BGFI BUSINESS SCHOOL

CONTRÔLE INTERNE ET MANAGEMENT DES RISQUES

Février 2021

Animateur : Pierre Marley ESSONE NKOUME

1
 PROGRAMME DE FORMATION

Contrôle Interne et Management des risques

• Introduction

• Partie 1 : Le contexte réglementaire

• Partie 2 : Méthodologie de cartographie des risques opérationnels

2
 Sommaire

Introduction: Contexte, enjeux et objectifs

Partie I : Le Contrôle Interne

Partie II : Le Management des Risques

3
 Définition du Système de Gestion des Risques

Le système de gestion des risques (SGR) est une démarche de

détermination des risques ayant pour objectif la maîtrise
permanente des activités.

4
 Sommaire

Introduction : Contexte, enjeux et objectifs

Partie I : Le Contrôle Interne

Partie II : Le Management des Risques

5
 L’origine de la règlementation en zone CEMAC

• Fin 1980’s : Crise bancaire au sein de la zone CEMAC

– Cause principale : absence de régulation et de supervision ;

• 1990 : Création d’une structure de supervision bancaire : la COBAC (Commission Bancaire

d’Afrique Centrale)
– Rôle principal : surveiller et contrôler les établissements de crédit.
– Missions :
• Contrôler les conditions d’exploitation des établissements de crédit ;
• Veiller à la qualité de leur situation financière ;
• Assurer le respect des règles déontologiques de la profession.

• 17 janvier 1992 : Harmonisation de la réglementation bancaire des Etats d’Afrique Centrale

• Depuis 1992 : Publication de nouveaux Règlements prudentiels dans le but d’harmoniser les
outils de contrôle de la COBAC et de les mettre en conformité avec les principes
fondamentaux édictés par le Comité de Bâle pour l’efficience de la supervision bancaire.
– Objectifs : constituer des normes se rapportant à la solvabilité, à la liquidité et au contrôle interne des
établissements de crédit.

6
 Présentation de la COBAC

• Création en 1992

• 13 membres, dont :
– Le Gouverneur de la BEAC(Président) et le Vice Gouverneur de la BEAC (Président suppléant) ;
– 7 membres, choisis pour leurs compétences et leur honorabilité, et nommés pour un mandat de 3 ans.

• Mission :
– Veiller au respect par les établissements de crédit des dispositions législatives et règlementaires édictées
par les Autorités nationales, par la BEAC ;
– Fixer les règles destinées à assurer et à contrôler la liquidité et la solvabilité des établissements de crédit à
l’égard des tiers et plus généralement à l’équilibre de leur situation financière.

• Domaines de compétence :
– Administratif : gère l’agrément des établissements de crédit ;
– Règlementaire : Fixe les règles du secteur bancaire ;
– Contrôle : Effectue le contrôle des établissements de crédit ;
– Disciplinaire : Peut, le cas échéant, adresser des injonctions ou des mises en garde, ou nommer un
liquidateur aux établissements qui cessent d’être agréés

 Cumul des pouvoirs d’administration, de réglementation, de contrôle et de sanction…

• 2001: Règlement COBAC R 2001/07 relatif au contrôle interne dans les établissements de crédits
• 2016: Règlement COBAC R 2016/04 relatif au contrôle interne dans les établissements de crédits et les holdings
financières.

7
 Objectifs du contrôle interne

Le système de contrôle interne : plus qu’une obligation réglementaire, est un dispositif

indispensable à la survie de l’entreprise
 Le contrôle interne est un dispositif de l’entreprise qui vise à donner une assurance raisonnable :

 de la conformité aux lois et aux règlements;

 de l’application des instructions et des orientations fixées par la direction;

 du bon fonctionnement des processus internes de l’entreprise, notamment ceux concourant à la sauvegarde de ses
actifs;

 de la fiabilité des informations financières;

Et qui, d’une façon générale, contribue à la maîtrise de ses activités, à l’efficacité de ses opérations et à l’utilisation efficiente de
ses ressources.

Le système de contrôle interne (SCI) se définit comme:

Un ensemble de dispositions approuvées par l’organe délibérant et mis en œuvre par l’organe exécutif et l’ensemble du
personnel d’un établissement assujetti en vue de s’assurer que ses activités sont convenablement maîtrisées à tous les
niveaux pour lui permettre d’atteindre les objectifs fixés par l’organe délibérant (Art 2, COBAC R 2016/04).

8
 Définition des principales natures de risques

Sont notamment définis dans le règlement les natures de risques suivants :

Art.2, COBAC R-2016/04

• Risque de crédit :
– Représente le risque encouru en cas de défaillance d’une contrepartie

• Risque de liquidité :
– Représente le risque pour la Banque de ne pas pouvoir faire face à ses engagements ou de
ne pas pouvoir dénouer ou compenser une position.

• Risque de marché :
– Risque de variation de prix de tout instrument côté sur un marché.

• Risque opérationnel :
– Risque de perte résultant de l’inadéquation ou de la défaillance des processus internes, des
personnes et des systèmes ou d’évènements externes. Le risque opérationnel inclut le risque
juridique, mais exclut les risques stratégiques et de réputations.

• Risque juridique:
- Risque de litige avec une contrepartie résultant notamment de toute imprécision, lacune ou
insuffisance de nature quelconque susceptible d’être imputé à l’établissement au titre de ses
opérations.

9
 Règlement COBAC R 2016/04 sur le contrôle interne

Les principes généraux et définitions

Le système de contrôle interne est constitué de deux (2) niveaux: Art. 2 et 3, COBAC R-2016/04

1. Le Contrôle permanent qui comprend:

i. Le échelon: L’autocontrôle et les contrôles hiérarchiques effectués par les opérationnels
1er
ii. Le 2ème échelon: Le contrôle permanent « proprement dit », la conformité et la gestion des risques.
Le contrôle permanent:
C’est le dispositif qui permet une vérification régulière de l’activité des unités opérationnelles afin de garantir la régularité et la sécurité des
opérations réalisées ainsi que le respect des autres diligences liées à la surveillance des risques de toute nature associés aux opérations
(Art 2)
Le comité des risques :
Comité spécialisé de l’organe délibérant chargé de conseiller et d’assister ce dernier sur la stratégie globale de l’établissement assujetti en
matière de gestion des risques (Art 2)

2. Le Contrôle périodique ou Audit interne

Audit interne:
Activité, indépendante des unités opérationnelles et objective, qui donne à un établissement une assurance sur le degré de maîtrise de
ses opérations, lui apporte ses conseils pour les améliorer et contribue à créer de la valeur ajoutée. Il aide cet établissement à atteindre
ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle et de
gouvernement d’entreprise et en faisant des propositions pour renforcer leur efficacité (Art 2)
Le comité d’audit :
Emanation de l’organe délibérant chargée d’assister ce dernier dans l’exercice de ses missions, notamment l’évaluation de la qualité du
contrôle interne, la vérification de la fiabilité des informations fournies par l’organe exécutif et les auditeurs externes et de la pertinence
des méthodes comptables, ainsi que l’appréciation de la cohérence des systèmes d’identification, de mesure, de surveillance et de
maîtrise des risques et proposer, le cas échéant, des pistes d’amélioration (Art 2).

