Vous êtes sur la page 1sur 27

RISK MANAGEMENT

SESSION 1

A) AVANT- PROPOS

1) Définitions

Il existe de très nombreuses définitions de ce concept :

Le Risk Management est un ensemble de techniques qui d’un côté étudient l’ensemble
des facteurs susceptibles de toucher le rendement de l’entreprise, et de l’autre côté
apportent les solutions stratégiques pour résoudre les problèmes induits par ces
facteurs, il est défini comme le métier de la gestion des risques financiers tels que le
risque de liquidité, de change, de taux et de contrepartie…etc.
Donc en définitive le Risk Management consiste à ne pas refuser le risque, mais à
l’accepter, le reconnaître, l’étudier pour en atténuer les conséquences.
(Institut Numérique)

Le management du risque se définit comme étant la gestion des risques c’est-à-dire


toute action qui peut porter préjudice aux actifs de l’entreprise qui sont causés par les
éléments de l’environnement de l’entreprise.
(Savoir.fr)

Le risque représente la possibilité qu’un évènement survienne et dont les conséquences


seraient susceptibles d’affecter les personnes, les actifs, l’environnement, les objectifs de
la société ou sa réputation.
(AMF – Cadre de référence 2010)

La gestion du risque protège le patrimoine de l’organisation et crée de la valeur pour


celle-ci et ses partie prenantes
(FERMA Federation of European Risk Management Associations – 2003)

Le simple fait d’entreprendre ouvre la possibilité d’évènements dont les conséquences


sont potentiellement bénéfiques (aléa positif) ou préjudiciables (aléa négatif)
(ISO – 2009)

Les événements probables ayant un impact négatif sont des risques pouvant freiner la
création de valeur ou détruire la valeur existante. Le risque est en général exprimé en
multipliant sa probabilité d’occurrence et son impact :
Risque = Probabilité x Impact
(COSO Committee Of Sponsoring Organizations of the Treadway Commission):

25
Les agents se trouvent en situation d’incertitude lorsqu’ils ignorent ce que sera leur
environnement dans un avenir proche ou lointain. Knight et Keynes distinguent le risque,
situation pour laquelle on peut dresser la liste de toutes les éventualités et leur attribuer
une probabilité de réalisation et l’incertitude, situation pour laquelle l’une ou l’autre de ces
deux conditions n’est pas vérifiée.
(La Documentation Française)

« Ma définition simplifiée de la gestion des risques : soyez intelligents lorsque vous
saisissez une opportunité »
(D.W. Hubbard)

Le management des risques est un processus mis en œuvre par le conseil


d’administration, la DG, le management et l’ensemble des collaborateurs de
l’organisation. Il est pris en compte dans l’élaboration de la stratégie ainsi que dans
toutes les activités de l’organisation. Il est conçu pour identifier les événements potentiels
susceptibles d’affecter l’organisation et pour gérer les risques dans les limites de son
appétence pour le risque. Il vise à fournir une assurance raisonnable quant à l’atteinte
des objectifs de l’organisation.

2) Typologies de risques

Risques purs et risques spéculatifs


Risques purs : dont les conséquences ne peuvent être que négatives (ex : un incendie)
Risques spéculatifs : susceptibles de générer des pertes ou des gains (ex : risque de
taux d’intérêt ou risque de devise)
Risques internes et risques externes
Externes : ils ne sont pas la conséquence d’une action de l’entreprise (ex : fluctuation
des devises, modification d’une réglementation)
Internes : sont la conséquence d’une action ou décision de l’entreprise (ex : décision
stratégique de se développer à l’international)
NB : un risque peut-être considéré comme externe à première vue (ex : le dépôt de bilan
d’un gros client), mais la stratégie de l’entreprise visant à travailler avec un nombre limité
de clients est bien un risque interne.
Risques financiers
Ils recouvrent en général le risque de crédit, le risque de liquidité et le risque de taux. Les
risques financiers sont majoritairement des risques d’origine externe non imputables à
l’entreprise.
Risques idiosyncratiques et risques systémiques
Idiosyncrasie : prédisposition particulière de l’organisme qui fait qu’un individu réagit
d’une manière personnelle à l’influence des agents extérieurs.
Les risques idiosyncratiques sont donc des risques spécifiques à une entreprise et
peuvent donc faire l’objet d’une gestion (couverture, diversification…).
Les risques systémiques, à l’inverse, sont considérés comme non diversifiables.
Ces concepts sont principalement utilisés en finance.
Risques inhérents et risques résiduels
Risque inhérent : le niveau de risque avant que toute mesure de gestion soit prise (on
parle également de risque brut)
Risque résiduel : niveau de risque supporté une fois considéré l’ensemble des stratégies
de gestion du risque (on parle également de risque net)

Risque net = risque brut – stratégies de gestion

25
3) Le risque en finance

Pour les financiers, le risque est souvent synonyme de variation de valeur d’un titre
financier ou d’un portefeuille de titres financiers, que cette variation soit liée à des
événements externes (ex : hausse des taux d’intérêt) ou internes (ex : lancement d’un
nouveau produit par l’entreprise). La valeur d’un titre financier étant déterminée par la
somme des flux de trésorerie futurs actualisés générés par ce titre, le risque est donc ici
mesuré par la variation (volatilité) de la valorisation au prix de marché (Mark To Market)
du titre financier ou du portefeuille, consécutive à une modification des flux futurs de
trésorerie actualisés (DCF) attendus.
Cette vision entraîne les éléments suivants :
La notion de valeur est clairement définie : flux de trésorerie actualisés générés
par l’actif considéré (notion de rentabilité ou return). Une stratégie de gestion des
risques n’est pertinente que si elle permet d’accroître les cash flows futurs et/ou
de diminuer leur variabilité et/ou de minimiser le coût moyen pondéré du capital
(CMPC/WACC)
Le risque est mesurable : il est assimilable à la dispersion des rentabilités
possibles autour de la rentabilité moyenne attendue. Plus cette volatilité est
élevée, plus le risque lié au titre financier est élevé. Mathématiquement, cette
volatilité se mesure par la variance de la rentabilité d’un titre, c'est-à-dire par la
somme des carrés des écarts entre les rentabilités et l’espérance des rentabilités,
pondérée par la probabilité d’occurrence de chacune des rentabilités possibles.
Pour un titre sans risque (risk free money), la variance est donc égale à zéro,
l’espérance mathématique de gain étant connue avec certitude.
Les risques de marché : (risques systémiques) le risque systémique d’un titre, sa
sensibilité aux variations du marché, est en général mesuré au moyen du
coefficient bêta, qui indique la relation existant entre les fluctuations de la valeur
de ce dernier et les fluctuations du marché auquel il est rattaché (bêta <0, >0 ou
=0)
Les risques spécifiques : (risques idiosyncratiques), diversifiables, sont le fait de
l’entreprise, donc de son Management
En conséquence : l’investisseur est censé agir de façon « rationnelle », diminuer
le risque et augmenter les espoirs de gain (rentabilité)
o Pour des actifs ayant des rentabilités équivalentes, l’investisseur
sélectionnera l’actif le moins risqué
o Pour des actifs ayant des niveaux de risques équivalents, l’investisseur
sélectionnera celui qui sera le plus rentable.

