Académique Documents
Professionnel Documents
Culture Documents
Risques
Également disponible sur :
www.optimind.fr
opérationnels
Quelles réponses
face à un risque difficile
à appréhender ?
L es risques opérationnels sont considérés comme nouveaux. Pourtant, bien
qu’isolés récemment des autres risques par les réglementations des banques
et assureurs, ils ont souvent fait la une de la presse – la faillite de la Barings en
témoigne. Ainsi, derrière chaque événement ayant ébranlé fortement des entreprises
se cachent des risques opérationnels. C’est d’ailleurs surtout lorsqu’ils sont
associés à d’autres types de risques qu’ils sont susceptibles de prendre une ampleur
significative.
C’est pour ces raisons que l’on cherche, depuis une dizaine d’années, à mieux les
Sommaire
appréhender et à évaluer plus finement leurs impacts. En effet, l’environnement
Introduction . . . . . . . . . . . . . . . . . . . 1 nouveau des entreprises accentue fortement leur exposition aux risques opération-
Risques opérationnels :
nels avec notamment : une concentration des acteurs qui amène à des volumétries
définition et enjeux . . . . . . . . . . . . . 2 et montants en jeu plus importants, une internationalisation des activités avec une
Quels dispositifs pour gérer multiplication des interconnexions, une sophistication des techniques financières,
les risques opérationnels . . . . . . . 5 une sensibilité plus grande aux systèmes d’information, une inventivité des fraudes
Quel pilotage mettre en œuvre ? . 10 ou encore une judiciarisation progressive qui conduit de plus en plus les acteurs à
Conclusion . . . . . . . . . . . . . . . . . . . . . 12 être assignés en responsabilité.
Quels sont les enjeux liés à ces risques ? Comment mettre en place les dispositifs
permettant d’innerver l’organisation, sensibiliser les acteurs, gérer et piloter judi-
cieusement ces risques ? Quels sont les leviers à notre disposition pour y faire face ?
Autant de questions auxquelles ce dossier technique tend à apporter un éclairage.
Il est souvent omis de compléter ce découpage par la dans laquelle on se situe au sein d’une même fa-
définition de processus transverses et multiactivité. mille : production, humain, commercial, organisa-
Or, certains risques s’attaquent par exemple aux im- tion, système d’information, logistique hors SI ou
meubles, quelles que soient les activités qui y sont relation avec les tiers ;
logées, alors que les conséquences sont justement 3. le troisième niveau offre un degré de détail supplé-
fortement liées aux activités abritées. mentaire au sein de ces catégories.
www.optimind.fr
Les typologies de risques opérationnels comptes. Il s’agit notamment de manques à gagner :
- les coûts d’opportunité – non-placement de sommes
Les référentiels existants importantes sur x jours ;
Fondés sur les définitions réglementaires, des réfé- - les pertes de revenus non récupérables – fermeture
rentiels de typologies de risques opérationnels ont d’agence suite à un sinistre.
été créés dans les mondes bancaire et de l’assurance.
D’autres n’ont pas d’effet négatif. Ainsi, des événe-
Le référentiel le plus utilisé est celui proposé par le ments de risques opérationnels peuvent ne pas cau-
dispositif prudentiel bancaire de Bâle II. Il a contri- ser une perte mais au contraire un gain. Par exemple,
bué le premier à mieux cerner la notion de risque une erreur de saisie lors du passage d’un ordre sur
opérationnel, et sert régulièrement de niveau 1 pour les marchés financiers est un risque opérationnel
les compagnies d’assurance qui souhaitent défi- qui peut entraîner un gain au moment du débouclage
nir une arborescence à plusieurs niveaux de leurs favorable de la position liée à l’évolution du marché.
propres risques opérationnels.
Il est également important de tenir compte des événe-
Le référentiel de Bâle est présenté selon trois ni- ments qui ont un coût nul pour l’entreprise, appelés
veaux de granularité, dont le premier est constitué near misses ou quasi-pertes, car même si dans ce cas,
des sept familles de risques suivantes : la défaillance ne produit pas de perte, il est souhaitable
1. fraude interne impliquant au moins un membre de de les appréhender pour des questions de gestion des
l’entreprise ; risques. Elles peuvent souligner un réel dysfonctionne-
2. fraude externe ; ment, susceptible de se reproduire, avec cette fois un
3. insuffisance des pratiques internes concernant impact financier réel.
les ressources humaines et la sécurité du lieu de
travail ; L’impact en termes d’image
4. clients, produits et pratiques commerciales : man- ou de réputation est lui Certains risques plus
quement, délibéré ou non, à une obligation pro- aussi souvent retenu car
fessionnelle envers un client, à la nature ou aux l’image d’une entreprise
complexes nécessitent la
caractéristiques d’un produit ; grand public a une valeur définition de règles bien
5. dommages aux actifs physiques ; inestimable et une dégra- précises pour les appréhender :
6. interruption d’activité et dysfonctionnement des dation peut occasionner
systèmes ; des manques à gagner indi-
les pertes de revenus,
7. dysfonctionnement des processus de traitement rects et nécessiter des cam- les litiges juridiques ou
– exécution, passation d’ordre, livraison, gestion pagnes de communication fiscaux, les indisponibilités
des processus intégrant les relations avec les coûteuses pour « effacer le
contreparties commerciales et les fournisseurs. passé » – le Crédit Lyonnais
informatiques, etc.
