprise d’assurance

Annexe 6 :

Exemple de cartographie : processus de souscription d’un contrat d’assurance automobile

Annexe 7 :

Tableau des menaces

GUIDE D’AUDIT

35
35

S

E

X

E

N

N

A

36
36

CARTOGRAPHIE DES RISQUES

GUIDE D’AUDIT

S

E

X

E

N

N

A

CARTOGRAPHIE DES RISQUES

ANNEXE 1 : GLOSSAIRE

RISQUE

« Le risque est la possibilité qu’un évènement se produise et ait une incidence défa- vorable sur la réalisation des objectifs ». (COSO 2)

Le risque est la possibilité que se produise un événement ou une action ayant des effets négatifs sur la réalisation des objectifs de l'Entreprise.

* * *

RISQUE BRUT (ou RISQUE INHÉRENT) Risque existant en l'absence de mise en œuvre par le management de tout élément de maîtrise.

RISQUE RÉSIDUEL (ou RISQUE NET) Risque existant encore, après que le management ait mis en place des mesures pour le maîtriser : description de procédures, dispositifs de contrôle interne, assurances…

* * *

RISQUE ENDOGÈNE (ou risque INTERNE) Risque propre à l'activité de l'Entreprise.

RISQUE EXOGÈNE (ou risque EXTERNE) Risque dont l'origine se situe dans l'environnement de l'Entreprise : les fournisseurs, les clients, les concurrents…

* * *

RISQUE AVÉRÉ Risque qui s'est déjà réalisé dans le passé, dans l'Entreprise (ou dans une autre Entreprise similaire).

RISQUE POTENTIEL Risque identifié, et donc connu, mais qui ne s'est pas encore produit dans l'Entreprise.

* * *

RISQUES IGNORÉS

« Risques nouveaux, nés de l'évolution technique, économique et humaine, qui ne

sont pas encore perçus ni gérés par les professionnels du risque. Ils se situent à la jonction de la technique et de l'homme dans toutes ses dimensions : santé, culture, mode de vie, droit, économie, politique… et peuvent conduire à des sinistres catas- trophiques pour le secteur de l'assurance.

GUIDE D’AUDIT

37
37

S

E

X

E

N

N

A

CARTOGRAPHIE DES RISQUES

Il ne s'agit donc pas de risques de développement, risques que l'état de la Science ne permet pas de détecter au moment de la souscription et dont l'assureur peut tenter de se protéger par des exclusions mais de risques latents non pris en compte par le souscripteur ». (Jean-Yves COMBY – SCOR – septembre 2002)

* * *

PROPRIÉTAIRE DE RISQUE Personne chargée de s'assurer que les risques liés aux activités dont elle est respon- sable sont correctement traités. En général l’opérationnel.

* * *

COMITÉ DES RISQUES Instance interne à l'Entreprise, chargée de piloter la politique et le management des risques.

38
38

* * *

GUIDE D’AUDIT

S

E

X

E

N

N

A

CARTOGRAPHIE DES RISQUES

ANNEXE 2 : EVALUATION DES RISQUES MAJEURS

I. Introduction

1.1 Rappel de la démarche de gestion des risques

Etape 1

Définir les objectifs

Résultats visés par les activités de l’entreprise selon la stratégie

Etape 2

Répertorier les processus

Ensembles organisés de traitements permettant l’atteinte des objectifs

Etape 3

Identifier les risques

Événements perturbant l’atteinte des objectifs

Nomenclature

IFACI

Etape 4

Evaluer les risques

Brut/résiduel, fréquence/impact

Objet de la présentation

Etape 5

Définir des réponses en évaluant Coût/Efficacité

Efficacité : risque résiduel obtenu par rapport au risque brut

GUIDE D’AUDIT

39
39

S

E

X

E

N

N

A

CARTOGRAPHIE DES RISQUES

1.2 Définition : qu’est-ce qu’évaluer un risque ?

Apporter des informations justifiables sur la fréquence et les impacts du risque :