4) Visions du risque

Le risque, un phénomène complexe

La cyndinique combine les sciences physiques et naturelles avec les sciences


humaines pour étudier les risques majeurs (industriels, technologiques, naturels,
sanitaires, alimentaires).
Devenue une science, elle cherche à identifier, mesurer et prévoir les risques par un
processus d’apprentissage (retour d’expérience – théorie de l’apprentissage), une
prévision de l’enchaînement des possibles (arbres de défaillances) et la mise en œuvre
de solutions techniques (normes de sécurité, BPL, BPF…).
Le futur n’est pas sous-entendu dans le passé mais se crée à chaque minute dans la
complexité des actions. Cette complexité est le résultat d’un nombre gigantesque

25
d’interdépendances. La stabilité n’est que fortuite et le changement permanent avec les
apparitions répétées de nouveaux facteurs (« la seule chose qui ne change pas c’est le
changement »). Le phénomène du risque s’explique par un enchevêtrement de causes
dans lesquelles certains facteurs vont jouer un rôle plus important :

o Ils sont initiateurs du déclenchement de la séquence du risque, ou


o Ils influent et orientent de manière significative la direction et la course des
événements, ou
o Ils prennent rapidement un poids prépondérant par rapport aux autres
facteurs, ou
o Ils sont fondamentaux et se révèlent indispensables dans la suite des
événements.

Le risque comme processus chaotique

Le risque peut être analysé comme une perte totale de contrôle. A l’atteinte du point
critique (point de non retour), il y a une perte totale de contrôle ou processus
« chaotique » (une voiture quitte la route, un avion perd sa portance, la Bourse s’effondre
avant que les traders ne puissent liquider ou arbitrer leurs positions…).
Le processus chaotique débouche toujours sur un nouvel équilibre et le contrôle reprend.
Dans l’enchevêtrement des causes qui conduisent à la catastrophe, il existe souvent une
cause majeure qui déclenchera à l’instant « t » le déséquilibre tragique.
Pour comprendre et contrôler la succession d’évènements conduisant à la catastrophe, il
faudrait pouvoir ralentir le temps durant le processus chaotique afin de pouvoir contrôler
la séquence des événements pour interrompre le paroxysme et rétablir l’équilibre
(« reprendre la main sur les événements »).
Plusieurs stratégies peuvent être envisagées :

o Retour à l’équilibre (difficile par définition)


o Cloisonnement du problème pour limiter l’impact
o Re-routage de la chaîne d’évènements afin de dévier le problème
o Atténuation, voire arrêt des enchaînements (difficile par définition).

La prévention considérée comme efficace consiste à éviter qu’une cause majeure


n’atteigne un seuil critique, soit en travaillant à atténuer l’action des facteurs de risques et
leurs effets, soit en intervenant à chaud dans la chaîne d’événements pour briser
l’escalade du risque.
Mais bien souvent la répétition de disfonctionnements mineurs est le facteur majeur de
déclenchement de la cause majeur de l’accident.
L’accumulation de risques exerce une force qui devient supérieure à la capacité de
résistance du système jusqu’à créer la rupture (amas neigeux pour une avalanche,
grossissement du caillot dans le cas de thromboses/AVC).

L’analogie avec la recherche scientifique/technologique sur la résistance des matériaux à


la pression, aux chocs ou à d’autres forces externes est intéressante. Ainsi, les
structures en treillis ou tressées présentent des propriétés d’hyper-résistance aux chocs
dans la mesure où elles s’effilochent sans se briser lorsqu’elles cassent. Les structures à
forte plasticité absorbent les chocs en modifiant temporairement leurs formes. Enfin, les
structures présentant des irrégularités, des rugosités ou des asymétries dans leur
architecture résistent mieux à la force du vent que les structures pleines.

25
Les aspects psychologiques de la perception du risque

Le cerveau humain est peu performant lorsqu’il s’agit d’évaluer les risques. De plus, sa
perception change en fonction des facteurs de contingence (externes : l’environnement
de l’individu – internes : l’individu lui-même).

Une étude menée par Kahneman et Tversky en 1974 auprès des étudiants de Stanford
sur la probabilité qu’ils ont – selon leur vision – de mourir montrent que les sujets
interrogés sous-estiment les causes naturelles (citées à 58% contre 92% selon la réalité
médicale – dont accidents cardiaques 22% contre 34% en réalité) et surestiment la part
des décès d’origine accidentelle (32% contre 5% en réalité) et criminelle (10% contre
moins de 1% en réalité).
Cette étude montre une tendance à exagérer le risque non choisi, indépendant de la
volonté (meurtre) et à négliger les risques volontaires pris au quotidien (alimentation,
tabac, médicaments associés ou non, conduite automobile…).
Nous ne sommes que pseudo-rationnels ou d’une rationalité limitée (Herbert Simon).

Les principaux phénomènes conduisant un individu à avoir un jugement inexact sur le


risque sont les suivants :
o Le biais de confirmation : l’individu sélectionne et interprète les informations
selon ses propres croyances et convictions rejetant celles qui entrent en
contradiction avec ses thèses
o Biais de surestime de soi : confiance excessive dans l’appréciation des
coûts, délais, efforts à développer pour la réalisation d’un projet 
surestimation des chances de succès
o Effets de seuil : les individus préfèrent la certitude à l’incertitude, même
lorsque le bénéfice de gain n’est pas supérieur. Exemple : la majorité
préférera un vaccin A qui réduit le risque de maladie de 10% à 0%, plutôt
qu’un vaccin B qui réduit le risque de maladie de 20% à 10%
o L’habituation : qui fausse la bonne mesure du risque, celui-ci tant perçu
comme trop lointain ou trop improbable, tant que l’individu n’a pas été
personnellement confronté à sa survenance

Le plaisir ressenti par l’individu conditionne son évaluation du risque. Plus une personne
s’attend à tirer un avantage d’une situation, plus sa tolérance pour le risque sera
importante, plus elle aura éprouvé du plaisir dans une situation similaire, plus elle
minimisera le risque.

Des études ont montré que la perception du risque était biaisée par des illusions. Les
observateurs non victimes ont tendance à attribuer l’accident à ces dernières (et à les
blâmer) de manière à se rassurer et à réaffirmer un sentiment de supériorité,
d’invulnérabilité et pouvoir de contrôle sur les événements.

