Vous êtes sur la page 1sur 194

Management des risques

ditions dOrganisation Groupe Eyrolles 61, bd Saint-Germain 75240 Paris Cedex 05 www.editions-organisation.com www.editions-eyrolles.com

Directeur douvrage : Caroline Selmer

Le code de la proprit intellectuelle du 1er juillet 1992 interdit en effet expressment la photocopie usage collectif sans autorisation des ayants droit. Or, cette pratique sest gnralise notamment dans lenseignement, provoquant une baisse brutale des achats de livres, au point que la possibilit mme pour les auteurs de crer des uvres nouvelles et de les faire diter correctement est aujourdhui menace. En application de la loi du 11 mars 1957 il est interdit de reproduire intgralement ou partiellement le prsent ouvrage, sur quelque support que ce soit, sans autorisation de lditeur ou du Centre franais dexploitation du droit de copie, 20, rue des Grands-Augustins, 75006 Paris.

Groupe Eyrolles, 2009 ISBN : 978-2-212-54308-7

Pascal Kerebel

Management des risques


Inclus secteurs Banque et Assurance

Sommaire
Prface................................................................................................................ Introduction ......................................................................................................... 7 9 11 13 13 15 17 19 19 23 24 26 27 27 27 38 47 47 47 49 49 49 51 51 53 55 57 57 57 58 59 65 65 67 69 70 71 72 73

Premire partie : Contraintes rglementaires et mthodologies .....................


Chapitre 1. Prsentation des contraintes rglementaires ....................................................... Analyse comparative des rglementations LSF, Sarbanes-Oxley, 8e directive europenne sur laudit lgal ................................................................. La rglementation concernant les risques hautement protgs..................................... Rfrentiels comptables IFRS et US GAAP ............................................................... Chapitre 2. Mthodologie didentification et danalyse des risques ........................................ Outils didentification des risques .......................................................................... Simulation de limpact dun sinistre majeur sur les objectifs stratgiques ..................... Simulation des consquences financires dun sinistre majeur ................................... tude de la sinistralit antrieure ........................................................................... Chapitre 3. Modalits de mise sous contrle des risques....................................................... Contrle technique et scurit ............................................................................... Procdures de scurit et de gestion de crise .......................................................... Contrle financier des risques ............................................................................... Chapitre 4. Choix optimal, budgtisation et mise en uvre du dispositif ............................... Critres de choix en termes de combinaison optimale .............................................. Le rseau budgtaire risk management ................................................................... Chapitre 5. Reporting, monitoring et retour dexprience...................................................... Spcificits des tableaux de bord risk management ................................................. Retour dexprience et sret de fonctionnement ..................................................... Chapitre 6. Retour dexprience sur la mise en uvre de la mthodologie risk management... Quels compromis pour quels objectifs ? .................................................................. Avec quels moyens ? ...........................................................................................

Deuxime partie : Lentreprise industrielle hors risque .................................


Chapitre 1. Cartographie des risques industriels .................................................................. Modalits de ralisation dune cartographie des risques ......................................... La prise en compte des spcificits sectorielles ........................................................ Donner de lintelligence au dispositif de risk management ........................................ Prparer la certification ISO 31000 ...................................................................... Chapitre 2. Le dispositif de corporate risk management........................................................ La mise sous contrle du risque produit .................................................................. La mise sous contrle du risque informatique ........................................................... La mise sous contrle du risque client ..................................................................... La mise sous contrle du risque fournisseur ............................................................. La mise sous contrle du risque politique ................................................................ La mise sous contrle du risque humain .................................................................. La mise sous contrle du risque social ....................................................................

Groupe Eyrolles

6 Sommaire La mise sous contrle du risque atteinte lenvironnement ........................................ La mise sous contrle du risque incendie ................................................................ Chapitre 3. Le dispositif de business risk management ......................................................... La mise sous contrle des risques financiers ............................................................ La mise sous contrle des risques stratgiques ......................................................... Chapitre 4. Mettre en uvre le dispositif risk management et communiquer sur son efficacit . Les raisons de la construction dun dispositif de risk management efficace .................. Comment mettre en uvre un dispositif de risk management efficace ......................... Mesurer lefficacit du risk management .................................................................. Communiquer sur lefficacit du dispositif de risk management................................... 76 78 79 79 79 87 87 89 93 94 95 97 97 104 107 107 108 114 117 117 121 133 135 137 137 138 144 147 147 153 153 162 185 187

Troisime partie : La banque ou la compagnie dassurances hors risque ......


Chapitre 1. Les contraintes rglementaires .......................................................................... Les contraintes rglementaires spcifiques Ble II .................................................. Les contraintes rglementaires spcifiques Solvency II ............................................ Chapitre 2. Le risk management bancaire........................................................................... La mise sous contrle des risques financiers (contrepartie, crdit, etc.) ........................ La mise sous contrle des risques oprationnels ....................................................... La mise sous contrle du lancement des produits risque (techniques de titrisation) ..... Chapitre 3. Le risk management dans les compagnies dassurances...................................... Risk management des mtiers financiers .................................................................. Le processus de la mise sous contrle des risques oprationnels ................................

Conclusion ............................................................................................. Annexes .................................................................................................


Annexes de la premire partie ........................................................................................... Socit gnrale : une dprciation de 7 milliards deuros ....................................... Questionnaires risk management ........................................................................... Fiches mthodes risk management ......................................................................... Annexes de la deuxime partie .......................................................................................... Extrait du rapport risk management du groupe EDF 2007 ......................................... Annexes de la troisime partie ........................................................................................... Risk management dans le secteur bancaire ............................................................. Risk management dans les compagnies dassurances................................................ Bibliographie.................................................................................................................... Table des figures et tableaux..............................................................................................

Groupe Eyrolles

Prface

n matire de management des risques, on na jamais raison seul et cest toujours du partage des expriences que nat linnovation. Le groupe de travail que je prside lAssociation nationale des directeurs financiers et de contrle de gestion (DFCG), via les changes que nous avons entre professionnels du contrle interne et du risk management, en est lillustration. Pascal Kerebel est un contributeur majeur de ce groupe et du cahier technique que nous produisons en ce moment sur la communication sur lefficacit du contrle interne. Le prsent ouvrage, dont jai lhonneur de rdiger la prface, est une synthse des meilleures pratiques mthodologiques existantes en termes de risk management, tant au niveau industriel que dans la banque et lassurance. Louvrage a lintrt majeur de prsenter des botes outils oprationnelles, traitant daspects mthodologiques mais aussi comportementaux, dans lesquelles les diffrents professionnels peuvent piocher afin de dployer leurs dispositifs de management du risque. Lauteur dveloppe aussi des thmatiques de rflexion sur les limites des dispositifs mthodologiques actuels, et sur la complmentarit des fonctions daudit interne, de contrle interne, de risk management et de qualit. La monte en puissance des dispositifs de risk management est une priorit majeure des groupes cots. Lactualit rcente nous montre, malheureusement, les limites des dispositifs mis en uvre et lobligation imprative de repenser la mise sous contrle des risques significatifs pouvant remettre en cause les objectifs stratgiques, voire la prennit des organisations. Construire un dispositif de risk management nest pas un exercice fig dans le temps ni dfinitif. Il se doit dtre adaptable et volutif. Bien positionn et disposant de moyens suffisants, il est un vecteur damlioration de performance et permet de fdrer les acteurs autour dun mme objectif. Louvrage de Pascal, en intgrant les meilleures pratiques en termes de gouvernance et de conformit, contribue de faon significative la ncessaire refondation des dispositifs de management du risque et de contrle interne. Il permet de redonner du sens laction en rappelant que les facteurs cls de succs dune telle dmarche restent le bon sens et limplication des dirigeants. Florence Giot, Prsidente de la commission contrle interne de la DFCG

Groupe Eyrolles

Introduction

Groupe Eyrolles

objectif de cet ouvrage est de prsenter lensemble des options offertes aux entreprises, en vue de mettre sous contrle leurs risques pour protger leurs intrts stratgiques, ainsi que la rmunration des preneurs de risques finanant leurs activits. Louvrage met en exergue deux concepts : la notion de corporate risk management met en relief la ncessit pour lentreprise de placer sous contrle les risques purs, cest--dire les risques alatoires ne se traduisant que par une perte financire sils se matrialisent (incendie, rupture dapprovisionnement, etc.). Le corporate risk management se fixe donc pour objectifs didentifier et de mettre sous contrle cette typologie de risques, en mettant tout en uvre pour que ces risques ne puissent se matrialiser, mais aussi, le risque zro nexistant pas, mettre en uvre des outils de gestion de crise dans lhypothse de la matrialisation du risque ; la notion de business risk management, quant elle, souligne la ncessit de mettre sous contrle des risques stratgiques et financiers spculatifs (cest--dire se traduisant par un gain ou une perte). La dmarche vise donc sassurer que lensemble des dcisions stratgiques sont effectivement mises sous contrle (lancement dun nouveau produit, rachat dune socit, cration dune filiale). Les deux dmarches savrent donc complmentaires puisque le corporate risk management vise protger les orientations stratgiques dfinies dans le cadre de llaboration du business model et du business plan, alors que le business risk management vise sassurer que les dispositifs de pilotage ou datterrissage sont effectivement mis sous contrle. Notre objectif pdagogique est de prsenter dans cet ouvrage la bote outils du manager des risques quel quil soit (directeur financier, DAF, directeur oprationnel, contrleur, auditeur interne), en lui proposant des axes dactions et de progrs faciles mettre en uvre. Louvrage prsente, tout dabord, les grands principes mthodologiques inhrents la mise en uvre dun dispositif de risk management efficace. Il expose ensuite les outils ddis aux groupes industriels ; et enfin, les dmarches applicables aux banques et compagnies dassurances. Il sagit ici de faire prendre conscience au lecteur que lvolution des rglementations lui demandera de : mettre en exergue les risques significatifs pouvant affecter le business model de lentreprise ; quantifier les impacts de la ralisation de ces risques en termes de key data (cashflows, rsultat oprationnel, etc.). Nous esprons que cet ouvrage vous permettra de construire, avec la plus grande efficacit, le dispositif de risk management de votre entreprise.

PREMIRE

PARTIE

Contraintes rglementaires et mthodologies


Lobjectif de cette premire partie consiste prsenter au lecteur : les contraintes rglementaires imposes aux groupes en termes de construction de dispositif de risk management ; la mthodologie de rfrence applicable en termes didentification et de mise sous contrle des risques.

Groupe Eyrolles

Chapitre 1

Prsentation des contraintes rglementaires


Analyse comparative des rglementations LSF, Sarbanes-Oxley, 8e directive europenne sur laudit lgal
Les rglementations amricaines ou europennes concernant le corporate risk management visent sassurer de la mise sous contrle effective des risques purs pouvant affecter la surface financire des groupes cots et crer des dommages environnementaux substantiels.

Prconisations des rglementations europenne et amricaine en termes de corporate risk management


Analyse comparative des rglementations sur le corporate risk management Points communs entre rglementations Sarbanes-Oxley Objectifs Scuriser lactionnaire et linvestisseur quant la sincrit des tats Prvenir la reconducfinanciers tion dun scandale Sengager sur la profinancier type Enron tection des cash-flows et de la rmunration de lactionnaire Dfinition du contrle interne et des risques Orientation rvision Pas de dfinition com- comptable et prvenmune tion de la criminalit interne Concept de risk management Absence de dfinition spcifique Points spcifiques 8e directive europenne LSF

Prvenir la reconduction dun scandale financier type Parmalat

Champ ou types de risques pris en compte, purs ou spculatifs Risques affectant la sincrit des comptes Risques lis aux proPas de dfinition com- cessus gnrant lcriture comptable mune (malveillance, ngligence, pannes des SI)

Groupe Eyrolles

Pas de dfinition spcifique Pas de dfinition spDirective tourne vers cifique des risques la rvision comptable

14 Partie 1 Contraintes rglementaires et mthodologies

Points communs entre rglementations Sarbanes-Oxley Mthodologie de rfrence Aucune mthodologie commune ce jour Convergence potentielle terme vers le COSO Mise en exergue de lenvironnement du contrle interne et du comportement risk assessment

Points spcifiques 8e directive europenne LSF

Pas de mthodologie commune Groupe de travail en place

AMF prconisant la mthodologie de lIFACI, de lIIA, du Medef, de lAfep

(Source : Sarbanes Oxley Act, LSF, 8e directive europenne sur laudit lgal.)

La loi du 3 juillet 2008


La loi du 3 juillet 2008 renforce les exigences des groupes cots franais en termes de description de dispositifs de risk management : Dans les socits faisant appel

Groupe Eyrolles

Limite des rglementations europenne et amricaine en termes de risk management Lactualit rcente (octobre 2008) montre les limites des dispositifs de mise sous contrle des risques des groupes cots (les rcents scandales financiers tels que celui des subprimes aux tats-Unis, et la chute du systme bancaire et international en sont les preuves manifestes). Une analyse critique des rglementations telles que la loi Sarbanes-Oxley ou la 8e directive europenne sur laudit lgal fait ressortir les insuffisances suivantes : le volet environnement du contrle ne permet pas, dans sa construction intellectuelle actuelle, de matriser les risques stratgiques des groupes cots (tels que le risque li au lancement de nouveaux produits, le risque de remise en cause de la responsabilit pnale des mandataires sociaux, une erreur de stratgie affectant la rmunration de lactionnaire, etc.). En effet, cette composante du dispositif du COSO (Committee of Sponsoring Organizations of the Treadway Commission), mthodologie de rfrence des principales rglementations portant sur le contrle interne, nest pas taye sur des outils de contrle effectifs, mais sur un simple principe dengagement sur lhonneur des dirigeants appliquer un corpus de rgles thiques et dontologiques ; le dispositif du COSO ne raisonne stricto sensu quen termes de mise sous contrle des processus. Ainsi, ce dispositif ne prvoit pas de faon explicite les modes de mise sous contrle des projets risque pouvant affecter de faon substantielle latteinte des objectifs stratgiques des groupes cots (cas de lA380 chez Airbus) ; le primtre des processus mis sous contrle dans la mthodologie du COSO nest pas suffisamment transverse, et limit au primtre de consolidation de lentreprise. Or les risques mergents peuvent tre gnrs par des processus transverses amont (risque de rupture dapprovisionnement) ou aval (risque de distribution) ports par des parties prenantes.

Ch. 1 Prsentation des contraintes rglementaires

15

lpargne, le prsident du conseil dadministration rend compte dans un rapport joint de la composition, des conditions de prparation et dorganisation des travaux du conseil, ainsi que des procdures de contrle interne et de gestion des risques mises en uvre par la socit (article 26). Cette loi complte le rapport de place de lAMF (Autorit des marchs financiers), qui fait rfrence explicitement la notion de management des risques : Le dispositif de contrle interne, qui est adapt aux caractristiques de chaque socit, doit prvoir un systme visant recenser et analyser les principaux risques identifiables au regard des objectifs de la socit et sassurer de lexistence de procdures de gestion de ces risques. La recommandation de lAMF ne requiert toutefois pas le descriptif du dispositif de management des risques. Ainsi, le rapport AMF sur les rapports LSF (loi de scurit financire) note que seulement 43 % des rapports 2006 mentionnent lexistence dune cartographie des risques. La loi du 3 juillet 2008 rend la communication de cette cartographie obligatoire.

La transposition de la 8e directive europenne en droit interne franais (dcembre 2008)


La 8e directive europenne sur laudit lgal, mise le 17 mai 2006, dont la transposition initiale en droit interne franais tait prvue le 29 juin 2008, a t intgre au final en dcembre 2008. Elle rend obligatoire la mise en place dun comit daudit pour les entits dintrt public en charge du suivi de lefficacit des systmes de contrle interne, daudit interne et de gestion des risques de la socit. Mme si la 8e directive europenne prvoit explicitement dvaluer lefficacit du dispositif de contrle interne et de management des risques, elle ne se prononce pas ce jour sur une communication externe officielle portant sur les rsultats du suivi de lefficacit des dispositifs de contrle interne et de management des risques.

La rglementation concernant les risques hautement protgs


Les autorits de tutelle et les gouvernements ont pris conscience depuis plus dune dcennie de la ncessit de mettre sous contrle les risques datteinte lenvironnement, tant du point de vue cologique que du point de vue de la protection de la rmunration de lactionnaire et de latteinte des objectifs stratgiques en cas de sinistre majeur.

Risques hautement protgs et Seveso II


Groupe Eyrolles

La directive Seveso II vise les tablissements potentiellement dangereux (chimie, ptrole, sidrurgie, etc.) au travers dune liste dactivits et de substances associes des seuils de classement. Elle dfinit deux catgories dentreprises en fonction de la quantit de substances dangereuses prsentes.

16 Partie 1 Contraintes rglementaires et mthodologies

Les entreprises mettant en uvre les plus grandes quantits de substances dangereuses, dites Seveso II seuils hauts , font lobjet dune attention particulire de ltat : les dangers doivent tre clairement identifis (y compris les effets domino) et lanalyse des risques doit tre ralise ; leur exploitant doit dfinir une politique de prvention des accidents majeurs et mettre en place un systme de gestion de la scurit pour son application ; des mesures techniques de prvention, labores par les inspecteurs des installations classes sur la base dtudes de dangers, leur sont imposes par arrts prfectoraux dans le cadre dune procdure dautorisation ; un programme dinspection est planifi par linspection des installations classes ; des plans durgence sont labors pour faire face un accident : POI (plan dopration interne) mis en uvre par les exploitants, et PPI (plan particulier dintervention) mis en uvre par le prfet en cas daccident dbordant les limites de ltablissement ; une information prventive des populations concernes doit tre organise ; enfin, lintrieur des zones de risques dfinies par ltat, les communes sont tenues de prendre en compte lexistence de ces risques pour leur urbanisation future. Les entreprises dites Seveso II seuils bas ont des contraintes moindres, mais doivent laborer une politique de prvention des accidents majeurs. La conformit avec un tel dispositif prsuppose la construction, titre prventif, doutils de gestion de crise environnementale (plan durgence ; communication de crise, cellule de crise et plan de reprise dactivit des processus critiques suite atteinte lenvironnement).

Loi NRE et mise sous contrle des risques environnementaux


Publie au Journal officiel le 15 mai 2001, la loi sur les nouvelles rgulations conomiques, appele plus communment loi NRE , a pour objectif de rduire les effets nfastes des dysfonctionnements internes et de la mondialisation. Fonde sur une exigence de transparence de linformation, cette loi instaure que les socits franaises cotes devront prsenter, dans le rapport de gestion annuel, paralllement leurs informations comptables et financires, des donnes sur les consquences environnementales et sociales de leurs activits. La loi NRE est entre en vigueur par un dcret en date du 20 fvrier 2002 et sapplique partir du 1er janvier 2003, depuis les exercices ouverts partir du 1er janvier 2002.

Groupe Eyrolles

Les principales limites de la loi NRE Elles concernent : labsence de sanctions ; le manque de dispositifs de contrle ; labsence de dfinition prcise concernant le primtre concern (holding ou groupe, mondial ou national).

Ch. 1 Prsentation des contraintes rglementaires

17

La recommandation du Conseil national de la comptabilit (CNC) franais en termes de comptabilit environnementale


Publie le 21 octobre 2003, cette recommandation vise prendre en considration les aspects environnementaux dans les comptes individuels et consolids des entreprises. Il sagit pour les entreprises dafficher dans leurs tats financiers les dpenses supplmentaires engages pour rparer ou prvenir les dommages causs lenvironnement. Le texte vot par lassemble plnire du CNC a t bien accueilli par lAMF. Le CNC a voulu traduire dans le droit interne une recommandation de la Commission europenne publie au Journal officiel des Communauts europennes le 13 juin 2001. Le texte du CNC propose dtablir un tableau des dpenses environnementales tir du modle Eurostat (Office statistique des Communauts europennes), en ventilant les dpenses par types dactions (traitement, limination, mesure, recyclage et prvention de dchets polluants) et par domaines (eaux, dchets, sols, bruit, rayonnement).

Rfrentiels comptables IFRS et US GAAP


Les rfrentiels comptables dorigine anglo-saxonne ont toujours fait ressortir, via le format des tats financiers, limportance donne la dimension corporate risk management en tant quattribution majeure du top management. Ainsi, les rfrentiels US GAAP et IFRS ont historiquement fait ressortir trois concepts significatifs en termes de structuration du compte de rsultat : la notion de rsultat oprationnel (IFRS), quivalant lEBIT (Earnings Before Interest and Taxes) amricain, correspondant au rsultat gnr par les processus mtier dans une optique de continuit de lexploitation ; la notion dlments inhabituels (exceptional items), intgrant la fois les choix de restructuration dcids par le top management dans lintrt de la protection de la rmunration de lactionnaire, et le cot des sinistres anticipables que les dirigeants sont censs anticiper ; le concept dlments extraordinaires (extraordinary items), correspondant des situations de crise impossibles anticiper par les dirigeants de lentreprise (du type tremblement de terre dans une zone non sismique) donnant lieu une indemnisation assurance. La notion dlments extraordinaires a aujourdhui disparu, mettant en exergue le fait que ces rfrentiels comptables considrent que le risk management est une attribution majeure du top management, et que lincapacit de protger la rmunration de lactionnaire et de protger les cash-flows de lentreprise relve dune insuffisance substantielle du top management. De surcrot, le rfrentiel IFRS fait ressortir la notion de composantes (inexistante en US GAAP) ayant pour effet de minimiser la notion de provisions pour risques.

Groupe Eyrolles

18 Partie 1 Contraintes rglementaires et mthodologies

En effet, la norme IAS 16 impose la dcomposition des immobilisations corporelles en composantes impactant les flux de trsorerie prvisionnelle gnrs par lactif. Ainsi, les groupes industriels constituent des composantes telles que : investissements de scurit ; pices de rechange ; dmantlement ; dcontamination des sols ; fermeture quinquennale pour grand entretien. Elles sont amorties sur la dure dusage de chaque composante. La notion de composante met en exergue le principe de mise sous contrle prvisionnelle des risques industriels. Ainsi : la programmation des investissements de scurit a pour objectif de protger les cash-flows gnrs par lactif ; la budgtisation des pices de rechange a pour finalit de prvenir le bris de machine. La comptabilit financire IFRS dmontre ainsi que tous les actifs de lentreprise sont mis sous contrle en vue de scuriser les cash-flows de cette dernire.

Groupe Eyrolles

Chapitre 2

Mthodologie didentification et danalyse des risques


Lidentification rationnelle et objective des risques de sinistralit est base sur la rponse quatre types dinterrogations : Quels sont les outils permettant une identification objective des risques ? Comment valuer limpact dun sinistre majeur sur les objectifs stratgiques ? Comment valuer les consquences financires dun sinistre majeur ? Quels enseignements tirer de lvolution de la sinistralit antrieure ?

Outils didentification des risques


Lune des principales difficults du risk management est didentifier les risques dun groupe de faon objective et rationnelle. Il est indispensable daboutir la ralisation dune cartographie des risques faisant ressortir en priorit les mta-risques mergents. Le risk manager na pas le droit de fonder sa cartographie sur un ressenti subjectif bas sur sa personnalit et son vcu professionnel. Il doit au contraire appuyer sa dmarche sur plusieurs outils didentification des risques quil va utiliser dans une optique de circularisation (la rponse apporte par ces outils doit en effet converger). Nous tudierons donc dans ce chapitre les outils suivants : laudit documentaire ; les entretiens ; les visites de sites ; les questionnaires.

Audit documentaire et audit en risk management


Laudit documentaire est un outil essentiel en vue dune identification rationnelle et objective des risques. Dans la phase amont, lauditeur va demander un certain nombre de documents, quil exploitera partiellement avant daller sur le terrain (phase de travail plat ). Pendant la phase de droulement de laudit, lauditeur va confronter ses sources documentaires avec les informations collectes via les interviews et la visite de sites. En phase post-mission (rdaction du rapport), le risk manager prconisera ; compte tenu de ses conclusions, un certain nombre dajustements concernant les informations quil a collectes en phase initiale (modifications de clauses contractuelles, rengociation des clauses assurance, consultation du march assurance, etc.).

Groupe Eyrolles

20 Partie 1 Contraintes rglementaires et mthodologies

Exemple de cartographies de mta-risques dans un groupe industriel


RISQUES EXTERNES
Institutionnel et Socit
Environnement politique Environnement juridique Environnement social Environnement socital Rglementation Mcanisme de fixation des prix Environnement conomique et montaire

March
Concurrence Attentes clients / march Mutation technologique Marchs financiers

Catastrophe
Catastrophe naturelle Accident dorigine externe / Trouble externe

RISQUES OPERATIONNELS
Commercial
Stratgie Satisfaction clients / Services Qualit Produit / Sant Produit Gestion commerciale

Exploitation
Outil industriel Outil de distribution Sous-traitance Conformit rglementaire Matrise cots de production

Finance
Risques de march s (change, taux, prix matire) Financement / Trsorerie Fiscalit/ Douanes Assurance Comptabilit

RH
Gestion comptences et savoir valuation / Motivation Gestion administrative Climat / Relations sociales Sant des employs

Juridique
Droit de la concurrence Conformit rglementaire Suivi des litiges Ngociation et contractualisation des accords Connaissance des accords

Appro / Achats
Chane matire Ressources produit (appro) Achats biens & services

Scurit / Sret / Environnement


Risque technologique Risque oprationnel Risque transport Sret biens et personnes Environnement Pollution

SIT
Performance Sret de linformation Conduite de projet SI Gestion des changements Exploitation informatique Habilitations/ Sparation tches

Comportement
thique Fraude Respect des procdures

Image
Image / Communication

STRATGIE MANAGEMENT PILOTAGE


Stratgie / Dveloppement
Veille stratgique Veille technologique / R&D / Conception Proprit industrielle Acquisition / Cession Matrise partenariats / co-entreprises Gestion de projet

Management / Organisation
Efficacit de lorganisation/ gestion des responsabilits Gestion du changement Plan de continuit dactivit Gestion de crise

Pilotage de la performance
Pertinence des indicateurs Contrle des participations

Exemple de cartographie des mta-risques

Une fois ces documents collects (dans les faits, le risk manager ne collecte quune partie des informations en pr-mission), il sassure de la fiabilit des informations

Groupe Eyrolles

Audit documentaire pr-mission Dans la phase documentaire pr-mission, le risk manager va demander lentit audite de lui transmettre un certain nombre de documents. La liste des documents transmettre dpend de fait du type de risque auditer. Cependant, il savre possible de lister de faon gnrique les principaux documents demands : programme dassurance national ou international ; transmission des clauses des principaux contrats ; tats analytiques et tableaux de bord ; tats financiers certifis ; experts techniques et expertises pralables de capitaux ; procdures de scurit et de gestion de crise (si existantes) ; tests des plans de reprise dactivit ; schma directeur des systmes dinformation ; plan de protection des informations.

Ch. 2 Mthodologie didentification et danalyse des risques 21

transmises en utilisant les techniques de circularisation (demande dinformation parallle lexterne, vrification de la certification des comptes, vrification de la non-rtroactivit des contrats, etc.). Enfin, il commence analyser les documents qui sont directement exploitables (analyse des clauses de contrats, analyse financire, etc.).

Audit documentaire pendant la mission Lobjectif du droulement de la mission sur le terrain est de confronter lidentification des risques identifis en phase post-mission daudit avec les risques rellement tracs via interviews et/ou questionnaires et visites de sites. Exploitation documentaire post-mission Lexploitation documentaire post-mission va se traduire par des prconisations substantielles faites par le risk manager. Ainsi, les principales prconisations possibles sont les suivantes : souscription dune nouvelle police dassurance ; modification de clauses contractuelles ; signatures de contrats de back-up 1 ; rdaction de nouvelles procdures ; modification du contenu des procdures existantes.

Entretiens
La technique dentretien savre tre une technique essentielle lidentification objective et rationnelle des risques, et ce, tout particulirement en culture dentreprise latine. Lobjectif de cet entretien est : dune part, de sassurer de la connaissance par les oprationnels des dispositifs de risk management mis en uvre par lentreprise ; dautre part, dvaluer avec eux les risques potentiels qui pourraient affecter les processus mtiers et les risques du groupe. Linterview se droule en trois grandes tapes.

Groupe Eyrolles

Analyse du pass Le risk manager interviewe laudit sur les cas de sinistres ou de gestion de crise quil a t amen vivre dans le pass en adoptant un questionnement du type : Avez-vous t amen vivre dans le pass une situation de crise ? Si oui, quels sont, de votre point de vue, les dispositifs mis effectivement en uvre par le groupe pour grer cette situation ? Lobjectif de cette question est de savoir si les dispositifs mis en uvre par le groupe sont connus et effectivement communiqus aux oprationnels.
1. Back-up : mise disposition de ressources logistiques en cas de sinistre.

22 Partie 1 Contraintes rglementaires et mthodologies

Projection sur le futur Lobjectif de cette partie de lentretien consiste identifier les risques potentiels que les oprationnels ont identifis et qui nont pas t reports au niveau du risk management. La structure de questionnement est la suivante : Avez-vous identifi ou pens des risques qui pourraient se matrialiser ? tes-vous dj pass sur le fil du rasoir ? De votre point de vue, si le risque se matrialisait, le groupe saurait-il mettre en uvre les dispositifs adquats ? Lobjectif de cette question est daller vrifier sur le terrain si le ressenti de loprationnel est confirm ou non. Cette logique de questionnement peut permettre une priorisation de mesures correctrices mettre en uvre. Simulation dune situation de crise Lobjectif de cette dernire tape de linterview consiste construire avec laudit le contenu oprationnel de son plan de reprise dactivit en cas de situation de crise. La structure de simulation adopter est la suivante : Vous arrivez sur votre lieu de travail 7 h 45. Sur place votre sige social est dtruit 100 %. Le prfet, les mdias, les salaris, la protection civile, les pompiers sont prsents. Les camions arrivent avec les composantes. Que faites-vous ? Lobjectif de cette simulation est de dcrire les moyens logistiques qui devront tre mis en uvre en cas de situation de crise en vue dassurer la continuit de lexploitation des processus critiques. Lexercice a pour objectif de dcrire et didentifier : les processus critiques qui devront tre redploys en cas de situation de crise ; les actifs stratgiques (machines-outils, moules, etc.) qui devront tre protgs en priorit en cas de sinistre ; les hommes cls qui devront tre dplacs sur le site de secours ; les ressources non utilises avant sinistre (m 2, m3, vhicules disponibles, etc.) ; les contrats de back-up avec les sous-traitants, fournisseurs, constructeurs informatiques, etc.

Visites de site
La visite de site est un outil essentiel en termes didentification des risques. Elle permet par exemple dobserver les attitudes et les comportements des salaris en matire de respect des consignes de scurit. Elle permet, dautre part, lauditeur dobserver des dysfonctionnements ou des anomalies concernant lorganisation de lentreprise pouvant gnrer des dommages potentiels. Elle permet aussi de ractualiser des lments lis laudit documentaire (exemple dun plan de masse ne correspondant plus la configuration relle actuelle du site).

Questionnaires
Lidentification des risques partir des questionnaires est trs utilise dans les organisations anglo-saxonnes et prsuppose lexistence dun dispositif de risk management mr et efficace.

Groupe Eyrolles

Ch. 2 Mthodologie didentification et danalyse des risques 23

Le questionnement permet de raliser des benchmarks intersites et intragroupe, et de produire ce titre des rosaces de performance permettant didentifier les centres de risque1 nappliquant pas la lettre les procdures de scurit et de gestion de crise. Ce dispositif est inadapt dans le cas de la construction dun dispositif de risk management et, dans cette hypothse, on privilgiera les techniques dinterviews.

Simulation de limpact dun sinistre majeur sur les objectifs stratgiques


Lobjectif de cette tape est de simuler limpact dun sinistre maximum possible (cest-dire dun sinistre tant la rsultante de plusieurs faits gnrateurs, major par des circonstances aggravantes) sur les processus et/ou les objectifs stratgiques de lentreprise. Ainsi, par exemple, le retrait dun produit du march (du fait de dommages corporels subis par un consommateur) affecterait : les parts de march ; la rentabilit commerciale ; le cours de laction (si le groupe est cot) ; la continuit des processus (obligation darrter la production du produit incrimin).

Groupe Eyrolles

Impact dun sinistre majeur sur les objectifs stratgiques dun groupe

Lobjectif du risk management consiste donc tout mettre en uvre titre prventif pour prvenir le risque ; mais, ce dernier avr, le groupe doit mettre en place un
1. Entit organisationnelle (usine, magasin) regroupant des risques homognes.

24 Partie 1 Contraintes rglementaires et mthodologies

dispositif de gestion de crise auquel il a rflchi titre prventif, et grer la situation de crise dans un dlai trs rapide. Dans notre exemple, les outils de gestion de crise mis en uvre seraient les suivants : cellule de crise ; communication de crise vis--vis des consommateurs et du rseau ; plan de retrait des produits du march avec mise en uvre dun processus dindemnisation du consommateur ; ou fabrication dun produit de substitution. Ces procdures de gestion de crise ont bien sr un caractre confidentiel, lexception du plan durgence, qui doit tre communiqu aux autorits de tutelle, pour les risques RHP (risques hautement protgs) susceptibles de gnrer une atteinte lenvironnement.

Simulation des consquences financires dun sinistre majeur


Lobjectif assign cette tape est didentifier les scnarii de crise qui pourraient affecter la remise en cause de la prennit du groupe. La quantification des sinistres majeurs a pour intrt de permettre lidentification des scnarii inacceptables en vue de dfinir des priorits dans le dispositif de risk management. Il sagit donc de quantifier pour chaque scnario de crise (sont analyss en priorit les scnarii correspondant aux faits gnrateurs figurant en exclusion) les consquences financires dun sinistre maximum possible en chiffrant les quatre composantes suivantes : pertes matrielles (en quoi le sinistre affecte-t-il les actifs de lentreprise ?) ; pertes dexploitation (en quoi la situation de crise affecte-t-elle le compte de rsultat ?) ; pertes humaines (en quoi le sinistre gnre-t-il des dommages corporels chez les salaris ?) ; cot de la responsabilit civile et ventuellement pnale (quelle sera la valorisation de prjudices corporels, matriels et immatriels causs aux tiers ?).

Estimation des pertes matrielles


Lobjectif de cette premire simulation est destimer limpact dun sinistre majeur sur les immobilisations sous contrle (au sens des normes IAS 16 et 17 pour lesquelles lentreprise porte lensemble des risques et des responsabilits, quelle que soit leur qualification juridique) et sur les stocks. Deux cas de figure se prsentent dans le cadre de cette estimation : soit lentreprise est dans un rfrentiel comptable autre quIFRS (International Financial Reporting Standard) et, dans ce cas de figure, elle doit faire raliser une expertise pralable de capitaux des biens en proprit, en location, en location financement, mais aussi des biens confis ou des actifs quon lui a transfrs dans le cadre dun contrat de concession ou daffermage ; soit lentreprise est en IFRS (International Financial Reporting Standard) et a opt pour la rvaluation des actifs et, dans ce cas, la valorisation des actifs au prix du march sert de base lestimation des pertes matrielles.

Groupe Eyrolles

Ch. 2 Mthodologie didentification et danalyse des risques 25

Dans les deux cas de figure, lestimation des pertes matrielles se fait en multipliant la valeur des capitaux par une estimation du pourcentage de destruction de lactif.

Estimation des pertes dexploitation


Lestimation des pertes dexploitation est ralise par centre de risque (ce qui correspond en contrle de gestion une entit organisationnelle du type centre de profit ou centre de responsabilit ). La mthodologie consiste dans un premier temps construire un compte de rsultat du centre de risque avant sinistre. Lobjectif ce niveau est de segmenter le compte de rsultat en quatre grandes masses : chiffre daffaires ou prix de transfert 1 ; charges variables qui seront sensibles limpact du sinistre ; charges fixes que lentreprise continuera supporter post-sinistre ; rsultat analytique du centre de risque avant sinistre (diffrence entre produits et charges oprationnelles). Dans un deuxime temps, structurer un compte de rsultat de lentit post-sinistre : estimation du chiffre daffaires ou des prix de cession post-sinistre (impact du sinistre sur le CA dpendant de lexistence dun plan de reprise dactivit ou non, test de surcrot rgulirement) ; estimation de limpact du sinistre sur les charges variables (dont les achats) ; estimation du sinistre sur les nouveaux cots gnrs par la situation de crise (frais supplmentaires dexploitation, frais dexpertise, honoraires, frais de dmolition, frais de dcontamination, etc.). Le rsultat analytique post-sinistre est donc gal la diffrence entre le CA et les charges oprationnelles post-sinistre (charges variables aprs sinistre, maintien des frais fixes supports avant sinistre, nouveaux frais directement imputables la situation de crise et ncessaires au redploiement de lactivit). La perte dexploitation sera gale la diffrence entre le rsultat oprationnel du centre de risque avant sinistre (bas sur les prvisions budgtaires de lexercice) et lestimation du rsultat analytique du mme centre de risque post-sinistre.

Quantification des pertes humaines


La quantification des pertes humaines (cest--dire des dommages affectant les salaris de lentreprise : dcs, accidents de travail, invalidit, etc.) se dcompose en : indemnisation de type Scurit sociale ; indemnisation via la souscription dune police dassurance collective pour le compte des salaris (en intgrant les capitaux maximaux prvus dans la police dassurance).
1. changes conomiques internes au groupe.

Groupe Eyrolles

26 Partie 1 Contraintes rglementaires et mthodologies

Valorisation du cot de la responsabilit civile et pnale


La quantification du cot de la remise en cause de la responsabilit civile passe par lanalyse de la jurisprudence existante au niveau international. Dans lhypothse de linexistence dune telle jurisprudence, lauditeur appliquera une dmarche qualitative en construisant une grille qualitative gradue de la faon suivante : 0 : impact nul ; 1 : impact faible ; 2 : impact financier moyen ; 3 : impact financier majeur ; 4 : impact financier inacceptable. Lestimation du cot de la responsabilit pnale passe par une analyse des diffrentes pnalits par type dinfraction.