Façon :

Qualitative

   

Estimation de :

Semi-quantitative

Quantitative

la fréquence poten- tielle de la surve- nance du risque (f)

 

Nul/faible/moyen/

Moyenne attendue du nb de survenance dans l’horizon de temps choisi (Bâle II : f = N x p) *

fort

 

ou échelle numérique à

     

l’impact potentiel, en termes de coût finan- cier (« severity »)

nombre

pair de

Montant sur échelle de valeur continue (ex. : millions d’)

niveaux

l’impact potentiel en termes d’image, de mise en cause des dirigeants, …

Description des effets, notamment :

Echelle de gravité selon critères objec- tifs, avec un nombre pair de niveaux

A définir au cas par cas si possible (sanc- tion pécuniaire : cf. impact financier supra)

mise en cause possi- ble des dirigeants

*

- N : espérance, pendant l’horizon de temps (1 an), du nombre d’événements généra- teurs du risque.

- p : probabilité que le risque survienne lors d’un événement.

- Dans de nombreux cas, une de ces deux caractéristiques, notamment p, ne sont pas

estimables, et/ou il est plus simple de faire une estimation directe de la fréquence annuelle.

Ces évaluations se font en deux phases :

• risque pris en compte en supposant l’entreprise passive : risque brut ;

• risque pris en compte avec les mesures déjà en place : risque résiduel.

40
40

GUIDE D’AUDIT

S

E

X

E

N

N

A

CARTOGRAPHIE DES RISQUES

1.3 Organisation de la démarche d’évaluation

Qui évalue les risques ? 1/ Ceux qui les identifient : acteurs de l’entreprise jouant un rôle dans la gestion des risques 2/ Auditeurs internes et externes, experts

Pour quoi faire ? 1/ Pour adapter la stratégie, valider/redéfinir les objectifs 2/ Pour les gérer => adapter les processus et l’organisation

Comment ? 1/ Qualitatif : description des effets De pair souvent avec l’identification des risques Attention : les risques de gravité maximale (paralysie d’un centre de gestion, panne informatique générale, …) doivent être traités en 1ère priorité sans néces- siter d’évaluation supplémentaire. 2/ Semi-quantitatif : impact/fréquence, par des méthodes d’auto-évaluation et/ou de représentation des risques dans des échelles de valeurs discrètes. Exemple : matrice de criticité : approche manageriale pour une présentation synthétique du profil de risques et la priorisation de leur traitement. 3/ Quantitatif : impact/fréquence, par des méthodes techniques

II. Evaluations qualitatives

En général ces évaluations sont intégrées dans le reporting :

état des activités et écarts par rapport aux objectifs qualitatifs,

rapports de management (entretiens d’évaluation),

rapports d’audit (évaluations qualitatives et évaluations quantitatives),

 

Elles peuvent être faites pour des risques difficiles à appréhender ou à quantifier :

risques stratégiques audités par un cabinet,

risques informatiques inventoriés dans le cadre d’une enquête MEHARI,

risques RH analysés par un sondage du personnel,

 

GUIDE D’AUDIT

41
41

S

E

X

E

N

N

A

CARTOGRAPHIE DES RISQUES

III. Evaluations semi-quantitatives : la matrice de criticité

3.1 Principe général

• 2 types de matrice : risques bruts / risques résiduels

• Forme :

IMPACT

POTENTIEL *

Extrême

Critique

M oyen

Faible

PRIORITÉ 2 PRIORITÉ 1 PRIORITÉ 3 ZONE DE SURVEILLANCE (RISQUES RÉSIDUELS) -> PRIORISATION DE L
PRIORITÉ 2
PRIORITÉ 1
PRIORITÉ 3
ZONE DE
SURVEILLANCE
(RISQUES
RÉSIDUELS)
-> PRIORISATION DE
L A GESTION DES RISQUES
<---------------------------
Faible
------------------------>
<
M oyenne
>
<
E levée
>
<
Certaine
>
FRÉQUENCE POTENTIELLE *
*
échelles
lo garithmiques

3.2 Priorisation des risques et échelles de la matrice

Sur la base de la stratégie du Groupe et de l’entité en matière de conservation du risque, fixation de :

• la perte financière maximale acceptable 50 M, 100 M, 250 M, … ?