10
 II.ACTEURS CLES DU SYSTEME DE CONTROLE INTERNE
I. L’organe délibérant
 Définie l’orientation stratégique de l’établissement et assure la surveillance effective de la gestion
des activité pour le compte des actionnaires.
 Il s’agit du conseil d’administration

II. L’organe exécutif

 Ensemble des personnes qui assure la gestion courante des activités de l’établissement et le
pilotage effectif du processus de réalisation des objectifs stratégiques fixés par l’organe délibérant.
 Il s’agit de la Direction Générale.

Les organes exécutifs et délibérant doivent promouvoir au sein de l’établissement assujetti une culture de
contrôle interne à tous les niveaux du personnel. Chaque membre du personnel de l’établissement doit
comprendre son rôle dans le dispositif du contrôle interne et y être totalement impliqué ( Art 9).

III. Le comité d’audit

 La mise en place d’un comité d’audit est obligatoire pour tout les établissements assujettis (Art 25)
 Assiste l’organe délibérant dans la supervision du système de contrôle interne (Art 26)
 Evaluation de la qualité du contrôle interne (Art 26)
 Vérifie la fiabilité des informations fournies par l’organe exécutif et les auditeurs externes et la pertinence
des méthodes comptables (Art 26)

11
 II.ACTEURS CLES DU SYSTEME DE CONTROLE INTERNE
IV. Le comité des risques
 Comité spécialisé de l’organe délibérant (Art 2)
 Assiste l’organe délibérant dans le pilotage du dispositif de gestion des risques (Art 2)

V. La fonction Contrôle permanent

 Doit se doter de dispositifs qui permettent un contrôle régulier et permanent au niveau des unités
opérationnelles pour garantir la régularité, la sécurité, la validation des opérations réalisées et le
respect des autres diligences liées à la surveillance des risques de toute nature associés aux
opérations (Art 35)
 Doit disposer d’un personnel qualifié et expérimenté (Art 39)
 Rémunération fixée de façon indépendante par le comité des rémunérations, tenant compte de la
réalisation des objectifs associés à la fonction (Art 39)
 Chaque incident doit faire l’objet d’un rapport circonstancié du responsable du contrôle permanent. Ce
rapport est transmis à l’audit interne et l’organe exécutif (Art 41)

VI. La fonction Conformité

 L’identité du responsable de la fonction Conformité est communiquée à la COBAC (Art 3)
 S’assure de la coordination de la gestion du risque de non-conformité (Art 54)
 Doit disposer d’un personnel hautement qualifié dans le domaine des activités bancaires et financières
et une connaissance approfondie des règles et normes en vigueur (Art 54)

12
 II. ACTEURS CLES DU SYSTEME DE CONTROLE INTERNE

VII. La fonction Gestion des risques

 Elle a en charge la mesure, la maîtrise et la surveillance des risques (Art 56)
 Le responsable de la gestion des risques est nommé et démis de ses fonctions par l’organe délibérant,
sur proposition de l’organe exécutif (Art 57)
 S’assure que le niveau des risques encourus par l’établissement assujetti est compatible avec les
orientations et politiques fixées par l’organe délibérant (Art 58)
 Doit alerter le comité des risques et l’organe exécutif de toute situation susceptible d’avoir des
répercussions significatives sur la maîtrise des risques (Art 59)
 Doit disposer d’un personnel qualifié et expérimenté et être doté d’un positionnement adéquat pour
exercer ses missions au sein de l’établissement (Art 60)
 Procède au moins une fois par an à une simulation de crise sur les risques les plus significatifs et
communique au Secrétariat Général de la COBAC le rapport de la simulation de crise. (Art 61).

VIII. La fonction Audit interne

 Doit permettre de vérifier, selon une périodicité adaptée, la régularité et la conformité des opérations et
l’efficacité des dispositifs de premier niveau (Art 43)
 Procède, en toute indépendance, à des contrôles périodiques (Art 45 , 47)
 Le responsable de l’audit interne est un employé de l’établissement assujetti, compétent et hautement
qualifié. Il est nommé et révoqué par l’organe délibérant, sur proposition de l’organe exécutif et après
approbation du comité d’audit (Art 49)

13
 III. Composantes d’un dispositif de contrôle interne
• Les établissements assujettis doivent se doter d’un contrôle interne qui comprend notamment :
– Un système de contrôle des opérations et des risques;
– Une organisation comptable ;
– Des procédures internes écrites;
Art.12, COBAC R-2016/04
– Un système du traitement de l’information ;
– Des systèmes de mesure des risques et des résultats ;
– Des systèmes de surveillance et de maîtrise des risques ;
– Un système de reporting et de documentation

L’ensemble des dispositifs composant le Contrôle Interne doit être adapté :

• A la nature et au volume des activités l’établissement ;

• A la taille de l’établissement ;
• A ses implantations ;
• Aux risques de différentes natures auxquels il est exposé.