Quantification du cot rsiduel la charge de lentreprise


Lobjectif de cette tape du dispositif consiste sommer par scnario le cot des quatre typologies de pertes : matrielles, exploitation, humaines et responsabilit civile (RC) ; et le comparer au montant indemnisable prvu dans le programme dassurance. La diffrence entre ces deux montants correspond au risque rsiduel, qui peut tre considr par les autorits de gouvernance comme tant acceptable ou inacceptable. Dans lhypothse o le comit des risques estime que le risque rsiduel est inacceptable, il savre indispensable de rflchir sur la mise en uvre de financements alternatifs, naffectant pas la trsorerie courante de lentreprise en cas de ralisation du risque.

tude de la sinistralit antrieure


Ltude de la sinistralit antrieure (sur des sries chronologiques conscutives a minima de cinq ans) vise : identifier dventuelles tendances structurelles en termes de sinistralit (concentration daccidents du travail par exemple) ; permettre une rengociation ultrieure avec les assureurs (en comparant la sinistralit effective avec celle prise en compte par les assureurs). Les principaux sinistres analyss, tant en frquence quen termes de gravit, sont les suivants : sinistralit dommages aux biens ; sinistralit flotte automobile ; sinistralit informatique ; sinistralit responsabilit civile ; sinistralit accidents du travail.
Groupe Eyrolles

Chapitre 3

Modalits de mise sous contrle des risques


La mthodologie daudit en risk management est une approche transverse visant sassurer de la mise sous contrle des risques de sinistralit de lentreprise, tant titre prventif que curatif, en dclinant un triple dispositif : contrle interne des risques et procdures de gestion de crise ; contrle technique et investissements de scurit ; contrle financier des risques intgrant lautofinancement, le transfert des risques et le recours aux financements alternatifs lassurance.

Contrle technique et scurit


La mise en uvre dun dispositif de prvention mature passe par la ralisation dinvestissements de scurit et par lengagement de charges dexploitation au titre de la scurit correspondant a minima aux exigences rglementaires. Les principaux sous-domaines concerns sont les suivants : scurit informatique ; scurit des biens ; scurit des personnes ; scurit atteinte lenvironnement.

Procdures de scurit et de gestion de crise


La mise en uvre dun dispositif de corporate risk management efficace passe par la rdaction de procdures de scurit de base et de gestion de crise. Bien videmment lefficacit de telles procdures doit tre rgulirement teste.

Procdures de scurit de base


La mise en uvre dun dispositif de corporate risk management mature passe par la rdaction et lapplication de procdures de type management des risques telles que : procdures de scurit informatique physiques et immatrielles et plan de protection des informations ; procdures de scurit environnementale ; plan dorganisation des secours.

Groupe Eyrolles

Les principaux scnarii de gestion de crise


La construction des scnarii de crise a pour objectif danticiper la combinaison optimale doutils de gestion de crise mettre en uvre en cas de sinistre majeur.

28 Partie 1 Contraintes rglementaires et mthodologies

Les principaux scnarii analyss sont les suivants : gestion de crise produit avec retrait des produits du march ; atteinte lenvironnement ; mise en examen dun mandataire social ; offre publique dachat hostile ; attentat ; grve interne ou externe, voire mlange des deux typologies (grande spcialit franaise !) ; boycott de la marque ; situation de crise informatique ; mort dun homme cl. Il est vident que cette liste doit tre adapte en fonction du secteur dactivit, ainsi : dans le secteur bancaire, on simulera limpact du scnario hold-up ; dans le secteur aronautique, on valuera les consquences du crash dun avion ; dans le secteur aronautique, on estimera les consquences de lexplosion dune fuse ou dune navette embarquant des satellites.

Procdures de gestion de crise Les procdures de gestion, systmatiquement rdiges titre prventif, et testes en vue dvaluer leur efficacit, ont pour objectif de permettre la continuit de lexploitation des processus critiques dun centre de risque (exemple dune usine), dans des dlais trs rapides sur dautres sites internes au groupe ou lextrieur du groupe via des contrats de back-up signs avec des constructeurs informatiques, fournisseurs et sous-traitants captifs, et ventuellement avec des concurrents. Le risk manager doit donc rflchir titre prventif la construction de ces cinq outils de gestion de crise, qui seront combins en fonction du scnario de crise analys, savoir : le plan de retrait des produits du march ; la communication de crise interne et/ou externe pouvant tre offensive ou dfensive ; le plan de reprise dactivit ; le plan durgence concernant les risques datteinte lenvironnement ; la cellule de crise conue tant en termes organisationnels que logistiques.
Plan de retrait des produits La rflexion prventive concernant lorganisation dun plan de retrait des produits du march concerne en priorit les entreprises ayant une stratgie marketing de biens de grande consommation et tout spcifiquement celles travaillant dans les secteurs pharmaceutique, agroalimentaire, automobile.

Groupe Eyrolles

Ch. 3 Modalits de mise sous contrle des risques 29

Lorganisation logistique dun plan de retrait prvoit un simple arrt de production et de commercialisation titre prventif dans le cas de lmission de signaux de pralerte (taux de rclamations clients anormal, taux de rebut, de refaonnage lev, etc., sur un produit ou une famille de produits).
Communication de crise Il existe de nombreux registres de communication de crise, sur lesquels les groupes doivent rflchir titre prventif, soit en vue dexonrer la responsabilit civile, soit de limiter limpact de cette dernire au cas o elle serait mise en cause. Il est ainsi possible dopposer les axes de communication ci-dessous : interne et externe ; offensive et dfensive ; rglementaire et stratgique. Communication de crise interne et externe La communication de crise externe est en gnral indissociable de la communication de crise interne. En effet, la communication de crise externe, quelle soit institutionnelle ou oprationnelle, vise scuriser lensemble des parties prenantes, pour protger les objectifs stratgiques du groupe. A contrario, la communication de crise interne vise surtout permettre le dploiement des processus critiques sur des sites non sinistrs dans des dlais trs rapides si une situation de crise est dclenche. Communication de crise offensive et dfensive Les registres de communication de crise peuvent tre offensifs en cas de rumeur ou en cas de remise en cause non fonde de la responsabilit civile du groupe. Ainsi, il est envisageable, dans le cas dun scnario de crise produit, de dvelopper une communication de crise offensive, dans lhypothse dune relation de corrlation (existence dun dommage corporel chez un consommateur, ne pouvant tre associ une marque commerciale spcifique de lentreprise). Par contre, en cas de remise en cause de la responsabilit civile du groupe, la communication de crise institutionnelle dfensive a pour objectif de protger les parts de march, limage de marque, alors que la communication de crise oprationnelle dcrit au rseau de distribution ainsi quaux clients les modalits daction (comment se faire indemniser, comment faire rparer le produit, comment avoir un produit de substitution ?). Plan de reprise dactivit/plan de continuit de lexploitation Le risk management minimise le rle de lassurance en cas de sinistre majeur. Son objectif nest pas de rechercher des garanties confortables en cas de situation de crise, mais de permettre une reprise de lactivit dans les dlais les plus rapides. Voici la mthodologie de construction de ces plans de reprise dactivit.

Groupe Eyrolles

Concepts gnraux sur les plans de continuit de lexploitation La continuit dactivit sinscrit dans une dmarche de prennit de lentreprise. Elle consiste mettre en place des procdures et des moyens visant assurer le fonctionnement

30 Partie 1 Contraintes rglementaires et mthodologies

de ses activits, principales et cruciales, et la disponibilit des ressources indispensables au droulement de ces activits. La gestion de la continuit dactivit est une approche globale de management. Son objectif est didentifier les impacts potentiels qui menacent le groupe et de la doter des capacits de rpondre efficacement des sinistres potentiels en sauvegardant ses activits vitales et critiques, sa rputation et les intrts de ses clients et partenaires.
Dnition de la notion dactivit vitale Cest une activit dont lexcution est fondamentale et obligatoire pour lentreprise. En cas darrt de cette activit, les impacts sont jugs inacceptables par le management : impact financier extrmement lourd pour lentreprise ; trs forte dgradation de son image de marque auprs des clients et des partenaires ; impact rglementaire majeur sans possibilit de ngociation avec les institutions lgales. Dnition de la notion dactivit critique Il sagit dune activit dont lexcution est souhaite pour le groupe, mais qui ne revt pas de caractre obligatoire. Les impacts, en cas darrt de ces activits, sont jugs trs proccupants voire inacceptables pour la stratgie de lentreprise, mais ne compromettent pas sa survie en cas de crise : impact financier lourd pour lentreprise ; impact stratgique majeur ; trs forte dgradation de son image de marque auprs des salaris et des mdias ; impact rglementaire majeur avec possibilit de ngociation avec les institutions gouvernementales. Dnition de la notion dactivit sensible Par activit sensible, il faut entendre une activit dont lexcution est prfrable pour le bon droulement des oprations. Les impacts, en cas darrt de ces activits, sont jugs proccupants, mais potentiellement acceptables dans un contexte de crise : impact financier moyen pour lentreprise ; impact stratgique nul ; dgradation significative de son image de marque auprs des salaris et des mdias.

Le cycle de vie de la continuit dactivit


Processus cyclique La dmarche continuit dactivit est un processus cyclique travers lequel le groupe : value la solidit de son organisation et la vulnrabilit de ses activits des sinistres majeurs ; dfinit la stratgie de continuit de ses activits critiques aprs sinistre ; met en place les solutions de continuit pertinentes et les documente ;

Groupe Eyrolles

Ch. 3 Modalits de mise sous contrle des risques 31

teste ses dispositifs, les maintient oprationnels et les rvise frquence rgulire ; informe ses personnels et les exerce utiliser les solutions de continuit en cas de sinistre. Deux prrequis sont indispensables pour engager la dmarche continuit dactivit : une stratgie dentreprise clairement dfinie ; un risk assessment solide et exhaustif.
Les principaux rsultats attendus (livrables) Ce sont : une cartographie des risques ; un business impact analysis, une collecte des expressions de besoins des mtiers, mettant en vidence les activits critiques ; une stratgie de continuit dactivit dcline en fonction de diffrents scnarii de sinistres, et adressant les objectifs mtiers, les priorits et les niveaux dactivit recouvrir aprs un sinistre ; un inventaire des ressources critiques et le squencement de leur monte en charge ; des plans de continuit dactivit dcrivant les dispositifs mis en place et les procdures pour mettre en uvre la stratgie ; des programmes de tests et des plans daction correctifs ; des supports dinformation, de sensibilisation et de formation.

Mettre en uvre un plan de continuit dactivit Le business impact analysis (BIA) est une dmarche analytique dont lobjectif consiste : identifier les activits vitales/critiques ; inventorier les ressources critiques ncessaires pour assurer la continuit de ces activits vitales/critiques ; dfinir les priorits de continuit et/ou de reprise aprs sinistre. Pourquoi le fait-on ? Le BIA permet dvaluer les impacts, pour lentreprise, dun sinistre touchant ses activits. La dmarche doit tre entreprise pour chacun des processus mtiers conduits dans le groupe, identifis dans la phase de cartographie des processus. Les consquences dun sinistre sur les activits du groupe sont values dans le temps selon diffrents types dimpacts : impacts financiers (valuation quantitative) ; impacts non financiers (valuation qualitative). Bien que les sinistres auxquels la socit doit se prparer soient de natures diffrentes et puissent influencer la gravit et/ou la rapidit dapparition/de rsorption des impacts, les bonnes pratiques recommandent de mener le BIA en adoptant certains postulats : toutes les activits sont interrompues sans possibilit de reprise ; lentreprise seule est impacte par le sinistre ; tous les acteurs du march continuent business as usual .

Groupe Eyrolles

32 Partie 1 Contraintes rglementaires et mthodologies

La dmarche BIA est conduite par les coordinateurs des plans de continuit dactivit (PCA) sur la base dinterviews ralises avec les propritaires des processus mtiers. Les informations collectes ainsi que les analyses dimpacts sont systmatiquement valides par le management, qui est responsable de lexpression des besoins, de la dfinition des stratgies, de lallocation des moyens humains et financiers ncessaires la dmarche et qui est propritaire des plans de continuit.

La dmarche BIA Elle se droule en tapes distinctes.


tape 1 : cartographie des processus mtiers La comprhension de lorganisation commence ncessairement par une cartographie dcrivant les activits de chacune des entits du groupe : identifier les principaux processus mtiers ; inventorier les ressources requises pour mener bien chacun de ces processus.

Cette cartographie est le pralable indispensable au dploiement de la dmarche BIA et plus gnralement de la dmarche de continuit dactivit : lanalyse dimpact, la dfinition des objectifs de reprise et les expressions de besoin en termes de ressources sont construites au niveau de chaque processus mtier. noter que, sil existe dj des descriptions de processus dans lorganisation, elles doivent tre systmatiquement rutilises dans un souci de cohrence et defficacit. La cartographie doit aussi mettre en lumire les priodes critiques de chaque processus, cest--dire les priodes durant lesquelles un sinistre aurait les impacts les plus pnalisants pour lentreprise ( scnario du pire ). La dfinition des priodes critiques permet : de dfinir les stratgies de reprise en intgrant le scnario dans lequel un sinistre aurait lieu aux moments les plus critiques du processus ; dinformer, le cas chant, les gestionnaires de crise des circonstances particulires lies la priode de dclenchement du sinistre. Exemples de priodes critiques : arrts comptables, cut-off, chances terme, etc. Pour les besoins de cette cartographie, des ressources critiques doivent tre identifies. Les ressources critiques identifier sont les ressources indispensables laccomplissement dun processus mtier qui doivent ncessairement tre restaures pour garantir la continuit des activits critiques suite un sinistre. On peut ainsi citer : besoins en personnel : nombre de personnes alloues au processus mtier en production ; systmes informatiques : applications mtiers, progiciels intgrs, disques partags ; poste de travail : type de configuration requise (nombre et puissance des PC, nombre dcrans, tlphonie normale ou spcialise, etc.) ;

Groupe Eyrolles

Ch. 3 Modalits de mise sous contrle des risques 33

tlcoms : inventaire des moyens de communication ncessaires en plus de la tlphonie (fax, tlex) ; sauvegardes vitales : ensemble des documents sur tout support dont labsence aprs sinistre empcherait de reprendre le processus mtier ; dpendances : ensemble des services, fournis par un acteur interne ou externe, ncessaires laccomplissement du processus mtier (qui ? quoi ?).
tape 2 : lvaluation des impacts
Typologies dimpacts

pertes financires directes : cest lensemble des pertes financires supportes par lentreprise rsultant de son incapacit grer ses processus mtier ; pertes de revenus : impacts financiers dus lincapacit de lentreprise de raliser de nouvelles transactions tant que ses processus mtiers restent dgrads (do perte dopportunits) ; impacts rglementaires : risques de pnalits de la part des rgulateurs et des autorits de tutelle lencontre de la socit dans lincapacit totale ou partielle de faire face ses obligations rglementaires ; impacts lgaux et juridiques : impacts potentiels ou pertes encourues cause dactions en justice ou de poursuites de la part de clients, suite lincapacit de lentreprise faire face ses engagements contractuels ; impacts sur limage et la rputation : prjudices ports la crdibilit de lentreprise vis--vis de ses clients, des investisseurs, de ses actionnaires, des agences de rating ou des mdias, conduisant une perte substantielle dopportunits venir ; impacts sur dautres processus de lentreprise : risques dextension dimpacts sur dautres processus du groupe, lorsque des impacts directs ne peuvent pas tre mis directement en vidence. Ce type dimpacts est directement li aux interdpendances entre les diffrentes activits du groupe.
La relation au temps

Le critre de temps est une dimension cl dans lvaluation des impacts, car il permet de concentrer les efforts sur les activits dont les dlais de reprise sont les plus critiques. Lchelle de temps est construite selon : les impratifs de reprise dfinis par les rgulateurs (en France et linternational) ; les bonnes pratiques de lindustrie ; les dlais contractuels de bascule des systmes dinformation et de mise disposition des solutions de repli.
Groupe Eyrolles

34 Partie 1 Contraintes rglementaires et mthodologies

Chaque activit doit dfinir une chelle pertinente lui permettant de quantifier de manire homogne et cohrente ses pertes financires potentielles. Ces quantifications sont ensuite traduites en degrs dimpacts en fonction de leur importance : trs lev ; lev ; moyen ; faible. Il appartient au management de chaque entit de dfinir et valider cette chelle, car celle-ci sera utilise pour dfinir les objectifs et arbitrer les priorits de reprise. Les impacts qui ne peuvent pas tre quantifis en termes financiers sont qualifis selon le mme type dchelle.
tape 3 : dterminer la stratgie dnition des objectifs de reprise Une fois lanalyse dimpact ralise, le groupe est en mesure de dfinir pour chacun des processus mtiers tudis : la priode de temps maximale aprs le sinistre, au cours de laquelle chacune des ressources ncessaires laccomplissement dun processus mtier pour tre oprationnelle doit tre recouverte (recovery time objectives [RTO]) ; le niveau dactivit qui doit tre repris pour chaque processus, ainsi que son volution dans le temps sur une priode dun mois compter de la survenance du sinistre.

La dfinition des objectifs de reprise doit permettre de comprendre la stratgie que les mtiers souhaitent mettre en place pour assurer la continuit de leur activit avec un niveau acceptable de dgradation suite un sinistre. La stratgie est ainsi formule de manire simple : en cas de sinistre et pour chaque mtier, quelles capacits le groupe veut-il conserver ou recouvrer, et quelles chances ? Comme lors de lanalyse dimpact, la bonne pratique veut que la stratgie et les objectifs de reprise soient dfinis au regard du scnario le plus impactant pour le processus mtier considr (lentreprise est la seule impacte, les autres acteurs du secteur oprent normalement). La dfinition des RTO repose obligatoirement sur la cartographie et lanalyse dimpact ralise avec le BIA : implicitement, le RTO indique le niveau dimpact que le mtier accepte de supporter (le seuil de tolrance) ; les priodes critiques identifies lors de la cartographie des processus sont prises en compte dans la dfinition de la stratgie de reprise (objectifs et priorits en cas de sinistre survenant la pire priode).
tape 4 : laborer et mettre en place des solutions Les mtiers ayant dfini leur stratgie de continuit dactivit et formul leurs besoins en ressources critiques sont maintenant en mesure de : consolider les besoins de secours applicatifs en spcifiant aux matrises douvrage informatique les besoins couvrir en termes dobjectif de reprise et de restauration de donnes ;
Groupe Eyrolles

Ch. 3 Modalits de mise sous contrle des risques 35

identifier les alternatives et mesures conservatoires dployer pour couvrir la priode entre le sinistre et la reprise du processus mtier impact ; concevoir les solutions de continuit adquates pour permettre aux personnels de redmarrer les processus mtiers impacts par le sinistre et assurer la continuit des activits vitales et critiques de lentreprise ; organiser la cohrence des stratgies et des solutions dployes au sein de lentreprise. La mise en place des solutions de continuit se droule en trois tapes : choix des solutions de continuit : solutions de continuit informatique, solutions de continuit utilisateurs pour redonner un poste de travail aux personnels impacts ; mise en cohrence des stratgies et des solutions dployes au sein du groupe : alignement sur lintgralit du droulement du processus (front-to-end), alignement transversal, rationalisation des investissements, mutualisation des moyens ; mise en place des solutions et documentation des plans de continuit dactivit. Le management de chaque entit est propritaire de son plan de continuit dactivit et en valide chacune des tapes : validation des expressions de besoin ; validation des choix de solutions retenues ; validation des alignements ; validation des investissements raliser ; validation des solutions implmentes (recettes) ; validation de la documentation. La validation tape par tape permet de garantir que les solutions labores, mises en place et documentes, rpondent aux besoins exprims et sont conformes la stratgie formule. En cas de dsaccord, on reprend la dmarche partir de la dernire tape valide (dmarche itrative).
tape 5 : choix des solutions utilisateurs
Positions sur site de repli (site interne ou sous contrat avec un prestataire)

Groupe Eyrolles

Positions ddies : postes de travail entirement pr-quips sur un site de secours utilisateurs, distance raisonnable du site primaire pour permettre un repli rapide aprs un sinistre. Ces positions sont, exclusivement et en permanence, rserves lusage du groupe en cas dactivation, et leur disponibilit est garantie. Positions mutualises : postes de travail entirement pr-quips sur un site de secours utilisateurs, distance raisonnable du site primaire pour permettre un repli rapide aprs un sinistre. Les positions mutualises ne sont pas exclusives et sont contractes paralllement par plusieurs entreprises.

36 Partie 1 Contraintes rglementaires et mthodologies

Secours croiss

Cross back up : solution consistant reloger un utilisateur ayant perdu laccessibilit son poste de travail sur un autre poste dans un autre immeuble de production non impact. Cross border : solution consistant reloger le personnel sur une autre implantation du groupe linternational. Remarque : ces solutions croises supposent que des positions et quipements de production et/ou de rserve puissent tre librs la demande, o et quand ncessaire. En outre, la solution linternational nest raisonnablement pas oprationnelle avant J + 2 aprs sinistre (valuation empirique).
Accs distance

Capacit de mener des activits depuis un site nappartenant pas au groupe avec un accs distance aux applications informatiques si ncessaire (domicile, cybercaf, entreprise tierce). Remarque : laccs distance nest pas la solution privilgier pour certaines activits critiques (trading, trsorerie, etc.), car elle suppose une qualit de contrle et de scurit dgrade (accs via Internet).
Split operations

Solution consistant clater temporairement les personnels critiques sur un plus grand nombre de sites (production, repli, accs distance) en prvision dun risque accru de perturbation des activits (exemple : manifestation type G8, convention rpublicaine New York, etc.) ou pour rpondre une incapacit conjoncturelle de rejoindre le lieu de travail habituel (lors dune grve des transports, par exemple). Lorsque cet clatement des comptences nest plus conjoncturel mais est intrinsque par construction la structure de la socit, on parle de rsilience.
Mise en cohrence - Alignements
Alignement de bout en bout

Groupe Eyrolles

Pour garantir la cohrence du dispositif de continuit, il est essentiel daligner les stratgies et solutions des fonctions supports (FS) et de linformatique (IT) sur les objectifs de reprise des fronts mtiers (FO). tape 1 : les FS intgrent les expressions de besoin et la stratgie des FO dans la dfinition de leurs objectifs PCA (itrations, si besoin). tape 2 : lIT aligne sa stratgie de reprise pour rpondre aux exigences mtiers consolides. tape 3 : le business case est consolid de bout en bout, puis est valid par le management. tape 4 : limplantation (ou la rvision) des solutions retenues fait lobjet dun plan daction. tape 5 : le dispositif mis en place est document et valid par le management.

Ch. 3 Modalits de mise sous contrle des risques 37 Alignement transversal

De faon similaire lalignement en silo , une mise en cohrence transversale est ncessaire pour les activits ayant identifi des interdpendances critiques entre elles ou bien lorsquelles partagent les mmes ressources critiques.
Alignement avec les scnarii

Le choix des solutions dployer peut changer en fonction du scnario de sinistre auquel le groupe est confront. Il convient donc de procder une mise en cohrence pour mettre en face de chaque scnario les impacts considrer et les solutions permettant la couverture des activits (scnarii impactant directement les mtiers et problmatiques hubs rgionaux ).
Optimiser les investissements

Quel est le primtre couvrir ? En tenant compte de la probabilit doccurrence et des impacts relatifs lensemble des scnarii que le groupe a choisi de couvrir, le positionnement dpendra du seuil de risque acceptable pralablement dfini. La seule mise en conformit du dispositif de continuit avec les objectifs rglementaires ne prsente pas dapport significatif en termes de continuit, et ce, malgr un investissement lourd, notamment au niveau informatique. linverse, les solutions informatiques requises pour rpondre aux exigences rglementaires donnent au groupe une capacit assurer la continuit des systmes dinformation bien au-del du strict minimum rglementaire. Un investissement supplmentaire sur des solutions mtiers pour assurer la continuit des activits vitales et critiques prsente un retour sur investissement plus favorable et permet doptimiser linvestissement minimal requis pour rpondre aux exigences rglementaires.

Plan durgence Le plan durgence vise grer de faon optimale des scnarii de crise affectant le patrimoine de lentreprise et susceptibles de gnrer des dommages environnementaux substantiels. Pour les risques hautement protgs, le plan durgence est constitu de trois niveaux : plan dorganisation interne des secours, dont la coordination est sous la responsabilit du chef dtablissement, visant sassurer de lvacuation effective du personnel et des tiers au moment du sinistre et prcisant les modalits de gestion du sinistre ; plan particulier dintervention : concerne les sinistres dampleur plus importante en associant la protection civile, les pompiers, le prfet ; plan Orsec, sous la responsabilit du prfet de Rgion, voire du ministre de lIntrieur et ou de lEnvironnement.
Groupe Eyrolles

38 Partie 1 Contraintes rglementaires et mthodologies

Cellule de crise La cellule de crise est loutil fdrateur des autres outils de gestion de crise. Cest la fois une structure logistique permettant de grer la situation de crise dans des conditions optimales, et des acteurs internes et externes qui seront diffrents en fonction du scnario de crise analys : en tant que structure logistique : la cellule de crise doit toujours tre situe lextrieur de lentreprise, dans un endroit confidentiel. Cest une structure intgrant les moyens logistiques suivants : configuration tlphonique et informatique oprationnelle et teste rgulirement, copie des fichiers stratgiques, papier en-tte, machine affranchissements, vivres, etc. ; en tant quacteurs : la cellule de crise est constitue dacteurs internes et externes, diffrents en fonction du scnario de crise analys. Nous pouvons distinguer deux cas de figure : cas o les acteurs sont dfinis par une contrainte rglementaire, cas o les acteurs sont du ressort de lentreprise.

Contrle financier des risques


Le contrle financier des risques est structur en trois composantes : autofinancement volontaire des risques ; transfert des risques sur des tiers (dont assurance) ; financements alternatifs (mutualisation interne de risques acceptables).

Autofinancement des risques


Autofinancement prventif Les entreprises de droit priv nont quune obligation dassurance concernant les risques de responsabilit civile, cest--dire de dommages corporels, matriels et immatriels causs aux tiers. Par voie de consquence, elles peuvent dcider dautofinancer certains risques patrimoniaux ou les franchises (partie du cot du sinistre la charge de lassur) qui peuvent tre substantielles dans le cas de grands risques industriels. ce titre, les groupes peuvent constituer des provisions pour propre assureur correspondant la valeur expertise de lactif pouvant subir le risque. cette provision est adosse lacquisition dactifs financiers subordonns sans risques, gnrant un coupon en cas dinexistence dun sinistre. Ces actifs subordonns font lobjet de tests de dprciation pour sassurer que la performance de ces actifs correspond la performance escompte (en conformit avec la norme IAS 36). En cas de sinistre, ce dernier est expertis et lactif en reprsentation est cd. Dans lhypothse inverse, lactif financier gnre une rmunration scurise.

Groupe Eyrolles

Ch. 3 Modalits de mise sous contrle des risques 39

Autofinancement curatif Il existe trois cas de figure en termes de financement des risques post-sinistre : le financement de la franchise ; lapplication de la rgle proportionnelle de capitaux ; le trou de garantie. Le financement de la franchise est une obligation prvue par le droit des assurances. Afin de moraliser le risque , lassur doit supporter sur trsorerie courante une partie du cot du sinistre. En risques industriels, le montant de ces franchises peut largement dpasser la trsorerie effective dtenue par une filiale de petite taille, pouvant entraner des problmes substantiels de trsorerie dans cette dernire. Ce cas de figure ne semble pas envisageable pour les groupes qui se doivent de scuriser le cash-flow du groupe et la rmunration de lactionnaire. Nous verrons que le recours aux comptes captifs de rassurance permet dautofinancer des niveaux de franchise levs. Dans le cas de lapplication de la rgle proportionnelle de capitaux, le groupe doit financer lcart entre les capitaux dclars lassurance par le management et la valeur de remplacement neuf du patrimoine dtruit. Dans le cas de la ralisation dune expertise pralable de capitaux, ce principe na pas lieu dtre. Le trou de garantie correspond au cas de figure o le fait gnrateur la base du sinistre fait partie des exclusions. Lentreprise doit dans ce cas autofinancer lintgralit du cot du sinistre (si elle en a la capacit !).

Transfert des risques


Le transfert des risques de sinistralit de lentreprise sur des tiers est fond sur lutilisation en parallle de quatre techniques : le transfert financier via essentiellement des techniques bancaires ; le transfert contractuel des risques lexception du transfert via les polices dassurance ; le transfert via programme dassurance au niveau national ou international.

Transfert financier des risques Le transfert financier des risques se matrialise par le recours des techniques bancaires ou financires portant sur des risques immatriels (par exemple : risque client ou politique). Font ainsi partie de cette famille doutils les techniques des crdits documentaires irrvocables et confirms et les diffrentes techniques descompte. Transfert contractuel des risques hors assurance Ces techniques de transfert de risque se basent sur le transfert des risques sur des tiers via lutilisation de clauses contractuelles. Ainsi relvent de cette catgorie le recours certains Incoterms (international commercial terms) ou lutilisation de clauses de back-up visant redployer les processus mtiers en cas de situation de crise.
Groupe Eyrolles

40 Partie 1 Contraintes rglementaires et mthodologies

Transfert des risques par programme national dassurance Lune des techniques de transfert des risques les plus utilises porte sur le transfert des risques via les programmes dassurance, tant au niveau domestique quinternational. Dans un optique risk management, lassurance est cependant considre comme tant une technique utilise titre rsiduel.
Principes gnraux de structuration des programmes dassurance Dans les grands groupes, il est indispensable de rationaliser la structuration du programme dassurance. Cette rationalisation est fonde sur un certain nombre de principes fdrateurs, savoir : lassurance pour compte de ; la clause de renonciation recours ; la franchise par sinistre ou par anne dassurance ; la limite contractuelle dindemnit.
Assurance pour compte de

L assurance pour compte de est une pratique courante dans les groupes industriels souhaitant minimiser leur budget assurance tout en ayant une qualit de garantie leve. Ce type de clause se traduit en gnral par la souscription dune police dassurance par la socit mre pour le compte des entits juridiques faisant partie du primtre de consolidation statutaire.
Clause de renonciation recours

Le recours ce type de clause est un choix stratgique dans le cadre de groupes optant pour la souscription pour compte de (souscription par exemple de la socit mre pour le compte des filiales). La direction financire et le risk manager se trouvent face au dilemme suivant : Faut-il, au nom de la solidarit financire du groupe, renoncer tout recours entre entits du groupe (en cas de prjudices intragroupe) ? Ou, au contraire, faut-il assimiler les entits juridiques du groupe des tiers et autoriser dventuelles procdures intragroupe ? Il nexiste malheureusement pas de rponse standard cette question qui relve dun arbitrage stratgique.
Franchise par sinistre ou par anne dassurance

Groupe Eyrolles

Le choix dune franchise par sinistre ou par anne dassurance est un choix majeur en termes de protection de la surface financire de lentreprise, surtout dans le cadre de la mise en uvre de programmes internationaux dassurance. Bien videmment, afin de protger la trsorerie courante de lentreprise, il est indispensable de ngocier une franchise annuelle avec lassureur.

Ch. 3 Modalits de mise sous contrle des risques 41

Limite contractuelle dindemnit

Dans le cas de lexistence dun patrimoine industriel clat sur de multiples sites, il savre intressant de souscrire une police dassurance multirisque industrielle, en introduisant la notion de limite contractuelle dindemnit (LCI). Cela signifie que lensemble du patrimoine sera assur sur la base dune surface dveloppe et que, en cas de sinistre, la valeur indemnise ne pourra pas dpasser la valeur expertise du centre de risque la plus leve. Ce choix de structuration du programme dassurance permet de rduire de faon importante le budget assurance.
Prsentation des principales polices dassurance En gnral, une entreprise ayant une activit uniquement domestique va souscrire un certain nombre de polices dassurance visant scuriser sa surface financire.
Police multirisque industrielle

Elle couvre lensemble des dommages matriels affectant le patrimoine de lentreprise, quelle que soit sa qualification juridique, lexception des vhicules terrestres moteur et du parc informatique. Cette police intgre en gnral une clause pertes dexploitation directes ou indirectes (conscutives un dommage matriel). Il savre souvent indispensable de souscrire une clause carence de fournisseurs pour couvrir le risque de rupture dapprovisionnement. Il est aussi indispensable de souscrire la garantie du bris de machine et la couverture des stocks (via une clause rvisable stocks visant ractualiser la prime en fonction du cot de possession des stocks).
Police globale informatique

Elle couvre deux types de clause : tous risques informatiques (TRI) et extension risque informatique (ERI). La clause TRI couvre lensemble des dommages pouvant affecter le patrimoine informatique (unit centrale, serveurs, priphriques, etc.), quelle que soit leur qualification juridique, ainsi que les frais de reconstitution des mdias (temps de saisie ncessaire la reconstitution de donnes dtruites) et les frais supplmentaires dexploitation (location dun ordinateur de remplacement, frais de dplacement de personnel). La clause ERI couvre les consquences dune utilisation non autorise de ressources informatiques (cas de dtournements de fonds gnrs par lutilisation illicite de codes daccs logiques). La souscription dune telle clause nest pas autorise dans la loi Sarbanes-Oxley, car elle peut inciter la criminalit interne.
Police responsabilit civile gnrale et professionnelle

Elle couvre lensemble des dommages causs aux tiers, quils soient matriels, immatriels ou corporels. Sont en gnral couvertes : la responsabilit civile exploitation (dommages gnrs par un dysfonctionnement des processus mtiers) ; la responsabilit civile produit (avec trs frquemment une exclusion de lexportation vers les tats-Unis) ; la responsabilit civile atteinte environnement pour des montants limits ;

Groupe Eyrolles

42 Partie 1 Contraintes rglementaires et mthodologies

la responsabilit du fait des commettants. cette police responsabilit civile gnrale sadjoint, en gnral, une police responsabilit civile professionnelle couvrant des risques sectoriels spcifiques (en banque, par exemple : des clauses erreurs sur oprations titres, erreurs sur remise de chque, soutien abusif de crdit, rupture abusive de crdit, etc.).
Police flotte automobile

Elle couvre lensemble des vhicules terrestres moteur avec, en gnral, une gestion de flotte base sur des principes conomiques (du type assurance tous risques pour les vhicules de moins de cinq ans, assurance responsabilit civile uniquement pour les vhicules de plus de cinq ans).

Transfert des risques via programme international dassurance Les groupes industriels ou tertiaires souhaitant se dvelopper linternational, soit par cration de filiales, soit par acquisition de socits existantes, doivent sassurer de lexistence de programmes dassurance homognes au niveau international, protgeant la surface financire du groupe. Il existe trois typologies de programmes internationaux dassurance, scurisant plus ou moins la surface financire des entits figurant dans le primtre de consolidation statutaire, savoir : souscription locale des risques (broad local coverage) ; programme parapluie (umbrella program) ; programme coordonn au niveau mondial (master coordinated program). Lensemble de ces programmes est scuris via le transfert des risques en deuxime ligne via des traits de rassurance (voir annexes de la premire partie).
Souscription locale des risques Ce type de programme dassurance se rencontre dans le cadre de groupes familiaux qui procdent des fusions-acquisitions de socits existantes au niveau international. Ce type de programme dassurance est en gnral dangereux, car il consiste laisser une autonomie de souscription assurance chaque filiale trangre. En cas de trou de garantie (fait gnrateur non assur), les pertes financires gnres par un sinistre sont consolides sur la socit mre et peuvent affecter la surface financire du groupe de faon substantielle. Programme parapluie Le programme parapluie est un programme dassurance scurisant totalement la surface financire du groupe par le biais dun financement des risques DIC et DIL des filiales trangres. Il est prcd par la ralisation dune cartographie des risques au niveau mondial faisant ressortir les risques exclus des garanties assurance au niveau domestique (risques DIC [difference in condition] : trou de garantie non assurable localement) et valorisant les carts entre les objectifs de capitaux assurer pour chaque filiale et les capitaux assurables localement (risques DIL [difference in limit] : diffrence entre les capitaux que le groupe souhaite assurer et les capitaux assurables au niveau domestique).

Groupe Eyrolles

Ch. 3 Modalits de mise sous contrle des risques 43

Dans le cas de ce programme, les filiales trangres sassurent en premire ligne auprs dassureurs locaux (via le schma de la souscription locale des risques). Lassureur de la socit mre (dnomm assureur apriteur ) assure quant lui la fois les risques de la socit mre, mais aussi les risques DIC et DIL des filiales. En cas de sinistre majeur, la surface financire du groupe est compltement scurise via ce dispositif.
Programme coordonn au niveau mondial Le programme coordonn dassurance est un dispositif sappliquant aux groupes internationaux cots. Dans ce cas de figure, lassureur tiers intervient sur le financement des risques internationaux, le groupe acceptant dautofinancer les risques de frquence. Ce type de montage est bas sur lexistence dun niveau de franchise trs lev (plusieurs millions deuros), imposant la constitution des systmes dautofinancement de cette dernire par les groupes industriels ou tertiaires. Ce type de programme nautorise quune seule police dassurance au niveau mondial applicable lensemble des entits juridiques constituant le primtre de consolidation du groupe. Les filiales sassurent auprs de correspondants locaux de lassureur apriteur, la socit mre assurant toujours les risques de la socit mre ainsi que les risques DIC et DIL des filiales.

Financements alternatifs Le recours aux financements alternatifs relve dune sous-branche du corporate risk management dnomme ingnierie des risques . Cette dernire a pour objectif, dune part, de financer en intragroupe certains risques de sinistralit matrisables en vue de raliser de lautofinancement dfiscalis sous couvert de transfert de risques ; et dautre part, de financer des risques mergents non assurables (via le march de la rassurance technique) ou de lever des capitaux suprieurs au march de lassurance via des techniques de titrisation.
Systmes captifs dassurance/rassurance Les groupes industriels ou tertiaires peuvent avoir recours des systmes captifs dassurance ou de rassurance (via filialisation interne au groupe) en vue dautofinancer certains risques de sinistralit matrisables. De fait, il existe trois types de montages juridico-financiers.
Systmes captifs de rassurance

Les systmes captifs de rassurance sont les plus frquents. Dans cette configuration, la socit mre dtient une filiale ayant le statut de socit de rassurance (cest-dire finanant uniquement les risques de personnes morales et ne pouvant financer les risques concernant les personnes physiques). Les risques du groupe sont transfrs un assureur tiers apriteur qui coordonne le programme dassurance au niveau mondial et rtrocde une partie des primes la socit captive de rassurance. Lapriteur se coassure auprs de la socit captive. Afin de protger leurs surfaces financires respectives, lassureur apriteur et la captive se rassurent via des traits proportionnels (partages des risques et des primes

Groupe Eyrolles

44 Partie 1 Contraintes rglementaires et mthodologies

sur une base proportionnelle) ou non proportionnels (lassureur supporte un plein dacceptation protgeant la surface financire).
Systmes captifs dassurance

Les systmes captifs dassurance sont beaucoup moins utiliss que le systme prcdent car ils ncessitent dobtenir un agrment par branche dassurance en vue dassurer des personnes physiques. Lintrt de ce type de montage est trs limit pour les groupes industriels, alors quil est majeur pour les groupes bancaires, qui vont utiliser ce type de montage pour leurs clients en leur proposant des produits dassurance captifs (multirisques habitation, automobile, assurance-vie, etc.). Ce type de montage juridico-financier se caractrise par le fait que lassureur apriteur devient la socit captive de rassurance coordonnant le programme dassurance au niveau mondial. Cette dernire se coassure auprs dun assureur tiers. Les deux acteurs se rassurent via des traits de rassurance proportionnels ou non proportionnels. Le rassureur supporte la diffrence quel que soit le montant du sinistre.
Comptes captifs de rassurance

Les comptes captifs de rassurance visent essentiellement autofinancer les franchises dans le cadre de programmes internationaux dassurance de type master coordinated program. Dans ce type de montage juridico-financier, le groupe industriel verse une prime dassurance dcaissable un courtier dassurances international gestionnaire de captives de rassurance. Cette souscription de police dassurance va tre associe la location dun compte captif de rassurance pour des capitaux correspondant au montant de la franchise dans le cadre du programme international dassurance. La location de ce compte captif permet, dans le cas de linexistence de sinistres, de gnrer des produits financiers dfiscaliss rcuprs via une participation bnficiaire au rsultat (se traduisant par une diminution de la prime dassurance pour lanne suivante). Chaque compte captif est rassur de faon autonome, ce qui scurise le montage financier. En cas de sinistre, la socit gestionnaire du compte captif donne lordre de cder les actifs en reprsentation et indemnise le sinistre pour le montant de la franchise.
Rassurance nancire La rassurance financire se fixe deux objectifs : intervenir sur des risques mergents que le march de lassurance classique refuse de reconnatre comme tant des risques assurables (bug de lan 2000 en 1999, rchauffement de la plante, etc.) ; complter les capitaux sur des risques assurables par le march de lassurance et de la rassurance technique, mais trs loigns des objectifs dassurance recherchs.