• définie en fonction :

- des fonds propres,

- du volume d’activité,

- du savoir-faire dans la maîtrise des risques,

- de la réglementation.

Cette perte financière maximale acceptable est le niveau « critique » de l’impact potentiel dans la matrice (niveau servant d’étalon pour les risques résiduels, alors que les risques bruts pourront largement le dépasser).

42
42

GUIDE D’AUDIT

S

E

X

E

N

N

A

CARTOGRAPHIE DES RISQUES

L’échelle de l’impact potentiel découle de la valeur de la perte financière maximale acceptable, fixée pour la priorisation.

La fréquence potentielle est exprimée en probabilité de survenance d’un risque en 1 an :

[< faible >< moyenne ><

élevée

><

certaine

>]

O%

0,1%

5%

50%

100%

plusieurs fois dans l’année

La perte financière maximale acceptable doit ne pouvoir survenir qu’avec une très faible probabilité (proposée ici à 0,1%), correspondant au seuil de tolérance. Par exemple une chute de météorite, un tremblement de terre dans une zone sans activité sismique, etc., ne nécessitent pas de mesure de gestion spécifique. Au-delà de cette fréquence, le risque maximum résiduel doit baisser (traitement des risques de priorité 3).

3.3 Alimentation de la matrice de criticité

Pour chaque risque identifié :

la fréquence potentielle d’un risque est évaluable sur la base :

• du nombre de réalisations d’une procédure et du nombre d’incidents observés

(ex. : nombre annuel de règlements par chèque et d’incidents)

• de statistiques internes (exemple : fréquence des sinistres auto corporels)

• de l’exposition de l’objet du risque à un phénomène (exemple : situation d’un bâti- ment dans une zone inondable, selon les cartes MRN)

• d’informations de marché (exemple : statistiques FFSA pour un type d’événement)

• d’une enquête auprès des collaborateurs concernés (questionnaire de risque, inter- view) l’impact financier potentiel d’un risque est évaluable sur la base :

• de montants comptabilisés (exemple : prestations payées par chèque)

• de statistiques internes (exemple : moyenne des sinistres auto corporels)

• de montants prédéfinis (garanties prévues par une police MRH)

• d’une expertise (valeur d’un bâtiment, maximum d’une perte d’exploitation, …)

• d’informations de marché (exemple : statistiques FFSA pour un type d’événement)

• d’une enquête auprès des collaborateurs concernés (questionnaire de risque, inter- view)

3.4 Méthode pour une compagnie d’assurance

Préliminaires

• Nous prenons l’exemple d’une compagnie IARD, en faisant une analyse des risques considérés comme majeurs, hors risques financiers. Les évaluations pré- sentées ne sont pas propres à une compagnie particulière.

• Nous préconisons que cette méthode soit mise en œuvre avec des remises à jour régulières par un même service de l’entreprise (service de gestion des risques, audit interne, …).

GUIDE D’AUDIT

43
43

S

E

X

E

N

N

A

CARTOGRAPHIE DES RISQUES

• Cette méthode doit permettre une représentation commune des risques d’une entreprise d’assurance quelle que soit la nature de ces risques. Notamment, les seuils utilisés dans la gestion « cœur de métier » de l’assureur sont intégrés dans les échelles utilisées, permettant un étalonnage homogène et cohérent des niveaux de risque (rétentions des risques par événement ou par sinistre individuel prises en compte dans les programmes de réassurance).

Echelles :

• Intensité potentielle (montant en Mios )

4

: extrêmes et illimités (dans le cas d'une filiale, cela mettrait en danger la situa- tion financière de la maison-mère). Un seuil peut être défini, en fonction des fonds propres et de la solvabilité du groupe concerné.

