Vous êtes sur la page 1sur 63

Juillet 2008 JJ Mois Anne

laborer une Cartographie des risques Pourquoi, pour qui et comment ?

Ralis par : Hassan EL AMRANI

Sommaire
1. Le systme de contrle interne et sa place dans les AMC
Dfinition et objectif du C.I Principes fondamentaux du C.I Obligation de disposer du C.I Architecture du dispositif du C.I Obligation stricte de documentation et dinformation Les risques couvrir par le C.I

2. Rglementation Ble 2 et risques oprationnels


Focus sur les risques oprationnels Approche de couverture des risques

3. Cartographie des risques


Objectifs et attentes Dfinition de la cartographie des risques Utilisateurs de la cartographie Les fondements de lapproche Rfrentiels utiliss tapes cls Acteurs de la cartographie tapes dlaboration Cls de russite cueils viter
Juillet 2008 La Cartographie des risques

Objectifs du sminaire
Dvelopper le sens de la matrise des risques,

Apprhender les composantes du Dispositif du Contrle Interne,

Acqurir la mthodologie dlaboration de la Cartographie des risques,

Assimiler les techniques dvaluation du niveau dexposition aux risques,

valuer limpact de la gestion des risques sur la tarification et la mesure de la rentabilit.

Juillet 2008

La Cartographie des risques

Le systme de contrle interne & sa place dans lAMC

1. Pourquoi un Dispositif de Contrle Interne?

2. Quel est son primtre?

3. De quoi est-il compos?

Juillet 2008

La Cartographie des risques

Dfinition et objectifs du contrle interne

Dfinition : Le contrle interne est dfini comme lensemble des dispositifs visant la matrise des activits et des risques de toute nature, permettant la rgularit (au sens du respect de la rglementation externe et interne), la scurit et lefficacit des oprations.

Juillet 2008

La Cartographie des risques

Dfinition et objectifs du contrle interne

Le dploiement du dispositif de contrle interne rpond aux principaux objectifs suivant : Sassurer de la conformit aux lois et rglements et aux normes internes, Sassurer de la qualit de linformation comptable et financire, Prvenir et dtecter les fraudes et les erreurs, Veiller la performance financire, Porter la connaissance de la Direction Gnrale des donnes exhaustives, prcises et rgulires ncessaires la prise de dcision et la gestion des risques.

Juillet 2008

La Cartographie des risques

Principes fondamentaux du contrle interne

Implication direct de lorgane excutif dans lorganisation et le fonctionnement du dispositif du contrle interne, Responsabilit de lensemble des acteurs, Couverture exhaustive des activits et des risques, Dfinition claire des tches, de sparation effective des fonctions dengagements et de contrle,

Juillet 2008

La Cartographie des risques

Principes fondamentaux du contrle interne

Processus de dcision fond sur les dlgations formalises et jour comportant un double regard pour tout engagement significatif de quelque nature quil soit, pouvant se traduire par la ncessit dun accord pralable ou dun avis, le cas chant, de la part des fonctions de contrle ( ex :Nouvelles activits ou nouveau produits), Normes et procdures, Dploiement de fonctions de contrle spcialises, Information de lorgane dlibrant (Conseil de surveillance : stratgie et politique de risque limites globales oprationnelles fixes aux prises de risques, suivi de limites, activits, rsultats des contrles permanent et priodique )

Juillet 2008

La Cartographie des risques

Obligation de disposer du contrle interne

Disposer dun contrle interne est une obligation rglementaire dicte par : Comit de Ble de la BRI, Rglement CRBF 97-02 modifi en juin 2007(Applicable lensemble des filiales de banques et aux organismes de crdits franais), Circulaire BAM n40/G/2007 relative au Contrle Interne des tablissements de crdit.

Juillet 2008

La Cartographie des risques

Obligation de disposer du contrle interne

Cette obligation a t renforce compter du 1er janvier 2006 en France et partir du mois daot 2007 au Maroc : Extension du dispositif de contrle interne aux activits essentielles externalises, Confirmation du rle primordial des managers et de leurs quipes dans les contrles permanents oprationnels. Il constitue un instrument de gestion et de matrise de lensemble des risques encourus.

Juillet 2008

La Cartographie des risques

10

Obligation de disposer du contrle interne

Son rle doit tre : efficace, se concevoir sur base consolide, stendre aux succursales ltranger, concourir la fiabilit des tats financiers. Pour tre efficace, il faut que les systmes de contrle des oprations et des procdures : soient adapts au activits et la taille, aux implantations et aux risques, respectent certains principes comme la sparation des fonctions, lutilisation de moyens adapts (qualitatifs et quantitatifs), le rexamen priodique de la pertinence des systmes, une dure limite du cycle dinvestigations

Juillet 2008

La Cartographie des risques

11

Obligation de disposer du contrle interne

Les rglementations imposent aux tablissements de crdits et aux entreprises dinvestissement :

Une obligation de moyens Mise en place dun dispositif

Une obligation de rsultat Dispositif adapt et efficace

Juillet 2008

La Cartographie des risques

12

Architecture du dispositif de contrle interne

Les quatre composantes essentielles du dispositif du contrle interne sont : Une organisation comptable et du traitement de linformation (comptabilit, systme dinformation),

Un systme de documentation et dinformation (procdures, reportings),

Un systme de mesure et de surveillance des risques et des flux,

Un systme de contrle qui comprend des contrles permanents, des contrles de conformit ainsi que des contrles priodiques.
Juillet 2008 La Cartographie des risques

13

Architecture du dispositif de contrle interne

Le systme de contrle inclut toutes les vrifications ralises tous les niveaux de lentreprise par lensemble des collaborateurs. Il a pour objectif de vrifier lexistence, ladquation et lefficacit du contrle interne et permet den apporter une justification probante. Il vise galement lamlioration constante de ce dispositif par la mise en uvre dactions correctrices appropries.