Les études sur le cerveau ont montré que si les réseaux neuronaux détectent des
changements de l’environnement par le biais des sens et des stimuli internes.
Si le stimulus renvoie à un contenu douloureux, la réponse du cerveau sera l’évitement
et le SNC commandera une action de fuite. Si celle-ci est impossible, elle déclenchera un
comportement d’agressivité défensive (la lutte), qui entraînera une réaction adrénalinique

25
mobilisant le système sympathique. Si ce comportement permet de retrouver l’équilibre,
la stratégie sera mémorisée pour être reproduite.
Dans le cas où la fuite ou la lutte est impossible un évitement passif se met en place
(inhibition motrice) déclenchant une réaction endocrinienne de stress et une réaction
vaso-constrictive d’attente de l’action  angoisse aigue, hypertension et affections
psychosomatiques.

Grâce aux neurosciences (IRM) des chercheurs ont montré que face au risque,
l’opération privilégiée du cerveau est l’anticipation de l’incertain. Lorsqu’il réalise que
l’information traitée est lacunaire, cela provoque un sentiment d’ambiguïté suscitant soit
une attraction (envie de résoudre le pb) soit une répulsion (éviter le pb). Lorsque
certains neurones sont activités (nucleus acumens) par un sentiment positif comme
l’excitation, le sujet privilégie les informations qui confirment la pris de risque tout en
sous-estimant celui-ci. A contrario, lorsque le cortex cérébral est activé par un sentiment
négatif comme l’anxiété, le sujet ressent une aversion pour le risque qui le pousse à le
surestimer.

La psychologie du risque a également ouvert la voie à la finance comportementale en


étudiant les comportements individuels et collectifs des opérateurs de marché
(mimétisme, prophéties auto-réalisatrices…) confrontés aux informations de marché, et
les impacts de leurs sous ou sur-réactions sur les tendances haussières ou baissières
des cours provoquant une volatilité extrême des prix.

Le risque, un mode de management

Michel Crozier a montré qu’une solution pour sortir d’une situation de blocage est de
provoquer une crise : le management par la crise.

5) Référentiels du risk management

Le COSO (Committee of Sponsoring Organization of the Treadway Commission)

Les scandales financiers intervenus aux USA dans les années 70 ont renforcé la
législation en matière de lutte contre la corruption et la fraude avec l’adoption en 1977 du
Foreign Corrupt Practice Act imposant des dispositifs de contrôle interne.
En 1985 la National Commission on Fraudulent Financial Reporting (appelée Treadway
Commission) est créée et constitue en 1987 le COSO qui publie son premier document
en 1992 (COSO 1).
Le projet COSO procède à des consultations publiques débouchant sur le COSO 2013
motivé par :
o L’émergence de risques nouveaux et la vulnérabilité des systèmes
d’information (e-réputation, cloud computing, cyber criminalité…)
o L’intensification de l’externalisation et le besoin de coordination des tâches
partagées (services partagés, supply chain…)
o Les attentes de la gouvernance en matière de maîtrise des risques et de
conformité
o La responsabilisation du personnel dans toutes les entités
o L’adaptation aux mutations permanentes de l’environnement

25
o L’efficacité du contrôle interne résultant de l’articulation entre opérationnels,
fonctions supports et audit interne
o L’inflation réglementaire en matière de reporting

Le cadre COSO repose sur trois objectifs :


o Réalisation et optimisation des opérations
o Fiabilité des informations financières
o Conformité aux lois et règlements.
Il est organisé en cinq composants générant 17 « principes structurants » :
o Environnement de contrôle (culture, valeurs diffusées dans l’entreprise)
 Intégrité et valeurs éthiques
 Indépendance du conseil
 Rôle structurant du management
 Implication et responsabilisation du personnel
 Devoir de compte rendu des responsabilités en matière de contrôle interne
o Evaluation des risques (criticité/fréquence)
 Définition claire des objectifs permettant leur évaluation
 Identification des risques liés à ces objectifs
 Risque de fraude
 Identification des changements impactant le contrôle interne
o Activités de contrôle
 Adéquation des contrôles aux objectifs
 Outils de contrôle
 Règles et procédures de contrôle
o Information et communication
 Qualité de l’information (pertinente et fiable)
 Communication interne
 Communication externe
o Supervision
 Evaluations continues et ponctuelles
 Mesures correctives
La combinaison des trois objectifs et des cinq composants constitue le cube COSO 2013

25
AMF (Autorité des Marchés Financiers)

L’AMF a mis en place en 2007 un cadre de référence pour la gestion des risques et du
contrôle interne qu’elle a adapté aux valeurs boursières de moyennes et petites
capitalisation en 2008.

Pour l’AMF, la gestion des risques contribue à :

o Créer et préserver la valeur, les actifs et la réputation de la société


o Sécuriser la prise de décision et les processus de la société pour favoriser
l’atteinte des objectifs
o Favoriser la cohérence des actions avec les valeurs de la société
o Mobiliser les collaborateurs de la société autour d’une vision commune des
principaux risques et les sensibiliser aux risques inhérents à leur activité

Cette gestion des risques repose sur un système de contrôle interne (voir deuxième
partie du séminaire).

ISO 31000

La nouvelle norme ISO 31000 a été adoptée en 2010 par l’AFNOR proposant les
principes et lignes directrices du management des risques ainsi que leur mise en œuvre
au niveau stratégique et opérationnel pour les organisations de tout secteur et de toute
taille.

25
Ce cadre vise à permettre aux entreprise de mettre en place une démarche ERM
(entreprise Risk Management).

La norme est structurée en trois parties :

o
o Principes : objectifs stratégiques, processus d’intégration aux niveaux
décisionnel et opérationnel
o Référentiel et cadre d’organisation, évaluation des contextes à risque,
élaboration d’une stratégie de gestion des risques, intégration des
processus dans la conduite stratégique mis à disposition de ressources
adéquates, communication interne et externe
o Processus de management : intégration du management des risques au
niveau opérationnel contribuant à développer un cadre global de gestion
des risques efficace dans l’entreprise

Cadres législatifs US et français de contrôle interne

Ils sont nés de la crise de confiance sur la communication financière des entreprises
provoquée par les grands scandales financiers révélés aux US dans les années 2000
(Enron, Worldcom, Adelphia, Xerox, AOL Time Warner).
Les autorités fédérales ont adopté le Sarbanes-Oxley Act (SOX) en 31 juillet 2002
organisant et imposant, pour toutes les sociétés cotées à la Bourse de New York la
transparence de la comptabilité et la gestion des risques financiers de l’entreprise.