3

: entre un seuil critique (montant monétaire ou sinistre d'image susceptible d'entraîner la faillite de l'entreprise) jusqu'aux abords du niveau 4. Ce seuil est propre à chaque entreprise d‘assurance.

2

: entre seuil moyen et seuil critique. Le seuil moyen correspond à la rétention maximale prise en compte dans les programmes de réassurance par événe- ment, c'est à dire un seuil supportable mais qui ne doit se réaliser que rarement soit une fois tous les 10, 20 ans voire plus, ceci en liaison avec la borne supé- rieure du niveau 2 de la fréquence (ici, cette borne, égale à 5%, correspond à des événements de coût égal au seuil moyen survenant environ tous les 20 ans).

1

: inférieur au seuil moyen. A un niveau intermédiaire entre le seuil moyen et le négligeable, se situe le maximum de rétention fixé par la compagnie pour la conservation au net de réassurance des sinistres individuels.

• Fréquence potentielle (nombre de survenances du risque par an)

4

: se réalisant une fois ou plus chaque année.

3

: pouvant se réaliser 1 fois dans une année avec une probabilité élevée, entraî- nant une fréquence > 5 %.

2

: pouvant se réaliser 1 fois dans une année de façon rare (entre le seuil de tolé- rance ci-dessous et 5%).

1

: en-deçà d'un seuil de tolérance.

Base d'identification des risques : risques majeurs sélectionnés dans la nomen- clature IFACI

Matrice n°1 : représentation des risques bruts, évalués selon une démarche Top- Down

Matrice n° 2 : passage du brut au résiduel souhaité (cible) L'effet optimal des mesures de gestion des risques et de contrôle interne sur la réduction des risques est évalué séparément sur l'intensité et sur la fréquence. Ceci sur la base :

- d'une évaluation, risque par risque, de l'impact optimal du système de gestion des risques et du dispositif de contrôle interne sur la réduction de l'intensité

44
44

GUIDE D’AUDIT

S

E

X

E

N

N

A

CARTOGRAPHIE DES RISQUES

d'une part (effet de protection) et sur la fréquence d'autre part (effet de préven- tion). On évalue ainsi la performance de la gestion du risque, sur une échelle de 1 (moindre performance) à 4 (performance maximale). - pour chaque risque, en fonction de son intensité potentielle brute [ou de sa fré- quence potentielle brute] et de la performance optimale de sa gestion, d'un pas- sage du risque brut au risque résiduel selon la table suivante :

Performance /

       

risque brut

4

3

2

1

4

1

2

3

4

3

1

1

2

3

2

1

1

1

2

1

1

1

1

1

Matrice n° 3 : passage du brut au résiduel atteint (se situant quelque part entre le résiduel souhaité et le brut) L'effet optimal des mesures de gestion des risques et de contrôle interne pris en compte précédemment est, en réalité, plus ou moins atténué, en fonction de la qua- lité du dispositif de contrôle interne. L'hypothèse faite de façon uniforme est celle d'un contrôle interne de qualité bonne mais pas optimale (note 2 sur une échelle de 0 à 3), pour tous les risques considérés. La performance réelle de la gestion de chaque risque est alors évaluée en utilisant la table suivante :

Qualité du CI / performance cible

4

3

2

1

4

1

2

3

4

3

1

1

2

3

2

1

1

1

2

1

1

1

1

1

Puis, le risque résiduel est évalué en croisant le risque brut avec la performance réelle.