Juillet 2008

La Cartographie des risques

14

Architecture du dispositif de contrle interne

Juillet 2008

La Cartographie des risques

15

Architecture du dispositif de contrle interne

Il faut notamment 3 niveaux de contrles :

Permanent de 1er degr (au sein des units),

Permanent de 2me degr (units spcialises),

Priodiques (contrle des contrles),

Juillet 2008

La Cartographie des risques

16

Architecture du dispositif de contrle interne

Juillet 2008

La Cartographie des risques

17

Architecture du dispositif de contrle interne

Le contrle permanent est assur : Au 1er degr, de faon courante linitiation dune opration et en cours de validation de lopration, par les oprateurs, la hirarchie au sein de lunit ou par les systmes automatiss de traitement des oprations, Au 2me degr - 1er niveau, aprs validation de lopration, par des agents distincts de ceux ayant engag lopration, pouvant exercer des activits oprationnelles, Au 2me degr - 2me niveau, par des agents exclusivement ddis, sans pouvoir dengagement impliquant une prise de risque. Le contrle priodique (3me degr) : Vrifications ponctuelles de toutes les activits et fonctions de lentreprise y compris le contrle permanent et le contrle de la conformit par une unit indpendante (Audit Inspection).

Juillet 2008

La Cartographie des risques

18

Obligations strictes de documentation et dinformation

Ncessaire formalisation des procdures et documentation des programmes,

Mise disposition de tableaux de bord sur les risques et tats de synthse sur la mesure des risques,

Centralisation des informations chez le responsable des Contrles Permanents


Juillet 2008 La Cartographie des risques

19

Les risques couvrir par le contrle interne

Les risques prendre en compte au titre de la rglementation sont : Risque de crdit, y compris le risque de concentration et le risque rsiduel, Risques de march, Risques financiers structurels (risques de taux dintrt global, risque de liquidit intraday, et risque rglement/ livraison), Risques oprationnels (y compris le plan de continuit des activits, scurit des moyens de paiements, externalisation), Risques de non-conformit, Risques juridiques. Le risque dimage et le risque stratgique bien quils ne soient pas intgrs dans les rglementations, ils doivent faire lobjet dune surveillance particulire compte tenu de leurs impacts financiers sous-jacents et de leurs consquences.

Juillet 2008

La Cartographie des risques

20

Les risques couvrir par le contrle interne

Les banques est les tablissements de crdits sont principalement soumis aux risques de crdit, de march et aux risques oprationnels : Le risque de crdit se dfinit comme lincertitude dune contrepartie daccomplir ses obligations. Ce risque existe pour toute crance client. Le risque de march, existe ds quun portefeuille est expos aux fluctuations des paramtres des marchs. Le risque oprationnel quant lui se divise en deux catgories : risques endognes et risques exognes. Les premiers sont internes ltablissement et comprennent les risques humains (erreurs doprateur de saisie par exemple), inhrents au processus (cas ou il ny a pas de mcanisme de gestion de crise dans le processus) ou inhrents au systme lui-mme (cas de systme dinformation indisponible pendant un jour par exemple). Les seconds sont externes lactivit (incendie dans les locaux, inondation des salles serveurs)

Juillet 2008

La Cartographie des risques

21

Les risques couvrir par le contrle interne

Le tableau suivant reprend les principales catgories de risques et les causes de leurs survenances :
TYPES DE RISQUES
RISQUES DE CREDIT RISQUES DE MARCHE RISQUES OPERATIONNELS STRATEGIES/ BUSINESS & REPUTATION

EXTERNES

Dfaut de paiement des: - Clients - Contreparties - Emetteurs - ...

Evolution dfavorable des conditions de march : - Taux / Change - Actions - Matires premires - Immobilier - ...

Survenance dvnements extrieurs: -Tiers


fraudes, malversations, contestations de crances de bonne ou de mauvaise foi, dfaillance des prestataires de services, grves des transports ...

Evolution dfavorable des volumes dactivit ou de la conjoncture conomique

- Evolution de lenvironnement gopolitique, lgal, fiscal ou rglementaire


changement de la rglementation lgale ou prudentielle, volatilit des marchs

CAUSES DE RISQUES

- Accidents & dprdations


incendies, inondations, pannes externes de courant ou des tlcommunications ...

Inadaptation ou dfaillance: - De lorganisation ou des procdures non sparation des tches, processus dcisionnel inadapt, inexistence ou inefficience des procdures ... - Des collaborateurs erreurs, ngligences, malveillances, comportements rprhensibles, non respect des procdures, perte de savoir-faire ... - Des systmes dinformation indisponibilit des systmes dinformation ou des communications internes, erreurs de traitement...

Conduite dune stratgie dont la rentabilit ne savre pas optimale compte tenu des fonds propres engags

INTERNES

Juillet 2008

La Cartographie des risques

22

Les risques couvrir par le contrle interne

Exemples dvnements majeurs :


Jan 06 IAS/IFRS CRBF 97-02 CRBF 01-01 Juil 02 Sarbanes Oxley Act Aot 03 Loi Scurit Financire

85>95 Sumitomo $ 2,6 bn

1995 Barings $ 1,3 bn 1995 Orange Country $ 1,6 bn 2001 AIB $ 691 m

2001 Enron $ 63 bn

2003 Parmalat 10 bn

1988 Ratio Cooke (Ble I)

Juin 99 A new Capital Adequacy Framework

Avril 03 Consultative paper 3

Juin 04 Texte dfinitif ?

Jan 07 Mise en place Ble II

Juillet 2008

La Cartographie des risques

23

Rglementation Ble 2 / Risques Oprationnels


Focus sur les Risques Oprationnels

Dfinition rglementaire du Risque Oprationnel


Le Risque Oprationnel (RO) est le risque de perte: rsultant de linadaptation ou de la dfaillance de procdures, personnes, systmes internes, ou rsultant dvnements externes (catastrophe, incendie, agressions, changement de lois ou de rglementations, etc.), lexclusion du risque de rputation* et du risque stratgique.

Le Risque Oprationnel est dfini pour la premire fois par la rglementation comme un risque part entire. Selon les enqutes ralises par le Comit de Ble en 2001 auprs de 89 tablissements bancaires, il se situerait en deuxime position quant son importance en exigence de fonds propres soit : aprs le risque de crdit, mais avant le risque de march.