Dans les deux cas de figure, la rassurance financire cherche utiliser des techniques de titrisation visant annuler un risque de sinistralit alatoire en ladossant sur des actifs financiers non risqus.

Groupe Eyrolles

Ch. 3 Modalits de mise sous contrle des risques 45

Le nancement des risques non assurables La rassurance financire peut venir se substituer aux techniques dassurance dans lhypothse o le march de lassurance refuse de prendre en compte ces risques mergents. Les techniques utilises sont identiques celles dveloppes ci-dessous. La rassurance nancire en complment de la rassurance technique Les techniques de rassurance financire visant complter des capitaux existant dans le cadre dun programme dassurance traditionnel sappuient sur des techniques dingnierie des risques relativement complexes. Dans un premier temps, un groupe industriel souscrit un contrat dassurance avec un assureur apriteur (coentreprise ayant la fois la qualit dassureur et de banquier pouvant intervenir en tant que syndicat bancaire). La prime dassurance dcaisse est dductible fiscalement. Lassureur alternatif en sa qualit de banquier intervient en tant que syndicat bancaire pour acqurir des titres obligataires via la prime dcaisse. Il procde ainsi de la titrisation, en adossant le risque pur sur un actif financier non risqu prsentant une rmunration certaine. Ce type de montage financier est assimil un vhicule de refinancement (special purpose vehicule) et savre trs surveill en comptabilit financire IFRS et US GAAP en tant que montage dconsolidant. cet emprunt obligataire est adosse une option. Dans lhypothse o aucun sinistre ne se matrialise, les primes dassurance verses annuellement alimentent la constitution dun portefeuille obligataire rmunr. Loption nest pas exerce et les coupons gnrs par ce portefeuille sont rcuprs par le groupe industriel via une participation bnficiaire au rsultat se traduisant par une diminution de la prime dassurance sur les annes venir. Dans le cas inverse (cest--dire si le sinistre se matrialise), loption est exerce, gnrant la cession dactifs obligataires (titres dtenus chance : held to maturity). La cession de ces actifs permet le remboursement du sinistre au groupe industriel, protgeant ainsi la rmunration de ses actionnaires. Dun point de vue comptable, ce type de montage financier est assimil un instrument de march, valoris selon la technique de value at risk (en couverture de cash-flows). Linstrument de march apparat lactif du bilan du groupe industriel pour une valorisation gale la somme actualise des amplitudes de cash-flows entre le scnario le plus optimiste (loption nest pas exerce) et le scnario le plus pessimiste (loption est exerce chaque anne avec la ralisation dun sinistre majeur entranant la cession de lensemble des titres dtenus chance). La contrepartie de cet actif financier correspond au passif la constitution dune rserve de juste valeur. Lobjectif de cette passation dcriture est de comptabiliser la qualit de linstrument de couverture que lassureur alternatif a propos son client industriel pour financer des risques de sinistralit potentiels.

Groupe Eyrolles

Chapitre 4

Choix optimal, budgtisation et mise en uvre du dispositif


Critres de choix en termes de combinaison optimale
Il est inenvisageable de financer lensemble des outils de mise sous contrle des risques prsents au chapitre prcdent. Le choix optimal peut se raliser via deux types de critres.

Scnarii inacceptables
Ainsi seront traits en priorit les scnarii qui, du fait de leur ralisation, pourraient remettre en cause la prennit de lentreprise. Dans ce cas de figure, le critre budgtaire est trs secondaire, des investissements de prvention substantiels permettront dradiquer le risque titre prventif.

Critre de la valeur actuelle nette


Pour les autres scnarii, le critre budgtaire est important. Comme dans toute dcision dinvestissement, il faudra dmontrer limpact des mesures prventives sur la protection du cash-flow en utilisant le critre de la valeur actuelle nette (VAN). Compte tenu du fait que le risk management sintresse aux risques de sinistralit, lobjectif nest pas de rechercher la maximisation de la rentabilit conomique, mais de rechercher la combinaison doutils minimisant les pertes financires en cas de ralisation du risque (choix de la VAN la moins ngative).

Le rseau budgtaire risk management


Lobjectif du rseau budgtaire risk management est de fournir au risk manager un certain nombre doutils de pilotage lui permettant de dmontrer soit la matrise des cots de son dpartement, soit la rentabilit de son centre de profit (dans lhypothse o il est gestionnaire de systmes captifs de rassurance). Ce rseau budgtaire est compos de deux tats budgtaires : le compte de rsultat risk management ; le bilan risk management.
Groupe Eyrolles

48 Partie 1 Contraintes rglementaires et mthodologies Compte de rsultat risk management

Bilan risk management Actif Actif circulant Liquidits de la captive Titres de placement de la captive Crances clients Immobilisations Investissements de scurit Investissements de gestion de crise Ressources long terme Fonds propres de la captive Quote-part dettes long terme Participations de la captive Autres investissements Dettes commerciales Dettes sur rmunration Passif circulant Passif

Groupe Eyrolles

Chapitre 5

Reporting, monitoring et retour dexprience


Spcificits des tableaux de bord risk management
Il existe deux typologies dindicateurs au sein des tableaux de bord risk management : les tableaux de bord sinistralit. Ils suivent tant la frquence que la gravit des sinistres par typologies de risques en vue didentifier dventuelles tendances structurelles, ou permettent de calculer la prime technique (gravit frquence) : sinistres automobiles, sinistres IARD (incendie autres risques divers), sinistres responsabilit civile, sinistres informatiques, sinistres accidents du travail, sinistres atteinte lenvironnement, les tableaux de bord performance et pilotage. Il savre indispensable de construire au sein du Sirm des tableaux de bord management des risques dynamiques, bass sur une logique de pondration (intgrant la tolrance au risque, les impacts et la frquence), les attributs de chaque risque et lvolution de la vulnrabilit dans le temps. Les indicateurs retenus ont pour finalit de sassurer de latteinte des objectifs et de comprendre les moyens mis en uvre pour les atteindre : ratio sinistres prime ; cot des sinistres ; diminution de la frquence des sinistres ; efficacit de la politique de souscription ; cot des processus risk management engags (credit management, supervision risque informatique, etc.).

Retour dexprience et sret de fonctionnement


Certains groupes industriels compltent lanalyse de la sinistralit par la mise en uvre dapproches du type sret de fonctionnement, visant radiquer les causes de survenance du risque. Ce type dapproches ncessite de raliser une analyse causale suite chaque sinistre en vue didentifier les diffrentes typologies de causes internes ou externes : dfaillance humaine ; mauvaise organisation ; dfaillance du management ; insuffisance de prvention ; cas de force majeure.

Groupe Eyrolles

Chapitre 6

Retour dexprience sur la mise en uvre de la mthodologie risk management


Quels compromis pour quels objectifs ?
Dlais
Le dlai de mise en uvre du dispositif de management des risques est un facteur dterminant dans le choix de lorganisation et des objectifs fixer au primtre du dispositif de risk management. Le dlai dpendra de la nature mme du projet et des objectifs que la socit se fixe. De nombreux groupes cots franais sorientent via une approche construite sur un rtroplanning. En gnral, ces groupes partent dune approche purement descriptive de leur dispositif de risk management. Lvolution vers un systme de risk management efficace, ncessitant de mesurer lefficacit du dispositif par la construction du systme dinformation risk management, gnre des impacts organisationnels substantiels. Les dispositifs de fusions-acquisitions et rapprochements doivent tre examins avec prcaution. Ils peuvent entraner la construction, dans des dlais trs rapides, dun dispositif de risk management impos par la socit prdatrice la socit cible, sans ngociation possible de cette dernire. Cela peut se traduire par des cartographies de risques inadaptes, et par un dispositif soit surdimensionn ou sous-dimensionn et relativement inefficace.

Primtre et champs du projet


Pour diffrencier le primtre de consolidation comptable et de risk management, on fera remarquer que le primtre du dispositif de risk management nest pas ncessairement gal au primtre de consolidation ou de combinaison intgrant la socit mre, les filiales, les socits affilies, coentreprises et entits ad hoc. En effet, il est ncessaire de rflchir sur le dispositif de risk management des entits (socits, units daffaires, zone gographique) en fonction de seuils de matrialit significatifs (poids des processus dans les tats financiers). De ce fait, certaines entits non significatives peuvent tre exclues du dispositif de risk management o parfois le niveau dexigence requis nest pas le mme en fonction de la taille de la filiale ou de la socit affilie.
Groupe Eyrolles

52 Partie 1 Contraintes rglementaires et mthodologies

Organisation
Structure ad hoc cre de type direction La cration dune structure ad hoc de risk management implique, de la part de la direction, la volont dafficher clairement dans lorganigramme limportance du projet et de la prennit du dispositif. Cette structure peut tre concentre sur un responsable du risk management et sappuyer sur des relais que sont les correspondants risk management de division. La cration dune telle structure ne vise pas dresponsabiliser les oprationnels, bien au contraire, mais permettre une meilleure coordination et un langage unique. Construction collgiale base sur une responsabilit managriale Certains groupes dcident de construire un dispositif de risk management mature partir dune production collgiale porte par les oprationnels via des comits de risques. Ce dispositif porte en lui-mme ses forces et ses faiblesses (ses forces : les cartographies de risques correspondent une connaissance approfondie des mtiers ; ses faiblesses : on assiste rapidement des divergences mthodologiques gnrant des chapelles du risk management au sein de la mme entreprise). Construction collgiale fdre par une direction du risk management Dautres groupes adoptent une approche mixte impliquant les oprationnels mais sassurant dune cohrence mthodologique via la direction du risk management.

Budget
Internalisation ou externalisation Le choix dinternaliser ou dexternaliser le projet nest pas sans incidences ni risques. Certaines filiales de grands cabinets de commissariat aux comptes proposent en effet ce type de prestations. Tout internaliser permet dimpliquer les oprationnels dans la mesure o le responsable du projet a le poids suffisant dans la hirarchie. Le risque induit est une difficult identifier les bonnes pratiques qui ne seraient pas en place dans lorganisation. Lexternalisation complte du dispositif de risk management nest pourtant pas conseille. Le risque de dsappropriation par les quipes internes du dispositif est trs lev. Une fois les consultants partis, le dispositif stiole et nest plus maintenu, alors que les risques et processus critiques sont toujours prsents. Bien entendu, un mlange des deux permet dallier la connaissance interne et le benchmark de ce qui se pratique ailleurs. Niveau dautomatisation donn au Sirm La problmatique du niveau dautomatisation donner au systme dinformation risk management (Sirm) est lune des plus sensibles traiter dans le cadre du projet construction dun dispositif de management des risques. Lide est bien de construire un dispositif de risk management qui permette de mesurer lefficacit de la dmarche.

Groupe Eyrolles

Ch. 6 Retour dexprience sur la mise en uvre de la mthodologie risk management 53

Avec quels moyens ?


Mobilisation des quipes et de la direction : un engagement incontournable de la direction gnrale
Constituer ses quipes internes, trouver le meilleur accompagnement externe avec des outils appropris pour lobjectif fix est essentiel. Mais tout cela ne fonctionnera que si lengagement total et affich de la direction gnrale et des autorits de gouvernance est sans faille. Cet engagement est visible par la cration des comits de risque runis rgulirement avec des comptes rendus partags et largement diffuss.

Appropriation des spcificits mthodologiques et du langage risk assessment Le langage du risk management nest pas immdiat pour tous. La formation ses spcificits est essentielle, et pas seulement pour lquipe charge du dispositif. Cet engagement de formation permet tous de parler un langage commun et dadhrer en bonne connaissance de cause au dispositif, qui, de fait, devient un lment part entire de lactivit. Prise en compte de la dimension multiculturelle et intermtiers, et prvention du risque social La construction dun dispositif de risk management efficace passe, de notre point de vue, par la ncessit de brasser les populations fonctionnelles et oprationnelles pour faire converger les buts.

Management du projet et outils de mise en uvre


La construction dun dispositif de risk management mature ncessite de dvelopper une approche progressive et pragmatique. Vouloir tout couvrir en une seule fois est illusoire et inefficace. Il faut bien cerner les enjeux majeurs et les zones risque pour mettre en uvre les dispositifs adapts chaque groupe, qui seront amliors au fil de leau. Premire tape : dfinir un rfrentiel de risk management adapt la culture du groupe, puis fixer ses priorits par rapport ce rfrentiel en alignant le dispositif sur les objectifs stratgiques. Deuxime tape : lintgration de la notion de risques est primordiale, afin de focaliser les nergies sur les vritables enjeux du groupe et favoriser lefficacit des moyens allous. ce stade une cartographie des risques savre indispensable. Troisime tape : identifier et/ou dfinir les rgles, modles dorganisation et modes de gouvernance du groupe au regard des risques et objectifs du groupe, en sassurant de la documentation et de la communication de ces principes. Quatrime tape : passer en revue les processus majeurs et critiques de lentreprise, ainsi que ses mta-risques, en visant identifier les dysfonctionnements significatifs ncessitant dengager des plans correctifs (cette tape constituant un vritable levier damlioration de la performance). Cinquime tape : dfinir les modes de surveillance de ces dispositifs et les acteurs associs.

Groupe Eyrolles

DEUXIME

PARTIE

Lentreprise industrielle hors risque


Lobjectif de cette deuxime partie est de fournir au lecteur : les outils en vue de raliser une cartographie des risques de faon efficiente ; une matrice de mise sous contrle effective par risque industriel majeur (IARD, informatique, produit, etc.).

Groupe Eyrolles

Chapitre 1

Cartographie des risques industriels


Modalits de ralisation dune cartographie des risques
La construction et lactualisation dune cartographie des risques est un processus complexe ncessitant dimpliquer lensemble des mandataires sociaux au niveau international et les correspondants risk management par zone gographique. La premire tape consiste identifier les micro-risques au niveau de chaque filiale, en partant de la sinistralit observe et en simulant dautres risques potentiels affectant les centres de risque. La deuxime tape consiste agrger ces micro-risques en macro-risques, la fois par unit daffaires et par zone gographique linternational, en faisant ressortir certaines spcificits (existence du risque politique, par exemple li certaines zones gographiques ; ou existence de risques spcifiques lis chaque unit daffaires). La troisime tape permet la consolidation des mta-risques au niveau consolid du groupe, en mettant en exergue les risques inacceptables ncessitant de dployer des outils de gestion de crise en cas de ralisation. Bien souvent, notre exprience en termes de ralisation de cartographie des processus fait ressortir des divergences dapprciation substantielles, par unit daffaires ou par zone gographique, majores par une difficult de raliser lexercice dactualisation des cartographies de faon rcurrente.

La prise en compte des spcificits sectorielles


La construction des cartographies doit prendre en compte des spcificits sectorielles lies aux groupes industriels. Ainsi sont concernes par le risque produit (dommages corporels lis la consommation des produits) les entreprises suivantes : laboratoires pharmaceutiques ; groupes agroalimentaires ; groupes automobiles.
Groupe Eyrolles

Sont surtout concerns par le risque atteinte lenvironnement les groupes appartenant au secteur suivant : groupes ptroliers ; entreprises chimiques ; entreprises risques hautement protgs .

58 Partie 2 Lentreprise industrielle hors risque

La construction dune cartographie des risques intgre donc la fois des risques gnriques concernant lensemble des entreprises (risques client, fournisseur, etc.), et des risques spcifiquement sectoriels.

Donner de lintelligence au dispositif de risk management


La construction dun dispositif de risk management mature au sein des groupes industriels ne passe pas uniquement par le droulement dune mthodologie structure. Elle implique aussi de donner une intelligence globale au dispositif de risk management en vue de se concentrer sur les risques industriels significatifs. Il sagit donc de mettre en uvre un dispositif se focalisant sur : une dmarche systmatique et rcurrente pour identifier, hirarchiser, prioriser, valuer et mettre sous contrle les risques industriels ; une comprhension et une analyse transverse des risques affectant le groupe ; une comprhension des interrelations entre les diffrents risques (notion de scnarii de rupture) ; la relation directe avec la cration de valeur (en quoi un dispositif de risk management efficace protge la cration de valeur du groupe ?) ; lintgration du risk management dans le quotidien (risk assessment : rflchir risques !) ; le suivi de lexposition aux risques via un systme dinformation risk management efficace ; le niveau dadquation du dispositif de risk management face lapptence du groupe en termes de risques.

Risk management et apptence au risque


La construction dun dispositif de risk management efficace passe par la ralisation dun diagnostic objectivant le niveau dapptence rel des dirigeants face aux risques. Il existe ainsi cinq profils psychologiques diffrents en termes darbitrage risques/opportunits, dont les caractristiques sont les suivantes.

Le profil risquophile La prise de risque est considre comme tant une composante part entire de la stratgie gnrale du groupe, elle est encourage ce titre. Le risque est reconnu en tant que valeur et les aspects rglementaires sont assimils des opportunits. Le profil tolrant aux risques Le groupe adopte une stratgie agressive en termes de prise de risque. La mise sous contrle des risques passe par des choix dacceptation ou de rduction de ces derniers.
Groupe Eyrolles

Ch. 1 Cartographie des risques industriels 59

Le profil neutre Le groupe adopte une approche structure en termes darbitrage risques/opportunits. Les critres de rentabilit et de prise de risque sont valus un niveau identique. Le profil moyennement risquophobe Le groupe prend normment de prcautions en termes dvaluation et de quantification des risques. Les objectifs associs au risk management sont prioritaires sur les objectifs de rentabilit du groupe. Le groupe prfre transfrer des risques sur des tiers. Le profil risquophobe Le groupe accepte un minimum de risques. Les risques qui ne peuvent tre mis sont contrle sont supprims. Cela peut se traduire par un dsengagement de certaines activits.

Structuration top down ou bottom up ?


La mise en uvre dun dispositif de risk management dans lurgence prsuppose limplmentation dune approche top down partir dun catalogue de risques groupe, qui sera affine ultrieurement par une approche bottom up. La ralisation dune cartographie des risques partir du terrain (bottom up) savre difficile mettre en uvre dans la pratique, et ce, pour deux raisons : diffrences de perception des risques par unit daffaires et en fonction de la culture dappartenance ; diffrences substantielles dans la quantification des impacts et dans lestimation des probabilits doccurrence des risques (les dirigeants oprationnels ont souvent tendance survaluer les impacts des risques pour tayer leur importance, ce qui ncessite ultrieurement des prquations importantes).

Prparer la certification ISO 31000


Le projet de norme ISO 31000 Management du risque est intressant car il permet daboutir une convergence potentielle entre une mthodologie normative et une mthodologie rglementaire (COSO). Le projet de norme ne concerne pas seulement les groupes cots mais lensemble des organisations prives ou publiques. Le projet de norme est structur en trois points : principes de management des risques ; cadre organisationnel du management des risques ; processus de management des risques.

Groupe Eyrolles

60 Partie 2 Lentreprise industrielle hors risque

Principes de management des risques


Le projet de norme ISO 31000 prvoit un certain nombre de principes fdrateurs structurants, cest--dire quil vise :

Sassurer de la cration de la valeur la diffrence de la mthodologie du COSO, le projet de norme ISO fait ressortir explicitement lexigence de cration de valeur ou de protection de cette dernire via la protection des biens et des personnes et la protection de limage de lorganisation. Faire partie intgrante des processus organisationnels Le projet de norme reconnat le dispositif de risk management en tant que processus global et sassure de lexistence dune interrelation entre processus et risques. tre intgr dans la prise de dcision stratgique ISO 31000 reconnat la dimension risk assessment comme tant une dimension essentielle et met en exergue limplication du top management en termes darbitrage risques/opportunits, ainsi que le niveau dapptence des dirigeants en termes de matrise des risques. Traiter explicitement de lincertitude Le projet de norme demande lorganisation de donner sa dfinition des risques alatoires et incertains ainsi que de qualifier la notion de risques acceptables et inacceptables. Avoir une approche systmatique, structure et proactive La norme est fonde sur la construction dun dispositif rcurrent bas sur le retour dexprience et la notion dradication du risque. Se baser sur la meilleure information disponible ISO 31000 reconnat lexigence dtayer le dispositif de risk management sur ltude de sries chronologiques antrieures, mais aussi dlments de veille permettant de mieux anticiper le futur. tre construit sur mesure Le projet de norme ISO reconnat la ncessit dadapter le dispositif de management des risques lorganisation, aux spcificits culturelles de lorganisation. Cet aspect est fort intressant et se diffrencie de la mthodologie du COSO, qui est relativement monolithique. Intgrer les facteurs humains et culturels de lorganisation La norme reconnat le poids du comportemental dans la mise en uvre dun dispositif de management des risques efficace. noter, l encore, une diffrence substantielle avec le COSO, qui ne met en exergue que laspect mthodologique, sans sintresser la dimension psychosociologique.
Groupe Eyrolles

Ch. 1 Cartographie des risques industriels 61

tre transparent et participatif ISO 31000 met en exergue limportance de construire un dispositif de management des risques avec la collaboration des parties prenantes (fournisseurs, sous-traitants, entits portant des processus externaliss). L encore, il faut noter laspect innovant et diffrenciateur du projet de norme par rapport au COSO, qui ne raisonne quen fonction du primtre de consolidation statutaire stricto sensu. tre dynamique, itratif et ractif ISO 31000 reconnat la ncessit dtre en veille permanente par rapport lidentification des risques mergents. En ce sens, la norme se diffrencie de la mthodologie du COSO, qui raisonne plutt en termes de risques embarqus relativement stabiliss. Faciliter lamlioration et lvolution continue de lorganisation La finalit du dispositif est la monte en puissance du niveau de maturit du dispositif de management des risques (attributs dun management des risques amlior).

Le cadre organisationnel du management des risques


Le dispositif de management des risques prvu dans le projet de norme ISO est structur en cinq tapes.

Mandat et engagement Cette tape ncessite un engagement officiel des acteurs de la gouvernance en conformit avec lensemble des rglementations en vigueur. Conception du cadre organisationnel de management du risque Elle passe par une analyse stratgique du type forces et faiblesses, risques et opportunits en intgrant cette dmarche les parties prenantes externes. Loriginalit de ce projet de norme ISO rside dans lintgration systmatique de ces dernires dans le dispositif de management des risques, du fait quelles portent une partie significative des risques de sinistralit. Mise en uvre du management des risques Elle passe par la mise en uvre du cadre organisationnel de management des risques et se traduit, entre autres, par lobligation pour lentreprise de justifier ses prises de dcision, y compris la dtermination des objectifs aligns sur les rsultats du processus de management des risques.
Groupe Eyrolles

Surveillance et revue du cadre organisationnel Cette tape impose la construction dindicateurs de performance permettant de monitorer la monte en puissance de la maturit du dispositif de risk management et deffectuer rgulirement des revues de performance.

62 Partie 2 Lentreprise industrielle hors risque

Amlioration continue du cadre organisationnel Cette tape doit se matrialiser par une radication des causes des risques les plus significatifs via retour dexprience (voir lanalyse du type sret de fonctionnement).

Le processus de management des risques


Le processus prvu par le projet de norme ISO se dcompose en cinq tapes.

Communication et consultation Cette premire tape vise partager, avec les parties lies, une mme vision du dispositif de management des risques mettre en uvre, en changeant les hypothses de travail communes. tablissement du contexte Par la prise en compte de lensemble des contraintes et opportunits offertes par les volutions rglementaires (rglementaire, concurrentiel, montaire, dmographique, etc.) et de la flexibilit de lorganisation interne mise en uvre pour anticiper ces risques environnementaux. Apprciation du risque
Identication du risque Lobjectif est de raliser une cartographie des risques base sur les vnements susceptibles de faciliter, dempcher, de diffrer latteinte des objectifs. Le dispositif vise aussi sintresser aux risques lis la non-saisie dune opportunit. Dans ce sens le projet de norme ISO 31000 couvre la fois les dimensions corporate et business risk management. Analyse du risque Le projet de norme demande de dcrire les causes des risques affectant les processus ainsi que leur impact positif ou ngatif, en probabilisant les faits gnrateurs. La mthodologie propose va dans le sens des approches classiques dveloppes en termes de contrle interne et de management des risques. valuation du risque Cette tape consiste comparer le niveau de risque estim lors de la simulation des scnarii de risques avec les critres de risque tablis lors de ltablissement du contexte. Si le niveau de risque ne satisfait pas les critres dacceptabilit (parce quil se traduit par une remise en cause de la prennit de lentreprise), il convient que le risque fasse lobjet dun traitement (duplication, sparation, suppression, etc.).

Traitement du risque Lobjectif de cette tape est de supprimer le risque ou de rduire le niveau de vulnrabilit de lentreprise :

Groupe Eyrolles

Ch. 1 Cartographie des risques industriels 63

viter le risque en dcidant de ne pas commencer une nouvelle activit ou de supprimer une activit existante ; supprimer la source du risque via des investissements de protection ; changer la probabilit doccurrence via des investissements de duplication ; partager le risque avec une ou plusieurs parties prenantes (dont transfert par lassurance). Cette mthodologie de traitement du risque est identique la mthodologie amricaine daudit en risk management dfinie par lAssociate in Risk Management (ARM).

Surveillance et revue Cette phase passe par la construction dun systme dinformation management des risques permettant de suivre le monitoring des risques. Cette mthodologie savre relativement proche de celle de lARM, qui se dcompose en cinq tapes : identification et analyse des risques (tude de la sinistralit antrieure, simulation de limpact dun sinistre majeur sur les objectifs stratgiques, quantification des pertes gnres par un sinistre majeur) ; tude des outils de contrle des risques (contrle interne, technique et financier des risques) ; choix optimal en termes de combinaison doutils (bas sur les critres de la minimisation des impacts) ; mise en uvre des dcisions (dont budgtisation) ; reporting, monitoring (tableaux de bord management des risques).

Groupe Eyrolles

Chapitre 2

Le dispositif de corporate risk management


Lobjectif de ce chapitre est de prsenter les modalits de mise sous contrle transverse des risques de sinistralit pouvant affecter un groupe industriel, savoir : la mise sous contrle du risque produit/production ; la matrise du risque informatique ; la mise sous contrle du risque client ; la mise sous contrle du risque fournisseur ; la mise sous contrle du risque politique ; la mise sous contrle du risque humain ; la mise sous contrle du risque social ; la mise sous contrle du risque atteinte lenvironnement ; la mise sous contrle du risque IARD.

La mise sous contrle du risque produit


Des enjeux ncessitant le recours aux financements alternatifs
Compte tenu de limportance des enjeux financiers lis la remise en cause de la responsabilit civile produit de nature contractuelle ou quasi dlictuelle, les groupes industriels ont d complter le transfert du risque produit via des programmes dassurance linternational (exemple du master coordinated program), par la cration de systmes captifs de rassurance (dont font partie les socits captives de rassurance) permettant de lever des fonds complmentaires ceux souscrits sur le march concurrentiel domestique de lassurance. Ils doivent aussi muscler le dispositif de gestion de crise via des procdures confidentielles (plan de retrait des produits, plans de survie, communication de crise). Lobjectif de ces procdures est de fournir une check-list dinstructions oprationnelles utiliser en cas de remise en cause de la responsabilit civile produit, et de dfinir a priori les registres de communication de crise dvelopper. Lobjectif du recours aux financements alternatifs, quant lui, est de permettre aux groupes cots de lever des fonds complmentaires en deuxime ou troisime ligne et de constituer de lautofinancement dfiscalis, dans lhypothse o aucun sinistre ne se prsente. Ce montage relevant de lingnierie des risques permet aussi, en cas de plan de retrait majeur, de protger la surface financire du groupe et de verser la rmunration prvue lactionnaire. Ce type de montage na de sens que si le groupe matrise parfaitement ses risques de responsabilit civile gnrale, laquelle est rattach le risque produit.

Groupe Eyrolles

66 Partie 2 Lentreprise industrielle hors risque

Des scnarii de communication de crise produit modifiant les registres de communication externe traditionnels
La routine et lenactment sont des attitudes managriales normales des groupes de taille importante. Par voie de consquence, une situation de crise va fortement affecter la culture du groupe et risque de paralyser son fonctionnement. Cependant une situation de crise des impacts anxiognes et psychologiques remettant en cause les processus routiniers de lentreprise. Ainsi, la crise du Tynelol a remis en cause dans la culture de Johnson & Johnson la croyance selon laquelle un mdicament ne peut quamliorer la sant des individus. De mme, la crise du benzne chez Perrier enseigna aux dirigeants du groupe que leau de source pouvait savrer toxique. Les groupes industriels doivent donc formaliser, titre prventif, la communication de crise mettre en uvre en cas de remise en cause de la responsabilit civile produit : dfinir une stratgie marketing et mix marketing de crise par grande famille de faits gnrateurs (acte de criminalit, dysfonctionnements du systme de contrle qualit) ; dfinir les diffrentes typologies de cibles, les mdias utiliss, la nature et le contenu du message ; mettre en uvre une structure de veille mdiatique, permettant denregistrer titre prventif les risques de drive au titre du risque produit (seuil dalerte sur le reporting rclamations clients). Le contenu du message, quant lui, peut tre offensif, en vue dexonrer la responsabilit civile produit en cas de rumeur non justifie ou dans le cas dune simple relation de corrlation. Au contraire, le contenu peut tre dfensif et scurisant, dans le cas dune relation de causalit. Il peut dautre part opter pour un registre relativement gnraliste pour le grand public, et opter pour un mode opratoire et descriptif pour le rseau de distribution (modalits de retrait, de substitution, dindemnisation). Enfin les cibles, quant elles, seront relativement segmentes (prescripteurs, stakeholders - preneurs de risques [clients, fournisseurs, rseau de distribution, etc.]). titre curatif, la communication de crise exige : davoir des structures permanentes pour informer et tre inform rapidement ; de pouvoir prendre du recul ; de rester crdible et cohrent ; de grer en mme temps les acteurs internes et externes ; de communiquer sans gner les responsables oprationnels. Lefficacit de la communication de crise adopte dans le cadre dune rflexion mene en termes de risque produit prsuppose la ngociation pralable dun contrat

Groupe Eyrolles

Ch. 2 Le dispositif de corporate risk management 67

de back-up avec une structure de marketing tlphonique, prvoyant la mise en uvre dun numro vert, interrogeable gratuitement par les tiers. Lintrt majeur de lutilisation de cette structure rside dans le fait que, dune part, par le biais de la mutation de cadres de lentreprise sur cette structure, le groupe va vhiculer un registre de communication de crise unique et standardis concernant ce scnario de crise et que, dautre part, lentreprise ne dispose pas en gnral sur son propre site dune capacit de traitement des appels tlphoniques dun volume suffisamment consquent en cas de crise.

Une logistique plan de retrait des produits du march modifiant la composante distribution du mix marketing
Loutil plan de retrait logistique des produits du march ncessite la rdaction pralable dune procdure confidentielle expliquant dans quel cas de figure le groupe sera oblig soit de procder une suspension provisoire de commercialisation, soit de procder un retrait effectif des produits du march (uniquement dans le cas de lexistence dune relation dimputabilit). Voici les diffrents modes de retrait envisageables : slectif/global, dpendant de la traabilit des lots ; linitiative de lentreprise ou celle du client. Cette procdure explique aussi les liens entre loutil plan de retrait et les autres outils de crise connexes (cellule de crise, plan de survie et communication de crise). Le plan de survie dans le cadre du plan de retrait des produits vise organiser la fabrication des produits de substitution, arrter la fabrication du produit incrimin, prvoir lindemnisation des clients ayant subi un prjudice. Dans le cadre de la mise en uvre de la loi de scurit financire et de la convergence vers la 8e directive europenne sur laudit lgal, les groupes cots franais et europens doivent formaliser leurs processus de business risk management en vue de protger la rmunration des actionnaires. La mise sous contrle du risque de remise en cause de la responsabilit civile produit savre tre un dossier prioritaire pour les groupes susceptibles dtre affects par un tel scnario de crise. Au-del des outils de gestion de crise produit devant tre conus a priori, la culture risk assessment doit devenir un pralable comportemental pour aboutir une vritable efficacit de ces outils.

La mise sous contrle du risque informatique


La mise sous contrle du risque informatique, tant physique (destruction dune salle dexploitation) quimmatriel (contamination virale, etc.), concerne aussi bien les groupes industriels que tertiaires. Le contrle prventif des risques intgre la fois les outils de contrle interne et de gestion de crise informatique, les investissements de scurit informatique et les outils de contrle financier.

Groupe Eyrolles

68 Partie 2 Lentreprise industrielle hors risque

Contrle prventif du risque informatique


Contrle interne et outils de gestion de crise Sont intgres dans cette famille doutil les procdures suivantes : scurit logique (sauvegardes) ; scurit physique (contrle des accs de la salle dexploitation, du rseau) ; plan de protection des informations ; procdures de gestion de crise (plan de reprise dactivit informatique, identification des applicatifs critiques, plan de reprise dgrad). Bien entendu, ces procdures nont de sens que si leur efficacit est teste rgu lirement. Contrle technique Il intgre les investissements de scurit physique (onduleurs, dtection dintrusion) et logiques (firewall), mais aussi les charges dexploitation engages au titre de la scurit informatique (ingnieurs en charge de la scurit informatique par exemple). Contrle financier Le contrle financier du risque est essentiellement constitu du transfert contractuel du risque. De nombreux groupes souscrivent une police globale informatique pour assurer le matriel informatique quels que soient sa qualification juridique et les frais de reconstitution des mdias en cas de dfaillance du dispositif de sauvegarde. Peuvent aussi tre souscrits des frais dexploitation supplmentaires, tels que la location dun ordinateur de remplacement. De surcrot, le dploiement dun plan de reprise informatique passe obligatoirement par la souscription de clauses de back-up titre prventif auprs de constructeurs informatiques permettant le redploiement des traitements critiques chez ce dernier en cas de sinistre.

Contrle curatif du risque informatique


Contrle interne et outils de gestion de crise En cas de sinistre informatique, la cellule de crise dploiera le plan de reprise dactivit informatique en faisant traiter en priorit les applicatifs critiques la date du sinistre avec la communication de crise interne et externe associe. Contrle financier En cas de sinistre, lassureur a une obligation dindemnisation via la police globale informatique, lexception de la franchise pouvant tre finance via un compte captif de rassurance.

Groupe Eyrolles

Ch. 2 Le dispositif de corporate risk management 69

La mise sous contrle du risque client


Contrle prventif du risque client
Contrle interne La mise sous contrle du risque client dpend du type de stratgie marketing dveloppe par lentreprise. Ainsi, dans le cas dune stratgie business to business, les outils mis en uvre sont les suivants : analyse financire des clients ; renseignements sur les socits ; mise en uvre doutils de scoring client ; mise en uvre dun dispositif de crdit management ; procdure de gestion lamiable et de prcontentieux. Alors que, dans le cadre dune politique business to customer, les outils associs sont les suivants : vrification de la cotation Banque centrale (fichage Banque centrale) ; tableaux de bord incidents de paiement ; analyse financire des revenus dclars ; procdure de gestion lamiable et prcontentieux. Contrle financier La mise sous contrle du risque client passe par diffrents types doutils : transfert contractuel du risque client : exemple via contrat daffacturage ; transfert par assurance : via assurance-crdit simple ou assurance-crdit Excess ncessitant la mise en uvre dun dispositif de crdit management efficace ; transfert financier : via lutilisation de crdits documentaires irrvocables et confirms (qui ont en plus lintrt dannuler le risque politique), titrisation de crances clients (exemple de fonds communs de crances).

Contrle curatif du risque client


Contrle interne La mise sous contrle du risque en post loss se matrialise par la mise en uvre de procdures de contentieux couple la voie extrajudiciaire (recours des huissiers de justice ou des socits de recouvrement).
Groupe Eyrolles

Contrle financier Il se matrialise en cas de souscription dune police dassurance-crdit par une indemnisation assurance suite la comptabilisation dune provision pour crances irrcouvrables.

70 Partie 2 Lentreprise industrielle hors risque

La mise sous contrle du risque fournisseur


La prvention du risque approvisionnement (rupture dapprovisionnement ou nonqualit dans lapprovisionnement) passe par une rflexion plus gnrale sur les filires dapprovisionnement risque et sur les processus risque ventuellement ports par des fournisseurs captifs. La mise en uvre dune stratgie de risk management efficace en termes de matrise du risque approvisionnement peut se traduire ventuellement par un conflit dobjectifs privilgiant la stratgie de partenariat avec les fournisseurs. Une rflexion stratgique du risque approvisionnement doit aussi faire rflchir le risk manager sur le rle et limportance des fournisseurs captifs. Ainsi, dans le rfrentiel IFRS, ces derniers sont assimils dans la norme IAS 24 (related parties) des entits relevant du primtre de consolidation comptable du groupe, alors quil nexiste aucun lien capitalistique entre le groupe industriel et le fournisseur stratgique. Lobjectif de lIASB (International Accounting Standard Board), lorsquil a produit cette norme, est de faire ressortir en communication financire le risque que le groupe prend se concentrer sur un monofournisseur stratgique et, linverse, de mettre en exergue le risque de dpendance du fournisseur vis--vis du groupe. Ce risque encore plus major et mis en exergue dans le cas de cration de SPE (special purpose entreprise) ou de SPV (special purpose vehicule), montages juridiques et contractuels ad hoc visant dconsolider les stocks du bilan du groupe industriel.