GUIDE D’AUDIT

45
45

S

E

X

E

N

N

A

CARTOGRAPHIE DES RISQUES

Les résultats sont présentés dans trois matrices distinctes :

• MATRICE N°1 : MATRICE DE CRITICITE D'ORIGINE : RISQUES BRUTS (Hypothèse : aucune réaction de l'entreprise)

• MATRICE N°2 : MATRICE DE CRITICITE CIBLE : RISQUES RESIDUELS POSSI- BLES ET SOUHAITES (Hypothèse : bon système de gestion des risques et contrôle interne optimal)

• MATRICE N°3 : MATRICE DE CRITICITE EN COURS : RISQUES RESIDUELS ATTEINTS (Hypothèse : bon système de gestion des risques et bon niveau de contrôle interne)

Remarque :

Cette présentation comporte beaucoup d'hypothèses. La mise en œuvre de cette méthode doit s'accompagner d'une adaptation au cas spécifique d'une entreprise donnée, et d'évaluations consistantes sur :

- les risques bruts ; - les impacts attendus du système de gestion des risques sur leur réduction (risques résiduels cibles) ; - la qualité des procédures de contrôle interne en place.

46
46

GUIDE D’AUDIT

> 100 %

4

5 % - 100 %

S

3

E

X

E

seuil de tolérance - 5 %

N

2

N

A

< seuil de tolérance

1

CARTOGRAPHIE DES RISQUES

GUIDE D’AUDIT

MATRICE DE CRITICITE D'ORIGINE : RISQUES BRUTS

(Hypothèse : aucune réaction de l'entreprise)

MATRICE DE CRITICITE D'ORIGINE : RISQUES BRUTS (Hypothèse : aucune réaction de l'entreprise)
MATRICE DE CRITICITE D'ORIGINE : RISQUES BRUTS (Hypothèse : aucune réaction de l'entreprise)
* cumul de s inis tres * judic iai res cat na t* s inis
* cumul de s inis tres * judic iai res cat na t* s inis
* cumul de s inis tres * judic iai res cat na t* s inis
* cumul de s inis tres * judic iai res cat na t* s inis
* cumul de s inis tres * judic iai res cat na t* s inis

* cumul de sinistres* judiciaires

cat nat* sinistre technologique

*

4

extrême / illimité

* tarification* non-conformité des souscriptions* normes de

opérations de distribution aux réglementations en vigueur*

IT* juridiques* protection des données sur les personnes*

calcul des PM* suffisance des PSAP* réglementation du

travail* diffusion de l'information* non-conformité des

pilotage interne* communication externe

détournement fonds de clients* blanchiment*

* hygiène* non-respect de la confidentialité*

déviation de la sinistralité* fréquence des

sinistres de pointe* malveillance de tiers*

interfaces inter-services* fournisseurs de

concurrence* cycles tarifaires

services

*

* comptabilité générale* Fiscal

* conservation des documents

* cumul de souscription

défaillance d'un courtier* immeubles

2 * d'exploitation

3

1

seuil critique

seuil moyen

négligeable

I n t e n s i t é p o t e n t
I n t e n s i t é p o t e n t

I
n

t
e

n s i t é p o t e n t i e l l
n
s
i
t
é
p
o
t
e
n
t
i
e
l
l
e
négligeable I n t e n s i t é p o t e n t
négligeable I n t e n s i t é p o t e n t

po te n t ie l le

Fréquence

47
47

> 100 %

4

5 % - 100 %

S

3

E

X

E

seuil de tolérance - 5 %

N

2

N

A

< seuil de tolérance

1

48
48

CARTOGRAPHIE DES RISQUES

MATRICE DE CRITICITE CIBLE : RISQUES RESIDUELS POSSIBLES

(Hypothèse : bon système de gestion des risques et contrôle interne optimal)

supp ortabl e

s euil

av ec

l a

de

du

corrél ati ve ment

l 'augm entati on

Dé croi ssan c e

d'i nt en sité

fr équence

Dé croi ssan c e d'i n t en sit é fr équence * cumul de

* cumul de sinistres* cat nat* cycles tarifaires

la

d e

ou

propres

i nd i vi due l

fon ds

coût

mère

réassur ance

des

pa r

At t ei nt e

maison

réte nt ion

après

de

suffisance des PSAP* réglementation du travail*

diffusion de l'information* hygiène* non-respect

en vigueur* défaillance d'un courtier* interfaces

opérations de distribution aux réglementations

conservation des documents* protection des

de la confidentialité* détournement fonds de

données sur les personnes* fournisseurs de

inter-services* IT* immeubles d'exploitation*

clients* blanchiment* non-conformité des

* cumul de souscription* déviation de la

services* comptabilité générale* Fiscal

sinistralité* normes de calcul des PM*

   