devenu LCL en est un bon
Un groupe de travail de l’IFACI, Institut Français exemple.
d’Audit et de Contrôle Internes a, quant à lui, élaboré
une nomenclature des risques pour les entreprises Les risques « frontières »
d’assurance. Le référentiel proposé est constitué de Les risques opérationnels peuvent survenir seuls ou
trois niveaux : bien être associés à d’autres risques. Étant donnée la
1. le premier niveau concerne les grandes familles de nature des risques opérationnels, ces liens sont par-
risques, dont le risque opérationnel ; fois difficiles à distinguer, ceci pouvant conduire à
2. le deuxième niveau précise la catégorie de risque la classification incorrecte d’un événement de perte.
4 // Risques opérationnels // avril 2011
www.optimind.fr
tion des risques. ajoutée pour appréhender ces
dispositif rejoint
risques rares, en s’appuyant sur rapidement la
L’élaboration d’approches quantitatives consis- l’expérience des « autres » en- gestion au quotidien,
tant à : treprises. Aussi, il existe en la
- mettre en évidence le coût des risques opérationnels ; matière :
l’animation de la filière
- identifier les expositions aux risques et donc la - des bases de données commer- puis le pilotage global
consommation de fonds propres. ciales qui utilisent des données du risque.
publiques collectées à partir de
Dans ce cadre, il est nécessaire de combiner à la fois différentes sources issues de la
l’expérience du passé avec une vision prospective du presse, de régulateurs, ou en-
futur proche tout en disposant au quotidien d’outils core de rapports annuels ;
d’alertes. - des consortiums de banques internationales, tel
ORX ou d’assureurs, tel ORIC, dans lesquels les
données anonymisées sont collectées auprès des
Apprendre à tirer les leçons du passé membres, selon un processus normé.
Toute organisation se doit d’apprendre de ses expé- Vivre au présent : détecter les sources
riences ou incidents passés, afin de capitaliser, évi- de dysfonctionnement ou de modification du profil
ter et mieux gérer les incidents. de risque
Contrôle Contrôles
périodique de 3e Audit
niveau Inspection
Contrôles réguliers
Contrôles effectués par des acteurs
de 2e indépendants
niveau Fonction contrôle interne,
juridique, RSSI, etc.
Contrôle
permanent
Source : Optimind
Risques opérationnels // avril 2011 // 7
modifier le profil de risque de l’entreprise. Parmi ces rence de l’événement mais peut en limiter l’impact
événements, on peut citer l’évolution substantielle avec notamment un plan de continuité de l’activité,
de la législation applicable à l’entreprise – intégra- PCA ;
tion en France par exemple de class actions – ou la - les risques au cœur de l’activité dont l’impact peut
modification du fonctionnement interne de l’entre- être fort et pour lesquels une bonne maîtrise est
prise telle que l’automatisation d’un processus à nécessaire au quotidien. Il s’agit alors, avec la mise
l’aide d’un système d’information. en place d’indicateurs d’alerte, de s’assurer que ce
dispositif reste à tout moment opérationnel et sans
Les axes d’analyse des résultats issus de la cartogra- défaillance.
phie des risques conduisent notamment à étudier
au cas par cas si le risque résiduel qui subsiste est Il est à noter que certaines démarches de restitution
acceptable ou non. Les approches de classification introduisent des biais d’analyse non négligeables
des risques alors mises en œuvre, permettent de dé- s’appuyant sur des matrices dites « de chaleur » mal
terminer les priorités afin d’améliorer le dispositif conçues et aboutissant à une analyse erronée des
existant via l’élaboration de plans d’actions. risques, matrice 4 par 4 de fréquences et sévérités,
La cartographie, schéma A, fait ressortir majoritai- scores issus de formules non justifiées, etc. La ma-
rement : trice ci-dessous, schéma B, est l’exemple même de ce
- les risques exogènes, rares et à fort impact pour qu’il vaut mieux éviter de réaliser.