Contrle prventif du risque fournisseur


Contrle interne et gestion de crise La prvention du risque approvisionnement passe tout dabord par la mise en uvre dun dispositif de scoring fournisseur (financier et stratgique) et par une dmarche de veille de fournisseurs de substitution par typologie dapprovisionnement. Du point de vue de la rflexion prventive portant sur la simulation de scnarii de crise, il est envisageable de prvoir, dans le cadre de la mise en uvre de plans de reprise dactivit, dassocier certains fournisseurs cette mise en uvre (via des clauses de back-up o les fournisseurs sengageront porter une partie du cot de possession des stocks en cas de sinistre majeur). Contrle financier La mise en uvre dun financier efficace portant sur le risque fournisseur passe par trois leviers daction : transfert via programme dassurance linternational : peut se matrialiser par la souscription dans le cadre dun programme du type souscription locale des risques, ou umbrella, ou master policy, dune clause carence de fournisseurs conscutive ou non conscutive un dommage matriel ; transfert via clause de back-up signe par les fournisseurs captifs : formalis via une clause de mise disposition de ressources logistiques (le groupe devra vrifier, via audit de site, lexistence relle des capacits logistiques de stockage proposes par le fournisseur) ;

Groupe Eyrolles

Ch. 2 Le dispositif de corporate risk management 71

transfert contractuel hors assurance : via le choix de clauses dIncoterm, par exemple, limitant le risque fournisseur linternational, ou via lintroduction de clauses de pnalits de retard en cas de rupture dapprovisionnement imputable au fournisseur.

Contrle curatif
Contrle interne et gestion de crise En cas de sinistre maximum possible, le groupe industriel activera son plan de continuit des processus critiques et cherchera soit redployer les flux logistiques linternational sur des usines non sinistres ou faire porter le cot de possession des stocks sur les fournisseurs ayant sign les clauses de back-up. Contrle financier En cas de rupture dapprovisionnement substantielle, le recours cet outil se traduira par une indemnisation assurance des pertes dexploitation gnres par cette rupture, quelle quen soit la cause (causes imputables aux fournisseurs, ou causes exognes, telles que grve des transporteurs, par exemple).

La mise sous contrle du risque politique


Le risque politique peut se matrialiser soit par : le risque de ne pas rcuprer des flux linternational du fait dun blocage de rtrocession de devises par une banque centrale dun pays en dveloppement ; le risque de destruction dun actif par une guerre civile, militaire ou par la nationalisation de loutil de production. Du point de vue du rfrentiel IFRS, ce risque est dj intgr la source via la segmentation par zone gographique linternational dune part, et via la prise en compte dun risque pays dans lintgration du calcul du CMPC 1 dautre part. De surcrot, la dure dusage des business plans concernant ces pays risque savre tre beaucoup plus courte que la dure des business plans dans les pays relevant de lOCDE.

Contrle interne et gestion de crise


Protection des expatris et des autochtones Elle passe par la mise en uvre de plans durgence et dvacuation des expatris spcifiques de concert avec les consulats et ambassades locales, ainsi que par des dispositifs spcifiques de protection des expatris (gardiens parfois arms). Protection des actifs La protection des actifs se traduit par la mise en uvre de dispositifs spcifiques (gardes arms, locaux hautement scuriss).

Groupe Eyrolles

1. Cot moyen pondr du capital : cot moyen de constitution des ressources financires plus dun an.

72 Partie 2 Lentreprise industrielle hors risque

Contrle technique
Protection des expatris et des autochtones La protection des expatris passe en gnral par un cloisonnement des expatris dans des quartiers de haute scurit et par laccompagnement des salaris en contexte scuris par des gardes rapproches. Protection des actifs Elle se matrialise par des investissements de scurit (locaux et logements protgs).

Contrle financier
Protection des expatris et des autochtones Elle se matrialise par la souscription de police dassurance collective en cas de dommages corporels affectant le personnel ou par la souscription de polices responsabilit civile. Protection des actifs Elle se traduit par la souscription dune multirisque industrielle via un programme international dassurance venant complter un programme de type souscription locale des risques .

La mise sous contrle du risque humain


La dfinition du terme risque humain est gomtrie variable. En France, du fait de lexistence dun systme de rpartition, la dfinition de ce concept se limite aux cas suivants : accidents du travail ; incapacits ; dcs conscutif un accident du travail ; maladies professionnelles. Dans les pays anglo-saxons, o le systme de capitalisation prdomine, la dfinition du terme risque humain est beaucoup plus large et intgre les cas de figure suivants : maladie ; chmage ; maternit ; retraite. Le financement de ces risques ne relve pas comme en France de contraintes rglementaires (systmes cotisations dfinies), mais dun choix contractuel (prestations dfinies) correspondant des avantages accords au personnel.
Groupe Eyrolles

Ch. 2 Le dispositif de corporate risk management 73

Contrle interne du risque humain


Se traduit par la mise en uvre de procdure de scurit des personnes associes la mise en uvre des plans dorganisation interne des secours.

Contrle financier du risque humain


Se traduit par la souscription de polices dassurance collectives, couvrant a minima le risque de dcs en contexte professionnel, voire le financement du risque retraite et autres avantages au personnel via des systmes de capitalisation. Dans ce dernier cas de figure, il existe deux grands systmes : unfunded plan : dans ce cas de figure, la gestion des actifs subordonns est confie un assureur tiers, qui a une obligation de raliser les tests de dprciation pour sassurer de la performance des actifs en reprsentation de la provision pour avantages au personnel ; funded plan : dans cette configuration, la gestion des actifs est porte par une filiale domicilie dans un pays bnficiant dune fiscalit avantageuse. Le groupe a alors lobligation de porter le risque actuariel, cest--dire quil doit vrifier que les actifs subordonns couvrent lengagement port au passif (principe du corridor, o lcart entre lactif et le passif ne peut dpasser 10 %). La ralisation du risque se traduit par la cession dactifs permettant le remboursement du sinistre.

La mise sous contrle du risque social


La gestion du risque de grve est un scnario complexe simuler car il est, dans le cas prcis du management de la grve interne, gnrateur dun conflit dobjectifs. En effet, il sagit de concilier deux objectifs en apparence antagonistes : assurer la continuit des processus stratgiques de lentreprise ; respecter le droit de grve en tant que droit constitutionnel.

Contrle prventif du risque social


La mise sous contrle du risque social peut avoir pour objectifs de : mettre sous contrle un risque de grve interne lentreprise ; mettre sous contrle un risque de grve externe ou plus exactement en limiter les consquences pour le groupe ; anticiper un scnario de crise mixant la fois grves interne et externe.
Groupe Eyrolles

Traitement du risque social interne ce niveau, il savre essentiel de diffrencier le rle de la direction des relations sociales, qui se chargera de la mdiation permettant de sortir de la crise, et le rle du risk manager visant protger en priorit les hommes cls, les actifs stratgiques et

74 Partie 2 Lentreprise industrielle hors risque

de redployer les processus critiques des sites oprationnels sur des entits ntant pas en grve.
Contrle interne et gestion de crise En cas de situation de grve paralysant lactivit dun site industriel de faon substantielle, lobjectif du risk manager est didentifier titre prventif les lments suivants : actifs stratgiques non dupliqus quil faudra protger en priorit dventuels actes de vandalisme ; hommes cls non grvistes, dont salaris de nationalit trangre ne relevant pas du droit du travail local ; processus critiques redployer ou protger en cas de grve (dploiement des flux logistiques linternational, protection des actifs et des hommes cls, protection du cash management et du cash pooling, etc.) ; mise en pralerte du plan durgence sur des sites industriels risque (en cas de drapage de la grve et dactes de vandalisme ventuels).

Le rle du risk manager est sensible dans ce type de scnario, car il doit conjuguer des lments qui, en fait, sont des conflits dobjectifs, savoir : le maintien du droit de grve avec continuit de lexploitation des processus critiques du site sinistr.
Contrle technique Dans le cas de sites industriels du type risques hautement protgs, le risk manager peut envisager dengager des moyens prventifs spcifiques ce type de scnario de crise, quil pourra aussi activer dans le cadre dautres scnarii de crise (du type atteinte lenvironnement) : duplication des portiques daccs, etc. Contrle nancier La couverture du risque de grve interne est toujours un sujet sensible qui pose obligatoirement la question de ladquation du management et la qualit de la stratgie de gestion des ressources humaines. Lindemnisation par les techniques dassurance classique savre donc peu envisageable. Il faut lui prfrer le recours des financements alternatifs que nous avons dj voqus.

Contrle interne et gestion de crise Lobjectif du risk manager est de minimiser limpact dune grve affectant les flux logistiques amont et/ou aval en dupliquant : les transporteurs, les modes de transport (multimodal plutt que mono-modal) ;

Groupe Eyrolles

Traitement du risque social externe La mise sous contrle du risque de grve externe est un scnario frquent en France, pouvant tre conjugu avec un scnario social interne (grve de La Poste, des transporteurs, etc.). Lobjectif ne consiste pas supprimer le risque mais en limiter les consquences financires sur lentreprise sinistre.

Ch. 2 Le dispositif de corporate risk management 75

les flux logistiques associs au courrier (recours prventif des socits de messagerie). La rponse la mise sous contrle de ce type de risque ne rside pas forcment dans le management des risques. Elle peut parfois tre apporte par une conception de la stratgie gnrale. Ainsi, il y a une dizaine dannes, une compagnie dassurances forme mutualiste a eu subir de plein fouet les consquences dune grve postale substantielle une priode de lanne o la majeure partie des appels de cotisations tait bloque par la grve et les rglements effectifs taient eux-mmes bloqus au niveau du cour rier en attente. La situation de crise passe, les dirigeants se sont pos la question des causes de sa gravit (entre autres pour la trsorerie du groupe). De fait les appels de cotisations taient concentrs sur la fin de lanne en raison dune souscription des polices au 1er janvier de chaque exercice. De plus, les rglements taient peu mensualiss, et le recours au rglement par virement non systmatis. Les choix prventifs mettre en uvre savraient vidents : souscription des nouvelles polices tales sur lanne ; rglement des cotisations mensualis par prlvement.
Contrle technique Le risk manager doit anticiper les consquences dune grve des transporteurs sur les stockages risque (secteur de la chimie, par exemple). Il se doit donc dvaluer le niveau de stock de scurit ncessaire pour prvenir tout risque ventuel dexplosion, et de prvoir une mise en pralerte des sites possdant des installations classes risque. Contrle nancier Il est souhaitable de prvoir la souscription dune police perte dexploitation couvrant la clause carences de fournisseurs , qui, comme son nom lindique, a pour vocation dindemniser le prjudice financier caus par une grve externe. En tout tat de cause, lassureur vrifiera lexistence dun plan de reprise dactivit logistique amont et/ou aval avant dautoriser la souscription dune telle clause.

Contrle curatif du risque social


Traitement du risque social interne
Contrle interne et gestion de crise En cas de dclenchement dune grve partielle ou totale, le risk manager lancera la mise en uvre de la procdure gestion de crise de la grve. Cette dernire aura pour objectifs : denvoyer les salaris non grvistes sur dautres sites (y compris trangers) ntant pas en grve ; dassurer la protection des actifs risqus du site en grve ;

Groupe Eyrolles

76 Partie 2 Lentreprise industrielle hors risque

de protger les salaris grvistes et non grvistes (risques de conflits entre les deux typologies) ; denvoyer les cadres cls intervenant sur les processus critiques sur des sites trangers hautement protgs (ce sont en gnral des cadres du groupe ressortissants trangers non soumis au droit du travail franais).
Contrle nancier Il sera possible dactiver des ressources financires si le groupe a souscrit avant sinistre la location de comptes captifs de rassurance, ou sil possde une socit captive de rassurance o le risque de grve interne a t souscrit.

Traitement du risque social externe


Contrle interne et gestion de crise En cas de dclenchement dune grve, ou de plusieurs grves externes, la cellule de crise activera le dossier de gestion de crise grve externe , dont lobjet sera : soit de redployer les flux logistiques (approvisionnement) dans des pays non grvistes, ou davoir recours des transporteurs de substitution, ou des moyens de transport dont la duplication a t ngocie en prventif. Contrle nancier En cas de grve externe, le risk manager dclarera un sinistre son assureur apriteur en vue de faire jouer la clause carence de fournisseurs tout en activant le plan de reprise dactivit sur des sites non sinistrs pour limiter limpact financier du sinistre.

La mise sous contrle du risque atteinte lenvironnement


La mise sous contrle de ce risque est un enjeu majeur pour les groupes industriels RHP (risques hautement protgs) en termes de communication financire. Ainsi, le rapport ISO 14001 (management durable de lenvironnement) a souvent pour objectif de scuriser les parties prenantes (dont les actionnaires), en dmontrant la capacit du groupe scuriser les cash-flows en cas datteinte lenvironnement majeure.

Mise sous contrle prventif du risque atteinte lenvironnement


Contrle interne et gestion de crise Les groupes industriels risque environnemental majeur sont soumis une obligation de communication spcifique vis--vis des riverains (communication sur les risques majeurs). Lobjectif de cette communication prventive est de donner des instructions aux riverains du site industriel risque en cas de matrialisation des risques (doivent-ils vacuer ou, au contraire, se confiner en fonction des messages dalerte envoys ?).

Groupe Eyrolles

Ch. 2 Le dispositif de corporate risk management 77

Cette communication de crise environnementale prventive est associe deux autres outils de gestion de crise, savoir : le plan de reprise dactivit permettant de redployer les processus critiques du site sinistr sur dautres usines non affectes ; le plan durgence (plan dorganisation interne des secours) expliquant les modalits de gestion du sinistre en lui-mme.

Contrle technique Le contrle technique dcrit lensemble des investissements de scurit et des charges dexploitation engags au titre de la scurit atteinte lenvironnement : doubles cuves de rtention ; station dpuration ; plan de tests environnementaux ; etc. Contrle financier
Transfert par assurance Les consquences du risque atteinte lenvironnement sont essentiellement couvertes par la souscription dune police dassurance responsabilit civile gnrale et professionnelle. Cependant, compte tenu de limportance des capitaux pouvant tre engags, les capitaux traditionnellement souscrits dans ce type de programme se rvlent insuffisants. Il savre donc indispensable davoir recours dautres montages ayant pour objectif de protger la surface financire du groupe en cas de ralisation du risque. Ainsi, lentreprise peut souscrire en complmentant une police Assurpol 1, ayant pour objectif de monter en puissance les capitaux souscrits, entre autres, sur des risques de pollution chronique. Si ce montage ne suffit pas, il convient alors denvisager un autre montage relevant de lingnierie des risques. Transfert par nancements alternatifs Le risk manager peut avoir recours, ou peut dvelopper, un programme multi-field, multi-yield compltant le transfert lassurance au niveau des capitaux, et assurant une protection financire de faon pluriannuelle. Il peut, par exemple, prvoir de souscrire un compte captif de rassurance en vue dautofinancer la franchise de la police responsabilit civile (1 re ligne), de financer les risques de 2e ligne via un assureur tiers fronteur, dindemniser les risques de 3 e ligne via lassureur apriteur de la mre (dans le cadre de la souscription dune umbrella policy ou dun master coordinated program), de financer les capitaux de 4 e ligne via le recours une captive de rassurance. Attention ! Dans ce dernier cas de figure, la captive de rassurance doit avoir sign des traits de rassurance de type stop loss limitant sa responsabilit des capitaux limits en cas de sinistre majeur.
1. Assurpol : groupe dintrt conomique europen finanant des risques de pollution chronique.

Groupe Eyrolles

78 Partie 2 Lentreprise industrielle hors risque

En effet, en 5e ligne, le risk manager peut avoir recours la rassurance financire en souscrivant la Bourse de commerce de Chicago une option pollution, par exemple.

Mise sous contrle titre curatif


Contrle interne et gestion de crise En cas de ralisation du risque atteinte lenvironnement, la cellule de crise adopte alors le plan durgence ( lun de ses trois niveaux de gravit : POI, PPI, plan durgence), les plans de reprise dactivit et la communication de crise, tant interne quexterne. Contrle financier Le risk manager fera jouer lensemble des indemnisations prvues dans le cadre du programme multi-yield, multi-field, et aura recours la cession des actifs titriss en ce qui concerne le recours la rassurance financire protgeant ainsi la rmunration de lactionnaire.

La mise sous contrle du risque incendie


Mise sous contrle du risque IARD (incendies, autres risques divers) titre prventif
Contrle interne et gestion de crise Le contrle interne se caractrise par la rdaction de procdures de scurit incendie et par la procdure de gestion de crise devant tre testes rgulirement. Contrle technique Il se matrialise la fois par des dpenses engages au titre de la scurit (contrle scurit et prvention incendie certifi par des organismes de contrle technique) et par des investissements engags au titre de la scurit incendie (sprinklage de lusine, contrle des accs, etc.). Contrle financier Il se traduit par la souscription dune police dassurance multirisque industrielle couvrant lensemble des dommages matriels pouvant tre gnrs par un incendie et par la ngociation de clauses de back-up avec des fournisseurs et des sous-traitants captifs capables de porter des processus critiques en cas dincendie.

Groupe Eyrolles

Chapitre 3

Le dispositif de business risk management


Le dispositif de business risk management se fixe pour objectif de scuriser llaboration des prvisions dans le domaine de la stratgie et de la matrise des risques financiers spculatifs (change, intrt, etc.).

La mise sous contrle des risques financiers


La mise sous contrle des risques financiers passe par lutilisation dinstruments financiers par les trsoriers groupe ou les directeurs financiers en vue de gnrer des plus-values ou daboutir un impact financier nul (recours des options futures, swap, etc.). Il sagit bien de mettre en uvre ce niveau des outils de mise sous contrle de risques spculatifs ne relevant pas dune dmarche classique du corporate risk management.

La mise sous contrle des risques stratgiques


La mise sous contrle des risques stratgiques passe par la construction de deux dispositifs complmentaires : la scurisation de llaboration de la stratgie par unit daffaires via la mthodologie du balanced scorecard ; la scurisation de la qualit et de la sincrit des prvisions budgtaires sur lesquelles vont se fonder les versements dacomptes sur dividendes, via les mthodologies dlaboration de business plan et de rvision de business plan. Pour rappel, lobjectif du corporate risk management consiste venir tester la rsistance du business model mis en uvre sur chaque unit daffaires en dmontrant que, dans tous les cas de figure, les objectifs stratgiques seront atteints, et que le groupe sera capable dhonorer la rmunration de lactionnaire.

La scurisation de llaboration des plans stratgiques via la mthodologie de la carte de performance


De la segmentation stratgique La construction dun business model passe par une tape pralable qui correspond la segmentation stratgique du groupe par unit daffaires. Au sens de la norme IAS 14, un groupe industriel doit procder une double segmentation : par business unit (BU) / branche dactivit : possde son propre bilan et compte de rsultat (actif identifiable et passif identifiable), le CA par unit daffaires (BU) au moins gal 10 % du CA consolid, ou 10 % du rsultat oprationnel, ou 10 % de lactif identifiable,

Groupe Eyrolles

80 Partie 2 Lentreprise industrielle hors risque

le CMPC (cot moyen pondr du capital) est diffrent par unit daffaires, existence du critre de lindpendance par BU (larrt dune BU ne doit affecter ni les processus ni les performances financires des autres BU), possibilit de prix de transfert inter-BU, sils sont marginaux et ne remettent pas en cause le principe de lautonomie stratgique ; par zone gographique/montaire : avec existence dune segmentation en fonction du niveau du risque politique ou par technique de contrle du risque de change. WACC diffrent pour chaque zone gographique et corrl lvaluation du risque politique. LIASB (International Accounting Standard Board) a introduit une vision trs tourne vers lintgration dune approche risk management en proposant une telle logique de segmentation stratgique. En effet, en proposant le critre de lautonomie stratgique, lIASB valide la maxime diviser pour mieux rgner en crant des compartiments tanches au sein des groupes, ayant une autonomie stratgique propre et dont larrt dactivit ne doit affecter ni les processus ni les performances financires des autres units daffaires du groupe. De mme, lorsque lIASB demande explicitement de majorer le CMPC dun facteur de risque politique, et disoler en communication financire les zones gographiques risque politique majeur, il reconnat explicitement le droit de regard que doivent avoir les actionnaires sur les choix stratgiques du conseil dadministration, et limpact de ces choix sur leur rmunration. Ces choix sont acceptables si bien videmment le top management a la capacit de dmontrer en communication financire la capacit du groupe mettre effectivement sous contrle le risque politique (guerre civile, militaire, expropriation, nationalisation, etc.).

Groupe Eyrolles

la construction de carte de performance par BU et zone gographique La dmarche du balanced scorecard a pour objectif que le comit excutif se donne les moyens de ses ambitions, lorsquil labore le plan stratgique de chacun de ses mtiers. Lobjectif de cette mthodologie est de sassurer quil existe des processus rcurrents et des projets ddis permettant de sassurer avec certitude de latteinte des objectifs dcrits dans le plan. Bien entendu, la dmarche du corporate risk management aura pour objectif, pour chaque business model construit via la mthodologie du balanced scorecard, de jouer le rle de lavocat du diable en se posant la question suivante : Que se passerait-il si ? (de faon image : que se passerait-il si je mettais le doigt dans lengrenage ? Quelle est la rsistance du business model face une situation de crise majeure ? Le groupe existera-t-il encore suite cette situation de crise ?). Les dmarches de planification stratgique classiques ne sont pas habitues dvelopper de tels raisonnements. Dans lapproche classique de planification (diagnostic interne et externe, forces et faiblesses, contraintes et opportunits, prconisations stratgiques), il est sous-entendu que, forcment, les objectifs stratgiques dcrits dans le plan seront forcment atteints !

Ch. 3 Le dispositif de business risk management 81

La dmarche du corporate risk management vient donc bouleverser ce schma mthodologique en forant les planificateurs se poser les bonnes questions, et identifier les risques significatifs pouvant empcher latteinte des objectifs officiels dcrits dans le plan moyen terme.

La construction dune carte de performance par BU intgrant la dimension corporate risk management Lapproche mthodologique du balanced scorecard se concentre sur la mise sous contrle des risques stratgiques du type spculatifs. De notre point de vue, la construction dun vritable modle stratgique se doit dintgrer la dmarche risk management la source en identifiant, ds la phase projet, les zones de rupture du business model. Ainsi, titre illustratif, il savre indispensable : didentifier les processus critiques qui, en cas de dysfonctionnements, pourraient remettre en cause la prennit du groupe (simulation des plans de retrait des produits pour un groupe pharmaceutique ou agroalimentaire, dysfonctionnement total de lexploitation informatique pour un groupe bancaire, etc.) ; de prvoir les indicateurs de pralerte pouvant faire penser que le groupe passe dune situation normale une zone de risque potentiel (nombre de rclamations clients anormalement lev pouvant faire penser lexistence dun dysfonctionnement du processus de contrle qualit) ; de sassurer de lexistence des outils indispensables la protection financire, la protection de limage de marque et des parts de march, et, en cas dinexistence, les embarquer dans la construction de la carte de performance. Lobjectif est donc de passer dune approche classique du balanced scorecard une approche largie de la dmarche (executive scorecards) sassurant que tant les risques purs que spculatifs sont effectivement mis sous contrle et que le dispositif de cration de valeur mis en uvre par le groupe ne pourra en aucun cas tre affect.

La scurisation de llaboration des business plans et de la rvision des business plans


LIASB a construit dans le cadre conceptuel IFRS un schma dorganisation stratgique des entreprises trs structur. Au mme titre quil sest prononc sur les critres de segmentation et de reporting stratgique, lIASB a construit un dispositif dlaboration des business plans et de rvision de ces derniers au niveau des units gnratrices de trsorerie (UGT). Ces dernires reprsentent un sous-ensemble dactifs (outil de production et BFRE associ) dont la finalit est de gnrer des cash-flows positifs ; chaque UGT tant forcment rattache une unit daffaires. Les immobilisations peuvent tre actives (cest--dire figurer lactif du bilan en tant quimmobilisation) si le business analyst est capable de dmontrer la rentabilit prvisionnelle de chaque UGT.

Groupe Eyrolles

82 Partie 2 Lentreprise industrielle hors risque

Pour rpondre ces critres dactivation, le business analyst doit laborer un business plan sur la dure dusage, cest--dire sur la dure dutilisation prvue de ce sousensemble dactifs. La projection de ce business plan sur le futur prsuppose donc dtablir un principe de prudence et de sincrit dans llaboration de ce dernier, qui de surcrot est soumise lapprobation des commissaires aux comptes. Llaboration sincre dun business plan se doit dintgrer la base : la dimension business risk management (par lintgration de lapplication de taux de croissance dcroissants dans lestimation du CA, qui, de surcrot, doit obligatoirement tre fonde sur une tude de march). Lobjectif, dans ce cas de figure, est de sassurer du principe de prudence dans llaboration des cash-flows prvisionnels sur toute la dure dusage du business plan. En effet, lunit gnratrice de trsorerie est une composante cl du dispositif budgtaire, puisque les prvisions de cashflows synthtiss dans ltat de variation des flux de trsorerie ne sont que la consolidation des prvisions ralises ce niveau. La qualit des prvisions de flux de trsorerie prvisionnels conditionne la politique de dividendes prvisionnelle, et ce, de faon trs sensible si lentreprise verse des acomptes sur dividendes. Le processus de scurisation des cash-flows prvisionnels au niveau UGT est donc un lment cl de la stratgie de business risk management, puisque, en cas derreur affectant ce processus, les consquences financires peuvent tre majeures pour le groupe (versement dacomptes sur dividendes gnrant des insuffisances de trsorerie) ; la dimension corporate risk management (par lintgration de la notion de composantes et par lanalyse de limpact de chaque composante sur les cash-flows prvisionnels). Ainsi, la composante investissement de scurit ou pices de rechange aura pour objectif de scuriser les cash-flows. Lapproche conceptuelle dveloppe par lIASB est trs intressante puisquelle impose de sinterroger sur les liens existant entre les composantes constitutives de loutil de production, les processus mtiers et les flux de trsorerie gnrs par les activits. Ainsi, la mise sous contrle en termes de scurit des composantes constitutives de lUGT intgrant des biens sous contrle (en proprit, crdit-bail, en location, confis, en concession ou affermage) permet de sassurer de la protection des cashflows prvisionnels la base de la cration de valeur pour le stakeholder (preneur de risques). Par voie de consquence, la construction dun dispositif de corporate risk management efficace doit se concentrer sur cette typologie de centre de risque la fois en termes de contrle technique, mais aussi en termes de gestion de crise. De fait, les plans durgence ainsi que les plans de continuit dactivit, ou les plans de retrait des produits, se doivent dtre conus au niveau de chaque UGT, puisque, par dfinition, une UGT regroupe tant des immobilisations sous contrle que des immobilisations incorporelles (marques commerciales achetes ou activation des frais de dveloppement sous forme dune marque).

Groupe Eyrolles

Ch. 3 Le dispositif de business risk management 83 Exemple de business blan par unit gnratrice de trsorerie
BU rcoltes UGT SBU herbicides

Business plan par UGT UGT herbicides BU rcoltes phase R&D 1 2 3 phase cycle de vie 4 5 6 7 8 9 10

UGT

Activitation des frais dtudes Marque commerciale

13 300

Immobilisations corporelles par composantes machine-outil 30 000 Pices de rechange Investissements de scurit 4 000 5 000 5 000

BFRE

4 500

4 600

4 700

4 800

4 900

5 000

5 500

Somme des actifs Identifiables de lUGT

56 800

4 600

4 700

9 800

4 900

5 000

5 500

Groupe Eyrolles

84 Partie 2 Lentreprise industrielle hors risque

Business plan par UGT UGT herbicides BU rcolte phase R&D 1 2 3 phase cycle de vie 4 5 6 7 8 9 10

Cash-flows bruts Cash-flow brut cumul Cash outflows Frais dtude

-2 300 -4 000 -7 000 15 200 18 131 25 105 28 814 32 622 39 102 43 128 -2 300 -6 300 -13 300 2 300 2 300 4 000 4 000 7 000 7 000 1 900 20 031 45 136 7 300 7 519 7 745 7 350 106 571 145 673 188 801 7 977 8 216 8 463 8 717

Activation au jalon

Charges dexploitation dcaissables Frais de supervision de la production Mod Achats directs Promotion directe

7 300 1 300 2 300 2 400 1 300

7 519 1 339 2 369 2 472 1 339

7 745 1 379 2 440 2 546 1 379

7 977 1 421 2 513 2 623 1 421

8 216 1 463 2 589 2 701 1 463

8 463 1 507 2 666 2 782 1 507

8 717 1 552 2 746 2 866 1 552

Cash inflows CA

0 22 500 25 650 32 849 36 791 40 838 47 564 51 845 22 500 25 650 32 849 36 791 40 838 47 564 51 845

Taille du secteur Part de march Prix unitaire HT en K Taux de croissance dcroissant

5 000 0,3 15 0,15

5 700 0,3 15 0,14

6 441 0,3 17 0,13

7 214 0,3 17 0,12

8 007 0,3 17 0,11

8 808 0,3 18 0,1

9 601 0,3 18 0,09

Groupe Eyrolles

WACC

0,08

0,08

0,08

0,08

0,08

0,08

0,08

Ch. 3 Le dispositif de business risk management 85

Business plan par UGT UGT SBU herbicides BU crop protection phase R&D 1 2 3 phase cycle de vie 4 5 6 7 8 9 10

VAN de lUGT Coef dactualisation Somme actualise des cash-flows Somme actualise de lactif identifiable 0,9259 0,8573 0,7938 0,735 0,6806 0,6302 0,5835 0,5403 0,5002 0,4632

-2 130 -3 429 -5 557 11 172 12 340 15 820 16 813 17 625 19 561 19 977 0 0 0 41 750

3 130,7

2 961,8

5 718,2

2 647,3

2 501,2

2 547,6

Groupe Eyrolles

Chapitre 4

Mettre en uvre le dispositif risk management et communiquer sur son efficacit


Dans le cadre dune tude dopportunit ou de conformit, la mise en uvre dun dispositif de risk management se doit de rpondre un certain nombre de questions : Pourquoi mettre en uvre un dispositif de risk management (raisons officielles et officieuses) ? Comment construire un dispositif efficace ? Comment communiquer sur lefficacit du dispositif de management des risques (mdias, cibles, contenu) ?

Les raisons de la construction dun dispositif de risk management efficace


Sadapter aux volutions de la gouvernance dentreprise et aux exigences du march
En rsum, il existe au moins deux faons daborder la mise en uvre dun dispositif de risk management. La premire est de nature dfensive et consiste mettre en uvre un dispositif permettant de faire face aux obligations fixes par la loi ou par les pratiques usuelles du mtier. La stricte rfrence aux rgles juridiques aboutit ainsi construire un dispositif de risk management et le faire respecter autant que possible en interne, voire par les sous-traitants et autres fournisseurs, et dune faon gnrale par les parties prenantes. Encore faut-il prciser quil existe rarement une consolidation gnrale de lensemble du corpus rglementaire qui simpose un groupe industriel : rglementation financire et fiscale, rglementation du travail et de la scurit, rglementation environnementale, rglementation sanitaire, rglementation produits et services, etc. La seconde approche est plus dynamique : elle part du principe que le risk management nest jamais quun des moyens de la politique de matrise des risques divers et varis qui simposent lentreprise. Cette diffrence dapproche traduit dune certaine manire le choix entre compliance ( conformit lgale ) et volont de mise sous contrle effective de risques significatifs. Le risk manager se trouve tre la fois le gardien du temple en charge de lapplication de rgles contraignantes et le business partner de la direction gnrale porteur des projets de dveloppement de lentreprise.

Groupe Eyrolles

88 Partie 2 Lentreprise industrielle hors risque

Une telle dichotomie avait dailleurs t releve par le snateur Marini dans son rapport du 27 juillet 2004 sur la premire anne dapplication de la loi de scurit financire (LSF) de 2003. Elle se retrouve adopte par les entreprises lgard du choix pris en matire de communication externe sur les risques : le rapport du prsident sur le dispositif de contrle interne prvu par la LSF. Au bout dune anne dapplication, le snateur crivit le commentaire suivant (qui se suffit lui-mme) : Il nest pas acceptable, cet gard, que prs des deux tiers des rapports examins par le cabinet Deloitte ne contiennent aucun dtail concernant les risques encourus par la socit. Il est galement inquitant que seulement un peu plus dun tiers des entreprises tudies indiquent comment les risques sont grs dun point de vue organisationnel. cette carence sajoutait une divergence de vues entre les pouvoirs publics et lAMF sur lorientation du rapport du prsident sur le contrle interne : valuatif ou descriptif ? L aussi, le distinguo en dit long sur laccueil rserv au nouveau texte Il ne sagit naturellement pas de demander lentreprise de procder une autocritique qui pourrait avoir des effets destructeurs. Il sagit dencourager ladoption dune perspective dynamique oriente vers le progrs, plutt que fige sur lexistant. Aujourdhui, il faut constater les progrs accomplis, force de pdagogie et peuttre dune moindre crainte sur ltendue de la responsabilit pnale et civile des dirigeants face au dispositif de risk management. Mais sont-ils suffisants pour faire du risk management un moyen et non une fin ? Il y a donc un dbat nourrir et une question cruciale trancher.

Sadapter aux exigences du march


Le risk management et surtout la communication qui va tre faite sur son efficacit sont des lments de diffrenciation stratgique. En effet, une communication financire scurisante sur la mise sous contrle effective des risques significatifs et des processus critiques du groupe industriel ainsi que sur le management durable de lenvironnement savre un lment de scurisation de lensemble des parties prenantes (actionnaires, investisseurs, etc.), mais aussi des autorits de tutelle (AMF, commission bancaire, etc.), des agences de notation et des analystes financiers. Elle peut induire des volutions de parts de march, dimpact sur limage en fonction de la matrise effective du dispositif de management des risques.

Scuriser les objectifs stratgiques par un dispositif de risk management efficace


Lun des objectifs majeurs du risk management est de sassurer de lexistence dun alignement entre processus de lentreprise, risques et objectifs stratgiques pouvant tre formalis via une carte de performance associant la dimension management des risques. Lobjectif de cette dernire est de sassurer de lexistence de processus ou de projets spcifiquement ddis latteinte des objectifs, dont les objectifs financiers. Cette approche vise garantir la protection du business model via le dispositif de management des risques.

Groupe Eyrolles

Ch. 4 Mettre en uvre le dispositif risk management et communiquer sur son efficacit 89

Comment mettre en uvre un dispositif de risk management efficace


Lvolution dans la mise en uvre dun dispositif de risk management va fortement voluer en passant dune obligation de moyens une obligation de rsultats. Il ne sagit plus simplement de dcrire lexistence dun dispositif de risk management mais dtre capable den valuer lefficacit.

Organiser le processus de risk management et positionner les processus de pilotage au centre du dispositif
Cela sous-entend de hirarchiser les diffrents risques de lentreprise par processus majeur et par ordre de criticit dcroissante (probabilit doccurrence impact financier pour lentreprise), valuation que lon peut prsenter plus commodment sur une chelle type Richter (de 1 5, ou de 1 10). Il convient galement de vrifier quaux risques auxquels est expos le groupe industriel correspondent bien des objectifs du management, en clair que chaque risque remonte bien un responsable qui se lapproprie en direct (notion de risk owner). Il ne sert, en effet, rien de mentionner dans la liste des risques que lentreprise est dcide couvrir des risques orphelins , i. e. correspondant des objectifs non distribus une fonction donne (situation que lon retrouve trop souvent dans des groupes industriels forte dominante multiculturelle).

Pralables
Sassurer de la cohrence entre les risques lists par ordre de criticit lors de la cartographie des risques et lorganisation de lentreprise. Il faut souligner que la faon daborder le sujet, si la socit tudie est une socit indpendante la diffrence dune PME intgre un ensemble plus large, sera fondamentalement distincte, lorganisation matricielle des grands groupes et la juxtaposition des cultures brouillant trop souvent lorganisation du processus, selon la vision que le groupe industriel a du risk management. Sassurer ensuite que lensemble du personnel, tous les niveaux de responsabilit, a bien peru limportance du sujet, a bien compris que le risk management (comme la scurit) est laffaire de tous (et le personnel a donc t brief en consquence), et pas seulement une mode passagre du comit de direction, et a bien intgr dans la dure les principes de base qui soutiendront ultrieurement lefficience du systme de risk management, savoir : lintgration de la dimension risk assessment dans toute dcision prise en interne ;
Groupe Eyrolles

la primaut de la fonction sur le grade, principe dont le respect sous-tend toute action de spcialiste digne de ce nom au sein du dispositif de risk management ; lexistence (et la pratique) des rgles de gestion minimum minimorum. Il est toujours surprenant de constater que nombre de procdures de base peuvent tre inexistantes, mme dans des filiales de grands groupes

90 Partie 2 Lentreprise industrielle hors risque

Mise en uvre Au niveau oprationnel (technique, commercial, etc.) et autres niveaux fonctionnels, mise en uvre des tests spcifiques chaque fonction, et selon les risques majeurs identifis par ordre de criticit dcroissante. Exemples Fiabilit du matriel de production pour la direction Fabrication (programme de maintenance assiste par ordinateur). Simulations sur la capacit du systme informatique grer laccroissement rapide du nombre de clients et de leur rpartition gographique.
Le risk manager (sil existe) se doit dtre lanimateur et le garant de la mise en uvre dun processus sous contrle et complet, cohrent avec la vision globale quil aura contribu impulser prcdemment. Exemple : chez un oprateur tlphonique, vrifier que la composante climat social dans un centre dappels (point de passage critique pour lefficience globale du systme) est bien prise en compte par des entretiens croiss et indpendants (hirarchie, DRH, salaris). La direction de laudit interne se doit dorganiser ses contrles propres de manire la fois choisie (l o les risques sont les plus forts), alatoire (pour garder un minimum de caractre dissuasif au systme de contrle), universelle (par exemple : de petites filiales en dessous du seuil de matrialit peuvent se rvler de vritables bombes retardement lors des premires questions de laudit interne), et suivie (i. e. revoir systmatiquement la mme unit tant que les rsultats des audits raliss ne seront pas satisfaisants).