14
 Complémentarité Contrôle permanent et contrôle périodique

Art 2 R COBAC 2016/04

1er niveau de
2ème niveau de
contrôle
contrôle

Contrôle permanent de 2ème Contrôle permanent 1ER échelon

Contrôle échelon Réalisé par des collaborateurs réalisant les
périodique Réalisé par des collaborateurs dédiés tâches opérationnelles
exclusivement à cette fonction

Contrôle

Réalisation
d’opérations

Contrôle Contrôle Contrôle

Audit interne / DRCP/ Hiérarchie Opérationnels
IG Conformité /
SSI
Auto-contrôle

Contrôle

Contrôle

15
 Règlement COBAC R 2008/01 sur la Continuité d’Activités

• Le texte principal qui règlemente la gestion de continuité d’activité dans le secteur

bancaire de la zone CEMAC est le suivant :

Règlement COBAC R-2008/01 portant obligation d’élaboration par les établissements

de crédit d’un plan de continuité de leurs activités

• Auquel on peut mentionner le texte suivant en vigueur en France :

Règlement CRBF 2004–02 modifiant le règlement CRBF 97-02 du 21 février 1997 sur le
plan de continuité d’activités des établissements de crédit

• Les raisons principales de cette règlementation :

– Forte exposition des établissements de crédit aux perturbations opérationnelles majeures susceptibles
d’affecter leurs infrastructures physiques et/ou leurs ressources humaines ;
– Dépendance des systèmes financiers à l’égard de l'automatisation et des composants de l'infrastructure
physique qui soutiennent l’automatisation, dont la défaillance opérationnelle peut causer des difficultés au
système bancaire dans son ensemble :
• Interruptions répétées ou prolongées sur l’exploitation d'un système bancaire ;
• Altération de la confiance des clients ;
• Retrait de capitaux de ce système par des utilisateurs nationaux ou internationaux ;

– Inadéquation des mécanismes actuels au regard de l’impératif de mise en place d’un plan de continuité ;
– Volonté de l’organe de supervision bancaire de :
• déterminer un niveau approprié de résilience systémique ;
• s’assurer que des opérations précises peuvent être poursuivies ou récupérées par les établissements de crédit dans
un laps de temps raisonnable en cas de perturbation produite sur les opérations normales ou sur les infrastructures
physiques.

16
 Politique de gestion de la continuité d’activité

• La politique de gestion de la continuité d’activité comprend :

1. Des analyses d’impact ;
2. Une stratégie de reprise de l’activité ;
3. Des plans de continuité d’activité. Art.8 à 11,
COBAC R-2008/01
• Analyses d’impact :
– Identifier les activités et services essentiels, les principales situations de dépendance par
rapport à des sources internes et externes à l’établissement de crédit ainsi que les niveaux de
résilience appropriés ;
– Evaluer les risques et conséquences de différents scénarios de désastre ou de perturbation
opérationnelle majeure sur les activités de l’établissement de crédit et sa réputation.

• La stratégie de reprise :
– Définir, sur la base des analyses d’impact, des objectifs de reprise et les priorités,
– Définir le niveau de service minimum fourni par l’établissement de crédit en cas de désastre ou
de perturbation opérationnelle majeure
– Définir le cadre dans lequel il rétablira les conditions normales d’activité.

• Le plan de continuité :
– Fournir dans le détail les indications formalisées et documentées sur la manière de mettre en
œuvre la stratégie de reprise, en :
• Établissant les rôles ;
• Définissant les responsabilités dans la gestion des désastres et perturbations opérationnelles ;
• Fournissant des indications précises sur les plans de succession, de substitution ou délégations de
pouvoirs dans le cas où le désastre ou la perturbation aurait créé une distorsion dans la chaîne
de commandement.

17
 Les tests d’évaluation

• Réalisation des tests selon une périodicité appropriée aux risques et

Art.23,
conséquences des différents scénarios de perturbation opérationnelle COBAC R-2008/01
majeure :
– En fonction du caractère critiques des applications et des fonctions pour
l’établissement ;
– Au regard de la place de cet établissement dans le système bancaire et
financier ;
– En fonction des changements significatifs survenus dans l’environnement
national, régional et international.

• Nécessité de déterminer un site alternatif :

– Situé dans une région distincte de l’emplacement primaire ;
– Ne disposant pas des mêmes composants au niveau de l’infrastructure
physique ;
– Disposant de données actualisées suffisantes ;
– Disposant d’un équipement au point ; Art.21,
– Disposant des systèmes nécessaires pour récupérer et entretenir les opérations COBAC R-2008/01
et services critiques pendant un laps de temps suffisant ;
– Disposant de moyens de transport d’accès définis.

• Soumission des résultats des tests aux organes délibérant et exécutifs

Art.24,
dans un délai raisonnable afin que les mesures nécessaires soient COBAC R-2008/01
apportées et le dispositif mis à jour.

18
 Le Comité de Bâle

Comité de Bâle

• Le comité de Bâle a été mis en place par le

Groupe des 10 (1974)

• Se compose des représentants des banques

centrales et des autorités de surveillance
nationales

• Pas de pouvoir décisionnel, mais :

• Formule des standards, des recommandations
sur les meilleures pratiques
• Encourage la convergence et l’harmonisation
BANK FOR INTERNATIONAL SETTLEMENT
des règlements nationaux

• Favorise les contrats et les coopérations avec

les autorités des pays non membres

19
 BRI – Banque des Règlements Internationaux

• Actionnariat détenu par les Banques Centrales

• Surnommée la « banque centrale des banques centrales »

• Rôle :
– servir de pivot pour les systèmes de transactions monétaires internationales ;
– être l'organisme de coordination entre les grandes banques centrales du monde ;
– prépare des accords au niveau de son comité de Bâle précisant un certain nombre de règles
prudentielles applicables à l'ensemble des banques commerciales de la planète.

• Capital composé de 55 banques centrales actionnaires de la BRI :

20
 Le ratio Cooke

1988 : entrée en vigueur du ratio Cooke visant à définir les exigences en

fonds propres relatives aux risques
Pondé
Catégorie d’actif
ration

Fonds propres Liquide & or

> 8% 0%
Risques pondérés Bons du trésor émis par les
gouvernements de l’OCDE

Risque de crédit pondéré 20% Titres émis par les banques de l’OCDE

+
Risque de marché pondéré 50% Hypothèques immobilières

(CAD, depuis 1996) Toutes les autres formes de titres

100% (obligations émises par des entreprises
, dettes des pays en voie de
développements, l’immobilier, etc.