* Le risque dimage est toutefois inclus dans la dfinition des risques oprationnels de certaines institutions.

Juillet 2008

La Cartographie des risques

24

Rglementation Ble 2 / Risques Oprationnels


Focus sur les Risques Oprationnels

les risques oprationnels sont dcomposs par le comit de Ble en sept catgories de risques:

Fraude interne ; Fraude externe ; Pratiques en matire demploi et de scurit ; Clients, produits et pratiques commerciales ; Dommages aux actifs corporels ; Dysfonctionnement de lactivit et des systmes ; Excution, livraison et gestion des processus.

Juillet 2008

La Cartographie des risques

25

Rglementation Ble 2 / Risques Oprationnels


Focus sur les Risques Oprationnels

Cette dcomposition institue une approche diffrente, base sur des vnements gnrateurs de pertes, et non plus sur des types de risques comme cela tait le cas auparavant.
Juillet 2008 La Cartographie des risques

26

Rglementation Ble 2 / Risques Oprationnels


Focus sur les Risques Oprationnels

Exemples dvnements

Catgories de risques Ble II


Fraude interne

Dlit diniti (intentionnel)

Inadaptation de la rmunration variable

Fraude externe

Dfaut de connaissance du client Dfaut de conseil Violation du secret professionnel Pratiques discriminatoires envers des clients Manipulation des marchs

Gestion des RH Clients, Produits, et Pratiques commerciales Dommages & Sinistres Systmes d information Traitements & Procdures

Non respect dun embargo Inexactitude des dclarations rglementaires

Juillet 2008

La Cartographie des risques

27

Rglementation Ble 2 / Risques Oprationnels


Approche de couverture des Risques Oprationnels

Nouvelle rglementation Ble 2 identifiant le Risque Oprationnel


Le Risque Oprationnel est un composant du nouvel accord dit de Ble 2 (divis en trois piliers) sur le Capital Rglementaire visant dfinir un nouveau ratio de solvabilit pour remplacer le ratio Cooke.

PILIER 1

Nouvelles exigences minimales de fonds propres

PILIER 2

Renforcement de la surveillance prudentielle

PILIER 3

Nouvelles exigences en matire de communication financire

Pour la premire fois, le RO va : faire lobjet dune dotation spcifique en capital (Pilier 1 de lAccord) tre suivi et valu par les rgulateurs qui pourront augmenter lallocation de capital RO si la gestion des Risques Oprationnels nest pas juge satisfaisante (Pilier 2 de lAccord) tre inclus dans la communication financire des banques au march (Pilier 3 de lAccord).

Juillet 2008

La Cartographie des risques

28

Rglementation Ble 2 / Risques Oprationnels


Approche de couverture des Risques Oprationnels

La rglementation Ble 2 propose trois mthodes de calcul des exigences en Fonds Propres au titre des Risques Oprationnels
Exigence de capital rglementaire (en % de la moyenne sur 3 ans du PNB de lensemble de la Banque) : Exigence de capital rglementaire (en % de la moyenne sur 3 ans du PNB des lignes mtier) : 12 % pour la Banque de dtail, courtage de dtail et gestion dactif , 15 % pour la Banque commerciale et Fonction agent , 18 % pour le Financement des entreprises, ngociation et vente et paiement et rglement Lvaluation des risques et des contrles (RCSA) est recommande. Exigence de capital rglementaire : La banque doit proposer un montant de capital rglementaire selon un modle de calcul intgrant : Les donnes de pertes internes et externes Les analyses de scnarii Elle doit par ailleurs

15 %

Cot en capital

valuer ses risques et son environnement de contrle via le processus RCSA** qui est obligatoire. Mthode A.M.A *

Mthode de base

Mthode Standard

Complexit de la mthode et finesse de la structure de gestion du Risque Oprationnel


* A.M.A : Advance Measurement Approach : Approche en mthode avance ** RCSA : Risk and Control Self-Assessment : Auto-valuation des risques et des contrles Juillet 2008 La Cartographie des risques

29

Rglementation Ble 2 / Risques Oprationnels


Approche de couverture des Risques Oprationnels

Lapproche de mesure avance (A.M.A) entre en vigueur au 1er janvier 2008. Dans le cadre de lA.M.A, les lments de mesure des Risques Oprationnels sont :
La collecte des pertes internes La comparaison des pertes internes avec les pertes externes

Donnes historiques

Lanalyse de scnarii des risques extrmes potentiels Lauto-valuation des risques et du dispositif de prvention et de contrle de ces risques (RCSA)* ou cartographie des risques Les indicateurs cls de risque (KRI).**

Donnes prospectives

La collecte des pertes internes renseigne sur le pass. Les autres lments du dispositif permettent davoir une vision prospective des risques potentiels. (*) RCSA : Risk and Control Self Assessment (**) KRI: Key Risk Indicators

Juillet 2008

La Cartographie des risques

30

Rglementation Ble 2 / Risques Oprationnels


Approche de couverture des Risques Oprationnels

La gestion des Risques Oprationnels


Les tablissements de crdits et les AMC entendent ainsi transformer cette contrainte rglementaire en une vritable opportunit doptimisation de gestion du risque. A cette fin, les objectifs poursuivis par les tablissements de crdits dans ce domaine sont nombreux et varis, mais aussi complmentaires : Meilleure comprhension et appropriation des risques oprationnels encourus Meilleure connaissance du niveau de matrise des risques oprationnels et de limpact potentiel dune concrtisation de ces risques Allocation cohrente des ressources ncessaires la rduction de ces risques Meilleure communication externe sur les risques oprationnels, notamment auprs des investisseurs et des agences de notation, et rduction du risque dimage Allocation des fonds propres permettant de mesurer avec pertinence la performance relle des activits, aprs prise en compte des risques oprationnels.

Juillet 2008

La Cartographie des risques

31

Cartographie des risques


Objectifs et attentes

La cartographie des risques permet didentifier les RO en apportant


Une vision globale du niveau de risque oprationnel intrinsque, Une vision globale du niveau des risques oprationnels rsiduels. La mthodologie RCSA (ou cartographie des risques) permet dvaluer le risque oprationnel rsiduel auquel est expos ltablissement :

1- Risques oprationnels Intrinsques (RI)

Lentreprise de crdit est expose des risques intrinsques ses activits. Ex : LAMC, de par ses activits , est soumise au risque de litiges commerciaux.