4

 

3

 

2

 

1

 

extrême / illimi

 

seuil critique

 

seuil moyen

 

négligeable

I

n

t

e

n

s

i

t

é

p

o

t

e

n

t

i

e

l

l

e

po t en t i el l e

F r éq u en ce

GUIDE D’AUDIT

> 100 %

4

5 % - 100 %

S

3

E

X

E

seuil de tolérance - 5 %

N

2

N

A

2 * déviation de la sinistralité* protection des

< seuil de tolérance

1

CARTOGRAPHIE DES RISQUES

GUIDE D’AUDIT

MATRICE DE CRITICITE EN COURS : RISQUES RESIDUELS ATTEINTS

(Hypothèse : bon système de gestion des risques et bon niveau de contrôle interne)

cumul de sinistres

judiciaires

*

*

tarification* non-conformité des souscriptions*

blanchiment* non-conformité des opérations de

sinistre technologique* juridiques* malveillance

confidentialité* détournement fonds de clients*

PSAP* réglementation du travail* diffusion de

interfaces inter-services* IT* fournisseurs de

distribution aux réglementations en vigueur*

normes de calcul des PM* suffisance des

fréquence des sinistres de pointe* cat nat*

de tiers* pilotage interne* communication

l'information* hygiène* non-respect de la

externe* concurrence* cycles tarifaires

services

*

*

d'exploitation* conservation des documents*

* cumul de souscription* immeubles

comptabilité générale* Fiscal

données sur les personnes

 
4 extrême / illimité 1 négligeable 3 seuil critique seuil moyen

4

extrême / illimité

1

négligeable

3

seuil critique

seuil moyen

4 extrême / illimité 1 négligeable 3 seuil critique seuil moyen

I
n

e
n

t

e
n

p
o

i
e

l
e

é

s

i
t

t

t

l

po ten ti elle

F réqu ence

49
49

S

E

X

E

N

N

A

IV. Evaluations quantitatives

4.1 Généralités

CARTOGRAPHIE DES RISQUES

En général ces évaluations font partie des procédures de gestion du risque :

estimation de biens et de pertes d’exploitation pour les couvrir en assurance

engagements d’assurance à couvrir en réassurance

risques liés à une répartition des actifs non conformes aux objectifs de gestion financière

risques liés à la non-atteinte des objectifs d’activité quantifiables (indicateurs de performance)

 

Elles peuvent être nécessaires pour des risques quantifiables pas encore gérés ou pas mesurés assez précisément pour une gestion efficace. L’estimation doit en général être confiée à un expert :

exposition tempête estimée par un courtier en réassurance avec un logiciel de simulation

risques financiers de nature juridique ou fiscale évalués par des spécialistes

 

Les méthodes peuvent être inventoriées dans 3 grands domaines distincts :

• domaine financier

• domaine assuranciel

• domaine général

Une méthode appliquée dans un domaine donné peut se voir appliquée dans un autre domaine en fonction de sa pertinence par rapport au contexte. Par exemple, la « value at risk » peut avoir des applications dans le domaine général (adaptation aux risques opérationnels).