La pondération des encours risques crédit est liée à :

 la nature du débiteur
 la localisation du risque Logique de forfait
 la durée des engagements

21
 De Bâle 1 à Bâle 3

Bâle 1 « Ratio Cooke » 1988

• Risque de crédit + risque de marché
• Raisonnement forfaitaire
• Défini par le régulateur

Critique de Bâle 1
• Approche indépendante du profil de risque de chaque banque
• Risque opérationnel ignoré
• Complexité des outils financiers modernes dépassant le cadre de Bâle 1

Bâle 2 « Ratio McDonough » 2004

• Risque de crédit + risque de marché + risque opérationnel
• Saines pratiques + mesures internes
• Contrôlées par le régulateur

Bâle 3 (2010)
• Augmentation du niveau et de la qualité des fonds propres
• Limitation du levier bancaire
• Mise en place de 2 ratios de liquidité (Court terme et Long terme)

22
 Les piliers de Bâle 2

Pilier 1 Pilier 2 Pilier 3

Exigence minimale en fonds Surveillance prudentielle Discipline de marché
propres

Risque de crédit
• Approche standard
• Approche des notations
internes (Fondation) Processus interne Diffusion régulière
• Approche des notations
d’évaluation des risques d’informations sur les
internes (Avancée)
et d’adéquation des risques et l’adéquation
fonds propres des fonds propres

Risque opérationnel
• Approche de base
• Approche standard
• Approche avancée

Surveillance des
Transparence de la
procédures et du profil
communication
global de risque par les
financière
Risque de marché autorités de contrôle

23
 Pilier 1 : les méthodes proposées par Bâle 2

FONDS PROPRES
Ratio MCDONOUGH = ≥ 8%
RISQUE DE RISQUE DE RISQUE
+ +
CREDIT MARCHE OPERATIONNEL

3 méthodes de calcul possibles 2 méthodes de calcul possibles 3 méthodes de calcul possibles

• Approche standard • Approche standard • Approche indicateur de base
• Approche IRB simple • Approche par les modèles • Approche standardisée
internes
• Approche IRB avancée • Approche interne

Poids de chaque risque au

sein du ratio de solvabilité :

24
 Pilier 1 : les contraintes

Des contraintes méthodologiques, mais aussi organisationnelles et techniques

 En fonction de la méthode cible envisagée, le comité de Bâle définit les exigences de mise
en œuvre de la méthode. Ces exigences constituent les critères d’agrément du système
d’évaluation des risques de la Banque par le régulateur.

Méthodologie
• Pertinence de la méthode de
notation du risque et homogénéité
• Respect des définitions
• Qualité de l’analyse au moyen de
critères quantitatifs et qualitatifs
• Finesse de la stratification selon un
nombre suffisant de classes de risques
Organisation
• Approbation de la note par une structure
indépendante et réexamen au moins une
fois par an
• Procédure de contrôle et de reporting
(DG/CA)
• Réexamen annuel par l ’audit interne

Système d’information Timing (calendrier de mise en

• Système de notation éprouvé oeuvre de la réforme)
• Fiabilisation de la méthode par • Utilisation effective des PD et
l’analyse de données historiques et LGD depuis 3 ans
des procédures de back testing • Historisation de données (5
• Intégration effective dans le ans)
pilotage des risques

25
 Pilier 2 : un processus de contrôle renforcé

 Le pilier 2 pose quatre principes :

 L’appréciation par les banques des fonds propres qui leurs sont nécessaires
(capital économique) ;
 La révision prudentielle de ce calcul et la comparaison entre capital réglementaire
et capital économique ;
 La possibilité, pour les autorités de contrôle, d’imposer des fonds propres supérieurs
au minimum réglementaire déterminé dans le pilier 1, en fonction du profil de
risque de chaque banque ;
 L’intervention des autorités de contrôle, en cas de besoin.

 Sont en particulier traités dans le pilier 2, outre les risques mesurés dans le
pilier 1 :
 Le risque de taux d’intérêt dans le portefeuille bancaire ;
 Le risque de concentration ;
 Le risque de liquidité ;
 Les risques résiduels ;
 L’analyse des simulations de crise (stress-tests).

26
 Pilier 3 : Favoriser la transparence et l’émulation

La discipline de marché :

Pertinence de l’information diffusée

par l’Etablissement au regard du
principe de confidentialité
(préserver les avantages
compétitifs)

Cohérence avec les
informations financières et
comptables exigées par
ailleurs
Exigences en matière de
communication financière
afin de favoriser la
transparence et
l’émulation
Adaptation de la fréquence
au caractère volatile de
l’information diffusée

• Informations générales : stratégie en matière de fonds propres,

périmètre consolidé, organisation et processus crédit, montant et
décomposition des fonds propres

• Exigences en fonds propres totales et ventilés par type de risques Structurant en termes
• Méthode d ’évaluation de données à
collecter
• Exigences et exposition au titre du risque de crédit selon la méthode

• Exigences et exposition au titre du risque opérationnel

27
 Le risque de crédit – les 3 approches

• Le Comité donne aux banques le choix entre 3 grandes méthodes de calcul des
exigences de fonds propres relatives à leur risque de crédit.

1. La première consiste à évaluer ce risque d’une manière standard (approche

standard), en s’appuyant sur des évaluations externes du crédit :
• Calcul forfaitaire fixé par la BRI
• Calcul calibré par les notes des agences de notations externes (Moody’s,
Fitch, S&P)

2. La 2nde et 3ème méthode de calcul permettent aux banques d’utiliser leur

système de notation interne (approche fondée sur les notations internes),
sous réserve de l’approbation explicite de leur autorité de contrôle :
1. La méthode IRBF exige la mise en œuvre de systèmes de notation interne pour
noter les contreparties et leur associer une probabilité de défaut. Les autres
paramètres du calcul réglementaire, pertes en cas de défaut (LGD ou Loss Given
Default), exposition au moment du défaut (EAD ou Exposure At Default) et maturité
de l’opération ne sont pas déterminés par la banque mais fournis par le comité de
Bâle.
2. La dernière méthode, l’approche avancée – dite IRBA ou Internal Rating Based
Approach - impose également la mise en œuvre de systèmes de notation interne
mais permet à la banque le calcul de tous les paramètres. Cette méthode est la
plus avantageuse.

28
 Le risque opérationnel – les 3 approches

15% du PNB
Approche « Indicateurs de base »
Non tolérée pour les groupes français…

Approche Standard Tolérée comme solution transitoire…

Approche par lignes de métier définies par le régulateur

Un indicateur d'exposition unique : le PNB de chaque ligne de métier

(moyenne des 3 derniers exercices)

Un coefficient de pondération  par ligne de métier reflétant le

risque lié à l'activité

Des critères d'éligibilité

Recommandée aujourd’hui,
Approche « Mesures Avancées »
exigée à terme…

Développement d’un modèle de mesure interne sur la base de 8 lignes de métiers et