Liaison formelle entre les oprationnels et le risk management La mise en uvre du dispositif de risk management ne pouvant sexercer systmatiquement et exhaustivement partout (question de moyens), il est normalement demand aux oprationnels de renseigner sur une base annuelle ou trimestrielle un questionnaire type, adress (sans passer par la voie hirarchique) la direction du risk management, pour que cette dernire ait une connaissance non biaise de la vision des risques, telle que la ressentent les oprationnels. Dans un tel processus de remonte dinformation, il est important que les risques signals par les oprationnels soient resitus par le destinataire (souvent dune nationalit et dune culture diffrentes de lmetteur) dans le cadre des contraintes rglementaires du pays metteur.

La direction financire : elle est au cur de la gestion des risques. En effet, elle : est la gardienne de la qualit du flux dinformation financire et de son intgrit ; se porte garante, dans la limite des informations dont elle dispose, de lexhaustivit des informations publies (et de celles qui ne le sont pas) ;

Groupe Eyrolles

Dfinir les frontires fonctionnelles entre direction financire, audit interne, qualit et risk management

Ch. 4 Mettre en uvre le dispositif risk management et communiquer sur son efficacit 91

actualise, compte tenu de lvolution de la socit (technologie, rapport avec les tiers, organisation), le manuel des procdures de gestion et sassure que chacun a bien compris son rle au sein du comit de direction. La direction financire doit tre lun des pivots de la dmarche de responsabilisation sur les risques. Elle doit dabord tablir une analyse prcise et fine de la volatilit des actifs, de leur exposition aux risques et dfinir une cartographie permettant de distinguer les actifs haute volatilit, notamment de nature immatrielle, et les risques critiques pouvant mettre en cause la prennit de lentreprise. La difficult tient en partie aux normes IFRS qui nautorisent pas une reprsentation comptable de certains actifs non soumis des transactions, donc non activs au bilan (voir IAS 38). Ce travail doit porter sur les projets dinvestissement stratgiques et plus globalement sur toutes les activits concourant ces projets. La dmarche est loin dtre simple dans un cadre ferm dorganisation. Elle lest donc davantage lorsque ces projets intgrent des partenaires et des sous-traitants, pour lesquels le mme raisonnement devrait sappliquer. En fonction de cette analyse, la direction financire doit structurer le passif de lentreprise au regard de lexposition gnrale aux risques et la volatilit des actifs, puis mettre en place les financements adquats et les politiques de couverture, y compris le transfert aux tiers (assurance, titrisation, captive, etc.). Cette structuration doit galement prendre en considration lexigence de rendement des actionnaires. Cela permet dviter un hiatus qui peut dstabiliser la direction gnrale de lentreprise. En dautres termes, lexamen des risques globaux doit tre men au sein du conseil dadministration, afin que les arbitrages soient rendus en toute connaissance de cause, dans lquilibre entre choix de rendement et risques accepts. Trop souvent, comme beaucoup daffaires et de scandales lont montr, les actionnaires nont pas t suffisamment informs des risques sous-jacents lis des projets ou des oprations. Ce nest pas uniquement une problmatique de pilotage qui est pos, mais de niveau de risques financiers associs des dcisions. Pour privilgier des rendements court terme, des impasses, dont les actionnaires nont pas t toujours conscients, ont parfois t prises. Cela sest traduit par des incidents, des retards, des dfaillances techniques ou organisationnelles qui ont abouti une destruction de valeur et une dvalorisation des actifs, notamment immatriels : sous-quipement en matire de puissance des systmes dinformation conjugu un back-up non dimensionn aboutissant une rupture du service ; dissimulation de risques secondaires dans le cadre dtude clinique ; externalisation en vue de rduire les cots sans mise en uvre des dispositifs de contrle qualit, etc. La liste des faits de destruction de valeur est longue. Ce sont souvent les salaris (restructuration), les clients (rupture dapprovisionnement) et les fournisseurs (pertes de CA) qui font les frais de ces dysfonctionnements. Mais les prjudices les plus importants sont ports aux actionnaires. Do la ncessit dune grande transparence en matire de politique de matrise des risques et de contrle associ. Cest donc un lment central du gouvernement dentreprise, qui peut aboutir la cration dune commission spcialise management des risques et contrle interne, distincte de celle oriente sur laudit et le contrle comptable.

Groupe Eyrolles

92 Partie 2 Lentreprise industrielle hors risque

La direction de laudit interne : sassure que la politique de couverture de risques propose par le risk manager (ou le comit dvaluation des risques, sil en existe un), et approuve par le conseil dadministration (CA), applicable par ordre de priorit, est bien mise en uvre telle que le CA la dcide ; procde ou fait procder tout type de contrle quelle jugerait utile ; rend compte au comit daudit (ou au DG, en labsence de comit daudit) du rsultat des audits diligents par les directions oprationnelles et par la direction de laudit interne elle-mme ; vrifie que les oprationnels, directement en premire ligne pour les risques quils encourent en raison de leur qualit de dirigeant de droit ou de fait, ne sont pas ignors (dans leurs avertissements) en raison dune apprciation par trop lointaine du comit de direction (par exemple : risques fiscaux, risques environnementaux) et signale au CA toute dviation ce sujet ; sassure quune collusion impliquant plusieurs membres de la direction dune filiale ou dun business group nobre pas la capacit des oprationnels agir avec tout le professionnalisme ncessaire. La direction qualit : labore, en relation avec les deux directions prcites, les procdures, documents et calendriers ncessaires lobtention/renouvellement des certifications appartenant la famille des ISO 9 000 que la socit cherche obtenir et/ou conserver ; veille la bonne formation des utilisateurs, surtout dans des cas de forte attrition.

Vendre le projet risk management


Cette opration est dautant plus importante que la socit, ou le groupe concern, a les caractristiques suivantes pendant la priode pr-risk management : socit familiale ; tradition orale (peu de procdures crites appliques) ; patron dorigine et de culture exclusivement commerciales ; peu dexposition pralable linternational ; niveau dexposition aux risques ; existence de scnarii de crises antrieures ; ge moyen lev ; turnover peu important. A contrario, pour que le projet soit bien vendu, il importera : que le comit de direction tout entier montre, par son exemple quotidien (sparation des tches, primaut de la fonction sur le grade, etc.), que les directeurs euxmmes ont achet le systme, pour le plus grand bien de la socit (rigueur, exemplarit, respect des rgles de scurit, etc.) ;
Groupe Eyrolles

Ch. 4 Mettre en uvre le dispositif risk management et communiquer sur son efficacit 93

que les responsables du projet montrent bien la population concerne que la mise en uvre du dispositif est engage pour les protger dans leur travail (limites de signatures et autonomie relle prcises, etc.) ; de bien expliquer aux partenaires sociaux que la qualit et la rigueur dun dispositif de risk management ne constituent pas un plus de travail demand aux salaris, mais quils correspondent un standard international qui, sil ntait pas appliqu par lentreprise, la mettrait rapidement hors course. En synthse, le dispositif de risk management ne doit plus tre positionn comme un processus gnrateur de contraintes, mais comme un agent de transformation culturelle au niveau transversal, afin de mettre du liant social entre tous les acteurs autour dun mme objectif : valorisation et protection de la surface financire de lentreprise, des actifs et des hommes. Cela permet de faire comprendre au niveau du terrain les contingences financires, et non de les subir. Cest aussi la seule faon de grer au mieux la complexit des processus et des situations. Respecter une rgle de droit sans comprendre comment elle vous implique, vous et le reste du corps social, donc lentreprise et son devenir, est vou lchec, ou du moins la baisse de la vigilance et donc de la responsabilisation. Appliquer strictement des procdures ne prmunit pas contre les risques incertains et cumulatifs du fait de leur interaction. A contrario, le recours la capacit danalyse et de choix, dans un cadre collectif, permet de rduire certains risques, car cela instaure une thique de responsabilit. Cette orientation permet aussi dattribuer aux directions fonctionnelles un champ nouveau dintervention. Les DRH sont plus ou moins en charge de risques sociaux, mais dans la ralit, beaucoup dentre eux leur chappent du fait de la dcentralisation oprationnelle. Il en est de mme pour les responsables juridiques, etc. En travaillant plus sur laccompagnement pdagogique des dispositifs de risk management, ces directions fonctionnelles peuvent favoriser les comportements de responsabilit et assumer une part de pilotage des risques.

Mesurer lefficacit du risk management et arbitrer en termes de dcision dallocation des fonds propres
Le risk management doit tre positionn comme tant loutil majeur de la politique de matrise des risques qui simposent lentreprise. cette vision correspond le souci de dfinir la bonne structure financire et le dimensionnement des fonds propres pour faire face aux situations pouvant mettre en cause la survie et la prennit de lentreprise. Sy ajoute aussi le concept de destruction de valeur et de rduction du niveau de volatilit du cash-flow, qui aboutit un pilotage par le cash flow at risk. La logique financire comporte une dimension dynamique qui peut se rsumer la consigne suivante : protger les fonds propres des actionnaires. Non seulement cette recommandation est cohrente avec lesprit des normes IFRS, mais elle fait de chaque acteur de lentreprise, son niveau, un lment moteur de matrise des risques. Chacun devient dpositaire dune partie des fonds propres et doit analyser la part des actifs sur lesquels il intervient, afin den assurer non seulement la valorisation (lie la gnration de cash-flow), mais aussi la protection (notion de risk owner).

Groupe Eyrolles

94 Partie 2 Lentreprise industrielle hors risque

Dans latelier, louvrier devient responsable de sa machine et des flux futurs de recettes quelle permet. Cette responsabilit sadditionne lquipe de latelier, etc. Elle participe dune gestion transversale qui tranche avec la vision en silo o chacun ne regarde que son propre horizon. Au niveau des managers, cette responsabilit repose sur loptimisation du ROCE (return on capital employed) et sur la prvention des risques divers conscutifs lutilisation de loutil de travail et donc aux processus critiques qui lui sont lis. Quel est lavantage dune telle dmarche ? Aucun corpus de procdures ne peut prvoir linvitable ou linimaginable. Mais lesprit bien form, sensibilis, motiv peut anticiper, ragir et grer la situation, donc prvenir le risque potentiel. Une mthodologie de risk management nest quun support pratique et a minima des consignes de scurit observer. Lallocation individualise dune part de fonds propres et donc de responsabilit dun lment dactif est la meilleure assurance.

Communiquer sur lefficacit du dispositif de risk management


La communication interne sur lefficacit du dispositif de risk management passe par une dfinition des outils de communication crits et oraux formaliser : contenu des auditions des experts techniques et financiers internes par le comit des risques et le conseil dadministration ; modalits dexercice de clause de confiance du directeur financier et de lexercice de son droit de rserve ; modalits de rdaction et structuration du rapport risk management. Outre la question de la mesure de lefficacit du dispositif de risk management se pose galement celle des moyens dvolus ce dernier. En dautres termes, si les actionnaires limitent ces moyens, ils acceptent implicitement une prise de risque supplmentaire qui devrait tre officiellement acte dans le cadre du conseil dadministration. Il est difficile de vouloir tout et son contraire. Do lintrt de la dmarche indique ex ante concernant les choix de politique financire, au regard de larbitrage ncessaire des actionnaires concernant la structure du passif versus la volatilit des actifs et le rendement qui en dcoule. noter quun organisme de notation, tel que Standard & Poors, renforce son analyse en termes dvaluation des risques des groupes cots. Des questionnaires sont actuellement envoys par S&P dans les groupes pour valuer leur dispositif de risk management. Les principaux critres analyss sont les suivants : adoption dun rfrentiel de risk management spcifique lentreprise ; dfinition des acteurs impliqus dans le dispositif de management des risques ; communication interne et externe sur le dispositif de risk management ; politiques de procdures de risk management et gestion de crise ; influence du dispositif de risk management sur la politique de financement ; influence du dispositif de management stratgique sur la dcision stratgique.

Groupe Eyrolles

TROISIME

PARTIE

La banque ou la compagnie dassurances hors risque


Lobjectif de cette troisime partie est de prsenter : les contraintes rglementaires spcifiques auxquelles sont soumises les banques et les compagnies dassurances ; les spcificits des dispositifs de risk management des banques et compagnies dassurances (intgrant les outils de base ainsi que les outils de gestion de crise).

Groupe Eyrolles

Chapitre 1

Les contraintes rglementaires


Les contraintes rglementaires spcifiques Ble II
En 1988, le comit de Ble, compos des gouverneurs des banques centrales de treize pays de lOCDE, publie les premiers accords de Ble, ensemble de recommandations dont le pivot est la mise en place dun ratio minimal de fonds propres par rapport lensemble des crdits accords, le ratio Cooke. Ainsi sont dfinies les notions de : fonds propres rglementaires ; et lensemble des engagements de crdit. Ces deux notions tant rigoureusement prcises par rapport un systme comptable (comptes concerns, pondrations ventuelles). Le rapport des deux valeurs ne doit alors pas tre infrieur 8 % dans les propositions des accords de Ble. Il est noter quil ne sagit que de recommandations, charge chaque tat membre (et tout autre tat intress) de les transposer dans son droit propre. Ainsi, en France, est appliqu depuis le 1er janvier 1993 le ratio de solvabilit europen (directive 89/647/CEE du 18 dcembre 1989), traduit dans le droit franais par le rglement 91-05 du Comit de la rglementation bancaire et financire et linstruction 91-02 de la Commission bancaire. Les accords de Ble sont actuellement appliqus dans plus dune centaine de pays. La grande limite du ratio Cooke, et donc des rglementations issues des premiers accords de Ble, est lie la dfinition des engagements de crdit. La principale variable prise en compte tait le montant du crdit distribu. la lumire de la thorie financire moderne, il apparat quest nglige la dimension essentielle de la qualit de lemprunteur, et donc du risque de crdit quil reprsente rellement. Le comit de Ble va donc proposer en 2004 un nouvel ensemble de recommandations, au terme duquel sera dfinie une mesure plus pertinente du risque de crdit, avec en particulier la prise en compte de la qualit de lemprunteur, y compris par lintermdiaire dun systme de notation interne propre chaque tablissement (dnomm IRB, internal rating based). Le nouveau ratio de solvabilit est le ratio McDonough.

Les trois piliers de Ble II


Les recommandations de Ble II sappuient sur trois piliers (terme employ explicitement dans le texte des accords) : lexigence de fonds propres (ratio de solvabilit McDonough) ; la procdure de surveillance de la gestion des fonds propres ; la discipline du march (transparence dans la communication des tablissements).
Groupe Eyrolles

98 Partie 3 La banque ou la compagnie dassurances hors risque

Pilier 1 : lexigence de fonds propres


Comme indiqu ci-dessus, cest le chapitre qui nous intresse le plus ; il affine laccord de 1988 et cherche rendre les fonds propres cohrents avec les risques rellement encourus par les tablissements financiers. Parmi les nouveauts, signalons la prise en compte des risques oprationnels (fraude et pannes de systme) et des risques de march, en complment du risque de crdit ou de contrepartie. Nous passons ainsi dun ratio Cooke o : Fonds propres de la banque > 8 % des risques de crdit un ratio McDonough o : Fonds propres de la banque > 8 % des (risques de crdit (75 %) + de march (5 %) + oprationnels (20 %)) De plus le calcul des risques de crdit se prcise par une pondration plus fine des encours avec une prise en compte : du risque de dfaut de la contrepartie (le client emprunteur) ; du risque sur la ligne de crdit (type de crdit, dure, garantie) ; de lencours. Ces risques sexpriment par des probabilits : PD : probabilit de dfaut de la contrepartie ; LGD : taux de perte en cas de dfaut sur la ligne de crdit, qui sapplique sur lencours un an du client, lEAD (exposition au moment du dfaut). Pour le risque de crdit, les banques peuvent employer diffrents mcanismes dvaluation. La mthode dite standard consiste utiliser des systmes de notation fournis par des organismes externes. Les mthodes plus sophistiques (mthodes IRB pour internal rating based) avec la mthode dite IRB-Fondation et celle dite IRB-Avance impliquent des mthodologies internes et propres ltablissement financier dvaluation de cotes ou de notes, afin de peser le risque relatif du crdit. Ainsi, en mthode standard, les PD et LGD sont imposs par le rgulateur (commission bancaire en France) soit directement pour la LGD, soit en imposant un organisme de notation (cotation BDF, Standard and Poors). En mthode IRB fondation , la banque estime sa PD, et le LGD reste impos par le rgulateur. En mthode IRB avance , la banque matrise toutes ses composantes. Le choix de la mthode (plus ou moins complexe) permet une banque didentifier ses risques propres en fonction de sa gestion. Une banque qui voudrait tre au plus prs de sa ralit tendra vers le choix dune mthode avance. Mais en contrepartie, linvestissement est dautant plus important. La dtermination dune LGD demande ainsi la gestion et lhistorisation de plus de 150 donnes mensuelles sur un minimum de cinq ans sur chacun des crdits accords. Le calcul du risque de crdit est alors simple : RWA= f(PD ; LGD) EAD o f respecte une loi normale.

Groupe Eyrolles

Ch. 1 Les contraintes rglementaires 99

Il se complte du calcul dune perte attendue : EL = PD LGD EAD


Fonds propres Dans le ratio = ----------------------------------------------------------------------------------------------------------------------------------------------- > 8 % Risque de crdit + Risque oprationnel + Risque de march

Pilier 2 : la procdure de surveillance de la gestion des fonds propres Comme les stratgies des banques peuvent varier quant la composition de lactif et la prise de risques, les banques centrales auront plus de libert dans ltablissement de normes face aux banques, pouvant hausser les exigences de capital l o elles le jugeront ncessaires Cette ncessit sappliquera de deux faons : validation des mthodes statistiques employes au pilier 1 (back testing) ; test de validit des fonds propres en cas de crise conomique. 1) La banque devra prouver a posteriori la validit de ses mthodes dfinies a priori en fonction de ses donnes statistiques, et cela sur des priodes assez longues (5 7 ans). Elle devra en outre tre capable de tracer lorigine de ses donnes. 2) La banque devra prouver que, sur ses segments de clientle, ses fonds propres sont suffisants pour supporter une crise conomique touchant lun ou tous ces secteurs. La commission bancaire pourra en fonction de ces rsultats imposer la ncessit de fonds propres supplmentaires. Lallocation des fonds propres dpend de la matrise des risques oprationnels. Lexigence en termes de fonds propres peut tre base sur trois mthodes.
Mthode de base (petits tablissements bancaires) K = bta PNB moyen des 3 dernires annes K = exigence a minima en termes de fonds propres Bta = 15 % Approche standard La logique dallocation des fonds propres dpend de la matrise des risques oprationnels par mtier bancaire : K= bta i PNB i Les coefficients bta se dtaillant de la faon suivante : B1 financement entreprise : 18 % ; B2 ngoce et vente : 18 % ; B3 banque de dtail : 12 % ; B4 banque commerciale : 15 % ; B5 paiement et rglement 18 % ; B6 fonction dagents : 15 % ; B7 gestion dactifs : 12 % ; B8 courtage de dtail : 12 %.

Groupe Eyrolles

100 Partie 3 La banque ou la compagnie dassurances hors risque

AMA (approche de mesure avance) Cette approche est subordonne aux exigences suivantes : obligation dexistence de key risks indicators (KRI) ; analyse par scnarii ; existence dune base incidents enregistrant la sinistralit interne ltablissement bancaire.

Pilier 3 : la discipline de march Des rgles de transparence sont tablies quant linformation mise la disposition du public sur lactif, les risques et leur gestion. Lapplication de Ble II est une puissante machine qui formate les donnes de gestion dune banque. Ses consquences sont de trois ordres au niveau du pilier 3 : uniformisation des bonnes pratiques bancaires. Quelle que soit la banque et quelle que soit la rglementation qui la rgit (droits nationaux), les pratiques doivent tre transparentes et uniformises ; les bases mises en place pour ce calcul sont une puissante source de donnes de gestion, qui (enfin) rconcilient les vues risques, comptables et financires ; transparence financire : les analystes trouveront enfin une lecture des portefeuilles de risque identique pour toute banque dans tout pays.

La dfinition des risques pris en compte dans le secteur bancaire en conformit avec Ble II
Pour dfinir la politique que doit adopter un tablissement en matire de contrle interne, lanalyse des risques constitue un pralable. La notion de risque de crdit est immdiatement associe au risque de contrepartie ; pour un dossier donn, il est en effet clair que le risque premier rside dans la volont, mais aussi dans la capacit de lemprunteur faire face ses engagements. Dessiner lorganisation du contrle interne en ne considrant que ce seul aspect serait toutefois rducteur. Les risques que lon pourrait qualifier dadditionnels ou de connexes au risque de contrepartie doivent galement tre matriss et donc pralablement valus. Au nombre de huit, ils prennent naissance lors de linitiation des transactions et le plus souvent perdurent jusqu lchance finale. On distingue alors : le risque de garantie : la banque peut devoir supporter une perte si elle ne peut exercer la garantie attache un prt en dfaut ou si le produit de cette action savre insuffisant pour couvrir les engagements accumuls par le dbiteur. Les difficults rcentes rencontres dans le domaine immobilier par de nombreux tablissements lorsquils ont envisag de raliser leurs gages sont une illustration de ce type de risque ; le risque de concentration : une diversification insuffisante du portefeuille de concours en termes de secteurs conomiques, de rgions gographiques ou de taille

Groupe Eyrolles

Ch. 1 Les contraintes rglementaires 101

demprunteur peut provoquer des pertes importantes ; les banques rgionales y sont particulirement exposes, de mme que les tablissements spcialiss ; le risque pays : bien connu des grands tablissements, il se manifeste lorsquun pays tranger ne dispose plus de rserves suffisantes pour faire face aux engagements en monnaie trangre de ses ressortissants ; le risque de change : il nat chaque fois que ltablissement accorde un crdit dans une monnaie qui nest pas celle de lexpression de ses capitaux propres ; si les ressources utilises pour financer cet emploi sont libelles dans la mme devise, le risque ne porte que sur la marge de lopration ; dans le cas contraire, le montant en principal est galement expos. Ce risque se manifeste galement si la banque, aprs avoir achet des devises et aprs avoir dot une provision en devises, est amene les revendre lors dune reprise de provisions non utilises ; le risque de fraudes : multiforme, il peut sagir par exemple de concours consentis de faux clients, donc bien videmment irrcouvrables ; le risque dinitis : il sagit de concours accords des conditions hors march, ou selon des procdures exceptionnelles des dirigeants de la banque, des entreprises dans lesquelles ils ont des intrts ou des socits lies des actionnaires important de ltablissement ; le risque lgal et rglementaire : lactivit de crdit est troitement rglemente (comme symtriquement lest le droit dengager une personne morale en tant que contrepartie) et le non-respect de nombreuses dispositions peut conduire ltablissement supporter des pertes soit directement, soit en raison de limpossibilit de mettre en uvre une garantie ; le risque oprationnel : cette notion recouvre toutes les erreurs de traitement, qui peuvent survenir au cours de la vie dun dossier, telles que : dblocage des fonds, avant que toute la documentation requise nait t runie, saisie errone des conditions de crdit dans les systmes de gestion, mauvaise identification des concours compromis

Lanalyse spcifique du risque de taux


Le risque de taux dintrt concerne la fois les positions de taux prises en salles de marchs ainsi que lexposition au risque de transformation, inhrent lactivit bancaire par dfinition. La matrise du risque de taux passe par lexistence dune unit de contrle des risques qui sapplique aux oprations de march et a pour rle de :
Groupe Eyrolles

concevoir et mettre en place un systme de gestion des risques ; produire et analyser des rapports quotidiens ; raliser des mesures ex post destines vrifier la qualit des mesures produites par le modle interne que la banque souhaite faire connatre aux autorits de tutelle.

102 Partie 3 La banque ou la compagnie dassurances hors risque

La spcificit des risques de march


En matire de risques de march, le CRB 97-02, bien que novateur plus dun titre, napporte pas de bouleversements fondamentaux par rapport au texte qui la prcd. Il pose : des principes gnraux dorganisation et de fonctionnement de lensemble du dispositif de contrle interne, ces principes tant applicables lensemble de ces composantes ; des obligations trs prcises sappliquant spcifiquement chacune des units qui assurent le pilotage dune fraude fonction ou dun grand risque. Le nouveau rglement sur le contrle interne introduit une exigence trs forte de formalisme, cette exigence simposant toutes les directions des tablissements de crdit. Nulle part le contrle interne nest plus justifi que dans les salles de marchs (limportance des volumes traits, la sophistication des techniques de transaction, le caractre souvent instantan des prises de dcision, lvolution quasi permanente des instruments et des stratgies). Or, si la rglementation prvoit une parfaite intgration du contrle interne dans lorganisation, les mthodes et les procdures de chaque activit, il semble que lunivers de la salle de marchs soit peu propice une telle dmarche en raison : du recours frquent des instruments tlmatiques ; de la ncessit de ragir rapidement en toutes circonstances.

Fonds propres conomiques et RAROC1


La notion de fonds propres conomiques est constitue des composantes suivantes : tier 1 : capital et rserves et report nouveau ; tier 2 : fonds de garantie et rserves latentes, et titres et emprunts subordonns ; tier 3 : bnfices intermdiaires du portefeuille de ngociation et emprunts subordonns de plus de 2 ans. Ces fonds propres conomiques sont allous par unit daffaires bancaire en fonction dun CMPC calcul par branche dactivit.

Ratios McDonough et allocation des fonds propres en fonction des risques


Ble II vise maximiser la solvabilit des tablissements de crdit en protgeant les fonds propres. Le ratio de solvabilit McDonough fixe des exigences importantes en termes de constitution des fonds propres : les fonds propres rglementaires doivent faire a minima 8 % (exigences pour risque de march 12,5 + exigences pour risque oprationnel 12,5 + encours des risques de crdit pondr.
1. RAROC : Risk Adjusted Return On Capital (rentabilit du capital ajuste au risque).

Groupe Eyrolles

Ch. 1 Les contraintes rglementaires 103

Modalits de renforcement des dispositifs de contrle interne et de risk management bancaire suite aux scandales financiers et la crise financire de 2008
Les rcents scandales financiers (Caisse dpargne, Socit gnrale) et la crise financire, boursire et conomique gnre par la crise des subprimes imposent de renforcer les dispositifs de risk management et de contrle interne dans les tablissements bancaires tant au niveau de la gouvernance quau niveau du contrle des activits.

Renforcement de la gouvernance bancaire La mthodologie du COSO a prouv via ses scandales financiers la faiblesse de la composante environnement du contrle . ce titre, le rapport Ricol ralis pour le compte du prsident de la Rpublique franaise pointe du doigt les vulnrabilits de ces dispositifs au sein des banques europennes. Renforcement du contrle des activits (dont les activits de trading) Rappelons tout dabord les faits (retour dexprience du scandale financier de la Socit gnrale/affaire Kerviel), via les conclusions de la mission daudit interne mene par la direction de laudit interne et prsentes au comit spcial au sein du conseil dadministration de la banque : lauteur de la fraude est sorti du cadre de son activit normale darbitrage et a constitu des positions directionnelles relles sur des marchs rglements, en les masquant par des oprations fictives de sens contraire ; les diffrentes techniques utilises ont constitu principalement en : achats, ventes de titres ou warrants date de dpart dcal, transactions ou futures avec une contrepartie en attente de dsignation, forwards avec une contrepartie interne au groupe. Linspection gnrale de la banque considre que les contrles prvus par les fonctions de support ont dans lensemble t effectus et mens conformment aux procdures, mais nont pas permis didentifier la fraude avant le 18 janvier 2008, alors que le trader avait commenc prendre des positions risque ds mars 2007. Du point de vue de linspection gnrale, labsence didentification des fraudes peut sexpliquer par lefficacit et par la diversit des techniques de fraude utilises, et dautre part par le fait que les contrleurs napprofondissent pas systmatiquement leurs contrles et enfin par linexistence de certains contrles qui auraient pu identifier la fraude. Par voie de consquence, il savre indispensable de dvelopper de nouvelles mesures visant prvenir les risques de fraude concernant les activits de trading gnratrices des rcents scandales financiers, savoir : le renforcement de la scurit informatique par le dveloppement de solutions didentification fortes (biomtrie), par lacclration de projets structurels en matire de gestion et de scurit des accs, ainsi que par la ralisation daudits de scurit cibls ;

Groupe Eyrolles

104 Partie 3 La banque ou la compagnie dassurances hors risque

le renforcement des contrles, procdures dalerte, empchant les ruptures dans les chanes de commandement et de reporting ; le renforcement de lorganisation et de la gouvernance du dispositif de prvention des risques oprationnels dans une optique de transversalit.

Les contraintes rglementaires spcifiques Solvency II


linstar de Ble pour les banques, lUnion europenne a tabli un nouveau code rglementaire pour la gestion des risques des compagnies dassurances. La version dfinitive de Solvency II ( Solvabilit II ) est prvue pour une application vers 2010. Par rapport la directive Solvency I actuellement en place, Solvency II a gnralis la mesure du risque oprationnel, introduit le Solvency Capital Requirement et entranera un contrle accru du rgulateur.

Mise en uvre de la phase 1 : les fondations de Solvency II


La premire phase de Solvency II sest droule de mai 2001 lautomne 2003. Lobjectif consistait dvelopper un rfrentiel de haut niveau en termes dexigence de solvabilit pour les compagnies dassurances en identifiant les insuffisances du dispositif actuel et en investiguant de nouvelles techniques permettant de matriser le risque dinsolvabilit. ce titre, la commission europenne commanda deux tudes : le rapport Sharma prsent en dcembre 2002 par le groupe de Londres et le groupe de travail ad hoc mis en uvre par la confrence des autorits de tutelle europennes. Ce rapport arriva la conclusion quun renforcement des fonds propres associ un management de qualit tait loutil majeur prventif du risque dinsolvabilit des compagnies dassurances ; une deuxime tude mettant en exergue la ncessit de construire un dispositif de contrle beaucoup plus bas sur les risques. Dans cette premire tape mergea lide de construire un dispositif de contrle de la solvabilit des compagnies dassurances par le biais de trois piliers (raisonnement identique Ble II), combinant la fois des outils de mesure quantitatifs et qualitatifs innovants, tels que : matching entre actif et passif ; identification et quantification des risques et minimisation du risque systmatique ; estimation des flux de dcaissement lis la sinistralit ; convergence entre les modles spcifiques dvaluation des risques de compagnies et les modles des autorits de tutelle.
Groupe Eyrolles

Ch. 1 Les contraintes rglementaires 105

Phase 2 : mise en uvre oprationnelle du dispositif via les trois piliers de Solvency II
La phase 2 du dispositif sest traduite par la mise en uvre lgislative et administrative du dispositif Solvency II trois niveaux : rdaction du projet de directive europenne par la Commission europenne pour adoption par le Parlement et le Conseil europens ; mise en uvre effective des mesures proposes par le groupe technique, y compris les mesures techniques, par lEIOPC (European Insurance and Occupational Pensions Committee) ; mise en uvre dun processus dharmonisation des processus de contrle intraUE, IOPC, Calls, Risks.

Le premier pilier : contraintes quantitatives/constitution de deux niveaux de fonds propres MCR (Minimum Capital Requirement) et SCR (Solvency Capital Requirement) sont compars au niveau actuel du capital disponible correspondant un capital conomique. Lanalyse comparative aboutit trois scnarii : si le capital disponible est suprieur au SCR, alors la compagnie dassurances est suffisamment capitalise ; si le capital disponible est compris entre le MCR et le SCR, alors il y a mission dun indicateur dalerte auprs des autorits de tutelle, et de la gouvernance de la compagnie ; si le capital disponible est infrieur au MCR, alors la compagnie est rpute insolvable. Alors que le MCR est dtermin par une formule simple, le SCR est calcul soit partir dune approche standard base sur de lanalyse fonctionnelle, soit en utilisant un modle interne de risques. Les paramtres pris en compte dans le cadre de ces modlisations sont les suivants : risque de souscription ; risque de march ; risque crdit ; risque de liquidit ; risques oprationnels. Le deuxime pilier (qualitatif) : processus de supervision et management interne des risques Le second pilier du dispositif Solvency II correspond limplmentation de systmes de contrle interne et de risk management efficaces. La notion de risk management est dfinie de faon extensive et intgre les principes de calcul des provisions sur des bases actuarielles et la gestion assets liabilities management. Cette dmarche a pour but dallouer les fonds propres par unit daffaires en fonction du niveau de matrise des risques de sinistralit et des risques stratgiques.

Groupe Eyrolles

106 Partie 3 La banque ou la compagnie dassurances hors risque

Le troisime pilier : transparence du march et communication financire Le troisime pilier du dispositif Solvency II rside dans lexistence dune discipline du secteur de lassurance et dune transparence du march. ce titre, il est intressant danalyser laide que peuvent fournir des outils de communication financire telles que les normes IFRS 4 (actifs et passifs dassurance) et IFRS 7 (tats financiers). ORSA (Own Risk and Solvency Assessment) et directive Solvency II La mise en uvre dun dispositif Solvency II passe obligatoirement par la modlisation dune valuation interne des risques dnomme Own Risk and Solvency Assessment . Ce modle interne doit contenir : lvaluation dun besoin global de solvabilit ; la couverture permanente des exigences de fonds propres et de provisionnement ; ladquation ou non du modle interne aux profils de risque de lentreprise ; lidentification des principaux risques auxquels est expose lentreprise, et des scnarii conomiques adverses. La dmarche ORSA exige que les fonds propres soient en permanence suffisants pour couvrir les SCR et MCR. La frquence de calcul du SCR doit tre adapte au profil de risque au moins une fois par an pour un profil de risque moyen, chaque changement significatif de profil de risque. Le MCR doit tre calcul tous les trimestres. Solvency II impose dautre part la mise en uvre dexigences de reporting, qui se traduira par une intervention gradue des autorits de contrle en fonction des exigences de solvabilit, savoir : si les fonds propres sont intgrs entre le SCR et le MCR : notification du superviseur, fourniture dun plan de redressement (leve de fonds, rduction des risques), runions rgulires avec le superviseur ; si les fonds propres sont infrieurs au niveau de capital minimum (MCR) : fourniture dun plan de sauvetage financier, ventuel arrt de la souscription, prparation par le superviseur du plan de retrait dagrment et de dissolution.

Groupe Eyrolles

Chapitre 2

Le risk management bancaire


Le dveloppement du risk management bancaire passe la fois par la mise sous contrle de risques financiers spcifiques aux tablissements bancaires et par la mise sous contrle de risques oprationnels gnriques ou spcifiques (blanchiment dargent, financement du terrorisme, etc.).

La mise sous contrle des risques financiers (contrepartie, crdit, etc.)


Gestion ALM et risk management bancaire
La gestion ALM (asset-liability management) vise trois objectifs : matriser les dures via la gestion des impasses ; matriser le risque de taux ; valuer la banque. Lapproche ALM peut tre dcline de faon dynamique et statique : statique : activit frache mise zro et seuls les encours existants scoulent jusqu puisement ; dynamique : intgrant les objectifs de collecte et demplois ajouts aux objectifs initiaux.

Matrise des dures, gestion des impasses la date darrt de bilan, les encours dactif et de passif ont une dure moyenne de disponibilit (passif) ou dimmobilisation (actif). Ils gnrent des flux de capitaux faisant partie du TRE : tableau emplois/ressources : dpts, retraits pour les ressources ; versements amortissements pour les crdits ; achats ventes remboursement pour le portefeuille titres. Les carts mensuels entre les flux entrants et sortants reprsentent, sils sont ngatifs, les impasses de gestion. tablies sur une dure de cinq ans et regroupes par tranche : trois mois, six mois, un an, deux ans, trois ans, quatre ans, cinq ans et plus. La matrise des impasses a un effet sur la structure de la collecte prvisionnelle et des crdits moyen et long terme.
Groupe Eyrolles

ALM et gestion du risque de taux Le risque de taux est dfini comme le risque encouru en cas de variation des taux dintrt du fait de lensemble des oprations de bilan et de hors-bilan.

108 Partie 3 La banque ou la compagnie dassurances hors risque

Il existe un risque de variation des rsultats gnrs par les variations des taux dintrt se traduisant par une diminution du PNB (produit net bancaire). On dnombre deux risques : taux fixe taux fixe ; taux fixe taux variable. Le risque de taux fixe taux variable peut tre couvert par un swap de taux : il sagit dune macro-ouverture revenant un change dintrts et non de capital ; le prix du swap est obtenu en actualisant les flux de capitaux et dintrts taux fixe (premire jambe) ; et les mmes taux variable (deuxime jambe).

valuation de ltablissement bancaire et ALM La valorisation de la valeur liquidative de la banque passe par le calcul de la valeur actuelle nette des actifs et des passifs : dans le calcul des impasses les encours sont classs la date darrt selon leur dure restant courir en actif comme en passif ; ces chanciers de flux financiers sont complts par ceux correspondant aux autres encours (immobilisations, participations, fonds propres) et sont actualiss au taux de la courbe de taux ; lapproche dynamique applique le mme raisonnement en intgrant en plus les prvisions dactivit sur cinq ans. Les flux prvisionnels gnrant un bilan actuariel compltent le bilan valoris dans lapproche statique.

La mise sous contrle des risques oprationnels


Environnement dentreprise et gouvernement dentreprise de la banque
Les acteurs cls du gouvernement dentreprise dans le secteur bancaire sont : le comit daudit : il supervise les mthodes mises en uvre en termes de contrle interne et externe ; le comit des rmunrations : il fixe la rmunration des membres du conseil dadministration et lattribution des stock-options ; la direction de laudit interne : elle pilote ventuellement le projet SOX impos par la SEC ou le projet 8e directive EEC dans le secteur bancaire, ainsi que la stratgie ALM.

Les attributions cls du comit daudit en vue de construire un risk management bancaire mature On entend par comit daudit un comit qui peut tre cr par lorgane dlibrant pour lassister dans lexercice de ses missions. Cette cration nest pas obligatoire ce jour (elle le devient avec la 8 e directive europenne sur laudit lgal) et, mme si elle est formellement encourage par les autorits

Groupe Eyrolles

Ch. 2 Le risk management bancaire 109

de tutelle, il appartient au seul organe dlibrant de ltablissement de crdit de dcider ou non de sa cration, sa composition, ses missions et modalits de fonctionnement. Sa cration est de nature faciliter le contrle effectif par les conseils dadministration dont le comit daudit est une manation, et sa mission ne doit pas se limiter lanalyse des comptes, mais stendre lapprciation de la qualit des dispositifs de contrle et des outils de pilotage. Il a deux missions principales : il est charg de vrifier la clart des informations fournies et de porter une apprciation sur la pertinence des mthodes comptables adoptes par ltablissement des comptes individuels et, le cas chant, consolids ; il doit porter une apprciation sur la qualit du contrle interne, notamment la cohrence des systmes de mesure, la surveillance et la matrise des risques, ainsi que proposer, autant que de besoin, des actions complmentaires ce titre. Le comit daudit assure galement dautres tches, telles que : maintenir la communication entre le conseil dadministration, les dirigeants et les auditeurs internes et externes, afin dchanger des informations et des points de vue ; surveiller et apprcier lindpendance de la qualit, le rapport efficacit/cots et le champ de la fonction daudit interne ; effectuer un examen indpendant des tats financiers annuels et dautres informations externes pertinentes ; donner des avis sur la nomination dun auditeur externe ; sassurer que ltablissement de crdit opre dans le respect des lois et des rglementations.