50
50

GUIDE D’AUDIT

S

E

X

E

N

N

A

CARTOGRAPHIE DES RISQUES

4.2 Domaine financier

Nom de la méthode

Objet type

 

Profil de

évalué ou

exemple

Description

l’évaluateur

Value at risk (VaR) et méthodes dérivées

 

Quantile au seuil d’aversion du risque de la distribution supposée du risque

Analyste

Risques de taux

financier

Cash flow at risk, Earnings at risk

Besoins de

   

trésorerie

Risk based

Besoins en fonds propres (réglementation US)

Pourcentage de données comptables indicatrices de l’importance du risque

 

Capital

Comptable

Expertise

Bien, fonds de commerce, entreprise

Valorisation des biens matériels et immatériels aux prix de marché en tenant compte des engagements ou passifs

 

financière

Expert spécialisé

 

Résultats

 

Analyste

Simulation

prévisionnels

Actif net

Modélisation comptable, technique et financière

financier, expert

comptable,

actuaire

   

Processus de notation incluant l’analyse des bilans

Analyste

Analyse

Vie et santé des entreprises

financier,

financière

économiste

 

(agences)

Cette liste n’est pas exhaustive et nécessite d’être complétée.

GUIDE D’AUDIT

51
51

S

E

X

E

N

N

A

4.3 Domaine assuranciel

CARTOGRAPHIE DES RISQUES

Nom de la méthode

Objet type

 

Profil de

évalué ou

exemple

Description

l’évaluateur

Mesure des

engagements

Contrats

d’assurance,

traités de

Inventaire des

engagements d’un

portefeuille

Souscripteur,

responsable

réassurance de

réassurance

protection

Simulation de

Portefeuille

Simulation d’un risque (tempêtes, …) sur un por- tefeuille d'assurances dom- mages de répartition géographique connue pour évaluer l'exposition totale

Responsable réas- surance de pro- tection, courtier en réassurance

portefeuille IARD

dommage

Simulation du

 

Evaluations actuarielles des impacts d’un risque sur l'embedded value d'un portefeuille d'assurance vie

 

compte de

Portefeuille vie

Actuaire

résultat vie

Simulation du

 

Evaluations actuarielles ou statistiques des impacts d’un risque sur un portefeuille d'assurance non-vie

 

compte de

résultat non-vie

Portefeuille non-

vie

Actuaire ou

statisticien

Cette liste n’est pas exhaustive et nécessite d’être complétée.

52
52

GUIDE D’AUDIT

S

E

X

E

N

N

A

CARTOGRAPHIE DES RISQUES

4.4 Domaine général

Nom de la méthode

Objet type

 

Profil de

évalué ou

exemple

Description

l’évaluateur

Benchmarking

Ratio S/P

Comparaison avec des compagnies concurrentes

Marketing, expert dans le domaine concerné

Evaluation

 

Rapprochement risques/comptes et mesures de sensibilité

 

comptable

Poste comptable

Comptable

 

Phénomène

Exploitation de séries statistiques pour la modélisation d'un risque, sa simulation et l'évaluation de son impact (exemple : utilisation d'une base incidents informatiques avec impacts subis pour l'évaluation du coût maximum possible)

 

récurrent :

Méthodes

attaque de virus, dégât des eaux, panne d’électricité, temps de réalisation d’une procédure donnée, etc.

d’analyse

Statisticien

statistique

Simulation

Accident

Simulation d'un accident pour en évaluer les impacts potentiels

Scientifique

Visite de risque

Ex. exposition de bâtiments à des risques de sinistres

(Ex.) relevé des caractéristiques physiques d’un ensemble de bâtiments,des accidents survenus

Expert, auditeur

Expertise sinistre

Evaluation d’un

Expertise des dommages subis par l’assuré,

Expert sinistres

sinistre

ou inspecteur

Cette liste n’est pas exhaustive et nécessite d’être complétée.

GUIDE D’AUDIT

53
53

S

E

X

E

N

N

A

54
54

CARTOGRAPHIE DES RISQUES

GUIDE D’AUDIT

S

E

X

E

N

N

A

CARTOGRAPHIE DES RISQUES

ANNEXE 3 : EXEMPLE DE RESTITUTION DE LA DÉMARCHE DE CARTOGRAPHIE ASSOCIÉE AU PROCESSUS DE GESTION IMMOBILIÈRE

GUIDE D’AUDIT

55
55

S

E

X

E

N

N

A

1

11

12

1 3

1 4

1 5