2- Dispositifs de prvention et de contrle existants

Pour se protger, lAMC met en place des dispositifs de prvention et de contrle visant rduire ses risques oprationnels un niveau jug acceptable. Ex : Pour faire face au risque de litiges commerciaux, des procdures de contrle des documentations contractuelles existent afin de sassurer de leur conformit.

3- Risques oprationnels Rsiduels (RR)

Malgr lexistence de contrles, il subsiste des risques rsiduels. Pour y faire face, lAMC pourra : renforcer les dispositifs de prvention et de contrle, transfrer ces risques (assurances), affecter des fonds propres pour les couvrir. 32

Juillet 2008

La Cartographie des risques

Cartographie des risques


Dfinition de la cartographie des risques

La cartographie des risques : Ce processus, qui cartographie par type de risque les diverses units, fonctions organisationnelles ou chanes doprations, peut reprer les zones de faiblesse et permettre dtablir des priorits pour laction entreprendre par lorgane de direction
Dfinition de BAM (Projet de recommandations gnrales relatif au dispositif de gestion des risques oprationnels

Juillet 2008

La Cartographie des risques

33

Cartographie des risques


Dfinition de la cartographie des risques

La cartographie des risques oprationnels doit permettre de : valuer priodiquement les risques ports par les processus au sein des mtiers, tablir une synthse dgageant les risques majeurs et/ou les processus les plus sensibles, Surveiller les processus sensibles laide dindicateurs ( dterminer par filiales et mtiers), Orienter les dcisions sur le plan dactions damlioration de la matrise des risques, Satisfaire aux critres qualitatifs dligibilit aux AMA Ble II, Complter les lments en entre du modle interne de calcul d allocation des fonds propres aux mtiers / filiales (notamment les scnarios de risques oprationnels)

Juillet 2008

La Cartographie des risques

34

Cartographie des risques


Dfinition de la cartographie des risques

En terme des rsultats elle doit fournir une gestion diffrencie par nature de risque.
- Suivi rgulier - Prvention

Gestion de crise

Frquence

Risque rcurrent

Haute

=> Pertes attendues

Risque insupportable/ situation de crise

Basse

Risque ngligeable

Risque majeur
=> Pertes exceptionnelles

- Attnuation (PCA, ) - Transfert (Assurance) - Capital conomique

Impact

Faible

Fort

Juillet 2008

La Cartographie des risques

35

Cartographie des risques


Utilisateurs de la cartographie des risques

La cartographie des risques est un des outils de pilotage des Risques Oprationnels. Il intresse terme diffrents acteurs
La Direction Gnrale Connaissance de lexposition aux Risques Oprationnels Pilotage et dcisions stratgiques, suivi des plans daction majeurs Comparaison des profils de risque des activits Mise en vidence des principaux risques Analyse des risques oprationnels et valuation des contrles Mise en oeuvre et suivi de plans dactions correctrices Rpartition du capital rglementaire valuation du degr de conformit avec lapproche Gnrale et les exigences rglementaires Vrification de la fiabilit et lexhaustivit des valuations de profils des risques Priorisation des missions daudit sur les entits les plus exposes Information sur le profil des risques

Les responsables des Branches et des Directions fonctionnelles (pour


compte propre et filire : PCA, SSI...)

La Direction financire

LInspection Gnrale et laudit interne

Les actionnaires Les rgulateurs et contrleurs externes Les agences de notation

Analyse du profil de risque

Prise en compte de la qualit de gestion des risques exerce.

Juillet 2008

La Cartographie des risques

36

Cartographie des risques


Fondements de lapproche

La mise en place de la cartographie est un projet qui a des consquences sur lensemble de lorganisation : Il touche au cur des mtiers, Il conduira un nouveau systme de pilotage, Il entranera des modifications importantes : des systmes dinformations de lorganisation de la stratgie.

Avec ce projet stratgique, les tablissements seront en mesure de passer de la gestion des RO au pilotage des RO.

Juillet 2008

La Cartographie des risques

37

Cartographie des risques


Fondements de lapproche

Une approche participative, gnrique et oprationnelle


pour que les acteurs sy reconnaissent et se lapproprient, pour tre applicable tout type dactivit, pour donner rapidement des rsultats concrets,

ncessitant une exprimentation pralable


pour lajuster et lenrichir par rapport aux ralits et proccupation du terrain, pour tester son appropriation par les acteurs, pour la doter dun vecteur de communication interne et externe, pour en tirer les consquences pratiques en vue dun dploiement moindre cot,

pour garantir le succs de son dploiement


afin de faire merger et partager les expriences et les meilleures pratiques, pour garantir homognit et cohrence en vue dune certification par le rgulateur.

Juillet 2008

La Cartographie des risques

38

Cartographie des risques


Fondements de lapproche

La cartographie a pour but dvaluer la qualit du dispositif de prvention et de contrle et de quantifier lexposition aux risques oprationnels. Pour ce faire, il sagit de :
1- Risques oprationnels intrinsques (RI)

1.

Identifier et valuer les risques intrinsques auxquels est expose chaque activit : risques inhrents la nature dune activit, en faisant abstraction de son environnement de prvention et de contrle,

2- Dispositifs de prvention et de contrle existants

2.

valuer la qualit des dispositifs de prvention et de contrle en place permettant de rduire ces risques (existence et efficacit de ces dispositifs en termes de dtection et de prvention des risques et/ou de leur capacit en diminuer les impacts financiers), En dduire lexposition aux risques rsiduels de chaque activit (aprs prise en compte de lenvironnement de prvention et de contrle mais sans prise en compte des couvertures dassurance),

3- Risques oprationnels rsiduels (RR)

3.

4.

Pour identifier les zones de faiblesse des mesures de prvention et de contrle et mettre en uvre des plans dactions correctrices.