Groupe Eyrolles

Les outils du dispositif de risk management bancaire Le dispositif de risk management bancaire se compose des outils suivants : procdures de rvision comptable/commissariat aux comptes en Domestic GAAP, IFRS et US GAAP (en cas de rconciliation des comptes consolids IFRS US GAAP) ; existence de plans de continuit de lexploitation et dfinition des applicatifs critiques ; cartographie exhaustive des processus compatibles avec les dispositifs de contrle qualit ; plan de protection des informations ; processus de rvision et darrts de comptes de type Sarbanes-Oxley en cas de cotation aux USA ; requtes informatiques dautocontrle (identification doprations anormales) ; procdures crites ; manuel de conventions intragroupe ;

110 Partie 3 La banque ou la compagnie dassurances hors risque

cartographie type des critures comptables (schmas comptables autoriss) ; tableaux de bord sinistralit/non-qualit. Ces composantes servent la fois alimenter le Sirm (systme dinformation risk management) et le volet monitoring du COSO.

Les outils spcifiques de gestion de crise (plans de continuit, communication de crise) Les tablissements bancaires se doivent de simuler les impacts des scnarii de crise bancaire et dvaluer leur impact via un indicateur financier, Value At Risk (VAR) : il sagit de la perte potentielle maximale encourue par une banque dans un dlai dtermin. Cette perte maximale est obtenue par application dune mthode dvaluation des risques, aprs limination des 1 % des occurrences les plus dfavorables. Cette mthode, utilise partir de 1998 pour rpondre aux exigences des rgulateurs en matire de calcul des fonds propres rglementaires sur lessentiel des risques de march, est celle de la simulation historique et repose sur les principes suivants : constitution dun historique de paramtres de march reprsentatifs du risque des positions ; dtermination de 250 scnarii correspondants aux variations sur un jour observes sur un historique dun an glissant ; dformation des paramtres du jour selon ces 250 scnarii ; revalorisation des positions du jour sur la base de ces 250 dformations des conditions de march.
Matrice dvaluation des impacts Trs lev lev Moyen Faible

Pertes financires Lchelle des pertes est dfinie par le management en sappuyant sur les directes donnes comptables de lactivit tudie (PNB moyens journaliers/menPertes de revenu suels/annuels) et sur les indicateurs de risques (par exemple : VAR) Incapacit rpondre aux obligations rglementaires. Pertes de licence ou de droit oprer sur les marchs Nombreuses plaintes et poursuites avec pnalits financires majeures. Les dirigeants de la banque sont exposs des poursuites Incapacit rpondre certaines obligations rglementaires majeures. Mises sous surveillance. Risques de suspension temporaire des activits Plaintes et poursuites avec des clients et des contreparties avec possibilit de pnalits financires consquentes Incapacit rpondre certaines obligations rglementaires dans les dlais impartis, bien que les rgulateurs puissent accepter quelques retards Quelques plaintes ou poursuites possibles de la part de clients ou de contreparties mais avec des pnalits financires limites La banque nest pas dans lincapacit de faire face ses obligations et/ou tolrance probable des rgulateurs

Impacts rglementaires

Impacts lgaux/juridiques

Groupe Eyrolles

Possibilit limite dactions en justice contre la banque

Ch. 2 Le risk management bancaire 111

Trs lev La banque est mise en dehors du march. La reconstruction de la rputation demandera plusieurs mois/annes avec des cots et des efforts trs importants

lev Perte dun nombre significatif de clients majeurs. Altration sensible des relations avec les contreparties. La reconstruction de la rputation demandera des mois avec des cots et des efforts supplmentaires Perturbations majeures sur un nombre significatif dautres activits de la banque

Moyen Pertes de clients mineurs ou perte limite de clients majeurs. La rputation de la banque pourra tre reconstruite en quelques semaines avec des efforts supplmentaires Quelques perturbations mineures sur dautres activits travers la banque

Faible Probabilit faible de perdre des clients court terme. Pas deffort supplmentaire requis pour grer limage de la banque aprs le sinistre

Impacts sur limage/ la rputation

Perturbations importantes de la Impacts sur les autres processus plupart des activits critiques de la de la banque banque

Peu ou pas dimpact sur les autres activits de la banque

Les difficults lies la mise en uvre dune rflexion du type gestion de crise, plan de continuit La rflexion en termes de conception dun plan de reprise dactivit (PRA) passe par un certain nombre darbitrages : les arbitrages en termes de cot financier et social ; les arbitrages techniques sur la faisabilit (on ne peut pas tout faire) ; les arbitrages stratgiques (les risques oprationnels ne sopposent-ils pas aux businesses) ; il y a un quilibre trouver entre business et efficacit oprationnelle, contrle et rsilience, contrle et activit La plupart des tests doivent tre raliss par prcaution les jours o lactivit est nulle. Les acteurs des tests se doivent de simuler des transactions fictives, par exemple en envoyant dans le systme une opration de 1 euro. Ces tests sont raliss dans des environnements aseptiss, contrls et scuriss. Cela a un intrt certain, mais peu reprsentatif dune situation relle en cas de crise. Do la proposition dun test en situation relle avec des transactions relles. Ce test pourrait tre effectu : en production normale, cest--dire en semaine ; ou en journe Target (jours fris pour lesquels les marchs financiers sont ouverts), cest--dire en production limite. Il existe des liens de dpendance forts avec certains partenaires, parties prenantes (structures dinfogrance par exemple). Ceux-ci doivent aussi tre rsilients ou travailler dans ce sens. quoi bon effectuer un effort pour homogniser les plans de continuit des activits dans une organisation qui dpend troitement dune autre entit non rsiliente ? Do limportance de la communication, de la sensibilisation et de ladhrence des partenaires cette dmarche.

Groupe Eyrolles

112 Partie 3 La banque ou la compagnie dassurances hors risque

Le benchmark est aussi une problmatique des autorits financires de faire rfrence aux diffrents tests de place. Par exemple, la place financire de Paris effectue rgulirement des tests, la FSA galement. Dans une logique densemble on convergera vers une rduction du risque systmique. Lvolution des PCA vers une convergence intragroupe soulve de nouveaux besoins, comme un rfrentiel commun : il faut un rfrentiel commun qui recense les activits, processus et sous-processus de lentit et qui rpertorie et tablit les liens entre diffrentes entits. Ces rfrentiels de processus, et les cartographies (applicatives, fonctionnelles, etc.) affrentes, devront tre maintenus jour. La transversalit est un concept important : la plupart des grands groupes communiquent sur leur structure ( Cohrence et subsidiarit ). Dans la plupart de ces groupes, on note un fonctionnement majoritairement en silo. Il convient de dpasser cette vision et de progresser vers une dimension transversale.

Contrle des activits dans le secteur bancaire


Les risques spcifiques (hold-up, informatique)
Le risque de hold-up Le risque de hold-up est un risque spcifique au secteur bancaire qui ncessite dengager une politique de prvention ddie passant par : un quipement systmatique des agences en sas de scurit ; la suppression de remise et transactions en liquide dans certaines agences risque ; une politique dapprovisionnement hautement scurise via les convoyeurs. Le risque informatique Le risque informatique, bien que non spcifique aux tablissements bancaires, est un risque majeur qui ncessite dengager des mesures prventives substantielles, compte tenu du caractre de dmatrialisation de lactivit bancaire, telles que : duplication du rseau ; back-up informatique intragroupe et externe (avec constructeur et structure dinfogrance).

Les dlais darrt de lexploitation informatique doivent tre trs courts et paralyseront compltement lensemble des processus bancaires. Cependant, les autres outils de mise sous contrle des risques prsents dans cet ouvrage (assurance, prvention, etc.) seront, bien entendu, mis en uvre et activs.
La prvention du risque de blanchiment et du nancement du terrorisme Les dispositifs de prvention du risque de blanchiment et de financement du terrorisme sont la hauteur de leurs enjeux et de la complexit des circuits utiliss. Ils stayent sur les piliers suivants : dispositifs organisationnels (formation des chargs de clientle, supervision et contrle managrial) ; processus de contrle interne spcifique (formalisation de lentre en contact, suivi des flux et des transactions, documentation et conservation des preuves, dclaration de soupons).

Groupe Eyrolles

Ch. 2 Le risk management bancaire 113

Les lments permettant didentifier de tels risques sont les suivants : transaction suprieure 150 000 euros ne paraissant pas avoir de justification conomique ou dobjet lgal ; cas de versements en espces substantiels ; transferts de fonds frquents ; distance importante non justifie entre ltablissement bancaire et la situation du client ; mouvements frquents et non justifis sur comptes dans diffrents tablissements ; cycle de vie des comptes rapide ; mouvements frquents non justifis de fonds entre des tablissements se trouvant dans des zones gographiques diffrentes.
Le dispositif de contrle interne relatif labus de march La directive europenne Abus de march se fixe pour objectif de renforcer lintgrit des marchs en rglementant le dlit diniti et la manipulation des cours de march. La directive intgre une dimension dclarative visant prvenir ces risques : pour lmetteur : tablissement dune liste dinitis sur laquelle figurent toutes les personnes travaillant pour lmetteur ou ses relations professionnelles ayant accs des informations privilgies ; pour les dirigeants des groupes cots : dclarer toute opration pour leur propre compte sur instruments financiers ou instruments de march (au sens de lIAS 39) de la socit concerne dans les cinq jours ouvrables conscutifs la transaction ; pour les analystes et journalistes : informations prcises fournir pour sassurer de leur indpendance et de la pertinence de leurs recommandations ; pour les prestataires de services dinvestissement : effectuer une dclaration dopration suspecte ds que ltablissement un soupon sur un abus de march possible. Les enjeux de la mise en uvre de la directive MIF du 21 avril 2004 La directive europenne MIF (March des instruments financiers) a pour objectif de renforcer le niveau de protection des investisseurs via la meilleure excution des transactions (best transactions), par la classification des clients par leur niveau de risque, par ladaptation de linformation financire et de la qualit de service en fonction de cette classification, par la prvention des conflits dintrts. Elle se traduit aussi par un largissement du primtre du risk management bancaire en termes dacteurs (ouverture en conseil en investissement), de typologies dinstruments financiers (intgration des contrats drivs en matires premires) et des transactions ralises. Elle se matrialise par la classification des clients en trois typologies se concrtisant par un service personnalis (suitability/appropriateness), savoir : contreparties ligibles (tablissements de crdit, socits de gestion) ; clients professionnels (entreprises, institutionnels) ; particuliers ncessitant de bnficier dune protection renforce.

Groupe Eyrolles

114 Partie 3 La banque ou la compagnie dassurances hors risque

La directive MIF met ainsi en exergue la ncessit dune mise sous contrle de la relation client en fonction de sa catgorie dappartenance, passant pralablement par une information pralable claire et non trompeuse et se traduisant par une meilleure connaissance du client, une prvention des conflits potentiels optimisant la politique de best execution (gestion des ordres client) et autorisant la mise en uvre de la suitability/appropriateness.

Les risques gnriques Les compagnies bancaires partagent de nombreux risques oprationnels communs avec les groupes industriels, tels que : risque de rupture dapprovisionnement sur les achats de frais gnraux ; risque politique pour les filiales et partenariats tablis dans les pays en dveloppement ; risque IARD ; risque humain concernant les collaborateurs de la banque. Les outils utiliss pour mettre sous contrle ces risques sont identiques ceux des groupes industriels et nous invitons le lecteur se reporter aux chapitres de louvrage traitant de ces thmes.

La mise sous contrle du lancement des produits risque (techniques de titrisation)


La chute rcente de grands groupes bancaires amricains et europens attire notre attention sur les causes de ces dfaillances. Le rapport Ricol nous interpelle sur les dfaillances des dispositifs de gouvernance des banques lis au lancement des produits risque (pas de rle dalerte et rupture dans les chanes de commandement). Mais, de fait, quoi correspondent ces produits risque qui ont ncessit de raliser des tests de dprciation des actifs financiers des tablissements bancaires ?
Incendie du sige du Crdit lyonnais

Exploitation informatique : Dlai : immdiat Back-up sur centre de traitement de secours

Rinstallation des agences dans le quartier : Dlai : 3 jours

Impossibilit de continuer les interventions salle de march : destruction de 200 postes de trader

Destruction de lautocommutateur

Mise en place de lquipe gestion de crise Tlcommunication

Transfert dune partie des traders sur les filiales trangres

Plan de reprise dactivit salles de marchs : lincendie du sige du Crdit lyonnais

Groupe Eyrolles

Back exploitation informatique sur les constructeurs : DIGITAL et HP

Duplication des informations financires : REUTER /BLOOMBERGE

Back-up sur filiale SANIS : 120 postes de traders

Dploiement des archives vives : mmos, rpertoires

Ch. 2 Le risk management bancaire 115

Les diffrentes techniques de titrisation Il existe deux types de techniques de titrisation : titrisation on balance sheet ; titrisation off balance sheet. La titrisation on balance sheet se caractrise par lmission par une banque de titres gags sur un pool de crances qui restent lactif du bilan mais sont cantonnes dun point de vue juridique. Ce type de technique ne prsente aucun intrt en vue de modifier la structure financire dans une optique de respect des contraintes lies Ble II. La titrisation off balance sheet a pour effet de doper la rentabilit de la banque par dconsolidation de ses crances. Dans ce montage, la banque a un vhicule de refinancement de ses crances. Le SPV (Special Purpose Vehicle) finance lacquisition des crances par mission de titres (asset-backed securities). Les revenus encaisss par les investisseurs du SPV proviennent des revenus des crances transfres et inscrites lactif du bilan du vhicule de refinancement. On distingue les mortgage backed securities si les crances titrises sont des crdits hypothcaires, des ABS, si les crances titrises correspondent des prts la consommation ou des prts automobiles. Les causes de dfaillance de ces techniques de titrisation Les troubles apparus lt 2007 sont intervenus aprs une priode de croissance exceptionnelle de distribution du crdit et de recours, pour financer ce crdit, un levier dendettement considrable dans le systme financier. Les banques prteuses ont utilis la titrisation et vendu leurs crances dautres intermdiaires financiers (suivant le modle dit originate to distribute), en dehors de toute rgulation, sous la forme de vhicules dinvestissement structurs (SIV) et dautres vhicules hors bilan. Ces vhicules, qui regroupaient des crances de long terme et de qualit variable, taient financs par des investisseurs court terme. Aprs plusieurs annes de conditions macroconomiques favorables et dans un contexte de liquidit abondante, les investisseurs se sont montrs de moins en moins vigilants au regard des risques croissants de ces nouveaux produits financiers toujours plus complexes, mais nanmoins trs bien nots par les agences de notation, ce qui sous-entendait un faible risque pour les investisseurs, les institutions financires et les autres acteurs. Laugmentation du taux de dfaut des emprunteurs sur les prts hypothcaires subprimes aux tats-Unis a entran un asschement de la liquidit sur ces marchs. Les relations interbancaires en ont t largement affectes au travers dune crise de confiance. Les banques ont par consquent eu subir de lourdes pertes, ce qui a in fine dclench une crise financire mondiale. Les banques centrales ont d, et doivent encore, effectuer des injections rptes de liquidit pour maintenir une certaine confiance.

Groupe Eyrolles

Chapitre 3

Le risk management dans les compagnies dassurances


Les compagnies dassurances sont culturellement peu habitues raisonner en termes de risques oprationnels internes, bien que leur mtier consiste financer les risques purs de leurs clients. Elles ont se protger face deux types de risques : les risques lis au mtier financier (dont gestion dactifs et mandats de gestion intragroupe ou pour le compte de tiers) ; les risques oprationnels gnriques quelles rencontrent dans la ralisation de leurs diffrents mtiers (assurance-vie, non-vie, gestion immobilire, banque, etc.).

Risk management des mtiers financiers


Le risque de contrepartie
Dfaillance dun metteur obligataire Ce risque correspond au cas de figure de lacquisition par une compagnie dassurances de titres dtenus chances (emprunts obligataires remboursables in fine et gnrant des coupons sur la priode damortissement du risque). En IFRS, cet emprunt est trait selon la mthode du cot amorti, comptabilisant soit une prime dans le cas dun cart de performance en faveur de linvestisseur ou de dcote dans lhypothse dun cart de performance en dfaveur du souscripteur. Le risque voqu nest pas celui dune sous-performance des titres dtenus chance, se traduisant par un test de dprciation, mais par une insolvabilit de lmetteur ncessitant de dprcier intgralement la valeur de lactif dans le bilan de la compagnie. Dfaillance dune contrepartie sur drivs Ce risque correspond linefficacit totale de la contrepartie dun instrument de couverture, se traduisant : soit par une diminution du rsultat financier, dans le cas dune couverture de juste valeur (hypothse dun instrument de couverture portant sur des actifs ou des passifs existants) ; soit par une diminution de la rserve de juste valeur dans le cas dune couverture de cash-flows (protection de cash-flows prvisionnels de la compagnie).

Groupe Eyrolles

118 Partie 3 La banque ou la compagnie dassurances hors risque

Le risque de march
Dprciation sur actions Ce risque se traduit par un cart de performance structurel entre le rendement attendu dune action cote en Bourse et son rendement rel. noter que lIASB (International Accounting Standards Board) et le FASB (Financial Accounting Standards Board), face la crise conomique et financire du dernier trimestre 2008, ont pris une position nouvelle faisant apparatre la notion de march inactif, limitant ce type de risque. Lors du sommet des tats de la zone euro du 12 octobre 2008, leurs dirigeants ont fix les termes dun plan daction concerte prvoyant, en particulier, une approche coordonne visant assurer assez de flexibilit dans la mise en uvre des rgles comptables IFRS . Compte tenu des circonstances exceptionnelles actuelles, les institutions financires comme les institutions non financires doivent pouvoir comptabiliser, en tant que de besoin, leurs actifs en prenant en compte leurs modles dapprciation des risques de dfaillance de prfrence aux valeurs de march immdiates qui ne sont plus pertinentes dans des marchs qui ne fonctionnent plus. Cette dclaration suit la recommandation mise lors de lEcofin du 7 octobre 2008, lattention des superviseurs et des auditeurs de lUnion europenne, dviter toute distorsion de traitement entre les banques amricaines et europennes du fait des normes comptables, et ce, ds la clture des comptes intermdiaires au 30 septembre 2008. Le Conseil national de la comptabilit, lAutorit des marchs financiers, la Commission bancaire et lAutorit de contrle des assurances et des mutuelles ont labor, aprs une runion avec la Compagnie nationale des commissaires aux comptes, une recommandation conjointe destine rappeler le traitement comptable de certains instruments financiers (IAS 39), pour lesquels les perturbations des marchs ne permettent plus dobserver un prix de march fiable. Cette recommandation vise apporter les clarifications ncessaires pour larrt des comptes intermdiaires ou annuels clos partir du 30 septembre 2008. Elle sapplique aux comptes consolids, tablis selon les normes IFRS en vigueur, telles quadoptes par lUnion europenne, des entits dtenant des actifs financiers valoriss la juste valeur et pour lesquels les marchs sont inactifs (cas dune crise boursire o le cours ne reflte plus la valeur dune entreprise). Dans le contexte actuel, la valeur de march de certains actifs financiers nest pas, elle seule, pertinente et ne permet pas une bonne apprciation de la situation financire et des rsultats des entreprises. En outre, la dtermination de la juste valeur de certains instruments financiers, dont la variation de valeur affecte le rsultat ou les capitaux propres, soulve des difficults pratiques importantes, tant pour les prparateurs que pour les commissaires aux comptes et les utilisateurs de linformation. cet gard, les quatre autorits prennent bonne note de la communication conjointe de la Securities and Exchange Commission (SEC) et du FASB du 30 septembre 2008, et de la publication du FASB du 10 octobre (FSP FAS 157-3), qui apportent des clarifications utiles sur la comptabilisation la juste valeur des actifs financiers lorsque les marchs ne refltent plus la valeur des groupes.

Groupe Eyrolles

Ch. 3 Le risk management dans les compagnies dassurances 119

Les autorits prcites prennent galement acte des dclarations de lIASB des 2 et 14 octobre 2008, qui indiquent que les clarifications apportes par la SEC et le FASB sont conformes la norme IAS 39 Instruments financiers : comptabilisation et valuation . Les clarifications voques dans ces communications, qui ont lagrment des quatre autorits et sappliquent dans le cadre de la norme IAS 39 en situation de march inactif, portent sur lutilisation des hypothses dveloppes par lentreprise en labsence de donnes de march pertinentes. Lorsque les marchs sont en crise, lutilisation dhypothses internes dveloppes par la compagnie relative aux flux de trsorerie futurs, et de taux dactualisation correctement ajusts des risques que prendrait en compte tout participant au march (risque de contrepartie, de non-performance, de liquidit ou de modle notamment) est justifie. Ces ajustements sont pratiqus de manire raisonnable et approprie, aprs examen des informations disponibles. Cette rforme de la norme IAS 39 autorise donc les compagnies dassurances concevoir des modles internes sappuyant sur des modles dvaluation des titres perfectionns, tels que : mthode des comparables ; mthode du fair value rating, base sur la construction dune grille de scoring stratgique et financire permettant de dfinir une prime de risque ; la place des cotations de courtiers dans lapprciation des informations disponibles ; dans le contexte dun march inactif, les cotations des courtiers ne sont pas ncessairement reprsentatives de la juste valeur, lorsquelles ne sont pas le reflet de transactions intervenant sur le march ; la place des transactions forces dans la dtermination de la juste valeur. Les transactions rsultant de situations de ventes forces nont pas tre prises en compte pour la dtermination de la juste valeur dun instrument financier. En priode de march illiquide, il nest pas appropri de conclure que toute lactivit de march traduit des liquidations ou des ventes forces. Cependant, dans ces mmes conditions, il nest pas non plus appropri de conclure que tout prix de transaction observ est ncessairement reprsentatif de la juste valeur. Lapprciation du caractre forc dune transaction repose sur lexercice du jugement. Notamment sur les prix de transactions observs sur un march inactif. Les prix des quelques transactions qui interviennent sur un march inactif sont une donne prendre en considration dans la valorisation dun instrument financier, mais ne constituent pas ncessairement une composante dterminante. La dtermination du caractre actif ou pas dun march, qui peut sappuyer sur des indicateurs tels que la baisse significative du volume des transactions et du niveau dactivit sur le march, la forte dispersion des prix disponibles dans le temps et entre les diffrents intervenants de march ou le fait que les prix ne correspondent plus des transactions suffisamment rcentes, requiert, en tout tat de cause, lutilisation du jugement. Enfin, les quatre autorits prennent acte de ladoption par lIASB, le 13 octobre 2008, de la rvision de la norme IAS 39 en vue de permettre le reclassement de certains

Groupe Eyrolles

120 Partie 3 La banque ou la compagnie dassurances hors risque

instruments financiers en titres dtenus chance, et ce, conformment aux souhaits exprims lors de la runion Ecofin prcite.

Dprciation sur actifs de placement Ce risque se matrialise par une sous-performance des immeubles de placement en contrepartie de provisions techniques (IAS 40), dans lhypothse o les revenus locatifs gnrs sont structurellement infrieurs aux prvisions tablies et communiques. Dprciation sur participations non cotes Ce risque se traduit par la ralisation dun test de dprciation dans lhypothse o la performance attendue par la participation dans une socit non cote ne se matrialiserait pas (pas de versements de dividendes ou dividendes encaisss structurellement infrieurs aux prvisions). Ce type de dprciation aura obligatoirement un impact sur le goodwill associ dans lhypothse o le business plan de la socit cible ne se matrialiserait pas.

Les risques lis aux mandats de gestion dactifs


Les risques lis aux mandats de gestion, aussi bien pour le compte de filiales intragroupes ou pour le compte de clients tiers, sont des risques significatifs que doivent grer les groupes dassurances. Le dispositif de risk management li la gestion dactif se dcompose en six tapes.

laboration du business plan Les principaux risques identifis ce niveau sont les suivants : analyse stratgique non ou mal ralise (forces, faiblesses, menaces et opportunits) ; erreur dans les estimations de cash-flows gnrs par les actifs subordonns. Audit des contraintes rglementaires du client Le principal risque identifi ce niveau est un risque de lgalit (infraction une rglementation en vigueur) concernant le droit obligataire, le droit des socits, le droit fiscal dans le cadre de lvaluation des contraintes rglementaires lies au mandat de gestion prvisionnelle confi par le client. Dfinition du cadre de gestion Le risque principal cette tape est un risque dinfraction la sparation des pouvoirs des acteurs demande en termes de mandats de gestion (dpositaire, gestionnaire, etc.). Le cadre de gestion doit dcrire les modalits de fonctionnement entre ces diffrents acteurs, les flux dinformations associs (dont le reporting sur la performance des actifs), les modalits de gestion de contentieux ventuels (intgration ou non dune clause de renonciation recours). Proposition dallocation dactifs Le principal risque identifi ce niveau est un risque de non-respect du couple risque/rendement associ au mandat de gestion prvisionnelle.

Groupe Eyrolles

Ch. 3 Le risk management dans les compagnies dassurances 121

Ce risque peut tre prvu en utilisant des modles de gestion de portefeuille tels que : la droite de march (modle de Modigliani et Miller) pour les portefeuilles dominante actions, modle postulant que la rentabilit prvisionnelle dune action dpend : de la rentabilit financire prvisionnelle du march (mesure par un indice boursier), du risque exogne, du risque endogne de la socit (valu par leffet de levier dexploitation) ; le Modle dquilibre des actifs financiers (Mdaf) pour les mandats de gestion bass sur des actifs subordonns dominante obligation. Ce modle considre que chaque obligation mise par un groupe de droit priv doit proposer une prime de risque compltant un rendement moyen observ sur le march obligataire risque nul (garanti par ltat).

Mise en uvre de lallocation dactifs Il existe de nombreux facteurs de risques lis lallocation effective des actifs subordonns lis aux mandats de gestion : dcalage sur mix par rapport la proposition initiale ; non-optimisation dans lencaissement des dividendes, des coupons, des produits financiers par le gestionnaire ; erreurs sur oprations titres lors des passations dachat ou de vente, non-ralisation ou retard de ralisation des transactions pouvant se traduire par un prjudice (moins-value) pour le client. Reporting Dans ce domaine les principaux risques anticiper sont les suivants : erreur dans le reporting (relevs de performance) se traduisant par un prjudice ou par une plus-value non fonde avec exercice de cette dernire pour le client ; retard de production du reporting li, par exemple, un dysfonctionnement des systmes dinformation du gestionnaire.

Risque en propre des filiales (recapitalisation)


Ce risque se matrialise par lobligation de recapitaliser une filiale stratgique, quelles que soient les raisons de cette capitalisation (march en baisse, secteur en phase de dclin, etc.), ou de lui accorder des prts intragroupe des taux bonifis limitant ainsi la capacit du groupe dassurances financer la croissance dautres entits du groupe prennes.
Groupe Eyrolles

Le processus de la mise sous contrle des risques oprationnels


La mise sous contrle des risques oprationnels ncessite une organisation spcifique du dispositif de risk management afin de garantir son efficacit.

122 Partie 3 La banque ou la compagnie dassurances hors risque

Lorganisation du dispositif de risk management au sein des groupes dassurances


Au sein du groupe dassurances, la direction du risk management a pour objectifs lidentification, la quantification et la gestion des principaux risques auxquels le groupe est expos. Pour ce faire, des mthodes et des outils de mesure et de suivi, proposs dans cet ouvrage, sont dvelopps par la direction risk management. Ce dispositif permet de proposer une gestion optimale des risques pris par le groupe et de contribuer, dune part, la diminution de la volatilit des rsultats grce la fixation de normes conduisant une meilleure apprciation des risques pris et, dautre part, une optimisation des fonds propres allous par le groupe dassurances ses diffrentes activits. La fonction de risk management au sein du groupe est en gnral coordonne par une quipe centrale, laquelle est relaye par des quipes de risk management locales (par zone gographique linternational pour les groupes cots) dans chaque entit oprationnelle du groupe.

Les principes et priorits de la fonction risk management dans le secteur assurance


Afin dapporter une contribution tangible et mesurable aux activits du groupe, la fonction risk management doit tre construite au sein dun groupe dassurances autour de trois orientations stratgiques : une approche pragmatique centre sur des priorits clairement identifies ; une approche oprationnelle en liaison directe avec les activits du groupe ; une approche dcentralise base sur le principe de subsidiarit en ligne avec lorganisation gnrale du groupe dassurances. Le risk management se doit davoir cinq missions prioritaires : le pilotage et le suivi de la gestion actif-passif ainsi que la mise en uvre des travaux de capital conomique ; lapprobation pralable au lancement des nouveaux produits et la promotion de linnovation en matire de produits ; la gestion des expositions dassurance qui comprend notamment la revue des provisions techniques et loptimisation des stratgies de rassurance ou de coassurance en tant que cdante ou en tant que cessionnaire ; lidentification et la mesure des risques oprationnels ; la gestion des systmes dinformation : outils de projection, de simulation, de mesure de risques, dagrgation et de reporting.

Le dispositif de reporting risk management La structure groupe doit tre principalement organise autour dun directeur du risk management. Ce dernier doit tre plac sous lautorit du comit des risques, qui est responsable de la dfinition des standards mthodologiques du groupe dassurances concernant les principaux risques.

Groupe Eyrolles

Ch. 3 Le risk management dans les compagnies dassurances 123

Cela inclut le dveloppement et le dploiement doutils de mesure et de gestion du risque (dont les bases incidents permettant de mesurer la sinistralit interne du groupe). Cette direction doit coordonner galement les processus de dtection et de gestion des risques au niveau du groupe et indirectement au niveau des filiales. Cela inclut notamment lensemble des procdures de reporting de risque et leur agrgation au niveau mondial. Enfin, cette direction se doit de coordonner les quipes locales (zones gographiques) de risk management des diffrentes filiales du groupe.

Risk managers par zone gographique ou locaux Les quipes locales de risk management doivent tre en charge de lapplication des standards groupe en matire de gestion des risques dune part, et de la mise en uvre des exigences minimales dfinies par la direction dautre part. Ce mode dorganisation permet la mise en uvre effective du dispositif de risk management en ce qui concerne ltude des risques ci-dessous.

La mise sous contrle des risques oprationnels


Risque dirrgularit relative aux contrats La non-conformit des contrats intgre un certain nombre de sous-cas de figure :
Risque dirrgularit relative aux contrats Dfaut de formalits substantielles, informaCarences concernant lexhaustivit du contrat tions errones sur les caractristiques du proou la conformit des produits aux rglemenduit, engagement sur une performance tations financire non tenue Transactions ou pratiques non compatibles avec les normes groupe

Insuffisance du formalisme juridique

Non-actualisation du contenu des contrats

Utilisation de documents dont le format est non valide, dnonciation hors dlai

Insuffisance concernant lobligation de moyens en matire de performance

Dfaut de conseil, manquements lis aux conditions ncessaires de la prestation Non-respect des clauses des contrats clients, des contrats de partenaires et parties lies, de fournisseurs Lie la complexit de la rdaction, des clauses optionnelles, la non-comprhension linguistique, la mconnaissance dun systme juridique tranger

Pas de respect des engagements contractuels


Groupe Eyrolles

Erreur dinterprtation ou danalyse

124 Partie 3 La banque ou la compagnie dassurances hors risque

Ces risques se matrialiseront par une remise en cause de la responsabilit civile, par des pertes financires et une perte dimage pour la compagnie dassurances (risque assurable pouvant tre couvert par une police responsabilit civile professionnelle).

Risque de non-conformit rglementaire Ce risque intgre un certain nombre de cas de figure prsents ci-dessous. La matrialisation de ces risques aura un impact au civil et/ou au pnal.
Risque de non-conformit rglementaire Infraction la lgislation sociale sur le fonctionnement des instances reprsentatives et sur les rgles applicables aux personnes (par exemple : absence dinstance, entrave, discrimination, marchandage, harclement sexuel, temps de travail) ; infraction aux rgles applicables aux socits cotes ou mettant des emprunts obligataires ou des actions (par Infraction la rglementation exemple : segment reportinga, interim reportingb, formalits et aux obligations contractuelles de publicit, cumul des mandats) ; infraction aux rgles de fonctionnement des instances de gouvernance (par exemple : formalits, pouvoirs, ingrence), infraction fiscale, (par exemple : TVA, IS) ; infraction aux rgles Cnil, violation du secret mdical, infraction aux rgles antiblanchiment ou financement du terrorisme, non-respect dune obligation dassurance Ignorance de la rglementation Droit de la concurrence, droit civil et pnal, droit des assurances, droit social, droit fiscal, droit des socits, droit des affaires, droit de la concurrence

Erreur dinterprtation et de qualification

Droit social, droit fiscal, droit des socits

Litiges et contentieux

Avec les clients, les prestataires et partenaires, les salaris (licenciement, sanctions disciplinaires) Absence de jurisprudence, revirement, (par exemple : requalification des contrats dassurance ), limitation de lexercice professionnel Textes dapplication non parus, conflit dinterprtation, jurisprudence contradictoire, absence de prcdent

volution ngative de la jurisprudence

Erreur dinterprtation face une nouvelle rglementation

a. tats financiers par branche. b. Arrt des comptes trimestriels.

Groupe Eyrolles

Mconnaissance dun changement de rglementation

Rgles nationales ou internationales, insuffisance de la veille rglementaire, manque danticipation

Ch. 3 Le risk management dans les compagnies dassurances 125

Les consquences au civil dune infraction aux contraintes rglementaires peuvent tre couvertes par une police dassurance responsabilit civile mandataires sociaux. La souscription dune telle police, mme si elle revt un caractre lgal et vise limiter le prjudice caus par un acte dlictuel commis par un mandataire social, outre le fait quelle peut sembler choquante dun point de vue moral ou thique, pose des problmes de conformit en termes de gouvernance.
Exemple de police dassurance RC mandataires sociaux dun groupe banque/assurance RC mandataires sociaux Faits gnrateurs Infraction en matire bancaire et boursire Infraction par rapport la rglementation AMF Dlit de manipulation des cours Dlit diniti Dlit de fausses informations Erreurs dans la gestion de comptes bancaires, dans lutilisation de services ou oprations de caisse Pratiques, pouvant mettre en pril la marge de solvabilit de la compagnie ou lexcution des engagements contracts envers les assurs, socitaires adhrents ou ayants droit Omission de transmission ou retard de transmission dans le rapport joint au rapport de gestion des conditions de prparation et dorganisation des travaux du conseil ainsi que les procdures de contrle interne mises en uvre (article 117, loi 1er aot 2003) Faute de gestion Imprudence ou imprvoyance dans la gestion du patrimoine social Abstention fautive Abus de biens sociaux Responsabilit pour violation dun texte Violation de la loi Violation des statuts sociaux Infraction fiscale
Groupe Eyrolles

Extension directeur gnral dlgu Au sens loi NRE (nouvelles rgulations conomiques)

126 Partie 3 La banque ou la compagnie dassurances hors risque

Risques lis un dysfonctionnement des systmes dinformation Les compagnies dassurances, du fait du caractre immatriel de leurs prestations et de la monte en puissance des prestations informatises (souscription de polices en ligne par exemple), sont trs sensibles au risque informatique physique (destruction dune salle dexploitation, dune salle rseau) ainsi quau risque immatriel (contamination virale, etc.).
Risques lis aux systmes dinformation Analyse des besoins incomplte, sous-dimensionnement des serveurs et/ou des rseaux, Inadaptation de la configuration des matriels surdimensionnement, inadquation des choix techniques, obsolescence Indisponibilit des matriels et des rseaux, indisponibilit des outils de communication avec les partenaires, pannes des matriels ou lies un dysfonctionnement de lenvironnement physique des matriels, dlai/cots de maintenance levs, non-respect des procdures de maintenance

Inadaptation de la maintenance

Inaccessibilit physique

Accident, blocage ou grve, malveillance, sinistre

Groupe Eyrolles

Les consquences dun tel risque informatique physique seront les suivantes : pertes matrielles affectant le patrimoine informatique, quelle que soit sa qualification juridique ; pertes dexploitation lies linterruption de lexploitation informatique (et donc limpact sera limit par la capacit de mettre en uvre trs rapidement le plan de reprise informatique) ; responsabilit civile gnre par les dommages immatriels causs aux clients et socitaires (incapacit de raliser certaines transactions crant un prjudice lassur) ; pertes humaines (en cas de dcs affectant un salari de la compagnie) ; risque informatique immatriel. Ce risque est un risque majeur pour les compagnies dassurances, compte tenu du caractre exorbitant des frais de reconstitution des mdias. De nombreuses compagnies, en raison du caractre inacceptable de ce scnario, investissent de faon majeure titre prventif dans une deuxime salle dexploitation ou signent des contrats de back-up avec des constructeurs et des structures dinfogrance.