SOX introduit les obligations suivantes :

o Certification personnelle des comptes pour les présidents et les directeurs


financiers
o Nomination d’administrateurs indépendants au comité d’audit du conseil
d’administration
o Encadrement des avantages particuliers des dirigeants
o Mise en place d’un contrôle interne s’appuyant sur un cadre conceptuel
(concrètement, le COSO)

Dans la lignée de cette législation US, le Parlement français a adopté le 17 juillet 2003 la
loi de sécurité financière (LSF) qui complète la loi sur les nouvelles régulations
économiques (NRE) de mai 2001 imposant la dissociation des fonctions exécutives et
des fonctions de contrôle au sein des entreprises (Dtoire &CS).
La LSF oblige le président du CA ou du CS à rendre compte dans un rapport des
procédures de contrôle interne mises en place par la société et les CAC à vérifier la
sincérité de ce document.
La LSF élargit la notion de risque au-delà de la stricte vision financière, à ses dimensions
juridiques, opérationnelles et environnementale.

Bâle 2, Bâle 3, Solvabilité 2

Les accords de Bâle 2 et 3 sont le dispositif réglementaire élaboré par le Comité de Bâle
depuis 1998 qui vise à préserver la solvabilité, la liquidité et renforcer la stabilité

25
financière des établissements financiers en améliorant leur gestion et leur couverture des
risques.
Ces risques de crédit, de marché et opérationnels imposent aux banques des mesures
prudentielles d’immobilisation de fonds propres et de maintien de ratios de liquidité à
court et long terme.

Solvabilité 2 est la directive européenne régulant le secteur de l’assurance qui impose


également une allocation de fonds propres comme marge de solvabilité suffisante pour
couvrir les risques inhérents à l’activité.

Mais les deux dispositifs sont antérieurs à la crise de subprimes (2007/2008) qui a fait
planer l’ombre du risque systémique sur le secteur de la banque et de l’assurance tout
entier.

En 1988, 2004 et 2010 le Comité de Bâle a publié des rapports qui sont devenus les
textes fondamentaux des réformes de Bâle 1, 2 et 3. Le point de départ est le ratio
prudentiel qui exige un niveau minimum de fonds propres en fonction des expositions
aux risques encourus.

Ratio prudentiel Mesure du risque… Date d’entrée


Bâle 1 FP vs RC >= 8% De crédit 1988
Bâle 2 FP vs (RC+RM) >= 8% De marché (VAR) 1996
Bâle 2 révisé FP vs (RC+RM+RO) >= 8% Crédit, marché, opérationnel 2007
Bâle 3 FPvs(RC+RM+RO)>= 10,5% ou 15% Liquidité 2019
FP = fonds propres – RC = risque de crédit – RM = risque de marché – RO = risque opérationnel

Dans l’esprit de Bâle, une réglementation similaire a été mise en place pour le monde de
l’Assurance : Solvabilité 2 préconise des règles de calcul du risque et le recours à des
niveaux réglementaires pour les fonds propres (MCR = minimum capital requirement et
SCR = solvency capital requirement). Ces standards sont complétés d’obligations faites
aux assureurs de mettre en place un système de contrôle interne des risques reposant
sur des principes d’auto-évaluation prospective et de modélisation encadrés par des
organes de surveillance (application 2016).

25
B) IDENTIFICATION DES RISQUES

La fixation d’objectifs est une condition préalable à l’identification des événements,


l’évaluation des risques et le traitement des risques.
Les objectifs doivent préexister pour permettre à la direction d’identifier et d’évaluer les
risques menaçant leur atteinte et prendre les mesures nécessaires pour gérer ces
risques.

1) Les grandes catégories d’objectifs

Considérant que les objectifs d’une organisation peuvent se compter par milliers, le
COSO n’a retenu que quatre grandes catégories d’objectifs.

Les objectifs stratégiques

Définition de la stratégie : mise sous tension de toutes les ressources d’une organisation
afin d’atteindre un objectif à long terme.
Le COSO définit des objectifs stratégiques comme : « objectifs de haut niveau,
correspondant à la mission et à la vision de l’organisation et la soutenant. Les objectifs
stratégiques reflètent le choix de la direction quant à la façon dont l’organisation
s’efforcera de créer de la valeur pour ses partenaires ».
Les objectifs stratégiques sont donc à long terme et leur non-réalisation est de nature à
compromettre l’existence de l’organisation (cf : FSR).

25
Les objectifs opérationnels

Selon le COSO, ils concernent « l’efficacité et l’efficience des activités d’une


organisation, notamment les objectifs de rentabilité et de performance et la protection
des actifs contre des pertes. Ils varient en fonction de choix définis par le management
en termes de structure et de performance. Ils permettent d’atteindre les objectifs
stratégiques ».
En stratégie d’entreprise, l’opérationnel est généralement du ressort du court terme.

Les objectifs du reporting

Pour le COSO il s’agit ici de mettre à la disposition des membres de l’entreprise et de


l’ensemble des parties prenantes de l’entreprise (investisseurs, banquiers, clients,
fournisseurs,…) des informations fiables et régulières facilitant la prise de décision. Un
objectif majeur sera ici d’assurer la fiabilité des états financiers.

Les objectifs de conformité

Cet aspect concerne le respect de l’ensemble des lois et réglementations en vigueur,


ainsi que les procédures internes à l’organisation.
La conformité aux lois, normes, réglementations est devenu un enjeu majeur pour toute
organisation, quel que soit le secteur d’activité, bien que certains secteurs soient
considérés comme plus critiques que d’autres (banque et assurance, industrie chimique,
nucléaire, alimentaire, pharmaceutique, santé en général…).

2) Les techniques d’identification des risques

Définition de l’identification des risques

L’ISO la définit comme : « le processus de recherche, de reconnaissance et


d’enregistrement des risques. L’identification des risques a pour objet d’identifier les
raisons pour lesquelles les objectifs du système ou de l’organisation pourraient ne pas
être atteints. »
Il convient donc d’identifier les éléments qui seraient susceptibles d’avoir un impact
négatif sur leur accomplissement.
Qu’est-ce qui pourrait mal se passer ?

Principes préalables

La revue des méthodes d’identification des risques peut s’appuyer sur les principes
suivants :
o Les risques les plus dommageables sont souvent ceux qui sortent du
champ traditionnel de notre imagination :

 Reports that say that something hasn't happened are always interesting to me, because as we know
 there are known knowns; there are things we know we know
 We also know there are known unknowns; that is to say we know there are some things we do not
know
 But there are also unknown unknowns — the ones we don't know we don't know. And if one looks
throughout the history of our country and other free countries, it is the latter category that tend to be
the difficult ones.