Juillet 2008

La Cartographie des risques

39

Cartographie des risques


Fondements de lapproche

En pratique, la dmarche de la cartographie des risques consiste rencontrer les acteurs des risques au quotidien et leur demander :

De quelle activit sagit-il ? Domaine/Processus/Acteurs Quel est le problme redout (avr ou potentiel) ? Risque Quelles sont les principales causes ? Cause Quelle est la nature des prjudices induits ? Consquences Avec quelle frquence ce problme peut-il survenir ? Combien cela cote -t-il en moyenne par an et combien cela pourrait-t-il coter dans un scnario pessimiste mais plausible ? Cotation Que pourrait-on faire pour mieux anticiper, dtecter et grer ce problme (plans dactions) ? Indicateurs/ Mesures

Juillet 2008

La Cartographie des risques

40

Cartographie des risques


Fondements de lapproche

Juillet 2008

La Cartographie des risques

41

Cartographie des risques


Fondements de lapproche

Cotation du Risque Oprationnel Rcurrent

Combien cela a t-il cot et valu, en tenant compte du niveau des contrles permanents : par le montant des pertes rcurrentes attendues horizon d un an, combien cela pourrait-il pertes values en saidant des coter lanne prochaine ? historiques et / ou du niveau de nuisance des impacts non financiers Il est cot par lvaluateur en fonction des lments dont il dispose : base pertes, indicateurs, alertes

Cotation du Risque Oprationnel Exceptionnel


valu, en cas de dfaillance grave des contrles permanents ou dvnement(s) externe(s) exceptionnel(s) : Combien de fois ce scnario exceptionnel pourrait-il par le montant de la perte potentielle maximale survenir lavenir et combien et / ou par l importance de limpact non financier , cela pourrait-il coter ? dont la Frquence varie de moins dune fois par an une fois tous les 10 ans. Il est cot par lvaluateur en fonction des pertes exceptionnelles passes, de la veille/benchmarks, anticipation de risques futurs Ces risques sont-ils bien ou mal Apprciation de la qualit des contrles pour assurer la matrise de leurs risques. matriss?

Cotation de la Qualit des Contrles Permanents

Juillet 2008

La Cartographie des risques

42

Cartographie des risques


Fondements de lapproche

Juillet 2008

La Cartographie des risques

43

Cartographie des risques


Rfrentiels utiliss

Lexercice de la cartographie des risques sappuie sur :


Le rfrentiel RO, i.e. la classification des catgories et sous-catgories dvnement de RO dj mise en uvre dans lentreprise pour la collecte des pertes internes. Le rfrentiel Cartographie des risques, i.e. le rfrentiel des questionnaires mtier, galement appels scorecards mtier , spcifiques chaque mtier ou fonctionnel, regroupant les facteurs de risque pertinents pour le mtier considr et les questions dvaluation associes.

Rfrentiel des Risques Oprationnels


Se dclinant en Causs par plusieurs

Rfrentiel RCSA

8 catgories dvnement
Ex : Litiges commerciaux

valus par

sous-catgories dvnement
Ex : Inadquation des produits proposs

Facteurs de risque
Ex : Insuffisance ou inadquation du partage d'information entre les quipes

Questions dvaluation
Ex : Comment valuez-vous l'efficacit des dispositions en vigueur afin de faciliter le partage d'informations sur les clients au sein de l'entit ?

Pouvant chacun causer plusieurs

Juillet 2008

La Cartographie des risques

44

Cartographie des risques


Rfrentiels utiliss

Exemple de rfrentiel RO : Les 8 catgories dvnements reprsentent les manifestations concrtes


possibles des risques oprationnels. Chaque catgorie dvnement est ensuite dcline en une ou plusieurs sous-catgories dvnements mutuellement exclusives.
8 CATEGORIES DEVENEMENT
LITIGES COMMERCIAUX LITIGES AVEC LES AUTORITES ERREURS DE PRICING OU DEVALUATION DU RISQUE ERREURS DEXECUTION FRAUDE ET AUTRES ACTIVITES CRIMINELLES ACTIVITES NON AUTORISEES SUR LES MARCHES (ROGUE TRADING) PERTES DES MOYENS DEXPLOITATION DEFAILLANCE DES SYSTEMES DINFORMATION

SOUS-CATEGORIES DEVENEMENT
1. Litiges sur activits de conseil 2. Pratiques commerciales inappropries 3. Insuffisance du service au client 4. Autres litiges avec un tiers 5. Contrat ou clauses contractuelles inapplicables 7. Non-respect de la loi bancaire 8. Non-respect des lois contre la discrimination 9. Non-respect de la rglementation du travail 10. Non respect des exigences rglementaires locales 11. Non-respect des exigences comptables ou de la communication financire 12. Non-respect de la lgislation fiscale 18. Dfaillance dans le dispositif de gestion et de suivi des autorisations et des limites 19. Evaluation incorrecte ou inexistante de la position 20. Donnes de march et informations publiques fausses ou insuffisantes 21. Modle de calcul de prix ou de valorisation erron 22. Dfaillance dans le processus de livraison et/ou de rglement de la banque 23. Dfaillance dans les processus de gestion des confirmations doprations 24. Dfaillance dans la gestion administrative dune opration jusqu son chance 25. Erreurs dans la transmission, la saisie ou la comprhension dune instruction 26. Absence ou inexactitude des donnes ncessaires la gestion des activits 33. Piratage 39. Activits non informatique et autorises sur autres attaques les marchs malveillantes des systmes informatiques de la banque par des tiers 34. Autre forme dactes criminels contre les actifs de la banque 35. Vols/escroqueries /fraudes commis par des tiers 36. Vols par le personnel ou des prestataires internes 37. Fraude sur des transactions par le personnel ou avec sa complicit 40. Dfaut de personnel 41. Pertes des donns 42. Perte de services 44. Mauvaise gestion de projet 45. Dfaillance des software

Juillet 2008

La Cartographie des risques

45

Cartographie des risques


Rfrentiels utiliss

Dtail du rfrentiel de risques de lentreprise : Le rfrentiel des risques mtier est labor
par les experts des mtiers et fonctions (exemples : Dontologie, Plan de Continuit dActivit, Achats, etc.) partir :
du rfrentiel commun de facteurs de risque : un facteur de risque est un lment de lenvironnement et/ou de lorganisation qui contribue la survenance dun risque oprationnel. Il doit toujours tre considr en fonction de la sous-catgorie dvnement / catgorie dvnement laquelle il se rapporte. de la bibliothque commune de questions dvaluation de ces facteurs de risque.
Rfrentiel des Risques Oprationnels
Se dclinant en Causs par plusieurs valus par

Rfrentiel RCSA

8 catgories dvnement
Ex : Litiges commerciaux

sous -catgories dvnement


Ex : Inadquation des produits proposs

Facteurs de risque
Ex : Insuffisance ou inadquation du partage d'information entre les quipes

Questions dvaluation
Ex : Comment valuez -vous l'efficacit des dispositions en vigueur afin de faciliter le partage d'informations sur les clients au sein de l'entit ?