Ch. 3 Le risk management dans les compagnies dassurances 127 Les diffrents cas de figure concernant le risque systmes dinformation Doublons, absence de donnes, alimentation automatique non prvue, modularit insuffisante, sur ou sous-dimensionnement Analyse des besoins incomplte, non-conformit par rapport aux besoins dfinis, volume de traitement insuffisant, dlai/ractivit insuffisante, besoins fonctionnels mal identifis ou dfinis Indisponibilit des applications, cot/dlai trop long, non-respect des procdures de maintenance, non-traabilit des interventions de maintenance, rupture unilatrale du contrat Double traitement/absence de traitement, erreur de programmation lors de la conception ou de la maintenance, retard de ralisation de la transaction Introduction dun virus, utilisation non autorise de ressources informatiques, criminalit informatique Non-intgrit des donnes, donnes errones ou effaces, destruction de fichiers, sauvegarde oublie ou perdue, malveillance, archives vives non identifies Divulgation dinformation des tiers non autoriss, divulgation de rgles de gestion, scurit logique insuffisante

Architecture applicative inadapte

Inadquation de la conception des applications

Inadquation de la maintenance

Erreur applicative

Intrusion, criminalit

Altration des donnes

Confidentialit non respecte

Indisponibilit des donnes

Panne, accident, sinistre, grve, non-respect des dlais de mise disposition de la part dun prestataire

Groupe Eyrolles

Carence de pistes daudit

Impossibilit de reconstituer un change dinformation, la valeur dune donne, de justifier dun retraitement

128 Partie 3 La banque ou la compagnie dassurances hors risque

Risques de dommages aux biens et aux personnes Mme si ce risque semble tre moins significatif que dans les groupes industriels (parfois risques hautement protgs), il est cependant ncessaire de pas ngliger ce type de risque au sein des compagnies dassurances, compte tenu de limpact mdiatique pouvant tre gnr par un incendie majeur et surtout par le dcs dun salari ou dun tiers. Les diffrents cas de figure mettre sous contrle par le risk manager de la compagnie sont les suivants :
Risques de dommages aux biens et aux personnes Amiante, lgionellose, contamination, intoxiAtteintes la sant du fait de lenvironnement cation, maladies professionnelles rpertories ou non Atteintes la sant du fait de lactivit exerce Affection lie au poste de travail, audition, vision, stress, menaces, harclement Incendie, lectrocution, chute, inondation Accidents de la circulation, brlure, manutention de charges, grve Agression, attentats, prise dotage(s) Occupation des locaux, incendie, inondation, attentat Incendie, inondation, rupture de structure, explosion, dfaillance du btiment Matriels non conformes, dfectueux, non livrs Gaz, eau, lectricit, chauffage, fournisseurs stratgiques Destruction des biens, vols de matriels, vols dobjets personnels, irruptions de personnes externes

Accidents du fait de lenvironnement

Accidents du fait de lactivit exerce

Atteinte lintgrit physique

Indisponibilit des locaux dexploitation

Sinistre relatif aux btiments

Indisponibilit des matriels

Rupture dapprovisionnement

Vol, dgradation

Risque social et humain Les limites entre management des ressources humaines et risk management sont parfois difficiles cerner.

Groupe Eyrolles

Les consquences dun tel risque (pertes matrielles, pertes dexploitation, pertes humaines, cot de la responsabilit civile, impact sur limage) seront dautant plus limites que la compagnie aura dcrit les processus critiques avant sinistre, quelle aura modlis et test ses plans de continuit de lexploitation.

Ch. 3 Le risk management dans les compagnies dassurances 129

Et pourtant, les frontires des deux fonctions sont clairement dlimites : la DRH de coordonner la stratgie de gestion des ressources humaines et la gestion des relations sociales et, en cas de grve, de jouer le rle de mdiateur ; au risk manager de la compagnie de mettre en uvre, en cas de grve, les plans de continuit concernant les mtiers critiques et de prioriser le redploiement des acteurs cls sur des sites de back-up non risqus (trsorerie, actuariat, call center, exploitation informatique, etc.). Les diffrents risques associs ce dispositif sont les suivants :
Risque social et humain Sous-effectifs, dpendance vis--vis de ressources rares, dpart de personnes cls, recours des ressources prcaires ou externes sur fonctions sensibles, mobilit excessive des quipes, march de lemploi en crise Recrutement inadapt, formation inadapte, profils sur ou sous-dimensionns

Carences de personnels

Inadquation des postes et des comptences

Ressources inemployes

Sureffectifs, formation inutilise, potentiel non dtect Esprit dentreprise, motivation des quipes, dsimplication, pas dadhsion la culture dentreprise

Dmotivation

Manquements dans la production de donnes Non-production des liasses sociales employeur

Non-respect de la protection des donnes individuelles des salaris

Vie prive, sant, sexualit

Conflits collectifs

Grve, contestations syndicales, manifestations, infraction au droit social Non-respect de la dontologie professionnelle, infraction au rglement intrieur, alcoolisme, drogue, utilisation des ressources de lentreprise des fins personnelles, divulgation dinformations, non-exercice du devoir dalerte, clause de conscience non applique

Infraction aux rgles thiques de lentreprise


Groupe Eyrolles

130 Partie 3 La banque ou la compagnie dassurances hors risque

Risque administratif et comptable Cette typologie de risque concerne en priorit le dispositif de production des tats financiers, et de reporting financier des compagnies dassurances. Lobjectif est de sassurer de la sincrit de la production des tats financiers en conformit avec le rfrentiel IFRS et ou US GAAP et, en particulier, avec la norme IFRS4 (actif et passif dassurance). La non-sincrit des comptes peut provenir soit de dysfonctionnements imputables au processus comptable lui-mme (retard de production, dperdition de flux comptables, etc.), mais aussi danomalies venant des activits mtiers et dportes sur le processus comptable. Le rle du risk manager consiste donc faire comprendre aux managers oprationnels limportance de la mise sous contrle de leurs activits en termes de sincrit des comptes (souscription, rglement de sinistre, reconnaissance du chiffre daffaires, constitution des provisions techniques, etc.). Le risk manager doit, de concert avec la direction du contrle permanent et de laudit interne de la compagnie dassurances, sassurer de lexistence dun plan darrts de comptes en cas de gestion de crise, coupl un plan de reprise dactivit informatique (en fixant des scnarii acceptables de production des tats financiers en accord avec les co-commissaires aux comptes). En ce qui concerne cette typologie de risque, les diffrentes composantes mettre sous contrle sont les suivantes :
Risque comptable Non-respect des normes rglementaires French GAAP-Domestic GAAP IFRS US GAAP Non-application des normes, amnagement, dtournement

Non-respect des procdures internes

Procdures incohrentes, ignores, non comprises Erreur de paramtrage ou de table, erreur de saisie, dimputation, de valeur, non-saisie de donnes Absence de suivi des corrections, reporting insuffisant ou inexact des tats financiers

Erreur

Carence des contrles

Manquements dans la production des comptes

Oubli dtats lgaux, inexactitude ou retard des dclarations comptables Modification des dispositions fiscales applicables aux socits (IS, plus-value), changement des normes comptables IFRS ou US GAAP
Groupe Eyrolles

Remise en cause des rgles applicables aux socits dassurances

Ch. 3 Le risk management dans les compagnies dassurances 131

Risque li la communication La communication financire, tout comme la communication produit des compagnies dassurances, quelle soit forme socitaire, mutualiste ou quasi mutualiste, savre tre un domaine trs sensible ncessitant de mettre en uvre des dispositifs spcifiques rattachs la gouvernance. Dune part, les exigences en termes de communication financire ne font que saccrotre via la rglementation (cf. la directive transparence intra-Union europenne) imposant aux groupes cots de communiquer leurs prvisions budgtaires par trimestre, ainsi que la ralit comptable dans les mmes dlais (inter-reporting). La production dun rapport dactivit est aujourdhui trs complexe, incluant, outre les tats financiers consolids, le segment reporting (chiffres cls par unit daffaires et zone gographique), les comptes consolids pro forma (en cas de changement de primtre de consolidation), les documents suivants : rapport stratgique ; rapport du prsident du conseil sur le contrle interne (passant dune dmarche dclarative une vision valuative) ; rapport sur le management durable de lenvironnement ; rapport sur le dispositif de risk management.
Lensemble de ce rapport dactivit est ainsi pass au crible par les analystes, le march tant sensible tout cart de communication entre les prvisions et la ralit (ce qui peut se traduire pour les groupes cots par un profit warning). Dautre part, la communication sur les diffrents produits est aussi excessi vement sensible surtout en ce qui concerne une ventuelle performance annonce portant sur les produits financiers grs par mandats de gestion ou portant sur les OPCVM. Tout dcalage entre la performance prvisionnelle prvue dun point de vue contractuel et la performance relle des actifs subor donns peut se traduire par une ventuelle remise en cause de la responsabilit civile de la compagnie dassurances.

Groupe Eyrolles

132 Partie 3 La banque ou la compagnie dassurances hors risque Diffrents risques concernant le dispositif de communication externe Non-fiabilit de la communi- Informations financires errones, cation financire incompltes, tardives Communication financire Messages contradictoires mis par diffrents Non-acceptabilit par le marservices ou socits du groupe, messages non ch de la communication crdibles, non convaincants, retard de comfinancire munication Perte de notorit Communication institutionnelle Inadaptation des messages Baisse de la notorit spontane ou assiste, communication inadapte Communication en dcalage avec les valeurs traditionnelles de lentreprise, communication perue comme choquante Campagne clients agressive , adhsion force, contenu des messages peru comme choquant, boycott Superposition de campagnes, lassitude de la clientle, surexposition

Risque de communication client

Inadaptation des messages clients

Mauvais planning des actions de communication

Groupe Eyrolles

Conclusion

es fondements du libralisme conomique ont toujours mis en vidence la mise sous contrle du risque entrepreneurial. Historiquement, le droit des socits a t conu pour faciliter la croissance des entreprises, tout en limitant le risque patrimonial de lentrepreneur. Lmergence dun systme conomique nolibral confort par ladoption du rfrentiel de contrle interne au sein de lUnion europenne a fait apparatre, de la fin XIXe sicle au dbut du XXe sicle, la ncessit de mettre sous contrle aussi bien les risques de sinistralit (corporate risk management) que les risques stratgiques (business risk management) en vue de protger les objectifs dcrits dans le plan et la rmunration de lactionnaire. Les rcents scandales financiers ont fait ressortir les insuffisances conceptuelles des rfrentiels de contrle interne (dont le COSO), ou les limites dans les modalits de mise en uvre. Lefficacit des dispositifs de risk management, quant elle, concernant les risques tangibles (IARD, informatique), semble avre, la diffrence de lefficacit de la mise sous contrle des risques immatriels (par exemple, du risque de fraude). Reste une problmatique majeure : la pertinence dans la ralisation des cartographies de risques et de lactualisation de leurs contenus (comment sassurer dune identification rationnelle et objective des risques significatifs pouvant affecter la prennit de lentreprise ?). Reste aussi ouverte la question portant sur les leviers daction permettant daugmenter lefficacit du dispositif de risk management au sein des groupes industriels, bancaires et dassurances. De notre point de vue, il savre ncessaire de remettre du bon sens dans laction et dans la dcision, en arrtant de se protger derrire des mthodologies censes permettre une couverture parfaite de ces risques. Il est ncessaire de renforcer lengagement des dirigeants dans la mise en uvre dun dispositif, quils se doivent de porter au titre de leur responsabilit entrepreneuriale. Les prconisations du rapport Ricol vont dans ce sens, en prnant une augmentation de la responsabilit pnale des mandataires sociaux. De mme, lallocation des fonds propres par mtier, en fonction de la qualit de la couverture des risques, semble tre une priorit de la nouvelle rglementation que le lgislateur envisage pour faire monter en puissance les dispositifs de risk management des groupes cots. Nous esprons que cet ouvrage contribuera redonner un sens la construction dun dispositif de risk management au sein de votre entreprise.

Groupe Eyrolles

Groupe Eyrolles

ANNEXES

Annexes de la premire partie


Socit gnrale : une dprciation de 7 milliards deuros
La mauvaise nouvelle est tombe. Depuis plusieurs semaines, les rumeurs allaient bon train sur les marchs. Des craintes plus que fondes puisque la Socit gnrale a rvl, jeudi 24 janvier 2008, quelle doit lever 5,5 milliards deuros aprs la dcouverte dune fraude et le passage de nouvelles dprciations dactifs pour son exposition aux subprimes. Daniel Bouton a prsent sa dmission au conseil dadministration de la Socit gnrale, qui la rejete et lui a renouvel toute sa confiance ainsi qu lquipe de direction. Cest un cataclysme pour le secteur bancaire franais. Aprs des mois de messages rassurants sur la solidit de son activit et sa faible exposition aux subprimes, la Socit gnrale avoue ce jeudi avoir t victime dune fraude au sein de son activit de courtage qui se monte 4,9 milliards deuros, auxquels sajoutent 2 milliards de dprciations lies la crise des subprimes, soit un total de 6,9 milliards deuros, un montant similaire celui des banques amricaines Citigroup ou Merrill Lynch. Comme pour Calyon, la banque dinvestissement du Crdit agricole, la Socit gnrale a t victime de lexposition dun trader courant 2007 et dbut 2008, en charge dactivits de couverture de futures sur des indices boursiers europens. Sa connaissance approfondie des procdures de contrle, acquise lors des prcdentes fonctions, lui a permis de dissimuler ses positions grce un montage labor de transaction fictives , prcise le groupe dans son communiqu. Des dclarations qui laissent perplexes certains observateurs. Comment un seul homme, Jrme Kerviel, peut-il faire perdre autant dargent une banque qui, depuis des annes, a fait du contrle des risques son cheval de bataille ? Cest se demander, estiment certains, si la Socit gnrale ne profite pas de cet incident pour cacher et masquer des problmes bien plus importants sur sa prise de risques sur les subprimes.

Groupe Eyrolles

138 Annexes de la premire partie

Questionnaires risk management


Cartographie des risques Critre 1 Avez-vous ralis un mapping systmatique des risques par macro et microprocessus ? Lanalyse des faits gnrateurs a-t-elle fait lobjet dune validation par le comit daudit et les commissaires aux comptes (C&C) ? Lanalyse des consquences des dysfonctionnements affectant les processus a-t-elle fait lobjet dune validation par les C&C et le comit daudit ? La cartographie des risques a-t-elle fait lobjet dun dispositif spcifique pour les processus ayant un niveau de matrialit lev ? La quantification des pertes humaines par sinistre maximum possible a-t-elle t ralise ? La quantification des pertes matrielles par SMP a-t-elle t ralise ? La quantification des pertes dexploitation par SMP a-t-elle t ralise ? La quantification ou limpact financier du cot de la responsabilit civile ont-ils t chiffrs ? La quantification des pertes maximum possibles a-t-elle t mise en relation avec la capacit dacceptation des risques ? La valeur rsiduelle a-t-elle t dtermine comme tant la diffrence entre le cot du risque et la valeur indemnisable ? Total Poids 4 Note Note globale

6 7

4 3

10

4 30

Groupe Eyrolles

Questionnaires risk management 139

Prise de risques Critre La cartographie est-elle ralise par macrorisques purs et spculatifs ? Les consquences financires dun sinistre financier maximum sont-elles values ? Les consquences stratgiques dun sinistre maximum possible sur les objectifs stratgiques du groupe sont-elles values ? La cartographie des risques linternational a-t-elle t ralise ? Les risques DIL (difference in limit) ont-ils t identifis ? Les risques DIC (difference in condition) ontils t identifis ? Les risques mergents (risques purs non assurables) ont-ils t identifis ? Les techniques lies aux financements alternatifs ont-elles t envisages (rassurance financire, systmes captifs de rassurance, captives compartiments) ? Les plans de reprise dactivit sont-ils prvus par processus critiques ? Les plans de reprise dactivit sont-ils tests rgulirement ? Total Poids Note Note globale

10

4 30

Groupe Eyrolles

140 Annexes de la premire partie

valuation des consquences Critre Vous appuyez-vous sur votre dispositif de contrle de gestion pour valuer les sinistres maximums possibles par centre de risque ? Pour estimer les pertes matrielles, prenezvous en compte la valeur expertise des immobilisations mises sous contrle ? Pour estimer les pertes dexploitation, vous basez-vous sur la diffrenciation entre charges fixes et variables au sein du compte de rsultat par centre de risque avant sinistre ? Pour estimer les pertes humaines concernant les salaris, vous basez-vous sur lindemnisation a minima prvue par la Scurit sociale ? Pour estimer les pertes humaines concernant les salaris, vous basez-vous en deuxime ligne sur les capitaux prvus dans la police collective dcs invalidit ? Pour estimer le cot de la responsabilit civile par scnario de crise, analysez-vous la jurisprudence antrieure sur des cas similaires ? Pour estimer le cot de la responsabilit civile par scnario de crise, et en labsence de jurisprudence antrieure, estimez-vous le risque de faon qualitative ? Lestimation des pertes dexploitation prendelle en compte les modalits de back-up identifies en prventif ? Lestimation des frais de reconstitution des mdias prend-elle en compte lidentification des applicatifs critiques raliss pralablement ? Lestimation des frais de retrait des produits du march, et/ou des frais de communication de crises associes, prend-elle en compte les scnarii de retrait des produits du march anticip ? Total Poids Note Note globale

10

4
Groupe Eyrolles

30

Questionnaires risk management 141

Analyse causale des risques Critre 1 2 3 Tous les cas de figure lis la criminalit externe ont-ils t envisags ? Tous les cas de figure lis la criminalit interne ont-ils t envisags ? Tous les cas de figure lis aux sinistres exognes ont-ils t identifis ? Les risques purs pouvant tre mis sous contrle titre prventif par le CEO ont-ils t inventoris (notion dlment inhabituel) ? Les risques purs ne pouvant tre anticips par le CEO ont-ils t clairement dlimits ( Act of God, extraordinary items ) ? Tous les risques lis une insuffisance ou une dfaillance de la maintenance prventive ont-ils t identifis ? Tous les risques lis une insuffisance ou une dfaillance de la qualit totale ont-ils t identifis ? Tous les risques lis une insuffisance ou une dfaillance du dispositif de management durable de lenvironnement ont-ils t identifis ? Tous les risques lis une insuffisance ou une dfaillance du dispositif de scurit ontils t identifis ? Avez-vous prvu un dispositif de ractualisation automatique des risques ? Total Poids 4 1 2 Note Note globale

10

4 30

Groupe Eyrolles

142 Annexes de la premire partie

Impact financier, risque rsiduel Critre Le risque rsiduel postprocessus indemnisation a-t-il t systmatiquement dtermin par scnario de crise ? Avez-vous men une tude de faisabilit de location de compte captif de rassurance pour autofinancer les franchises ? Avez-vous men une tude de faisabilit de cration dune socit captive de rassurance pour mutualiser les risques de frquence matriss ? Avez-vous envisag la constitution dune provision pour propre assureur, pour les risques purs sur lesquels ne porte pas une obligation dassurance ? Avez-vous envisag le recours la rassurance financire pour trouver une deuxime ligne de capitaux compltant lassurance ? Avez-vous envisag le recours la rassurance financire pour financer des risques mergents, non assurables ? Les risques de gravit sont-ils ports via un assureur apriteur tiers ? Avez-vous spcialis vos outils de financements alternatifs par typologie de risques (retraite, IARD) ? Le risque fiscal li ces montages est-il mis sous contrle ? Le risque de non-sincrit des comptes li ces montages est-il mis sous contrle ? Total Poids Note Note globale

9 10

4 4 30

Groupe Eyrolles

Questionnaires risk management 143

Risque informatique Critre Le risque informatique a-t-il t dcrit partir du plan durbanisme/schma directeur des SI ? Le risque informatique a-t-il t dcrit partir de larchitecture rseau ? Avez-vous construit une grille de scoring permettant didentifier les applicatifs critiques ? Lefficacit du plan de reprise informatique est-elle teste rgulirement ? Avez-vous fait procder une certification SAS 70 par un cabinet indpendant ? Avez-vous souscrit une clause frais de reconstitution des mdias ? Avez-vous souscrit une clause frais supplmentaires dexploitation informatique ? Avez-vous souscrit une clause extensions risques informatiques ? Cette clause est-elle limite la criminalit informatique externe ? Les investissements de scurit informatique sont-ils tests rgulirement ? Total Poids Note Note globale

2 3 4 5 6 7 8 9 10

1 2 1 4 4 3 3 4 4 30

Groupe Eyrolles

144 Annexes de la premire partie

Fiches mthodes risk management


Fiche mthode construction dun plan de reprise dactivit avant sinistre par centre de risque
Prsentation : lobjectif de cette fiche mthode est de prsenter la mthodologie de construction dun plan de reprise dactivit titre prventif.

Description de la mthode La construction du plan de reprise dactivit par centre de risque passe par : lidentification des processus critiques du centre de risque avant sinistre ; lidentification des actifs critiques (moules, plans, etc.) par visite de site avant sinistre ; lidentification des hommes cls via interviews avant sinistre ; lidentification des ressources logistiques critiques avant sinistre (heures-hommes, heures-machines, m2, m3 disponibles avant sinistre en intragroupe) ; lidentification des sites de redploiement des processus critiques sur les sites non sinistrs du groupe disposant de ressources logistiques, ou la signature de contrats de back-up avec des tiers (sous-traitants, fournisseurs, constructeurs informatiques) ; la dfinition des registres de communication de crise interne et externe associe ces plans de reprise dactivit. Conditions de russite Ralisation dinterviews collectives en mode brainstorming. Fiches associes Modalits de quantification des pertes.

Fiche mthode quantification des pertes par centre de risque


Prsentation : lobjectif de cette fiche mthode est de quantifier les pertes gnres par un sinistre majeur et destimer le cot rsiduel la charge de lentreprise.

Groupe Eyrolles

Description de la mthode Quantification des pertes matrielles par centre de risque : valeur expertise de limmobilisation, quelle que soit sa qualification juridique le pourcentage de destruction estim de lactif. Quantification des pertes dexploitation : structuration du compte de rsultat du centre de risque avant sinistre en diffrenciant les charges variables et les charges fixes. Il est aussi ncessaire de dterminer le nombre de jours ncessaires la mise en uvre dun plan de reprise dgrad.

Fiches mthodes risk management 145

Estimation des consquences financires dun sinistre majeur sur le compte de rsultat par centre de risque par : estimation du pourcentage de diminution du CA ; quantification des pertes humaines : somme lie lindemnisation scurit sociale + ventuelle indemnisation lie la souscription dune police dassurance-vie/dcs, quantification du cot de la remise en cause de la responsabilit civile fonde soit sur une exploitation de la jurisprudence existante, soit sur la construction dun indice qualitatif estimant limpact du sinistre majeur sur la surface financire. Le cot des pertes gnres par un sinistre majeur est gal la somme des quatre typologies de pertes. Le cot rsiduel la charge du groupe est gal la diffrence entre le cot global minor de lindemnisation assurance ; estimation du pourcentage de diminution des charges variables post-sinistre ; estimation des nouveaux frais fixes aprs sinistre (mesures conservatoires, frais de reconstitution des mdias, frais de dmolition, frais dexpertise, etc.). Le montant des frais aprs sinistre est gal la somme des frais fixes avant sinistre + % de diminution des charges variables + nouveaux frais fixes gnrs par le sinistre. La perte dexploitation aprs sinistre est gale la diffrence entre le rsultat analytique avant sinistre moins le rsultat analytique aprs sinistre.

Conditions de russite Sassurer de lexistence de compte de rsultat analytique de centre de profit avant sinistre.

Groupe Eyrolles

Annexes de la deuxime partie


Extrait du rapport risk management du groupe EDF 2007
Politiques sectorielles de contrle des risques
Contrle des risques marchs nergies La politique de risques marchs nergies, formalise par la dcision du prsidentdirecteur gnral du 9 dcembre 2005, codifie la gestion de ces risques pour le primtre dEDF SA et des filiales contrles et prcise lensemble du dispositif ncessaire sa mise en uvre et au contrle de son application. Pour les filiales rgules et les filiales co-contrles, la politique de risques marchs nergies et le processus de contrle sont revus dans le cadre des instances de gouvernance de ces socits (conseil dadministration, comit daudit). Cette note de politique dcrit : le systme de gouvernance et de mesure, sparant clairement les responsabilits de gestion et de contrle des risques et permettant de suivre ; lexposition sur le primtre ci-dessus dfini ; les processus de contrle des risques impliquant la direction dEDF SA en cas de dpassement des limites de risques. noter quun dispositif de contrle renforc est mis en place pour la filiale EDF Trading. Les objectifs de la politique de gestion et de contrle des risques sont de : permettre lidentification et la hirarchisation des risques dans tous les domaines en vue den assurer une matrise de plus en plus robuste, sous la responsabilit du management oprationnel ; permettre aux dirigeants et aux organes de gouvernance dEDF SA davoir une vision consolide, rgulirement mise jour, des risques majeurs et de leur niveau de contrle ; contribuer scuriser la trajectoire stratgique et financire du groupe ; rpondre aux attentes et informer les parties prenantes externes sur les risques du groupe et sur le processus de management de ces risques. Le primtre de gestion des risques comprend les activits dEDF SA et celles des filiales contrles. Il ne comprend donc pas les filiales rgules et les filiales co-contrles qui assurent la gestion de leurs risques sous leur responsabilit respective. Le primtre de contrle des risques est celui du groupe, lexception des participations. Ce contrle est ralis en direct pour le primtre EDF SA et filiales contrles, ou par le biais des organes de gouvernance pour les filiales rgules ou co-contrles. Dune faon gnrale, la gestion des risques est de la responsabilit des entits oprationnelles et fonctionnelles, pour les risques qui relvent de leur primtre dactivit. Le contrle des risques est assur par une filire mise en place en toute indpendance

Groupe Eyrolles

148 Annexes de la deuxime partie

des fonctions de gestion des risques (complte par des filires de contrle spcifiques notamment pour les risques marchs financiers et marchs nergies). Cette filire assure notamment une approche homogne en matire didentification, dvaluation et de matrise des risques. Selon ces principes, chaque semestre, en cohrence avec les chances associes la publication semestrielle des comptes consolids, EDF labore la cartographie consolide de ses risques majeurs pour le primtre dEDF SA et des filiales contrles et co-contrles ( lexception de Dalkia International). Cette cartographie consolide est ralise partir des cartographies tablies par chaque entit oprationnelle ou fonctionnelle sur la base dune mthodologie commune (typologie, principes didentification, dvaluation, de mise sous contrle des risques). Chaque risque identifi fait lobjet dun plan daction dcrit. Les risques majeurs sont placs sous la responsabilit dun pilote dsign par le TOP4. La cartographie consolide fait lobjet chaque semestre dune validation par le TOP4 et dune prsentation au comit daudit du conseil dadministration dEDF SA. Elle fait galement lobjet dchanges frquents avec les tats-majors des principales directions contributrices et les membres de la filire contrle des risques . Le processus global de cartographie des risques constitue un support pour de nombreux autres processus : notamment llaboration du programme daudit, la politique assurances et sa mise en uvre, la documentation financire (notamment le chapitre Facteurs de risques du document de rfrence AMF), lanalyse des risques portant sur des dossiers examins par les organes dcisionnels dEDF (TOP 4, comit des engagements et des participations, CEP-dossiers combustibles, comit amont-aval trading, etc.). Le processus de contrle des risques contribue notamment la scurisation du processus dinvestissements et dengagements long terme en veillant au respect des principes mthodologiques danalyse des risques pour les dossiers prsents au comit des engagements et participations. En complment, une politique de gestion de crise, dont la dernire actualisation a t signe par le prsident-directeur gnral en juin 2005, est mise en uvre sur le primtre dEDF SA et des filiales contrles. Elle consiste notamment : sassurer de lexistence de dispositifs de crise pertinents, au regard des risques encourus, dans chaque direction dEDF SA participant la gestion de la crise et dans les filiales contrles ; dfinir les modalits de coopration avec les filiales rgules en priode de crise ; vrifier la cohrence densemble.
Groupe Eyrolles

Un programme dexercices de crise permet de tester rgulirement lefficacit de ces dispositifs et de capitaliser les retours dexprience. Enfin, lorganisation de crise est rgulirement rajuste, notamment chaque changement significatif dorganisation interne ou denvironnement externe, ainsi quaprs chaque retour dexprience de crise majeure.

Extrait du rapport risk management du groupe EDF 2007 149

La politique de gestion et de contrle des risques dEDF (document de rfrence 2007)


Le comit daudit dEDF SA rend un avis sur la politique de risques marchs nergies et sur ses volutions. Le TOP 4 valide annuellement les mandats de gestion de risques des entits qui lui sont prsents avec le budget.

Contrle des risques financiers EDF a mis en place un dpartement contrle des risques financiers , en charge de la matrise des risques de taux, de change, de liquidit et de contrepartie pour les filiales contrles. Ce contrle sexerce via : la vrification de la bonne application des principes du cadre de gestion financire, notamment au travers du calcul rgulier dindicateurs de risque et du suivi de limites de risque ; des missions de contrle mthodologie et organisation sur les entits dEDF SA et les filiales contrles ; le contrle oprationnel de la salle des marchs dEDF en charge de la gestion de la trsorerie. Pour ces activits, un systme dindicateurs et de limites de risque vrifis quotidiennement est en place pour suivre et contrler lexposition aux risques financiers. Il implique le directeur trsorier du groupe, le chef de la salle des marchs et le responsable du contrle des risques financiers, qui sont immdiatement saisis pour action en cas de dpassement de limites. Un comit ad hoc vrifie priodiquement le respect des limites et statue sur les modifications de limites spcifiques ventuelles. Il est rendu compte de la mise en uvre des politiques de gestion des risques financiers au comit daudit sur un rythme annuel. Rattach la direction corporate finance et trsorerie de la direction financire, ce dpartement a un lien fonctionnel fort avec la direction du contrle des risques groupe en vue de garantir son indpendance. Contrles spcifiques
Procdure dapprobation des engagements Le comit des engagements et des participations (CEP), prsid par le directeur gnral dlgu finances, examine lensemble des engagements du groupe, hors filiales rgules et filiales co-contrles, notamment les projets dinvestissement, les projets de cessions et les contrats long terme combustibles . Il valide tout investissement dun montant suprieur 20 millions deuros. Depuis la fin de mars 2003, les runions du comit sont systmatiquement prcdes dune runion o sont associs les experts du niveau corporate (DCRG, DJ, DF), afin de vrifier lexhaustivit et la profondeur des analyses de risques des dossiers prsents. Ces travaux sappuient sur un rfrentiel mthodologique danalyse des risques des projets de dveloppement qui intgre lensemble des impacts et en particulier la valorisation des scnarii de stress.

Groupe Eyrolles

150 Annexes de la deuxime partie

Contrle des systmes dinformation (SI) Organisation du contrle interne de la filire SI : le dispositif de contrle interne de la filire SI sintgre dans la politique de contrle interne du groupe (propositions dobjectifs de contrle dcliner par les entits oprationnelles) et porte sur la mise en uvre des politiques de la filire. Ces politiques touchent en particulier la scurit des systmes dinformation, au pilotage des projets SI, la gestion des risques SI et au respect des lois informatique et libert. Actions dans le domaine de la scurit des SI : les orientations et lorganisation de la scurit des SI sont dfinies dans deux documents de rfrence : la politique de scurit des systmes dinformation du groupe EDF et le rfrentiel de politique scurit des SI dEDF SA. Le dploiement de ces politiques ainsi que le niveau de scurisation sont suivis de faon trimestrielle par un comit scurit, prsid par la DSI Groupe, rassemblant les responsables de scurit des systmes dinformation de toutes les entits dEDF SA. Le comit scurit rend compte annuellement au comit des directeurs de systmes dinformation. Une action a t mene concernant la matrise des risques lis un sinistre majeur sur les principaux centres de calcul. Des plans de continuit dactivit sont dfinis et ont t tests pour les applications les plus critiques pour le fonctionnement de lentreprise. Autres actions du domaine SI : une nouvelle politique informatique et libert a t dfinie et dploye sur le primtre EDF SA en conformit avec la nomination fin 2006 dun correspondant informatique et liberts. La DSI groupe et la direction de laudit ont lanc conjointement un diagnostic concernant la robustesse du dispositif de contrle interne sur les systmes dinformation dEDF. Ce diagnostic vise amliorer la matrise par le groupe des risques lis aux SI ; ses conclusions sont attendues pour la fin du premier trimestre 2008. Ladministration et la surveillance des liales Toute socit filiale ou en participation ( lexception des filiales rgules) est suivie par un directeur, membre du comex ou par son dlgu. Celui-ci propose les administrateurs reprsentant EDF au sein des instances de gouvernance de ces socits, et leur adresse une lettre de mission et une lettre dobjectifs. Une actualisation de ces rattachements est valide chaque anne par le comit des cadres dirigeants. La dlgation administrateurs et socits, en place depuis 2002, veille tout particulirement : la mise jour de la cartographie du rattachement des socits, en fonction des dcisions prises par le TOP4 ; au suivi des compositions cibles , visions anticipes et collectives des comptences, ainsi que des profils ncessaires une bonne reprsentation dEDF au conseil des socits filiales et participations, en fonction de la stratgie dfinie par les directeurs de rattachement ;

Groupe Eyrolles

Extrait du rapport risk management du groupe EDF 2007 151

au respect du processus de dsignation des administrateurs, pralable managrial la proposition de nomination (conformit la composition cible, contrle du nombre de mandats, avis du hirarchique de ladministrateur propos) ; la professionnalisation des nouveaux administrateurs (formation initiale par luniversit groupe, information via le site Internet de la communaut administrateurs, formation permanente via les sminaires et ateliers administrateurs).

Autres politiques de contrle EDF a galement dfini : une politique sant-scurit, signe par le prsident-directeur gnral en octobre 2003 ; une politique dassurances prsente au conseil dadministration du 1 er juillet 2004, suite au dossier prsent aux administrateurs le 23 octobre 2003 sur la couverture du risque tempte pour les rseaux de distribution. Le conseil a alors pris acte du bilan prsent sur la situation dEDF SA et de ses filiales contrles au regard des risques assurables identifis et sur les couvertures mises en place. Il a valid un programme de travail destin renforcer la connaissance des risques assurables du groupe, dvelopper la dimension groupe des assurances, amliorer et optimiser les couvertures existantes et mettre en place de nouvelles couvertures. ce dernier titre, le conseil a approuv, le 22 fvrier 2006 (aprs avis du comit daudit du 17 fvrier), la mise en place du nouveau programme dommages nuclaires , destin couvrir les dommages accidentels importants qui pourraient toucher les centrales nuclaires dEDF SA. Un point sur lavancement de la mise en uvre du programme de travail du 1er juillet 2004 a t prsent au comit daudit du 5 mai 2006 et celui du 2 avril 2007, qui a approuv ses lignes de dveloppement futures. Le comit a galement pris connaissance de la vision actualise des risques assurables et des couvertures du groupe. En outre, le comit daudit, rgulirement inform des volutions en la matire, a reu une information, le 28 aot 2006, sur la finalisation des ngociations relatives au programme dommages nuclaires et sur la mise en place de lassurance tous risques chantier pour la tte de srie EPR Flamanville.

Rglementation lie lexploitation industrielle


Dans le domaine de lexploitation industrielle, de nombreuses procdures de contrle existent et notamment pour le nuclaire, o deux acteurs peuvent tre plus particulirement mentionns : linspecteur gnral pour la sret nuclaire (IGSN) qui sassure, pour le compte du prsident, de la bonne prise en compte des proccupations de sret et de radioprotection dans toutes leurs composantes pour les installations nuclaires et dont le rapport annuel est publi lexterne ; lInspection nuclaire, service directement rattach au directeur de la division production nuclaire (DPN), dont les actions de vrification permettent dvaluer le niveau de sret des diffrentes entits de la DPN. Il peut tre not que ces champs ont fait lobjet dun audit corporate en 2007.

Groupe Eyrolles

152 Annexes de la deuxime partie

La loi du 28 juin 2006 et son dcret dapplication du 23 fvrier 2007 relatif la scurisation du financement des charges nuclaires imposent lentreprise de spcifier dans un rapport les procdures et dispositifs permettant didentifier, dvaluer, de grer et de contrler les risques lis lvaluation des charges nuclaires et la gestion des actifs de couverture. La premire version du rapport, rpondant aux exigences de la loi, a t finalise au mois de juin 2007 ; ce rapport comprend un volet spcifique sur le contrle interne et sa mise jour se fera sur une base a minima triennale, avec actualisation annuelle. Dans les autres domaines (comme le contrle des appareils pression et la surveillance des barrages), chaque entit est responsable de la dfinition et de la mise en uvre des procdures de contrle adquates.

Autres rglementations
Des contrles sont galement effectus sur lapplication de la rglementation sociale et du travail. La mise en place de systmes de management, en particulier dans le domaine environnemental et de la sant-scurit, a permis dobtenir un meilleur contrle de lapplication de la rglementation et danticiper les volutions rglementaires.