25
 The absence of evidence is not evidence of absence, or vice versa.

Donald Rumsfeld (born 9 July 1932) was the 21st United States Secretary of Defense, serving from 2001 to 2006,
succeeded by Robert Gates. He also served as the 13th Defense Secretary in 1975–1977 under President Ford, and in
other roles under various presidents.

o Certaines des méthodes développées par les professionnels du marketing


dans le cadre des études de marché quantitatives ou qualitatives peuvent
tout à fait s’appliquer à l’étape d’identification de la gestion des risques

o Les différentes méthodes peuvent être combinées mais aucune ne garantit


que l’ensemble des risques seront identifiés ; elles fournissent plutôt un
cadre, un processus qui permet de maximiser l’efficacité de la phase
d’identification

o Les différentes méthodes d’identification des risques seront utilisées et


appliquées de manière ponctuelle ou permanente, selon les contextes et
les besoins

o Selon l’INERIS (Institut National de l’Environnement Industriel et des


Risques) toute démarche d’identification des risques devrait, afin de
s’inscrire dans un cadre clair compris par l’ensemble des personnes
participant à cet exercice, se décomposer de la manière suivante :

 Définition claire du système faisant l’objet d’une analyse de risques


 Définition des objectifs de l’analyse de risques
 Revue la plus exhaustive possibles des
incidents/accidents/disfonctionnements antérieurs
 Définition de la démarche à adopter pour l’identification des risques.

Les techniques d’identification des risques

Les performances d’une organisation peuvent être menacées par des facteurs externes
ou internes à l’entreprise (facteurs de contingence – Henry Mintzberg : facteurs externes,
facteurs internes : âge, taille, technologie, style de management, stratégie)

o Approches « bottom up » et « top down »

25
 Bottom up (de bas en haut) : elle donne la priorité aux personnes
concernées par la gestion du risqua au quotidien, les opérationnels
 Avantages :
- Etre au plus près du terrain et des risques opérationnels
- Favoriser la sensibilisation de tous les collaborateurs à la gestion du risque
(Mayo – motivation – s’intéresser aux Hommes)
- Opportunité de solutions originales
 Inconvénients :
- Collecte d’informations potentiellement plus difficile ou longue
- Vision macro plus difficile à percevoir
- Investissements importants (argent, temps, efforts)

 Top down (de haut en bas) : collecter en premier lieu la vision des
équipes dirigeantes et des organes de gouvernance, puis la partager
à tous les niveaux de l’organisation
 Avantages :
- Vision macro des risques
- Cohérence dans la perception (vision par la DG uniquement)
- Facilité d’organisation car le périmètre est bien défini et souvent plus
restreint
 Inconvénients :
- Gros risques de biais cognitifs lorsque les risques sont « redescendus »
aux niveaux opérationnels
- Vision potentiellement déconnectée de la réalité du terrain (notamment pour
les priorités)
- Problème de motivation des acteurs terrain ayant l’impression de ne pas
être consultés
- Phénomène de « group thinking » possible

o Approches inductive et déductive

 Approche inductive : on part des causes pour identifier les effets


 Approche déductive : on part des effets pour remonter aux causes

 Attention au syndrome de « solution au voisinage des symptômes ».

o Bibliothèques d’événements et listes de contrôle

Ces techniques consistent à puiser des évènements provenant des univers de risque
antérieurs, dont la source peut être interne ou externe à l’organisation.
Ainsi les « stress tests » pratiqués par les banques entrent dans la catégorie des
bibliothèques d’événements. Les stress tests historiques permettent de simuler l’impact
financier de la survenance d’un risque sur la base d’un événement qui s’est déjà produit
par le passé, et dont la banque a dû subir ou non les conséquences.
L’existence de telles bibliothèques suppose que l’organisation ait mis en place un
dispositif de capitalisation et de partage des connaissances, irriguant l’ensemble de
l’organisation et permettant de créer une véritable « culture du risque » à tous les
niveaux.

25
Outre les sources internes, il est possible de consulter des sources externes, payantes
ou gratuites. Ceci est d’autant plus aisé avec l’apparition de l’open data permettant
d’accéder rapidement à des informations autrefois payantes et/ou très difficiles à obtenir :

 Le baromètre du risque développé par Protiviti en partenariat avec


TNS-Sofres, publié annuellement
 L’étude Global Risk Management Survey, publiée tous les deux ans
par la société AON (Aon = unité en gaélique)
 L’étude Global Risks développée par le World Economic Forum
 L’étude Global Risk Management élaborée par Accenture
 L’étude Public Company Audit Committee member Survey réalisée
par KPMG auprès de comités d’audit internationaux
 Les nombreuses études de risques menées par les Big Four
 La liste des très nombreux contrôles rendus obligatoires dans
chaque profession (cf ISO) – ces listes sont souvent développées et
mises à jour sur une base empirique (Bureau Enquête Accidents,
Bureau Enquête Analyse, Bureau Enquête Incendie…)
 Plus généralement, les retours d’expérience (feed-back) en cas
d’accidents industriels offrent une bonne base de mise à jour

o Les groupes de travail

Une des méthodes les plus fréquemment utilisées pour identifier les risques susceptibles
d’influer sur l’organisation consiste à réunir à intervalles réguliers des collaborateurs afin
de recueillir leur vision des risques.
Selon l’INERIS :
« Les accidents majeurs sont généralement des sinistres rares résultant
d’enchaînements et de combinaisons d’événements parfois difficiles à prédire. Une
réflexion menée en commun par plusieurs personnes de sensibilités et compétences
différentes favorise un examen plus riche des circonstances pouvant conduire à un
accident majeur ».
(Principe des cercles de qualité à la japonaise – sessions de brain storming).

o Les questionnaires

La méthode consiste à administrer à différents groupes de personnes une liste de


questions en relation avec les risques susceptibles d’avoir un impact sur l’entreprise.
Il est préférable que cette technique soit confiée à des professionnels de cette démarche
(Service Marketing) pour éviter les problèmes liés à l’échantillonnage, le mauvais
ordonnancement des questions, leur mauvaise formulation…
Quelles que soient les modalités choisies (voir ci-dessous) il est important que les
questionnaires soient relativement courts et que leur confidentialité soit assurée tout au
long du processus.

Les principes modalités d’élaboration et de distribution des questionnaires sont


synthétisés ci-dessous.