Pouvant chacun causer plusieurs

Un scorecard mtier (rfrentiel) permet dvaluer un mtier ou une fonction. Le principe des questionnaires mtier (bancaires ou fonctionnels) est applicable lensemble des entits. Il permet dassurer la cohrence du dispositif vis--vis du rgulateur.

Scorecard mtier Banque de dtail Insuffisance ou inadquation du partage d'information


entre les quipes mission des confirmations

Scorecard mtier Ressources Humaines Formation


Concentration de la connaissance et des comptences Gestion des engagement sociaux

Juillet 2008

La Cartographie des risques

46

Cartographie des risques


Rfrentiels utiliss

Dtail du rfrentiel : les questions dvaluation des Facteurs de Risques


Les questions dvaluation doivent permettre de noter les facteurs de risques. La dmarche dautovaluation met notamment en vidence : lexistence de processus de contrle interne, leur efficacit, lexistence de la piste daudit permettant de vrifier les 2 premiers points. Le barme de rponse associ une question stend de 1 4 (cf. Exemple ci-dessous). 8 CATEGORIES DEVENEMENT RISQUES OPERATIONNELS / SOUS-CATEGORIES
LITIGES COMMERCIAUX

lev

Facteur de risque
Insuffisance ou inadquation du partage d'information entre les quipes

Les dispositifs de prvention et de contrle, en place dans votre entit, couvrent-ils ce risque ? Les dispositifs de prvention et de contrle, en place dans votre entit, couvrent-ils ce risque ? 1-Trs faiblement ? 1-Trs faiblement ? 2- Faiblement ? 2- Faiblement ? 3- Assez bien ? 3- Assez bien ? 4 Bien ? 4 Bien ?

Lorsqu'ils sont en place, quelle est la qualit d'excution de ces dispositifs ? Lorsqu'ils sont en place, quelle est la qualit d'excution de ces dispositifs ? 1-Trs insuffisante ? 1-Trs insuffisante ? 2- Insuffisante ? 2- Insuffisante ? 3- Assez satisfaisante ? 3- Assez satisfaisante ? 4 Satisfaisante ? 4 Satisfaisante ?

Ces dispositifs sont-ils documents et auditables ? Ces dispositifs sont-ils documents et auditables ? 1-Trs faiblement? 1-Trs faiblement? 2- Faiblement ? 2- Faiblement ? 3- Assez bien ? 3- Assez bien ? 4 Bien ? 4 Bien ?

Juillet 2008

La Cartographie des risques

47

Cartographie des risques


tapes cls

Processus de la cartographie : chacune des 3 tapes se concrtise par un livrable.

valuation
1

Livrable
1- Cartographie des risques intrinsques

1- Risques oprationnels Intrinsques (RI) 2- Dispositifs de prvention et de contrle existants

2- Questionnaires entit nots (ou scorecards entit)

3- Risques oprationnels Rsiduels (RR)

3- Cartographie des risques rsiduels

Ces 3 tapes peuvent tre effectues des niveaux de granularits diffrents, lvaluation des risques oprationnels intrinsques et rsiduels tant faite gnralement un niveau plus lev que lvaluation du dispositif de prvention et de contrle.

Les Branches et Directions Fonctionnelles commencent lexercice de la cartographie en dsignant les acteurs en charge de chacune de ces tapes.
Juillet 2008 La Cartographie des risques

48

Cartographie des risques


tapes cls

Processus de Cartographie : dtail des 3 tapes et acteurs concerns


tapes Livrables Acteurs Rfrentiels mtiers utiliss

1 - valuation des Risques Intrinsques

Cartographie des risques intrinsques

Noteur Valideur

Rfrentiel des RO : catgories dvnement sous-catgories dvnement

2 - valuation du dispositif de prvention et de contrle 2.1 laboration de la scorecard entit en identifiant : le primtre les facteurs de risques pertinents (et leur pondration) le mode dvaluation des questions les noteurs et valideurs 2.2 Notation et justification de la scorecard entit

2.1

Scorecard entit noter

Modlisateur de la scorecard Rfrentiel :

2.2

Scorecard entit note et justifie

Facteurs de risques et questions dvaluation Noteur Scorecards mtier (bancaires ou fonctionnels)

2.3 Validation de la scorecard entit

2.3

Scorecard entit valide

Valideur

valuation des Risques Rsiduels

Cartographie des risques rsiduels

Responsable de lentit value

Rfrentiel Entits : Entits Organisationnelles Lignes Mtier Entits Juridiques Processus

Mise en place de plans dactions correctrices

Plans dactions correctrices

Responsable de lentit value

Juillet 2008

La Cartographie des risques

49

Cartographie des risques


Acteurs de la cartographie

Les acteurs de lexercice Cartographie


Les acteurs sont dsigns par les Branches et les Directions fonctionnelles.

Le noteur
Les noteurs sont les responsables dentit en charge de noter les cartographies de risques intrinsques et /ou les scorecards entit : Le noteur de la cartographie des risques intrinsques value son niveau dexposition aux risques face aux catgories ou sous-catgories dvnement. Le noteur dune scorecard entit reoit pour notation la scorecard entit labore par le modlisateur. Le noteur value son dispositif de prvention et de contrle en rpondant aux questions dvaluation associes ces facteurs de risque. Il justifie sa note par lexistence de procdures de prvention et de contrle ou dindicateurs cls de risque.