7 familles de risque définis par le régulateur

Des critères d'éligibilité

29
 Approches Standard et Avancée

Les familles de risques Les lignes de métiers Coefficients de pondération

appliqués dans le cadre de la
selon Bâle selon Bâle méthode standard

Fraude interne Corporate finance  = 18 %

Fraude externe
Activités de marchés  = 18 %
Événements relatifs à la gestion du
personnel, aux conditions et à
l’environnement de travail
Activités de détail  = 12 %
Événements relatifs aux produits
commercialisés, aux relations avec les
clients, aux pratiques professionnelles, Banque commerciale  = 15 %
aux comportements individuels
répréhensibles
Paiement et règlement (flux)  = 18 %
Événements ayant pour conséquence la
dégradation d’actifs ou d’infrastructures
Service d'agence et
 = 15 %
Événements relatifs à la défaillance des conservation
systèmes d’information
Gestion d'actifs  = 12 %
Événements relatifs à l’exécution d’un
ordre ou au déroulement des process de
traitement des opérations et services Activités de courtage  = 12 %

30
 Le risque opérationnel – les 3 approches
INDICATEUR DE BASE APPROCHE STANDARD
• Une fonction de gestion des risques
opérationnels aux responsabilités
clairement définies
• Intégration du risque opérationnel
dans le dispositif de gestion des
risques de l’entreprise (reporting,
Comité, etc.) avec l’implication de
la Direction Générale
• Pas d’organisation
spécifique • Découpage de l’activité par ligne
métier selon les critères du
• Non autorité pour les régulateur
établissements
internationaux • Identification des risques
opérationnels de la banque et
réévaluation périodique
• Mise en place d’un dispositif des
risques :
• Collecte des données d’incidents
• Définition d’indicateurs pertinents de
risques
• Mise en place de plans d’action de
réduction des risques
31
APPROCHE MESURE AVANCÉE
• Intégration des obligations de l’approche
standard
• Mise en place d’une entité indépendante,
en charge de la mise en place de la
politique de gestion des risques
opérationnels, des procédures et des
contrôles
• Utilisation de données externes à
l’établissement pour la prise en compte
des risques « extrêmes »
• Un système interne de mesure des risques
et de calcul des fonds propres à mobiliser
sur la base des données d’incidents
collectés et sur la base de données
externes
• Validation du modèle par les auditeurs
externes et/ou les organismes de contrôle
et de tutelle
 Le risque opérationnel – les 3 approches

 Les approches proposées

sont évolutives
Exigences en fonds propres
 Les banques sont incitées
à adopter la méthode
Approche de base la plus avancée

Approche standard

Approche avancée (AMA)

Qualité de la gestion du risque

32
 De l’utilité des fonds propres… face aux risques

• Les différentes barrières d’un dispositif risques opérationnels

Fonds
Propres

Couvertures (dernier
Système Compte assurance
global rempart)
de résultat
de contrôle (yc provisions)
Risque interne
(yc continuité
d’activité) Rétention Transfert

Réduction Financement du risque

33
 Pourquoi la mise en avant du risque opérationnel au sein de Bâle?

• Un risque redécouvert par les banques…

• Ces risques opérationnels sont plus particulièrement suivis ces dernières années,
en raison notamment :
− De cas avérés majeurs (Barings, Enron, Crédit Lyonnais…) ;
− De la mondialisation des échanges financiers (risque systémique) ;
− De la sophistication des techniques financières ;
− De la sensibilité aux systèmes d’informations ;
− De la judiciarisation de la société (responsabilité du banquier, défaut de conseil…).

• Des chiffres qui parlent…et des niveaux de pertes qui s’accélèrent…

− En 2008, plus de 100 Mds $ de pertes (Source First) ;
− Les pertes imputables au risque opérationnel subies par les établissements financiers entre 1980 et
2000 sont estimées à plus de 200 milliards d’euros.

• …d’où une nécessité d’évolution porteuse d’une ambition double :

– Couvrir les risques opérationnels par des fonds propres ;
– Améliorer les dispositifs et pratiques de gestion de ces risques.

• … matérialisée par les accords de Bâle II

34
 Quels enjeux stratégiques pour une Banque ?

• Sécuriser le compte de résultat

• Optimiser l’allocation des fonds propres

– 3,4 Mds de fonds propres alloués au titre des risques opérationnels en 2008

• Sécuriser le cours de bourse et la réputation de la Banque

– Une étude GRAS SAVOYE 2005 montre l’incidence négative des sinistres majeurs sur les cours
de bourse, autant pour des raisons financières que d’image

• Améliorer ou conserver le rating (coût du refinancement)

– Les agences de notation intègrent l’évaluation des dispositifs de gestion des risques
opérationnels dans leurs critères de notation

• Améliorer les organisations et réduire les risques

• Se conformer à la réglementation de la profession.

35
 Exemple N°1 : Le cas Versus Bank

Le cas Versus Bank

 2003 : Créée à l'initiative d’Aiglon Holding, Société de droit
suisse (70 % du capital soit 2,3 Milliards de FCFA)

 2005 : Difficultés financières d’Aiglon Holding (i.e. engagement

non respectés) entrainant un non respect des ratios de
solvabilité
Risque de crédit Ex: Ratio de couverture des risques < 3,7 %

+ Conséquences - Mesures conservatoires prises par la CB de

l’UEMOA et par l’Etat Ivoirien :
Risque Opérationnel
 Gel des distributions aux actionnaires

 Suspension de tout nouveau concours aux signatures

concernées par le non-respect de la réglementation relative
aux prêts accordés aux principaux actionnaires, aux dirigeants
et au personnel

 Transmission aux autorités monétaires et de contrôle, d'un état

mensuel de suivi des engagements du groupe l'Aiglon portés
par Versus Bank

 Portage des actions de l’Aiglon Holding par l’Etat ivoirien et

rétrocession en cas de retour à meilleur fortune

36
 Exemple N°2 : Le cas CBC BANK

La CBC Bank, mêmes causes, mêmes effets

 Accroissement « imprudent » du portefeuille de crédit de la

CBC

 Octroi abusif de crédit aux autres structures du Groupe Fotso

 Difficultés financières du Groupe Fotso

Risque de crédit
 Insuffisance de fonds propres de la CBC
+  Non respect des ratios de solvabilité

Risque Opérationnel
Conséquences - Mesures conservatoires prises par la COBAC et
l’Etat camerounais

 Mise sous administration provisoire

 Poursuite de la gestion courante de la banque par

l’administrateur provisoire en collaboration avec le personnel

 Elaboration d’un plan de restructuration crédible visant à

rétablir l’équilibre et la situation financière

 Recherche (en cas de nécessité) d’investisseur en capital

37
 Exemple N°3 : L’exemple d’un risque maîtrisé

La preuve faite par SGCIB suite à l’affaire Kerviel

 Accumulation de positions acheteuses sur des contrats à terme

portant sur indice

 Et dissimulation des opérations faites sur le marché par

introduction dans le système informatique de la banque
d’opérations inverses fictives pour compensation