 En fonction des personnes qui reçoivent le questionnaire

 Ensemble des salariés (rare et lourd à gérer)


- Avantages :

25
 vision à 360° des risques
 création d’une culture du risque facilitée
- inconvénients :
 questionnaires « universels » difficiles à élaborer
(termes compréhensibles par tous)
 synthèse difficile à opérer
 recours à des spécialistes quasiment obligatoire
 tendance à déboucher sur des risques très génériques
 Spécialistes du métier du risk management (risk manager, auditeurs,
contrôleurs internes…)
- Avantages :
 Langage commun et précis
 Facilité de collecte de l’information
- Inconvénient :
 Vision étroite des risques, souvent peu opérationnelle
 Echantillon représentatif de salariés
- Avantage :
 Vision à 360°, mais sans les inconvénients de la
distribution à tous les salariés
- Inconvénient :
 Fort risque d’erreur d’échantillonnage si le
questionnaire n’a pas été administré par un spécialiste
 Equipes dirigeantes uniquement
- Avantage :
 Vision à 360° des risques si l’équipe est
pluridisciplinaire
- Inconvénient :
 Risque d’un biais de surestimation de soi du au profil
de la population (théorie de la rationalité limitée
(Herbert Simon)

 En fonction du canal de distribution

 Questionnaire papier
- Avantage :
 Aucun si l’on considère les nouvelles techniques de
communication
- Inconvénients :
 Coût
 Collecte et analyse des réponses laborieuses
(ressaisie)
 Image « ringarde » de l’entreprise
 Questionnaires internet ou équivalent
- Avantages :
 Coût d’administration unitaire faible
 Collecte très rapide des données
 Administration aisée et riche (tris à plat, croisés,
recherches, outils statistiques…
- Inconvénient :
 Aucun si l’on considère la technique papier et si l’on
maîtrise le système d’information

25
o Les entretiens individuels

C’est la forme la plus simple de collecte d’information en matière d’identification des


risques.
C’est une méthode simple, qui limite considérablement les phénomènes de groupe et
résout le problème de confidentialité.

Par contre, cette technique limite le nombre de personnes interviewées et peut conduire
à une vision relativement étroite de l’univers des risques.

Enfin, il est important de conserver en tête que les techniques d’interviews à l’aide de
questions ouvertes (enquêtes qualitatives) sont complexe et ne peuvent être confiées
qu’à des personnes les maîtrisant.

L’ISO rappelle qu’ « il convient que les questions posées soient évolutives, simples,
exprimées dans la langue de la personne interrogée ».

o La méthode d’analyse préliminaire des risques (APR)

D’après l’INERIS, cette méthode a été développée dans les années 60 dans les secteurs
aéronautiques et militaires, avant d’être adoptée massivement par l’industrie chimique.
Le processus d’identification des risques est le suivant :

 Identification des éléments dangereux d’une installation (matériels,


opérations, zones, sous-ensembles, périphériques…)
 Identification des situations spécifiques de danger pour chaque
élément dangereux
 Détermination des causes et conséquences de chacune des
situations de danger et inventaire des contrôles existants

Modèle de tableau de synthèse :

FONCTION OU SYSTEME
1 2 3 4 5 6 7 8
N° Produit ou Situation Causes Conséquences Sécurités Propositions observations
d’ordr équipement de existantes d’amélioration
e danger

o La méthode HAZOP (HAZard OPerability)

Développée dans les années 70 par le Groupe chimique ICI Ltd dans le cadre de
l’identification des risques des systèmes thermo-hydrauliques.
Elle se base sur l’analyse des dérives potentielles des principaux paramètres liés à
l’exploitation d’une installation.

Une dérive est définie par l’équation suivante :

Dérive = Mot-Clé + Paramètre

25
Les mots-clés sont des expressions du type « pas de », « plus de », « autre que »,
« supérieur à », etc…
Les paramètres constituent les éléments devant faire l’objet d’une surveillance.

Les phases de l'HAZOP sont les suivantes :


a. Dans un premier temps, choisir une « ligne ». Elle englobe généralement un
équipement et ses connexions, l'ensemble réalisant une fonction dans le
procédé, identifiée au cours de la description fonctionnelle (process)
b. Choisir un paramètre de fonctionnement,
c. Retenir un mot-clé et générer une dérive,
d. Vérifier que la dérive est crédible. Si oui, passer au point e, sinon revenir au
point c,
e. Identifier les causes et les conséquences potentielles de cette dérive,
f. Examiner les moyens visant à détecter cette dérive ainsi que ceux prévus pour
en prévenir l'occurrence ou en limiter les effets,
g. Proposer, le cas échéant, des recommandations et améliorations,
h. Retenir un nouveau mot-clé pour le même paramètre et reprendre l'analyse au
point c),
i. Lorsque tous les mots-clés ont été considérés, retenir un nouveau paramètre et
reprendre l'analyse au point b),
j. Lorsque toutes les phases de fonctionnement ont été envisagées, retenir une
nouvelle ligne et reprendre l'analyse au point a).
Voir lien : www.gpp.oiq.qc.ca/hazards_and_operability_study_(hazop).htm
o Les autres méthodes

 What if (méthode inductive)

La méthode “What-if” est un brainstorming effectué par un groupe d’experts. On pose


des questions sur un certain nombre de situations ou d’événements possibles et on
examine ce qui peut se passer si la situation ou l’événement en question devait se
produire.

Par exemple:
Que se passe-t-il si l’indication de niveau dans le récipient de production X est fausse ?
Quelles sont les conséquences si l’alarme Y ne fonctionne pas à temps ?
Que se passe-t-il si quelqu’un a oublié d’ouvrir le robinet Z ? …

La méthode “What-if” présente l’avantage d’être une méthode rapide, qui ne demande
pas beaucoup de préparation. Pour arriver à un bon résultat, l’équipe qui effectue le
brainstorming doit être composée de façon multidisciplinaire, sinon les questions What-if
vont trop dans le même sens.

Le désavantage de la méthode est qu’elle n’est pas adaptée aux installations


compliquées ou complexes et qu’elle est peu structurée. Une variante de la méthode
consiste à subdiviser l’installation, à examiner en sections et à poser, pour chaque
section, une série de questions qui concernent toujours les mêmes aspects. De cette
façon, la méthode acquiert plus de structure.

 AMDEC (méthode inductive)

25
La méthode AMDEC est l'Analyse des Modes de Défaillances, de leurs Effets et de leur
Criticité. L'AMDEC est un outil utilisé dans la démarche qualité et dans le cadre de la
sûreté de fonctionnement.
L'AMDEC consiste à analyser :
 les défaillances,
 leurs causes,
 leurs effets.
L'AMDEC est réalisée grâce à des contrôles :
 de différents points de la chaîne de production,
 du produit ou du service fini.