Le valideur
Les cartographies des risques intrinsques et les scorecards entit notes sont envoyes par les noteurs leur hirarchie pour validation. Le valideur est la personne en mesure de valider les notes et les justifications associes avant consolidation en vrifiant notamment la cohrence des notes pour lensemble des entits de son primtre. Le valideur doit tre diffrent du noteur.

Juillet 2008

La Cartographie des risques

50

Cartographie des risques


Acteurs de la cartographie

Les acteurs de lexercice de la cartographie


Le modlisateur
Il labore la scorecard entit. Le modlisateur est un expert mtier qui est en mesure didentifier lensemble des risques internes et externes auxquels est expose lentit value. Pour le premier exercice, il peut sagir de lORM (responsable des risques oprationnels) de lentit en concertation avec les responsables des entits ; la cible, le modlisateur pourra tre le responsable de lentit. Lors de llaboration des scorecards entit, le modlisateur identifie : le primtre couvrir les facteurs de risques pertinents (en les pondrant ventuellement) au vu de la cartographie des risques intrinsques : le modlisateur de la scorecard entit doit vrifier la cohrence de la scorecard entit avec la cartographie des risques. les responsables des activits en charge de la notation des scorecards entit et leur hirarchie, en charge de valider ces notations ainsi que les justifications associes.

LInspection et lAudit
LInspection et lAudit revoient priodiquement lensemble du systme dvaluation et sa conformit aux exigences rglementaires, en sattachant notamment vrifier les points suivants : lapplication effective du processus de la cartographie dans lentreprise, la fiabilit et lexhaustivit des valuations des profils des risques, la cohrence entre la notation et sa justification. Remarque : Rglementairement, les acteurs de lexercice de la Cartographie ne doivent appartenir ni aux services dAudit Interne ni lInspection Gnrale, afin de prserver lindpendance de ces derniers. Toutefois, lAudit Interne peut apporter son expertise lors de la mise en place initiale du dispositif de gestion des RO.
Juillet 2008 La Cartographie des risques

51

Cartographie des risques


tapes dlaboration

La mthodologie de ralisation dune cartographie des risques se droule gnralement en 5 tapes:


Dfinition des listes de domaines et de processus tape 1 identification Du risque oprationnel tape 2 Matrice daversion (pour cotation) tape 3 Cotation du risque tape 4 Validation par le Comit du contrle interne tape 5 Identification processus sensibles

Plan daction propos

Juillet 2008

La Cartographie des risques

52

Cartographie des risques


tapes dlaboration

tape 1 : Dfinition des processus Cette tape consiste instaurer un rfrentiel de processus, avec un objectif de trouver le meilleur compromis entre le niveau de granulation, le travail rendu et la qualit des rsultats. En effet, aprs avoir rattach les activits aux 8 Mtiers Ble II dcoups en domaines dactivits (exemples : Crdits, Dpts, Placements, Moyens de paiement, Moyens gnraux, Comptabilit, Informatique, Juridique et Fiscal, Organisation, etc.), il est primordial de dresser linventaire des processus par mtier. Un processus est dfini comme tant un enchanement dtapes ayant une mme finalit (exemple : Remises de valeurs, virements, ordres dachat / vente de titres, gestion des GABs, tarification, comptes dbiteurs, ralisation dun crdit ). Nous pouvons distinguer trois types de processus : Relatifs la relation avec les clients, Relatifs des transactions, Spcifiques au Management et aux fonctions supports.

Juillet 2008

La Cartographie des risques

53

Cartographie des risques


tapes dlaboration

tape 2 : Identification des risques oprationnels Afin de pouvoir identifier les risques oprationnels le Responsable du Risque Oprationnel doit disposer de trois lments savoir : La liste et la description des processus identifis par ligne mtier ou entit, La liste des risques oprationnels et des vnements gnriques y associs, La matrice prliminaire des risques oprationnels renseigne par les responsables des entits,

En pratique, les risques sont rattachs 7 Catgories de Risques Ble II, dtailles en vnements gnrateurs de risques (exemple pour la fraude externe : Vols, Hold-up, Contrefaons et falsifications, dtournements de fonds, fraude par carte bancaire etc.)

Juillet 2008

La Cartographie des risques

54

Cartographie des risques


tapes dlaboration

tape 3 : Matrice daversion


Au niveau de cette tape le responsable R.O a pour mission dtablir la matrice dvaluation des risques sur la base de trois composantes : Les risques survenus ou avrs, les risques exceptionnels et le niveau de matrise des risques.

Les chelles de cotation de la gravit du risque sont reprsentative de aversion Les chelles de cotation de la gravit du risque sont reprsentative de ll aversion pour le risque oprationnel de unit pour le risque oprationnel de llunit Les intervalles de chelle de frquence et de chelle dimpact sont dfinis en Les intervalles de llchelle de frquence et de llchelle dimpact sont dfinis en valeur absolue et communs ensemble de entreprise (units du Groupe) valeur absolue et communs llensemble de llentreprise (units du Groupe)

Impact financier
0-1 K Un cas tous les 2 3 ans Un cas tous les 3 5 ans Un cas tous les 5 10 ans 1-5 K 5 - 10 K 10 - 50 K 50 - 100 100 - 500 K K 500 K 1 M 1-5 M 5 - 10 M 10 - 50 M > 50 M Image Fort Image Majeur

Impact non financier


Client Fort Client Majeur Sanction pnale * Sanction Rglementaire

Juillet 2008

La Cartographie des risques

55

Cartographie des risques


tapes dlaboration

0-1
KDH

1-5
KDH

5 - 10
KDH

10 - 50 50 - 100
KDH KDH

100 - 500 KDH 500 KDH 1 MDH

1-5
MDH

5 - 10
MDH

10 - 50
MDH

> 50 M

R i s q u e Rcurrent
Pertes annuelles potentielles Vert Vert Vert Jaune Jaune

A partir de quel niveau de gravit un risque doitil tre considr comme Orange Orange Rouge Rouge Rouge Rouge Fort ou Majeur ?