Groupe Eyrolles

Annexes de la troisime partie


Risk management dans le secteur bancaire
Cartographie des risques oprationnels
Macro-risques Immeubles et infrastructure gnrale Rupture dactivit provoque par des sinistres Incendies Inondation Autres catastrophes naturelles Indisponibilit dune ressource Litiges Autres causes Technologie de linformation et communications Dysfonctionnements provoqus par des systmes informatiques Pertes accidentelles dintgrit des donnes Erreurs de dveloppement Atteinte involontaire la scurit informatique Dfaillance dun fournisseur informatique Inadquation des SI Panne systme, insuffisance, indisponibilit passagre de ressources informatiques Litiges Autres Relations avec le personnel et rglementation sociale Relations Problmes deffectif, turnover excessif Licenciements Grves Hommes cls Autres Scurit du travail Problmes dhygine et de scurit Litiges Non-conformit rglementaire
Groupe Eyrolles

Micro-risques

Discrimination

Discrimination raciale Discrimination sexuelle

154 Annexes de la troisime partie

Macro-risques

Micro-risques Erreurs humaines et involontaires Non-respect ou mauvaise interprtation des procdures Dficiences dans les procdures Inadquation des SI aux activits et produits Erreurs de rglement/livraison Mauvaise gestion des rfrentiels Litiges clients Autres

Supervision et ralisation des traitements Saisie et traitement des transactions

Qualit de linformation et du reporting

Inexactitude du reporting interne ou externe Inexactitude des dclarations comptables et rglementaires

Documentation clientle

Absence de documentation de dcharge Absence ou non-exhaustivit des documents Lgaux Accs non autoris aux comptes clients

Gestion des comptes clients

Information donne aux clients fausse Dgradation des actifs clients

Relation avec les contreparties commerciales Erreur dune contrepartie Litiges avec les contreparties Relation avec les fournisseurs Risque projet Erreur ou dfaillance dun sous-traitant Litige Insuffisance dans la conduite des projets de changement

Relation clientle produits et pratique commerciale/rglementation Risque fiduciaire et li aux obligations rglementaires dans la gestion dactifs Problmes dans la gestion collective dactifs Mthodes de vente inappropries Infraction aux rgles fiduciaires Informations fausses sur les caractristiques et performance des produits Pratiques discriminatoires vis--vis de clients Atteinte la vie prive ou la confidentialit Violation du secret professionnel
Groupe Eyrolles

Rotation excessive des comptes clients pour gnrer des commissions Soutien abusif de crdit Rupture abusive de crdit

Risk management dans le secteur bancaire 155

Macro-risques

Micro-risques

Relation clientle produits et pratique commerciale/rglementation Pratiques commerciales ou de march inappropries/problme dontologique Non-respect dexigence lgale et rglementaire Infraction la lgislation sur la concurrence Pratiques incorrectes sur les marchs Dlit diniti interne Activit non autorise non intentionnelle Financement du terrorisme Blanchiment Blanchiment dargent

Obligations rglementaires lies un embargo Embargo Dfauts dans les produits ou les modles Produits dfectueux on non autoriss Erreur de modlisation Problme de slection et de suivi clients Dfaut de connaissance du client Dpassement de limite client Vol/fraude malveillance Activits non autoriss Absence dinformations sur les oprations ralises Abus de pouvoir Activits non autorises intentionnelles Dissimulation volontaire de position Vol, hold-up, agressions Vol Agression Fraude externe Fraude externe Fraude relative aux cartes bancaires Dlit diniti externe Fraude interne Fraude interne Fraude mixte Atteinte volontaire lintgrit des SI et des donnes Malveillance informatique Vol et divulgation de donnes
Groupe Eyrolles

156 Annexes de la troisime partie

Matrice dexposition aux risques dans le secteur bancaire


Cartographie des risques oprationnels par processus mtier Exposition au risque lments de contexte susceptibles de faire varier le niveau dexposition au risque lments dalerte traduisant lexistence de risques Dysfonctionnements matrialisant le risque Impacts des nouveauts et volution Impact des nouveaux produits/nouvelles activits/nouveaux clients Impact en termes de risques des nouveaux SI et organisations Impact des nouvelles rglementations Plan daction Synthse des principales actions en cours visant rduire le risque Actions complmentaires prioritaires prconises par le risk manager

Groupe Eyrolles

Risk management dans le secteur bancaire 157

valuation du risque brut et net


Lgende Risque net/(3) valuation du risque valuation du contrle interne 1 monitor 2 optimis 3 standardis 4 inefficace (1) Cotation risque brut 1 acceptable 2 surveiller 3 rduire 4 inacceptable Oprationnel Exposition rsiduelle faible Exposition rsiduelle modre Exposition rsiduelle importante Exposition rsiduelle forte

Synthse des risques oprationnels Qualit Thmes transverses Pertes/incidents Plan de continuit des units commerciales Ressources humaines Comptabilit

Risque valuation brut par le contrle interne 1 2

Risque net 3

Commentaires

1 Gestion commerciale Thmes transverses Processus Systmes informatiques Ouvrir un compte Documenter les comptes clients Matriser des dlgations de pouvoir et de signature Grer le rfrentiel client
Groupe Eyrolles

Valider et acheminer les ordres du client Mettre en uvre les conditions particulires du client Exploiter les donnes historique au niveau client

158 Annexes de la troisime partie


Thmes transverses

2 Vente par canal gnraliste Fournir un support technique aux vendeurs Systmes informatiques

Processus

Produits et services attachs au compte Restitution au client dinformations de pilotage Produits de placement bilan Produit de placement tiers Montique Documentation des oprations de financement Prescription des partenaires et spcialistes du groupe bancaire Prescription de partenaires hors groupe

Synthse des risques oprationnels 3 Vente par canal spcialiste Thmes transverses

Risque valuation brut par le contrle interne 1 2

Risque net

Commentaires

Assurer la synthse client Matriser les techniques pointues Systmes informatiques

Processus

Produits de marchs et drivs Gestion de trsorerie et ingnierie des flux Montique et espces grand commerce Produits de trade finance Fusions-acquisitions

4 Vente par Internet Thmes transverses Processus Scuriser les processus transactionnels Systmes informatiques Promouvoir lalternative Internet Fournir au client une cl daccs confidentielle Assurer lefficacit des services transactionnels
Groupe Eyrolles

Risk management dans le secteur bancaire 159

Matrice daversion aux risques


Cartographie des risques oprationnels Cotation des risques bruts 1 Gestion commerciale Risque brut Calcul Thmes transverses Processus Systmes informatiques Ouvrir un compte Documenter les comptes clients Matriser des dlgations de pouvoir et de signature Grer le rfrentiel client Valider et acheminer les ordres du client Mettre en uvre les conditions particulires du client Exploiter les donnes historique au niveau client Cotation des risques bruts 2 Vente par canal gnraliste Thmes transverses Processus Risque brut Calcul Modifi Global Impact F I R Potentialit Modifi Global Impact F I R Potentialit

Fournir un support technique aux vendeurs Systmes informatiques Produits et services attachs au compte Restitution au client dinformations de pilotage Produits de placement bilan Produit de placement tiers Montique Documentation des oprations de financement Prescription des partenaires et spcialistes du groupe bancaire Prescription de partenaires hors groupe

Groupe Eyrolles

160 Annexes de la troisime partie


3 Vente par canal spcialiste Thmes transverses

Cotation des risques bruts Risque brut Calcul Assurer la synthse client Matriser les techniques pointues Systmes informatiques Modifi Impact Global F Potentialit

Processus

Produits de marchs et drivs Gestion de trsorerie et ingnierie des flux Montique et espces grand commerce Produits de trade finance Fusions-acquisitions

Cotation des risques bruts 4 Vente par Internet Risque brut Calcul Thmes transverses Processus Modifi Impact Global F Potentialit

Scuriser les processus transactionnels Systmes informatiques Promouvoir lalternative Internet Fournir au client une cl daccs confidentielle Assurer lefficacit des services transactionnels

Groupe Eyrolles

Risk management dans le secteur bancaire 161

Exemple de communication de crise bancaire


Communiqu de presse Paris, le 13 octobre 2008

Dmenti de rumeurs La Socit gnrale dment formellement les rumeurs malveillantes lui imputant des pertes significatives sur son activit de produits structurs au cours des derniers jours, ncessitant une recapitalisation de la banque, et annonce quelle demande lAMF denquter sur ces rumeurs et leurs consquences sur le cours de son titre, comme elle en a le pouvoir en application de larticle 631-4 de son rglement gnral. Socit gnrale Socit gnrale est lun des tout premiers groupes de services financiers de la zone euro. Avec 151 000 personnes dans le monde, son activit se concentre autour de trois grands mtiers : Rseaux de dtail & services financiers, qui comptent plus de 30 millions de clients particuliers en France et linternational. Gestions dactifs & services aux investisseurs, o le groupe compte parmi les principales banques de la zone euro avec 2 733 milliards deuros en conservation et 381,4 milliards deuros sous gestion fin juin 2008. Banque de financement & dinvestissement, Socit gnrale Corporate & Investment Banking se classe durablement parmi les leaders europens et mondiaux en march de capitaux en euros, produits drivs et financements structurs. Socit gnrale figure dans 3 indices internationaux de dveloppement durable : FTSE, ASPI et Ethibel.

Groupe Eyrolles

162 Annexes de la troisime partie

Risk management dans les compagnies dassurances


Typologies dimpact dun incident en conformit avec Solvency II
Nomenclature des impacts Type Impact Nature Dgradation des performances financires Manifestation Rentabilit, dlais, volumes de fonds propres, pertes dexploitation, frais supplmentaires dexploitation Non-ralisation ou abandon doprations, frais de reconstitution des mdias Sorties de fonds Pertes de valeurs (dprciations) Pertes financires directes Frais de reconstitution des mdias Amendes, pnalits, indemnisation Mcontentement / contentieux Rsiliation unilatrale des contrats Impacts commerciaux Perte de clientles Perte de portefeuille Perte de parts de march structurelles Interne (tensions sociales) Perte de crdibilit Externe Article dfavorable dans la presse spcialise Baisse du cours de Bourse Atteinte limage du groupe Perte dimage relaye par les mdias nationaux et internationaux Diminution du cours de Bourse Impacts pnaux ou Condamnations et sanctions disciplinaires Administratif Pnal

Manque gagner Impacts financiers

Impacts en termes dimage

Groupe Eyrolles

Risk management dans les compagnies dassurances 163

Cartographie des processus dans le secteur assurance


Processus de pilotage Dfinir et dcliner la politique gnrale Dterminer les objectifs moyen terme Assurer la veille stratgique Assurer la reprsentation auprs des institutions et autorits de tutelle - lobbying Assurer la planification stratgique et oprationnelle via le balanced scorecard Dfinir les politiques pour atteindre ces objectifs Dfinir la segmentation marketing Conduire les dmarches de partenariat et de prescription Dcider des oprations de croissance Dfinir la politique financire Piloter le risk management Identifier et hirarchiser les risques Dfinir une mthodologie de rfrence/ARM Identifier les risques, mesurer leur impact financier en euros Identifier et valuer les contrles en place et le niveau de couverture Raliser une cartographie des risques et des outils de contrle Dfinir les outils de gestion de crise Piloter la matrise des risques laborer les outils de pilotage, key risks indicators Analyser les lments de reporting et retour dexprience Mettre en uvre et suivre les plans de rduction des risques Auditer et contrler le niveau defficacit dans la matrise des risques laborer un programme de risk management Piloter les self-assessments Mener les plans daudits/missions Suivre la mise en place des recommandations et actions correctrices Piloter la gouvernance tablir les rglements des organes de gouvernance du groupe
Groupe Eyrolles

Rglements intrieurs et dontologie des autorits de gouvernance Dfinir les dlgations internes de pouvoirs et de signatures Actualiser les dlgations

164 Annexes de la troisime partie

Dfinir et contrler les dlgations internes Vrifier le respect des obligations statutaires et lgales Prparer et tenir les runions du comit daudit et du comit des risques tablir les comptes rendus des runions des organes de gouvernance Assurer les dpts de publicit lgale Autres obligations lgales et rglementaires tablir le rapport annuel sur le contrle interne et le risk management Piloter la communication financire vers les stakeholders Piloter la communication financire vers les actionnaires individuels Autres zones gographiques linternational Piloter la conformit avec les autres rglementations sur le contrle interne SarbanesOxley pour la zone Amrique du Nord) Piloter la stratgie groupe Groupe Dcliner les objectifs du groupe et dfinir les business plans Cadrer les objectifs de la socit mre Dterminer les objectifs globaux et par entit du groupe Sassurer de la mise en uvre des objectifs sur les zones gographiques et units daffaires Anticiper latteinte des objectifs Rviser les objectifs globaux Filiales et socits affilies trangres Dcliner les objectifs et dfinir les prvisions dactivit Valider le plan stratgique de chaque filiale trangre et consolider Apprcier les projets stratgiques proposs par les filiales et socits affilies + co-entreprises Sassurer de la mise en uvre des objectifs laborer le reporting des filiales et des socits affilies + co-entreprises Revoir la mise en uvre du plan stratgique Superviser la communication Dfinir les objectifs de communication groupe Communication interne Dfinir les missions de communication Dfinir les mdias et le mix mdias Communication externe
Groupe Eyrolles

Risk management dans les compagnies dassurances 165

Dfinir les stratgies de communication par canal Dfinir le plan daction de communication (par mdia et par cible) Mettre en uvre la communication Communication interne Assurer la veille, la collecte dinformations Apprcier la pertinence de la communication avec les objectifs du groupe Concevoir, vrifier et valider les informations Raliser les actions de communication (mix promotion) Mesurer lefficacit de la communication Communication externe Assurer la veille et analyser les rsultats (tableaux de bord commerciaux) Concevoir les actions de communication et lalignement avec les objectifs Formaliser et valider les actions de communication Mettre en uvre les actions de communication tablir un reporting des actions de communication (efficacit) Sponsoring, mcnat et fondations Dfinir les objectifs et le plan daction du mcnat et sponsoring Mettre en uvre le plan daction du mcnat et sponsoring

Processus de support Superviser les ressources humaines Gestion prvisionnelle des emplois et comptences Estimer les effectifs Grer la bourse de lemploi et la mobilit internationale Assurer la mobilit et le recrutement externe Superviser la formation (collective, individuelle) Piloter la masse salariale et les avantages au personnel Grer un outil dvaluation de performances et comptences Superviser les parcours professionnels des salaris et les mutations
Groupe Eyrolles

Assurer la gestion administrative, statutaire des salaris Suivre le dossier individuel Coordonner le cycle de paie et effectuer les dclarations fiscales-sociales Coordonner le temps de travail et les absences

166 Annexes de la troisime partie

Administrer les frais de mission Grer le personnel en CDD, intrim et stagiaires, expatris Assurer la mdecine de prvention et du travail Coordonner les relations sociales et les structures de contre-pouvoir Piloter les entits de gouvernance Ngocier les conventions, les accords dentreprise Conseiller dans le domaine des affaires sociales et le droit du travail Piloter la conformit juridique et fiscale Piloter la veille juridique et la sret juridique Suivre lvolution de la rglementation Interprter la lgislation et la traduire en rgles de management Respecter les exigences rglementaires et contractuelles (conventions) Connatre et diffuser les obligations rglementaires intragroupe Traiter les demandes des diffrentes entits du groupe Rpondre aux demandes officielles et arbitrer Coordonner les engagements contractuels Grer les engagements contractuels des assurs Superviser les engagements contractuels vis--vis des prescripteurs Grer les engagements contractuels vis--vis des socitaires / des assurs Grer les engagements contractuels vis--vis des autres prestataires / parties lies Grer les engagements contractuels vis--vis des salaris Coordonner les litiges Prvenir les litiges (mdiation et prcontentieux) Piloter les litiges (mdiation et prcontentieux) Grer le contentieux Provisionner les dossiers (IAS 37) Analyser les rsultats (reprise sur provisions) Exploiter les systmes dinformation Organiser lvolution du systme dinformation Dcliner la stratgie de lentreprise en matire de SI Dfinir lorganisation des SI et les rgles de dlocalisation / externalisations Superviser les rgles dassistance matrise douvrage Piloter le budget de fonctionnement et dinvestissement de la DSI Financer les investissements informatiques et lactualisation des frais de dveloppement
Groupe Eyrolles

Risk management dans les compagnies dassurances 167

Recenser les besoins des mtiers et faire un premier arbitrage Appliquer les rgles de contrle interne sur les projets informatiques Piloter les projets migration des SI et ERP/PGI Grer les relations avec les SSII tiers et linfogrance Prvenir les situations de crise informatique et simuler les plans de reprise dactivit informatique Dvelopper et livrer des applicatifs informatiques tudier la demande de la matrise douvrage Faire des tudes de faisabilit Piloter la phase de conception gnrale Piloter la phase de conception dtaille Paramtrer Raliser les tests dintgration/recette technique Valider la solution Procder aux tests de recettes Passer en phase de production Fonctionner en parallle Mettre en production la solution Raliser le bilan de projet/bilan de mise en production Suivre le project office Grer les ateliers transverses (reprise des donnes, etc.) Mettre en uvre la conduite du changement Grer la qualit et le contrle interne du projet Grer le fond documentaire projet et applicatif Exploiter les systmes dinformation en interne et en externalisation/dlocalisation Dfinir et grer un niveau de service Grer les performances et capacit Assurer une continuit de services Assurer la scurit des systmes au niveau immatriel Garantir la scurit physique des installations Grer les donnes, apurer les bases
Groupe Eyrolles

Grer la configuration des systmes Grer les problmes et incidents certifications SAS 70 Grer lexploitation informatique

168 Annexes de la troisime partie


Grer les moyens transverses Grer les achats et le renforcement fournisseur Dfinir et analyser les besoins de lentreprise Grer le panel des fournisseurs potentiels et grer les consultations Raliser/renouveler les appels doffres Grer la relation client/fournisseur actuel Grer les moyens gnraux Tlphonie, standard, rservation visioconfrence Dfinir et analyser les besoins/les demandes calcul de ROI Engager les commandes et suivre les dpenses Grer les moyens matriels Maintenance Dfinir et analyser les besoins et les demandes Engager les commandes et suivre les dpenses dans lERP Grer les moyens matriels Assurer la scurit des biens et des personnes Zone Union europenne Assurer la scurit oprationnelle Assurer la scurit par anticipation Autres zones gographiques linternational Assurer la scurit oprationnelle des expatris Grer la comptabilit financire Suivre et intgrer la rglementation comptable Effectuer la veille rglementaire, participer aux principales instances Interprter les normes et les avis techniques comptables (IFRS, US GAAP) Dfinir les schmas comptables autoriss et les intgrer dans les systmes Tenir la comptabilit (au fil de leau ) hors cut-off Administrer les rfrentiels comptables IFRS et US GAAP Mettre jour/diffuser les procdures comptables IFRS et US GAAP Domaine assurances individuelles de personnes Passer les critures comptables (manuelles) Domaine valeurs mobilires/OPCVM Passer les critures comptables (manuelles) Passer les critures comptables (semi-automatiques)
Groupe Eyrolles

Risk management dans les compagnies dassurances 169

Domaine assurances collectives co- et rassurance Passer les critures comptables (manuelles) Domaine assurances collectives Passer les critures comptables (manuelles) Domaine Opex/charges dexploitation Passer les critures comptables (manuelles) Passer les critures comptables (semi-automatiques)/classe 9-6 Domaine immobilier et participations non cotes Passer les critures comptables (manuelles) Passer les critures comptables (semi-automatiques) apurement de charges Effectuer les contrles comptables et le contrle interne associ Contrles des flux (dversements) / administratif des flux Contrler les comptes de bilan Suivre le budget (contrle de gestion) rviser le budget Collecter et contrler les donnes Prparer les tats du budget et effectuer les actions correctrices en conformit avec la directive Transparence Raliser et formaliser les analyses Rpondre aux demandes dexplications et dinformations Analyser les rsultats (comptabilit analytique) analyse dcarts Collecter et contrler les donnes Prparer les tats danalyse et effectuer les actions correctrices Raliser les analyses et rpondre aux demandes ponctuelles Arrter les comptes et grer le projet Fast Close Domaine assurances individuelles Intgration des donnes de gestion et interprtation Justification et ajustements des comptes tablissement et comptabilisation des critures dinventaire Analyse et comptabilisation des critures finales et administration de flux Intgration des donnes de gestion
Groupe Eyrolles

Justification et ajustements des comptes (test Impairment) tablissement et comptabilisation des critures dinventaire Justification et ajustements des comptes revue analytique tablissement et comptabilisation des critures dinventaire (IFRS 4)

170 Annexes de la troisime partie

Immobilier dinvestissement (IAS 40) Participations non cotes laboration du dossier de clture (arrts de comptes) Domaine frais et charges communes Saisie des factures et provisions Salaires, logiciels et dotations aux amortissements Refacturations intragroupe Ajustements comptables des frais gnraux du primtre Union europenne Arrt des frais gnraux Ventilation des charges corporate Rpartition analytique en mthode ABC (comptabilit par activit) Dtermination du chiffre daffaires partenaire / reconnaissance du CA (IAS 18) Dtermination des provisions et des comptes techniques Rassurance/coassurance technique et financire Production financire et contrle du rsultat Domaine consolidation Travaux prparatoires la consolidation IFRS US GAAP Intgration des donnes Retraitement consolidation, annulation Interco dition des tats de synthse consolids et des annexes Raliser les dclarations fiscales, impts diffrs Collecter les informations et les donnes Calculer lassiette et limpt et effectuer les ajustements tablir les dclarations fiscales et les liasses fiscales Payer limpt (acomptes + solde)

Groupe Eyrolles

Risk management dans les compagnies dassurances 171

Processus oprationnels Concevoir et suivre les produits Comprendre et analyser les besoins Zone Union europenne tudier le march et le comportement des consommateurs Identifier les besoins des consommateurs Identifier les besoins du distributeur valuer les enjeux pour lassureur Concevoir loffre Formaliser loffre dun produit dassurance Raliser ltude dopportunit commerciale Raliser ltude de faisabilit laborer la tarification (individuelle & collective) tudier la rentabilit (individuelle & collective) ROI Faire valider le produit par les autorits de gouvernance (individuel & collectif) AMF laborer les nouveaux produits ou customiser les produits existants Rdiger la fiche produit et les documents contractuels individuel & collectif Finaliser la tarification conditions de rassurance individuel & collectif et co-assurance Obtenir les autorisations rglementaires individuel & collectif Test commercial et enqutes clients sur les nouveaux produits individuel laborer la communication client individuel & collectif laborer le cahier des charges du produit individuel & collectif Mise en gestion et recettage/industrialisation de loffre Recetter les applications activer les frais de dveloppement Mettre en exploitation Produire sous contrle Exploiter les systmes Distribuer les produits Dfinir les objectifs annuels et formaliser les plans de dploiement Ngocier les objectifs de vente avec le partenaire
Groupe Eyrolles

Dcliner les objectifs et laborer le plan daction commercial Mettre en uvre le plan daction commercial Raliser les supports marketing et mix marketing Former les rseaux commerciaux et partenaires

172 Annexes de la troisime partie

Animer les rseaux commerciaux (agents gnraux) Vendre et suivre la ralisation des objectifs Vendre au partenaire Suivre les rsultats Dterminer les actions correctrices Assurances individuelles Dfinir les objectifs annuels et formaliser les plans de dploiement Ngocier les objectifs de vente avec le partenaire Valider les actions commerciales avec le partenaire Mettre en uvre le plan daction commercial Raliser les outils daide la vente Raliser les supports marketing + mix marketing Faire souscrire et mettre le contrat Retranscrire les informations client Saisir et valider la souscription Contrler les documents contractuels et administratifs Contrler le dossier dadhsion ou de souscription Saisir et mettre les documents Traiter les anomalies, les cas exceptionnels incured but not reported (IBR) Archiver les documents du dossier dadhsion/souscription Appeler et encaisser les primes/cotisations Encaisser les primes et rgulariser les impays Encaisser les primes Appeler les primes de versements rguliers Encaisser les primes Traiter les impays et recouvrer les primes Affecter les versements Suivre la vie du contrat Enregistrer les modifications de nature administrative Enregistrer les modifications de nature contractuelle Traiter les avances Grer les placements Domaine valeurs mobilires Dterminer les stratgies dinvestissements
Groupe Eyrolles

Risk management dans les compagnies dassurances 173


Grer ladossement actif/passif Dfinir les stratgies financires Grer les limites par metteur et le risque crdit groupe Grer la trsorerie et les portefeuilles financiers Matriser le niveau de trsorerie Passer les ordres sur les portefeuilles long terme Grer les placements de trsorerie Grer les garanties annexes Adossement actif/passif des UC (units de crdit) Gestion postmarch Valoriser Suivis particuliers Comptabiliser et calculer les rsultats des portefeuilles

Groupe Eyrolles

174 Annexes de la troisime partie

Cartographie des processus dans le domaine des mandats de gestion dactifs du secteur assurance
Processus Grer les risques Grer la mise jour du programme d'activit Grer le contrle interne tablir la charte de contrle interne et le plan de contrle annuel en conformit avec solvabilit 2/8e directive europenne sur laudit lgal Grer les procdures (procdure des procdures) Dfinir les rgles pour la cration et la commercialisation des nouveaux produits en conformit MIF Grer les enregistrements tlphoniques en conformit CNIL Contrler les activits Raliser les contrles de second niveau conformment au plan de contrle Solvency 2/8e directive europenne sur laudit lgal Contrler les dlgataires de gestion Contrler les prestataires - intermdiaires, dpositaires Raliser les contrles de second niveau des ratios rglementaires et statutaires solvabilit 2 Raliser la synthse des contrles et suivre les actions correctives ou d'amlioration prvues/produire les Key Risks Indicators Assurer les contrles de conformit Raliser les contrles priodiques par laudit interne Grer la conformit Dfinir les codes, chartes, rgles et modalits - dontologie, conflits d'intrts, muraille de Chine, cadeaux et avantages, personnel sensible, whistle blowing en conformit avec le code ethique et dontologique Suivre la mise en uvre des rgles chartes, codes et modalits conformment la rglementation et laudit de lgalit Rdiger et diffuser les rapports de suivi selon la rglementation en vigueur (droit bancaire et droit des assurances) Assurer veille rglementaire (projets de directives europennes Grer la scurit
Groupe Eyrolles

Activit/procdure Suivre le programme d'activit, les donnes lgales, l'adhsion

Dfinir et suivre le Plan de continuit de lactivit et les procdures de gestion de crise associes Grer les habilitations de signatures et dlgations de pouvoir Gouverner l'entreprise Gouverner l'entreprise Dfinir et piloter les stratgies

Risk management dans les compagnies dassurances 175


Crer les produits et les suivre Crer les produits et les suivre Concevoir les produits financiers tudier la faisabilit de la demande entreprise via appels doffres Suivre la cration des nouveaux OPCVM Grer le comit des nouveaux produits via le comit daudit Grer les relations commerciales Assurer la relation client et commerciale Entrer en relation avec de nouveaux clients Qualification du besoin du client Classification des clients en conformit MIF Tenue et mise jour des dossiers clients Optimiser la gestion des fonds Grer les OPCVM - activits financires Dfinir et mettre en uvre les politiques de taux Dfinir et mettre en uvre les politiques ALM Dfinir et mettre en uvre les politiques pour la multigestion Slectionner les intermdiaires, les brokers Intervenir sur les marchs terme et de gr gr Passer les ordres Passer les ordres sur OPCVM Valider les VL (valeurs liquidatives) suite prvalidation middle office Analyser les performances Mettre en uvre les dcisions de CS (conseil de surveillance) / CA (conseil dadministration) Grer les titres Grer les comits d'investissement et dengagement Prparer les comits d'investissement et reporter au comit daudit Mettre en uvre les dcisions des comits d'investissement et dengagement
Groupe Eyrolles

Raliser les oprations non financires sur OPCVM Dfinir les politiques de vote et de contrle Rpondre aux demandes dinformations

176 Annexes de la troisime partie

Contrler la gestion sur les fonds, informer Contrler les oprations ralises par les grants/gestionnaires Pr-valider les VL (Valeurs liquidatives) Contrler et suivre la trsorerie Contrler les oprations inities par les grants/gestionnaires Contrler les dlgations financires Contrler et suivre le risque de contrepartie Suivre les ratios statutaires Raliser les oprations diverses Suivre les interfaces SI et ladministration des flux Grer les rtrocessions de commissions sur OPCVM externes Grer les rtrocessions de commission Raliser les reportings sur les OPCVM gres Contrler et suivre les donnes financires - rfrentiel et reporting priodique IFRS/Domestic GAAP/US GAAP Raliser le reporting mensuel IFRS/Domestic GAAP/US GAAP Raliser l'information aux porteurs de parts (performance des portefeuilles) Grer les conseils de surveillance (CS)/CA (Conseil dAdministration) Grer les membres des CS/CA Grer les plannings et les convocations des CS/CA Secrtariat des Socits tablir dossier prsent au CS/CA Grer les prsences aux CS/CA Archiver les procs-verbaux (PV) des CS/CA Suivre les mises en uvre des dcisions CS/CA Raliser les reportings sur les mandats Contrler et suivre les donnes financires - rfrentiel et reporting priodique en conformit IFRS/Domestic GAAP/US GAAP Suivre a priori et a posteriori les ratios statutaires Solvency 2 Raliser le reporting mensuel IFRS/Domestic GAAP/US GAAP
Groupe Eyrolles

Contrler et suivre le risque de contrepartie

Risk management dans les compagnies dassurances 177

Grer la comptabilit des OPCVM Grer les oprations comptables sur OPCVM Cration de portefeuille Valoriser les OPCVM (et dfinir rgles et mthodes de valorisation), suivre l'quilibre du nombre de parts en conformit IAS 39 rvision doctobre 2008 tablir les documents priodiques rglementaires en conformit IFRS 7 Suivre a posteriori les ratios rglementaires Solvency 2 Contrler les erreurs de valorisation/IAS 39/tests de dprciation Grer les fonds garantis Raliser le suivi des diffrentes rmunrations Grer les commissions de mouvement sur OPCVM Grer les frais de gestion variables sur OPCVM Grer les rtrocessions sur OPCVM Raliser les tches lies au pilotage Dfinir l'ensemble des activits lies au pilotage Grer les diffrentes tches lies au pilotage Grer les fusions absorptions OPCVM Organiser le contrle oprationnel Dfinir l'organisation et les missions du contrle oprationnel Prsenter les outils de suivi et tableaux de bord intgrant les KRI Grer les RH et les relations sociales Grer les collaborateurs Dontologie, MIF/comptences et implication Grer les dtachements et rmunrations Dcrire les fonctions spcifiques lies aux mandats de gestion/gestion dactifs
Groupe Eyrolles

Grer la rglementation juridique et fiscale Grer les agrments AMF- cration OPCVM, mutation OPCVM, Grer les relations avec le rgulateur changements d'acteurs Raliser le suivi (dpositaire...)

178 Annexes de la troisime partie

Assurer la veille rglementaire Organiser le lobbying Grer les conseils de surveillance Vrifier le niveau de comptences des membres Raliser les procs-verbaux des CS/CA Suivre le programme d'activit, les donnes lgales, superviser le secrtariat des socits Grer les systmes dinformation (SI) Grer les applications SI Grer les demandes dvolutions SI Grer les interfaces entre SI Grer la scurit des applications Monter en puissance les releases Coordonner lanalyse fonctionnelle Synchroniser les interfaces Tester les rgles de scurit applicative

Grer le Plan de secours inforTester les plans de reprise dactivit informatique matique Grer la comptabilit et les finances Assurer la gestion comptable Dfinir les rgles comptables IFRS/Domestic GAAP/US GAAP Grer la comptabilit financire Arrter les comptes et raliser les bilans en intgrant la directive transparence Raliser les documents d'information rglementaires Suivre et grer la trsorerie Suivre et grer les fonds propres IFRS 7 Raliser les rapprochements bancaires Grer les acomptes sur dividendes Grer les fournisseurs Grer la facturation des fournisseurs Grer la comptabilit et les finances Grer les budgets et les business plans laborer le budget (charges et ressources) en conformit avec la directive transparence
Groupe Eyrolles

Suivre les budgets, raliser les analyses (notamment dfinir les rgles d'analyses et les critres), les intgrer dans le dispositif de communication financire Grer les rtrocessions sur OPCVM externes

Risk management dans les compagnies dassurances 179

Exemple de polices dassurance souscrites par un programme dassurance


Exemple dune police globale informatique
Garanties de base

Biens assurs Tout matriel informatique Logiciel, progiciels Garantis au repos, en activit Faits gnrateurs garantis Incendie, explosion Dommages lectriques, lectroniques Bris de machine Dgts des eaux Temptes, ouragans Catastrophes naturelles Chutes, heurts Grle, gel Tremblement de terre Grves, meutes Chutes daronefs Franchissement mur du son Malveillance dlibre Sabotage Contamination virale Vol, intrusion, effraction Utilisation fausses cls Maladresse, ngligence Utilisation non autorise de ressources informatiques interne/externe

Groupe Eyrolles

180 Annexes de la troisime partie

Clauses TRI et ERI

Pertes financires gnres par un dommage matriel et/ou immatriel Informatique Frais de reconstitution darchives Frais de reconstitution des mdias Frais supplmentaires dexploitation informatique Location dun ordinateur de remplacement Frais de communication de crise interne et externe lie au plan de survie Extension risques informatiques Garantie pertes de fonds affectant les comptes de la classe 5 (VMP, CCP, banque) Caisse, rgies davances, virements internes, provision des dprciations de VMP Jeux dcritures illicites en cas de dtournement Virements effectus pour le compte de clients en cas dacte de malveillance Paiement des agios bancaires Paiement des loyers restant couvrir si recours la location financement

Groupe Eyrolles

Risk management dans les compagnies dassurances 181

Exemple de programme dassurance responsabilit professionnelle dune compagnie dassurances


Polices dassurance RC professionnelle

Faits gnrateurs mtier assurances, co- et rassurance Convention spciale dtournements Escroquerie Dtournement, abus de confiance Faux en criture, perte de fond et valeurs conscutives une cration, modification Suppression dinformations passibles de poursuites pnales Autres clauses Insuffisance de moyens Erreurs ou omissions dans les ordres de la clientle Erreur de saisie de RIB Erreur de montant dans la saisie Erreur de saisie sur le nom ou prnom du souscripteur Rachat de capital suite homonymie Rachat de capital suite imitation de signature Changement de clause bnficiaire crant un prjudice par rapport au bnficiaire initial Modification de clause bnficiaire entre demande de mise sous tutelle et mise sous tutelle effective du souscripteur Dsignation bnficiaire dune association non reconnue dutilit publique non identifie par la compagnie au moment de la souscription Pertes pcuniaires favorises par une ngligence de lassur ou par inobservation de rgles de prudence dans le secteur bancassurance Refus ou omission de renouveler ou de rsilier un contrat dassurance ou un trait de rassurance non justifi Refus ou omission ou retard dans le rglement dun sinistre Erreur ou omission faites par un souscripteur de la compagnie Infraction avec la loi scurit financire du 13 octobre 2003, dont : Article 39 rforme dmarchage bancaire et financier Article 42 rglementation de la profession de conseiller en investissements financiers Article 47 exercice des droits, notamment de vote, attachs aux titres dtenus par les OPCVM gres par les socits de gestion de portefeuille Dfaut de conseil Vente de produits inappropris compte tenu du statut patrimonial du client Versement de fonds un mauvais bnficiaire avec erreur imputable au commettant
Groupe Eyrolles

Manque de performance des actifs en reprsentation Mauvaise interprtation des normes IFRS Erreur darbitrage dans lallocation des actifs financiers

182 Annexes de la troisime partie

Non-conformit des visites de site ralises par lAMF dans le cadre du contrle des portefeuilles Erreur de constitution de dossier ou non-respect des dlais dans la procdure dagrment AMF en termes de cration dOPCVM Avertissement, blme, interdiction temporaire ou dfinitive dune partie ou de la totalit des activits Sanctions pcuniaires du conseil de discipline des OPCVM Erreur ou retard de publication dans la production de la valeur liquidative Erreur de transmission dans lidentification des acteurs Erreur de transmission dans la caractrisation en cas de changement de structure de lOPCVM Dclaratif des autres mtiers du groupe combin Activit dassurance et de rassurance Activit dingnierie et de prvention des risques Activits de courtage dassurance ou de rassurance Activits immobilires Prestations de services informatiques Prestations de services logistiques Gestion pargne salariale Activit de gestion de portefeuille et de placement Production et ngoce en vin Crdit-bail immobilier Protection juridique Recouvrement de crances Assistance et information Multiservices pour particuliers Aide aux personnes handicapes Gestion de centres sportifs Remise dobjets publicitaires Activits annexes connexes et/ou complmentaires Soins mdicaux

Groupe Eyrolles

Risk management dans les compagnies dassurances 183

Extrait du rapport risk management du groupe AXA, 2007


Les informations de cette section viennent en complment de la Note 4 aux tats financiers consolids , inclus dans la partie V de ce Rapport annuel, et sont couvertes par lopinion des commissaires aux comptes sur les tats financiers consolids. AXA est expos aux risques des marchs financiers au travers de ses activits de protection financire ainsi quau travers du financement de ses activits dans le cadre de la gestion des fonds propres et de la dette. Ces deux problmatiques distinctes peuvent tre synthtises comme suit : gestion actif - passif des portefeuilles dassurance. Lune des fonctions de base de lactivit dassurance consiste investir les primes reues des clients en attendant de rgler les sinistres ventuels. Linvestissement de ces primes doit tenir compte des conditions dans lesquelles ces sinistres sont rgls. Cest le domaine de la gestion actif - passif. De faon protger et maximiser ses bnfices, AXA gre activement son exposition aux risques de march. La gestion du risque de march est dabord de la responsabilit des filiales. Celles-ci ont en effet une connaissance prcise de leurs produits, de leurs clients et de leur profil de risque. Cette approche leur permet de ragir de manire prcise et cible et de sadapter aux variations des conditions des marchs financiers, aux cycles du secteur de lassurance et plus gnralement aux modifications de leur environnement politique et conomique. De nombreuses techniques de gestion des risques sont utilises pour contrler et optimiser le niveau de risque de march auquel les entits oprationnelles du groupe AXA et le groupe lui-mme sont exposs : Gestion actif - passif et, particulirement, dfinition dallocations stratgiques dactifs optimales. Couverture des risques financiers lorsquils dpassent le niveau de tolrance que le groupe sest fix. Ceci comprend en particulier la couverture de garanties planchers sur produits dpargne en units de compte ( variable annuities ). Tous les produits ncessaires la mise en place de programmes de couverture avec recours aux instruments drivs sont excuts avec lassistance des quipes spcialises des gestionnaires dactifs du Groupe (AXA Investment Managers et Alliance Bernstein). La rassurance est galement utilise dans les produits de type GMIB ( guaranteed minimum income benefit , une garantie dans le cadre des sorties en rente sur les produits dpargne en units de compte) comme outil de rduction des risques financiers. Lquilibre global de la gamme de produits permet de profiter dventuels effets de couverture naturels entre diffrents produits. Des analyses dexposition sont effectues afin de piloter certains risques spcifiquement identifis. Lexposition dAXA aux risques de march est minore par la diversit de ses activits et de ses implantations gographiques, permettant ainsi dobtenir une bonne diversification des risques. En outre, en vie, pargne, retraite.

Groupe Eyrolles

184 Annexes de la troisime partie

AXA ralise une part importante de ses activits sur des produits en units de compte pour lesquels la majorit des risques financiers est supporte directement par les assurs (la valeur pour lactionnaire reste, nanmoins, sensible lvolution des marchs financiers).

Groupe Eyrolles

Bibliographie

Publications de Pascal Kerebel


LAssurance franaise, Moyennes entreprises industrielles : faut-il souscrire un compte captif de rassurance , septembre 1995. Revue Banque, La captive de rassurance : une filiale part entire ?! , janvier 1996. Argus (juillet 1996) et Risques (juillet 1998), Le risk management des conseils gnraux : une approche complmentaire lassurance . changes, Du crdit management au risk management : dune approche globale de contrle du risque client une dmarche transversale de contrle des risques de lentreprise , juillet 1998.

Autres auteurs
Blinn (James D.), Elliott (Michael W.), Head (George L.), Essentials of Risk Financing, volume II, Insurance Institute of America, 1993. Bon-Michel (Batrice), Chapoteau (Georges), Contrle interne bancaire, Editea, 2008. Chelly (Dan), Jimenez (Christian), Merlier (Patrick), Risques oprationnels, Revue Banque, 2008. Mekouar (Richard), Veret (Catherine), Fonction : risk manager, Dunod, 2005.

Groupe Eyrolles

187

Table des figures et tableaux


Analyse comparative des rglementations sur le corporate risk management Exemple de cartographie des mta-risques Bilan risk management Exemple de business plan par unit gnratrice de trsorerie Matrice dvaluation des impacts Plan de reprise dactivit salles de marchs : lincendie du sige du Crdit lyonnais Risque dirrgularit relative aux contrats Risque de non-conformit rglementaire Exemple de police dassurance RC mandataires sociaux dun groupe banque/assurance Risques lis aux systmes dinformations Les diffrents cas de figure concernant le risque systmes dinformation Risques de dommages aux biens et aux personnes Risque social et humain Risques comptables Diffrents risques concernant le dispositif de communication externe 13 20 48 83 110 114 123 124 125 126 127 128 129 130 132

Groupe Eyrolles

Compos par IDT Achev dimprimer : XXXX N dditeur : 3863 N dimprimeur : xxxxxxx Dpt lgal : Mai 2009 Imprim en France