 Débouclage par la banque des positions par la vente pour 60

milliards d'euros d'options dans un contexte de chute des
Risque de marché
places financières

 Moins value nette record de 4,9 milliards d'euros sur un

+ bénéfice annuel 2007 estimé préalablement à 7 milliards
d'euros
Risque Opérationnel

Conséquences – Risque parfaitement maîtrisé

 Pas de perte de clientèle

 2,5 milliards d'euros de bénéfices pour l’année 2008

 Appel au marché de 5,5 milliards lancée mi-février (avec une

décote de 40% sur le dernier cours de l'action) sursouscrite à
180%

38
 Sommaire

Introduction : contexte, enjeux et objectifs

Partie I : Le Contrôle Interne

Partie II : Le Management des Risques

39
 La méthodologie de cartographie des risques : d’une approche
déclarative à une approche Quantitative

Définition de la gestion des risques

Processus de
Management des
Risques d’entreprise

Evaluation des Formalisation des Exploitation des

risques risques risques

Management des risques : « c’est la discipline qui s’attache à identifier, évaluer et

prioriser les risques relatifs aux activités d’une organisation, quelles que soient la
nature ou l’origine de ces risques, pour les traiter méthodiquement de manière
coordonner et économique, de manière à réduire et contrôler la probabilité des
évènements redoutés, et réduire l’impact éventuel de ces évènements »

Source : wikipedia.org

40
 La méthodologie de cartographie des risques : d’une approche
déclarative à une approche Quantitative

Les concepts de base

 Une cartographie des risques opérationnel

 Autres risques réglementaires faisant l’objet d’autres formes de

cartographie : risques de crédit et financiers.

 Les risques juridiques, de non-conformité, informatiques et ressources

humaines, bien que souvent définis de façon distincte d’un point de
vue réglementaire et normatif font parties des risques opérationnels.

41
 La méthodologie de cartographie des risques : d’une approche
déclarative à une approche Quantitative

Les concepts de base

i. Risque :
Circonstance ou événement qui peut produire des conséquences défavorables sur
la situation de l’établissement et, en particulier, qui menace la réalisation des
objectifs établis par les organes délibérant et exécutif (Art 2, R COBAC 2016/04).

ii. Risque opérationnel :

• Résulte, notamment, d’insuffisance de conception, d’organisation et de mise en

œuvre des procédures d’enregistrement dans les systèmes d’information de
l’ensemble des évènements relatifs aux opérations de l’établissement, et plus
particulièrement, dans le système comptable (COBAC).

42
 La méthodologie de cartographie des risques : d’une approche
déclarative à une approche Quantitative

Les concepts de base

iii. Evénement générateur de perte (EGP) : désigne la nature du problème ou de l’évènement

qui, en rencontrant une faille, peut entrainer un risque.

iv. Défaillance de processus : désigne la faiblesse que peut exploiter un EGP pour occasion un
dommage potentiel à la Banque.

v. Dispositif de maîtrise du Risque (DMR) : Ensemble de mesures de sécurité mises en place pour
empêcher la survenance du risque ou réduire son impact en cas de survenance.

Un DMR peut être basé sur :

- une régulation des comportements (formation, sensibilisation, procédures, sanctions) afin
d’éviter la survenance d’un risque ou d’en limiter les conséquences ;
- la mise en place de moyens matériels et de mesures organisationnelles permettant
d’empêcher la survenance d’un risque (action sur la cause), ou d’en éviter ou limiter les
conséquences.

43
 La méthodologie de cartographie des risques : d’une approche
déclarative à une approche Quantitative

Les concepts de base

vi. Plan d’action opérationnel (PAO) ou stratégique (PAS): Mesure de sécurité à mettre en
place pour renforcer le DMR si le risque est non accepté.

vii. Risque accepté : un risque est accepté s’il est sensible ou faible. Sinon, il est à traiter.

viii. Méthodes de traitement du risque : Acceptation, évitement, transfert ou réduction.

44
Les concepts de base

Illustration d’une situation de risque avec positionnement d’un DMR

(Schéma simplifié)

 DMR : contrôle de conformité des

attestations fournies par le CRC ;
connaissance de l’historique bancaire
du client
 Evaluation : Efficient
Cause : Communication par
un client d'informations
trompeuses

Conséquence : Octroi
d'un découvert sur la Impact : Faible
base d'informations (<=0,1% du RBE)
trompeuses

45
 La méthodologie de cartographie des risques : d’une approche
déclarative à une approche Quantitative
La cartographie des risques

La cartographie des risques est un document synthétique qui identifie, classe et mesure les
risques d’une entreprise. A cet égard, il s’agit d’un outil de pilotage de l’entreprise qui permet
de prendre toute décision permettant de prévenir, supprimer ou réduire l’exposition au
risque.

La cartographie des risques est une exigence règlementaire (Art 10)

Les établissements assujettis doivent mettre en œuvre pour chaque risque un système
d’identification, d’analyse, de mesure, de surveillance, d’atténuation ou de maîtrise ainsi que
de contrôle des risques.

46
 La méthodologie de cartographie des risques : d’une approche
déclarative à une approche Quantitative
Les grandes étapes de la méthodologie Définition du risque
Circonstance ou événement qui peut produire des
conséquences défavorables sur la situation de
Définition du risque opérationnel l’établissement et, en particulier, qui menace la
réalisation des objectifs établis par les organes
Le risque opérationnel se définit comme le délibérant et exécutif (Art 2, R COBAC 2016/04).
risque de pertes résultant de l’inadéquation ou
de la défaillance des processus internes, des
personnes, et des systèmes ou d’évènements
7 – Formulation des Plans d’actions
extérieurs. La définition inclut le risque
juridique, mais exclut les risques stratégiques et
de réputation (Art 2, R COBAC 2016/04). 6 - Evaluation nette du risque

5 – Evaluation des dispositifs de

maitrise
Démarche 4 - Identification des dispositifs de
de maitrise
Cartographie des
3 - Evaluation brute du risque
risques opérationnels

2 - Identification des risques

1 - Identification des
processus/Activités

47
 La méthodologie de cartographie des risques : d’une approche
déclarative à une approche Quantitative
Phase 1 : Identification des processus / Processus

 Identification et segmentation par activité

 Processus de Management

o Stratégie et Gouvernance

 Processus Opérationnels : Décomposition des 30

o Développement Commercial processus en activités

o Banque de Détail

o ….