Risque exceptionnel
Un cas tous les 2 3 ans Un cas tous les 3 5 ans Un cas tous les 5 10 ans Vert Vert Vert Jaune Jaune Orange Orange Orange Rouge Rouge Rouge

Vert

Vert

Vert

A partir de quel niveau de risque devons-nous tre informs et prendre les Vert Jaune Jaune Orange Orange Orange Rouge dcisions adaptes ?
Vert Vert Jaune Jaune Jaune Orange Orange

Rouge

Vert

Vert

Vert

Rouge

Juillet 2008

La Cartographie des risques

56

Cartographie des risques


tapes dlaboration

tape 4 : Cotation des risques oprationnels


Les risques futurs associs aux processus font lobjet dune valuation appele cotation. On cote deux catgories de risques futurs en fonction de leur frquence : Les Risques Attendus (rcurrents court terme) ; Les Risques Exceptionnels ( moyen et long terme).

On distingue deux catgories de risques en fonction de leur impact : Les Risques Financiers (cots en fonction de leur frquence et de leur impact financier, au moyen dune matrice daversion aux risques) ; Les risques Non Financiers. La cotation des risques oprationnels est effectue sur la base des historiques des pertes recueillies au niveau de la base de donnes. Elle sert tablir une carte sommaire des risques, en identifiant les risques potentiels et les niveaux de contrle y affrents. Ainsi, la cotation des Risques Financiers est parfaitement norme grce une matrice daversion aux risques.

Juillet 2008

La Cartographie des risques

57

Cartographie des risques


tapes dlaboration

Etape 5 : Identification des processus sensibles et plans daction. Cette phase consiste produire le rapport sommaire de la gestion du risque en mettant en relief les risques majeurs ou les zones de faiblesse. Comme elle doit dfinir aussi bien les recommandations que les plans daction pour prvenir et rduire le risque oprationnel.

Juillet 2008

La Cartographie des risques

58

Cartographie des risques


tapes dlaboration

Risque Attendu

Risque Exceptionnel

Contrle Permanent

Recommandations

Conseil en placement Gestion des relations clients Gestion du risque de march Mandat de trading actions Produits structurs

V V O J J

O R R O R

++ Efficace

Former les conseillers de faon priodique Vrification approfondie du KYC Bascule du systme de gestion des limites Crer une mission d'audit sur les dlits d'initi A prvoir : meilleur contrle sur les rgles ISDA
Fraude Int.
RA

+ Acceptable

- Dfectueux

Tableau de synthse

+ Acceptable

+ Acceptable

Fraude Ext. V J + V V ++ V V + J O V V ++ V V + V V + V V ++ V V ++ V V ++

Gest. Perso. V V ++ V J ++ V J ++ V V ++ V V ++ V J ++ V V ++ J V ++ V V ++ V V ++

Prat. Com m . V V ++ V O ++ V O + V J ++ V J + V V ++ V O ++ J R + V V ++ V J +

Dsas & Sinis V J + V V ++ V V ++ V V ++ V V ++ V V ++ J O + V V ++ V V ++ V V ++

S.I V J + V J ++ V V ++ V J + V V ++ V J ++ V V ++ V V ++ V J + V V ++

Trait. V V ++ V O ++ V O + O R V J + J J + J O + J R + V J + J V +

SYNTH V J + V O ++ V R + O R V J + J J + J O + J R + V J + J J +

Com m entaires

Caisse

RE CP

V J + V O ++ V R + V O V J + V J + V J ++ J O + V J + V J +

Slection des processus sensibles, savoir: Niveau de risque majeur rouge ou fort orange et / ou Niveau de matrise des risques dfectueux ou amliorer

RA RE CP RA RE CP RA RE CP RA RE CP RA

Conseil en placement

Gestion des relations clients Gestion du risque de march Gestion du risque de crdit

Vrification approfondie du KYC Bascule du systme de gestion des limites

Activit Trsorerie

RE CP

composantes pour chaque croisement Processus / Catgories de risques


Juillet 2008

Cartographie par Cotation des trois processus

Mandat de trading actions

RA RE CP RA

Produits structurs

RE CP RA

A Prvoir : Meilleur contrle sur les rgles ISDA

Gestion Financire

RE CP RA

Ressources Humaines

RE CP

La Cartographie des risques

59

Cartographie des risques


tapes dlaboration

Une fois le processus de la cartographie des risques est intgralement ralis, le responsable des risques oprationnels doit sassurer que: La cartographie est ralise de manire exhaustive (couvrant toutes les activits en concertation avec les oprationnels de lentit), Les rsultats sont priori cohrents, Les processus/risques proccupants ont dclench des actions correctives, Les processus juge prioritaire lgard dun PCA ont t correctement identifis, La cartographie est prsente la Direction Gnrale.

Juillet 2008

La Cartographie des risques

60

Cartographie des risques


Cls de russite

Avoir le soutien de la Direction Faire adhrer les participants / crer un climat de confiance Communiquer sur la dmarche et sa valeur ajoute Faire le lien avec les objectifs personnels des participants Garantir quaucune information ne soit remonte sans en avoir pralablement discut avec les intresss Respecter la confidentialit Prendre en compte le temps Procder lvaluation sur un dlai court, avec prsentation rapide des rsultats Profil du Risk Manager Faire preuve d'coute et de crativit

Juillet 2008

La Cartographie des risques

61

Cartographie des risques


cueils viter

Dmarrer la dmarche par la recherche dun systme dinformations

Absence de rigueur : Remonte dinformations partielles la Direction avant la fin de lexercice Maximisation de risques pour obtenir des ressources, sous-estimation par crainte de reprsailles / jugements Considrer la gestion des risques comme le rceptacle des dolances Ne pas objectiver les risques biens connus qui sont finalement sous-estims Mauvais libell des risques

Effet mode : faire une cartographie pour tre la mode

Juillet 2008

La Cartographie des risques

62

Cette prsentation ralise par le Cabinet ATTITUDES CONSEIL pour le compte des AMC marocaines est inspire de nombreux ouvrages et base sur des sources diverses et varies

Juillet 2008

La Cartographie des risques

63