Les différents types d’AMDEC :

 AMDEC fonctionnelle : analyse des défaillances et de ses causes à


l’étape de la conception
 AMDEC produit : analyse des demandes des clients en termes de
fiabilité et fonctionnalité
 AMDEC process : analyse des risques liés aux défaillances d’un
produit
 AMDEC moyen de production : analyse des risques liés aux
défaillances du process de production (chaîne, configuration
industrielle)
 AMDEC flux : analyse des risques liés à l’approvisionnement, le
temps de réaction et de correction et leurs coûts (supply chain)
La grille d’évaluation de l’AMDEC analyse les défaillances en terme de :
 Fréquence
 Gravité
 Qualité du système de détection
 Permettant de calculer une note de criticité :
- Criticité = Fréquence x Gravité x Détection
 Plus la note de criticité est grande, plus la défaillance est importante

 Arbre d’événements – Event Tree Method (méthode inductive)

La méthode a pour objectif de décrire les scénarios d’accident à partir d’un évènement
initiateur.
Elle se déroule en 6 phases :

 Identifier l’événement initiateur


 Identifier les mécanismes de prévention
 Construire l’arbre d’événement en partant de l’événement initiateur
(gauche) pour aller vers les conséquences (droite) en enchaînant
les mécanismes de prévention sous forme de branches (succès /
échec)
 Estimer les probabilités de chaque branche
 Estimer les probabilités de chaque conséquence (multiplication des
probabilités de chaque branche)
 Hiérarchiser les conséquences en fonction des probabilités.

Ex #1 : Tuyau de gaz arraché : O/N


o Robinet fermé : O/N (probabilité = 0,8)

25
o Gaz dilué par la ventilation : O/N (probabilité = 0,9)
 Odeur de gaz détectée : O/N (probabilité = 0,99)
 Conséquences en fonction des branches de l’arbre
Ex : OUI puis OUI puis OUI puis OUI  pas d’accident Pbilité = 0,7128

Ex #2 : Voir Excel

 Arbre de panne (méthode déductive) – voir évaluation des risques ci-dessous

 Nœud Papillon (méthode inductive/déductive)

Le nœud papillon est une méthode d'analyse de risques qui consiste à réunir autour d'un
même événement redouté un arbre de défaillances et un arbre d'événements. Cette
méthode présente comme principal avantage de fournir une arborescence synthétique
qui permet d'avoir une vision exhaustive de l'ensemble des séquences accidentelles
susceptibles de se produire.

C) EVALUATION DES RISQUES

Après avoir identifié les risques une organisation doit les évaluer en continu.
C’est l’étape la plus complexe et très souvent la moins bien maîtrisée.

Selon une étude menée conjointement par Aon et NYSE Euronext (2010) :
 L’évaluation du Risque serait dans 30% des cas le résultat de l’expérience des
personnes en charge du processus
« L’expérience est comme une lanterne que l’on porte sur son dos, elle ne fait qu’éclairer le
chemin parcouru » Confucius
 75% des sociétés auraient des difficultés à quantifier les risques.

1) Définition

Selon l’ISO :
L’évaluation des risques consiste à fournir un processus structuré permettant d’identifier
dans quelle mesure les objectifs peuvent être affectés, et d’analyser les conséquences et
la probabilité d’occurrence des risques avant de décider s’il est nécessaire de procéder à
un traitement supplémentaire.

L’évaluation des risques est une mesure de l’occurrence d’un événement indésirable et
une mesure de ses effets ou conséquences, exprimée par la multiplication de ces deux
notions.
La mesure de l’occurrence est :
 Soit le calcul d’une probabilité de survenance du risque (sur une période donnée)
ou d’une fréquence (nombre d’événements se produisant par unité de temps)

25
 Soit la proposition de classes de possibilités (ou délais) d’apparition du risque

L’évaluation des risques n’est pas une activité autonome ; il convient qu’elle soit
totalement intégrée aux autres composantes du processus de gestion des risques.

2) Notion de risque non évaluable

L’étude du droit des assurances et des principales clauses des contrats d’assurance
montre que les Compagnies excluent généralement de leur couverture en RC les risques
suivants :
 Risque nucléaire
 Risques liés aux OGM
 Risque terroriste
 Certaines atteintes à l’environnement
 Certains risques liés à la gestion sociale de l’assuré (discrimination,
harcèlement…)
 Risques liés aux champs électromagnétiques.

Au-delà des aspects moraux ou juridiques, ces exclusions peuvent s’expliquer par une
certaine incapacité à évaluer avec un degré de confiance satisfaisant l’impact et/ou la
probabilité d’occurrence du risque.
Si les compagnies d’assurance dont c’est le métier, pouvant s’appuyer sur des experts
du domaine (dont les actuaires), que dire des sociétés « classiques » même dotées d’un
Risk Manager.
3) La représentation des risques

Les risques peuvent être évalués sur une matrice à deux axes : l’impact et la probabilité
d’occurrence  on parle de cartographie des risques :

Exemple de cartographie des risques (« heat map »)


Ordonnée : Probabilité d’occurrence du risque
Abscisse : impact du risque considéré

25
 L’impact

L’étude de l’impact ne se limite pas à la simple quantification de la conséquence du


risque, mais également à :

o La détermination du lien causes-conséquences (pas toujours évident)


o L’identification des parties prenantes ayant à subir les conséquences du
risque
o L’association des conséquences du risque aux objectifs d’origine
o La fixation du type d’impact le plus pertinent au regard des objectifs
poursuivis et de la nature du risque
o La détermination de l’horizon temporel (court moyen long terme).

Exemple de mesure de la gravité d’un risque : l’échelle de gravité SEVESO

25
 La probabilité

L’ISO retient trois grandes méthodes d’estimation d’une probabilité qui peuvent être
utilisées conjointement ou non.

A. L’extrapolation
Utilisation de données historiques pertinentes afin d’identifier des
événements ou des situations qui se sont produits dans le passé et ainsi
extrapoler la probabilité de leur occurrence dans le futur.
Il convient que les données utilisées soient adaptées au type de système
d’installation, d’organisation ou d’activité considéré et aux normes de
fonctionnement de l’organisation considérée.

B. La prédiction
Si les données historiques ne sont pas disponibles ou appropriées, il est
nécessaire de déduire les probabilités par une analyse du système, de
l’activité, de l’équipement ou de l’organisation ainsi que l’échec ou la
réussite qui en découle, l’aide de techniques prédictives telles que l’analyse
par arbre de panne ou de défaillance et l’analyse par arbre d’événements.

C. Le recours aux experts


Outre la compétence indéniable de ces intervenants (« experts » !)
augmentant la fiabilité des mesures de probabilité d’occurrence des
risques, soulignons que leur intervention peut décharger partiellement ou
totalement la responsabilité de l’organisation auprès de tiers.