 Processus Supports
Identification des risques
o Ressources Humaines opérationnels inhérents aux
activités par une revue des
o Achats incidents, des résultats de
o Projets contrôles, des réclamations,
des résultats de l’audit interne
o …. et de toute autre source
probante
 Processus contrôles

o Gestion des Risques

o Audit

48
 La méthodologie de cartographie des risques : d’une approche
déclarative à une approche Quantitative
Phase 2 : Identification des risques / Modélisation du risque
 Back testing de la cartographie des risques de l’année n-1 en tenant compte des incidents, des
réclamations, des résultats de contrôle, des constats de l’audit interne.

 Entretiens individuels avec les pilotes de processus.

 Entretiens collectifs rassemblant le pilote de processus et tout au partie des acteurs opérant sur
son périmètre
Définition du risque
ANCIENNE FORMULATION D’UN RISQUE
Circonstance ou événement qui peut produire des
conséquences défavorables sur la situation de
Risque de « description des conséquences » l’établissement et, en particulier, qui menace la
résultant de « description de la cause principale » réalisation des objectifs établis par les organes
délibérant et exécutif (Art 2, R COBAC 2016/04).

NOUVELLE FORMULATION D’UN RISQUE

Sur la base de la définition ci-dessus, la nouvelle

formulation du risque consiste à lister les évènements ou
circonstances qui menacent l’atteinte des objectifs, tout
en précisant les causes.

Exemple:

Identification des risques en deux étapes: Braquage, Incendie, Vol, détournement, Plainte…..
1. Identification des évènements
2. Identification des causes

49
 La méthodologie : d’une approche déclarative à une approche
Quantitative
Phase 2 : Identification des risques / référentiel de Cause (Evènement Générateur de
PERTE)

50
 La méthodologie de cartographie des risques : d’une approche
déclarative à une approche Quantitative
Phase 3 : Evaluation du risque / Principes d’évaluation

 Evaluation de la fréquence: désigne la probabilité d’apparition des situations de risques.

 Evaluation de l’impact: désigne la conséquence potentielle d’un risque.

 Impact financier
 Impact image
 Impact organisationnel

 Evaluation du Dispositif de Maîtrise du Risque (DMR): Ensemble de moyens, de contrôles,

l’organisation, les documents de travail mis en place par la banque pour s’assurer de la maîtrise
du risque identifié.

 Non prise en compte des PAO (Plans d’Actions Opérationnels) et PAS (Plans d’Actions
Stratégiques) tant qu’ils ne sont pas clôturés

51
 La méthodologie de cartographie des risques : d’une approche
déclarative à une approche Quantitative
Phase 3 : Evaluation du risque / Les échelles d’évaluation du risque

IMPACT DU RISQUE
Équivalence Equivalence Juridique
Score Qualitatif Valeur min Valeur max Activité Équivalence image
financière et/ou règlementaire
Aucun recours devant
Interruption bloquant la bonne
<=0,1% du les juridictions pénales, Moins de 2
exécution d'une activité / Aucune
1 Faible RBE de la civiles et administratives / heures d''arrêt
- 22 637 000 atteinte à la crédibilité de la Banque /
Banque Aucun recours au de travail
Aucune couverture médiatique
régulateur
Interruption gênant la bonne
Recours devant les exécution de plusieurs activités /
Entre 0,1 % et Une demie
juridictions pénales, Atteinte mineur à la crédibilité de la
2 Modéré 1 % du RBE de journée d'arrêt
22 637 000 226 370 000 civiles et administratives Banque / Détérioration de la relation
la Banque de travail
/Recours au régulateur avec un client / Couverture
médiatique faible
Interruption gênant la bonne
24 heures exécution d'un processus / Atteinte
Entre 1 % et 5 Rappel à l'ordre de
d'arrêt de marqué à la crédibilité de la Banque
3 Important % du RBE de 1 131 850 000 l'autorité de tutelle /
226 370 000 travail / Détérioration de la relation avec
la Banque Procès
plusieurs clients / Couverture dans les
réseaux sociaux
Interruption gênant la bonne
exécution de plusieurs processus /
Plus de 24
Très > 5 % du RBE Suspension ou retrait Atteinte marqué à la crédibilité de la
4 heures d'arrêt
important de la Banque 1 131 850 000 d'agrément Banque / Forte détérioration de la
de travail
relation avec plusieurs clients / Forte
couverture médiatique

52
 La méthodologie de cartographie des risques : d’une approche
déclarative à une approche Quantitative
Phase 3 : Evaluation du risque / Les échelles d’évaluation du risque

PROBABILITE DU RISQUE

Score Qualitatif Équivalence temporelle Équivalence volume

1 Exceptionnel Annuel (survient une fois par an) < 5 % du volume de référence*

Semestriel (survient une fois par De 5 % à 10 % du volume de

2 Rare
semestre) référence*

De 10 % à 25 % du volume de
3 Fréquent Mensuel (survient une fois par mois)
référence*

Hebdomadaire (survient une fois

4 Très fréquent > 25 % du volume de référence*
par semaine)

53
 La méthodologie BGFIBank : d’une approche standard par Scoring à
une approche Quantitative
Phase 3 : Evaluation du risque / La matrice de gravité

FORMULE D’EVALUATION DE LA GRAVITE NETTE DU RISQUE

Gravité = Impact maximum X Fréquence maximum

Gravité du risque représentée par un code de couleur sur IMPACT

4 niveaux :
• Vert : Faible ; 4 – Très Inadmissible
important
• Orange : Sensible ;
• Rouge : Majeur ;
• Noir : Inadmissible. 3 – Important Majeur

Processus de mesure et d’amélioration permanente de la

maitrise des risques : Sensible
2 – Modéré

1 – Faible Faible

PROBABILITÉ
Matrice de
Gravité des
risques

54
 La méthodologie de cartographie des risques : d’une approche
déclarative à une approche Quantitative
Phase 4 : Evaluation du dispositif de maîtrise