L’arrêté du 29 septembre 2005 relatif à l’évaluation et à la prise en compte


de la probabilité d’occurrence détermine notamment les règles minimales
relatives à l’évaluation et à la prise en compte de la probabilité d’occurrence
des effets des phénomènes dangereux et de la gravité potentielle des
accidents susceptibles de découler de l’exploitation de sites soumis à
autorisation :

25
CLASSE DE PROBABILITE
E D C B A
Evénement Evénement très Evénement Evénement Evénement
possible mais improbable improbable probable possible
extrêmement courant
peu probable

Outre l’impact et la probabilité, il est possible de d’analyser le risque sous


l’angle de la cinétique (partie de la physique ayant pour objet l’étude des
mouvements) appréhendant :

D’une part la vitesse de déroulement du phénomène avec laquelle les mesures de


maîtrise des risques doivent être compatibles et d’autre part la vitesse de
propagation des effets puis d’atteinte de la population, pour lesquelles les mesures
de protection et de sauvegarde doivent être adaptées.

Cette notion est utilisée principalement dans le milieu industriel, mais


également en informatique.

4) Les techniques d’évaluation du risque

Une technique d’évaluation du risque est considérée comme adaptée si elle répond aux
critères suivants :

o Elle est justifiée et adaptée à la situation ou à l’organisation considérée


o Les résultats obtenus se présentent sous une forme permettant une
meilleure compréhension de la nature des risques et de la manière dont ils
peuvent être traités
o Elle est traçable, reproductible et vérifiable

Les facteurs de choix des techniques d’évaluation sont :

o Les objectifs de l’évaluation et ses enjeux


o Les besoins et attentes des décideurs
o La nature des risques devant faire l’objet de l’évaluation
o L’amplitude potentielle des conséquences
o Le degré de compétences disponibles
o La disponibilité des informations et des données.

 Les méthodes qualitatives

Ces techniques sont utilisées lorsque les risques ne peuvent être quantifiés (!) ou
lorsqu’il n’y a pas suffisamment de données fiables pour effectuer une évaluation
quantitative ou encore lorsqu’il n’est pas possible d’obtenir ou d’analyser ces données
moyennant un coût raisonnable.

L’ISO précise que « l’évaluation qualitative définit les conséquences, la probabilité et le


niveau de risque par des termes comme « élevé », « moyen », « faible » et peut
combiner conséquence et probabilité pour évaluer le niveau de risque qui en découle en
fonction de critères qualitatifs.

25
Notons que le fait de représenter un phénomène sur un graphique (quantifié) ne suffit
pas à en faire une représentation quantitative.
Ex : si un risque est évalué sur la base de l’expérience des individus, le fait de le
convertir en « notes » reportées sur un graphique reste une évaluation qualitative.

La majorité des méthodes qualitatives se font sous la forme d’interrogation de groupes


et/ou d’individus isolés dans le but de produire une cartographie des risques en suivant
les étapes suivantes :
o Classification des risques au sein de différentes catégories, mais sans
hiérarchisation
o Un ordonnancement (hiérarchisation) classant ces risques par ordre
d’importance et dans certains cas qualifiés d’élevés, de moyen ou de
faibles (impact ou probabilité d’occurrence)
o Une cartographie comportant une échelle numérique par intervalles
o Une cartographie comportant une échelle numérique par ratios

 Les méthodes quantitatives

 Value At Risk (VAR)

La Value At Risk représente la perte potentielle maximale d'un investisseur sur la valeur
d'un actif ou d'un portefeuille d'actifs financiers compte tenu d'un horizon de détention et
d'un intervalle de confiance. Elle se calcule à partir d'un échantillon de données
historiques ou se déduit des lois statistiques habituelles.
Elle est, en d'autres termes, la pire perte attendue sur un horizon de temps donné pour
un certain niveau de confiance.

Utilisée pour la première fois dans les années 1980 par la banque  Bankers Trust sur les
marchés financiers américains, la notion de Value At Risk a principalement été
démocratisée par la banque JP Morgan dans les années 1990 grâce à son système
de RiskMetrics.

La VAR peut être considérée comme un quantile de la distribution de pertes et profits


associée à la détention d’un actif ou d’un portefeuille d’actifs sur une période donnée.
Si l’on considère un taux de couverture de a% (souvent 95% ou 99%), la VAR à un jour
correspond au quantile de niveau a% de la distribution de pertes et profits sur la période
de détention d’un actif.

Le calcul de la Value-At-Risk dépend de trois éléments :

a. La distribution des pertes et profits du portefeuille valable pour une certaine


période de détention
b. Le niveau de confiance : compris entre 0 et 1, il permet de contrôler la
probabilité que l’on obtienne un rendement supérieur ou égal à la VAR.

Supposons par exemple que la distribution des pertes et profits associée à la détention d’un actif sur une
période corresponde à une distribution normale standard (moyenne, écart-type)
La VAR au seuil de confiance de 95% à 1 jour notée VAR(95%, 1Jour), égale à 1 million d’euros signifie
qu’il y a 95% de chances pour que la perte associée à la détention de l’actif n’excède pas 1 million d’euros.

25
Graphiquement, la VAR un jour avec un indice de confiance de 95% peut être représentée par le
graphique ci-dessous:

D'après ce graphique, la VAR(95%, 1Jour) correspond à une perte approximative de 1,65 million d’euros.
Pr (r > -1,645) = 0,95
Voir exercice Excel
c. La période de détention de l’actif ou du portefeuille d’actifs.

Le calcul de la VAR doit être ajusté de façon à tenir compte de la composition des
rendements. Même si la période de détention est propre à chacun, les autorités de
régulation exigent des horizons communs dans le cadre des procédures de validation de
la Value-At-Risk.

Cependant, toutes les méthodes de la VAR ont une caractéristique commune : elles
partent toutes des données du passé pour estimer les variations potentielles de la valeur
du portefeuille dans le futur proche. On suppose donc que l’avenir se comportera comme
le passé, ce qui en fait un outil inadapté en cas de conditions de marché exceptionnelles.
Il faut donc les compléter par d’autres méthodes, comme les stress tests par exemple.

 L’arbre de panne ou de défaillance

L’arbre de panne constitue une représentation graphique organisée des conditions ou


des facteurs produisant ou contribuant à produire un événement indésirable
appelé événement de tête ou événement redouté (ER).

L’arbre de panne est particulièrement adapté à l’analyse de systèmes complexes


constitués de plusieurs sous-systèmes dépendants ou entre lesquels existent des
relations fonctionnelles et dont les performances satisfont des objectifs divers. Cela est
d’autant plus vrai lorsque la conception du système suppose la collaboration de
nombreuses équipes de concepteurs spécialisés.
Quelques exemples de systèmes couramment soumis à des analyses par arbre de
panne :
Les centrales nucléaires, les avions, les systèmes de communication, les procédés
chimiques, etc.

 La matrice de vulnérabilité

25
25