EFFICIENCE DU DISPOSITIF DE MAITRISE

Score Qualitatif Évaluation du dispositif

Le dispositif est inexistant ou non appliqué, il n’influence ni la probabilité d’occurrence du risque, ni
1 Inexistant
son impact.
Le dispositif existe mais ne remplit pas son rôle car il est peu adapté ou partiellement appliqué, il
influence très faiblement la probabilité d’occurrence du risque, ou son impact.
Le dispositif existe mais est incomplet car il ne couvre pas toute les composantes du risque, n’est
2 Incomplet pas toujours appliqué ou ne dispose pas des moyens nécessaires à son fonctionnement ou à son
suivi (indicateurs, outils, effectifs).
Les informations pour son suivi sont inexistantes ou peu fiables. Il influence la probabilité ou
l’impact du risque mais n’apporte pas un degré de maitrise suffisant.
Le dispositif existe et est généralement appliqué. Il couvre le risque et dispose des moyens
nécessaires à son fonctionnement et à son suivi (indicateurs, outils, effectifs).
3 Efficient
Cependant la fiabilité des informations de suivi n’est pas garantie. Il influence convenablement la
probabilité ou l’impact du risque, parfois les deux.
Le dispositif existe et est appliqué. Il couvre le risque et dispose des moyens nécessaire à son
fonctionnement et à son suivi (indicateurs, outils, effectifs).
4 Performant
La fiabilité des informations est garantie par une revue interne et/ou une automatisation des
indicateurs. Il influence la probabilité ou l’impact du risque, parfois les deux.

55
 La méthodologie de cartographie des risques : d’une approche
déclarative à une approche Quantitative
Phase 4 : Illustration de l’évaluation d’un risque et de son DMR

Illustration d’une situation de risque avec positionnement d’un DMR

(Schéma simplifié)

 DMR : contrôle de conformité des

attestations fournies par le CRC ; Cause : Communication par Fréquence : Exceptionnel
connaissance de l’historique bancaire un client d'informations (=3% du volume d’opérations)
du client trompeuses

 Evaluation : Efficient

Conséquence : Octroi
d'un découvert sur la Impact : Faible
base d'informations (=0,5% du RCAI)
trompeuses

56
 La méthodologie de cartographie des risques : d’une approche
déclarative à une approche Quantitative
Phase 4 : Synthèse de la démarche de cartographie

1
Cartographie des processus
2 Identifier les évènements de risques

Pour chaque activité, identifier les 3 Décrire et évaluer chaque

Etablir la liste des activités des
processus
Ressortir les activités majeurs de
chaque processus
évènements de risques évènement de risque
opérationnels en tenant compte opérationnel
des incidents, les résultats de
contrôle, missions d’audit interne,
les réclamations…. Caractéristique de l’évènement
Ex: braquage, incendie, vol,
détournement….

Evaluation de
Cause du Evaluation la fréquence
risque de l’impact de
l’évènement

4
Identification et Evaluation du risque Proposition de
évaluation des DMR net
Si Risque Net Majeur ou inadmissible PAO/PAS

5 Elaboration des
programmes de
contrôle

57
 La méthodologie de cartographie des risques : d’une approche
déclarative à une approche Quantitative
Phase 5 : Identification unitaire des contrôles /Principe d’identification

 Chaque DMR associé à un risque est composé de

plusieurs contrôles (contrôles unitaires) faisant l’objet
d’un suivi par un responsable hiérarchique

 La segmentation unitaire des contrôles permet

d’apprécier leur réalité « sur le terrain »

 Création d’un référentiel de contrôle (1er et 2nd

niveau) après la première itération de la
cartographie

 Suivi et mise à jour du référentiel par le Contrôle

Permanent

 Evaluation unitaire des contrôles par le Contrôle

Permanent

 Rattachement des contrôle unitaires au DMR d’un

risque par le Risk Manager

58
 La méthodologie de cartographie des risques : d’une approche
déclarative à une approche Quantitative
Phase 6 : Evaluation unitaire des contrôles
• Définition :
– Un contrôle est une action ayant pour objectif d’éviter, de détecter et/ou de gérer la survenance d’éléments
de risque ;
– Un contrôle est un élément d’un dispositif de maitrise du risque correspondant.

• Evaluer les contrôles doit répondre à deux objectifs majeurs :

– Contribuer directement à la maîtrise et à la couverture du risque opérationnel au sein des activités de la
banque ;
– Faire un contrôle de cohérence avec l’évaluation du dispositif de maitrise associé, afin de vérifier la pertinence
du modèle et de le calibrer ;

• Principaux attributs d’un contrôle :

– La description, compréhensible par tous et résumant le mode opératoire du contrôle ;
– Le réalisateur, personne qui fait le contrôle ;
– Le responsable hiérarchique, le N+1 du réalisateur qui fait le contrôle ;
– Le niveau du contrôle.

• Le rôle des Pilotes de Processus :

– S’assurer que les contrôles sont :
• Réalisés par les opérationnels ;
• Supervisés par les responsables ;
– Avoir une vision globale des dispositifs de contrôle de leur activité afin de faire le contrôle de
cohérence entre l’évaluation des dispositifs de maitrise des risques et celle des contrôles le
composant ;
– S’assurer que les contrôles sont intégrés dans les fiches de poste et respectés.

59
 La méthodologie de cartographie des risques : d’une approche
déclarative à une approche Quantitative
Phase 6 : Evaluation unitaire des contrôles

• Plans de contrôle opérationnels :

– L’efficience des contrôles unitaires est évaluée à travers la mise en œuvre des contrôles
par les opérationnels (autocontrôle et contrôle hiérarchiques) dans un premier temps.
Cette évaluation doit être régulière et matérialisée au niveau de chaque activité.

• Plans de contrôles permanents et Gestion des incidents:

– L’efficience des contrôles unitaires est dans un second temps mesuré à travers la mise
en œuvre des contrôles par les Contrôleurs Permanents et la gestion des incidents.

• Missions spéciales d’Audit et autres:

– Les missions d’audit internes ou externes permettent également de
challenger l’évaluation des contrôles unitaires et des dispositifs de maîtrise
des risques annoncés.

60
 La méthodologie de cartographie des risques : d’une approche
déclarative à une approche Quantitative
Phase 7 : Plans d’améliorations

 Les Plans d’Amélioration Opérationnels (PAO)

 Traduisent le principe des gains immédiats
 Représentent des propositions d’amélioration portant sur l’existant, c'est-à-dire les
dispositifs de maitrise déjà en place.
 Sont définis par les acteurs suivants
o les pilotes de processus ;
o les responsables hiérarchiques ;
o les contrôleurs permanents ;
o les Risk Managers.

 Les plans d’amélioration stratégiques (PAS) :

– Lorsqu’un risque majeur a une importance stratégique très forte ;
– Si le niveau de risque net est encore en dessous des objectifs de risque cible fixés par le
siège ;
– Si l’amélioration d’un dispositif de maitrise nécessite un financement supplémentaire.

61