lesquels l’entreprise n’a pas la maîtrise sur l’occur-
www.optimind.fr
Schéma a
70% Zone
60%
d’amélioration
20%
% Efficacité du DMR
50%
40%
53% 38%
30%
de risques
Zone d’action
20% soit faibles, prioritaire 10%
soit bien 9%
maîtrisés de risques de niveau élevé et
10%
dont la maîtrise est à renforcer
0%
0 5 10 15 20 25 30 35 40 45 50
Risque faible modéré moyen sévère critique
Risque brut, inhérent à l’activité
Source : Optimind
Schéma B
Élevée Très élevée
Priorité 3 Priorité 1
1x3=3 Légende
Probabilité
Risque critique
Modérée
Zone de
Priorité 2 Risque élevé
surveillance
Risque modéré
Faible
Sévérité
Source : Optimind
8 // Risques opérationnels // avril 2011
Les analyses de scénarios sur les risques - les risques opérationnels récurrents – fréquents –
significatifs : peuvent être évalués par une approche « fréquence
Comme l’indique la pyramide inversée ci-après, × coût » classique en assurance, réalisée sur la
l’analyse de scénarios constitue le « filtre » ultime base incidents et les historiques. Cette approche
d’approfondissement des risques identifiés par nécessite d’accorder une importance particulière
l’entreprise. à la profondeur de l’historique, la survenance d’un
incident devant alors être tracée et qualifiée conve-
nablement ;
Les dossiers techniques d’information Optimind
Probabilité
Données Distribution
Distribution de pertes agrégées
Fréquence de fréquence Probabilité
- pertes internes
- scénarios Effectif Simulations
Monte Carlo
Calibration
Probabilité
Sévérité Montant
VaR 99,5%
- pertes internes Distribution
- scénarios Équivalent Fonds propres
de sévérité
Montant
Source : d’après Risques opérationnels – De la mise en place du dispositif à son audit, C. Jimenez, P. Merlier et D. Chelly, 2008.
Bien qu’elle soit la méthode la plus communément utili- risque, qui incorporent donc une vision « a priori »
sée par les établissements bancaires et les organismes des risques opérationnels.
assureurs pour modéliser les risques opérationnels,
www.optimind.fr
cette approche renferme plusieurs inconvénients : Dans tous les cas, les modèles d’évaluation des
- l’hypothèse de pertes indépendantes et identique- risques opérationnels intégreront toujours des
ment distribuées, imposée par cette méthode im- limites, qu’il faut garder à l’esprit.
plique que la VaR soit calculée sur un périmètre
représenté par l’intersection d’une ligne métier et En premier lieu, les modèles utilisant des lois statis-
d’un type de risque ; tiques présupposent indirectement que les événe-
- en considérant les incidents comme complètement ments et comportements futurs peuvent être globa-
indépendants, on ne tient pas compte des éventuelles lement déduits des événements et comportements
corrélations ou liens de cause à effet qui pourraient passés. Bien sûr, une utilisation de choc, y compris fic-
entraîner un effet cumulatif ou atténuateur ; tif, permet de limiter cette insuffisance conceptuelle.
- ces calculs sont réalisés sur des données histo- Toutefois, le modèle se trouve limité à la seule vision
riques qui non seulement sont des données d’échan- de son créateur.
tillonnage et peuvent être rares, dispersées et sou-
mises à nombre d’appréciations subjectives mais D’autre part, quels que soient les éléments modélisés,
de plus, ces données historiques ne permettent pas il convient de se placer à un niveau de granularité et
d’intégrer les changements dans le profil de risque de sophistication adaptés. En effet, la sophistication
de l’entreprise suite à la survenance d’un incident. excessive d’un modèle engendre généralement un
besoin important en termes d’hypothèses associé
Pour pallier à certains de ces inconvénients, l’ap- naturellement à un manque de robustesse poten-
proche LDA sur les pertes internes est souvent com- tiel du modèle. Il est donc important de se baser au
binée à des modèles quantifiés de scénarios. Une niveau de granularité suffisant permettant une mo-
autre alternative est la méthode des scorecards qui délisation fiable et réaliste de l’activité et de tester la
s’appuie non pas sur des données de pertes effec- capacité prédictive du modèle, ou mieux, de ses diffé-
tivement constatées, mais sur des indicateurs de rentes composantes.
tion des risques opérationnels peut constituer un vé- d’information efficace permet de structurer et d’agréger
ritable levier de management. C’est tout l’enjeu d’un aisément les données pour analyser les informations
pilotage quotidien de la gestion des risques opération- sous différents angles. Or, depuis plusieurs années, de
nels, qui doit s’insérer de façon harmonieuse dans les nombreux éditeurs proposent des systèmes d’informa-
activités opérationnelles. On parle alors de mode de tion de gestion des risques – SIGR – plus couramment
management par les risques, c’est-à-dire intégrant ce appelés outils GRC – gouvernance, risques et contrôles.
prisme dans les prises de décision importantes. Ils permettent, comme indiqué sur le schéma C ci-des-
sous, de déployer et de piloter l’ensemble du dispositif de
Pour autant, la complète inser- gestion des risques opérationnels et de contrôle interne.
tion de la gestion des risques
Le paramétrage et le opérationnels dans l’activité
déploiement d’une solution quotidienne ne doit pas devenir Le pilotage
une routine, ou encore donner
GRC qui vient innerver un sentiment de fausse sécurité, Les tableaux de bord
l’organisation doivent au point de faire oublier d’exer- Les tableaux de bord constituent des outils indis-
s’accompagner d’une réelle cer une vigilance accrue dans les
situations qui le nécessitent.
pensables au suivi des risques. En fournissant une
vision globale, synthétique et agrégée, ils permettent
gestion du changement : Il ne suffit pas en effet de s’ap- au top management d’assurer des prises de décision
communication, formation, puyer sur le dispositif existant, adaptées dans une logique de bonne gouvernance
etc. mais l’adapter aux évolutions
de l’entreprise. C’est pourquoi
des risques.
Les leviers complémentaires face aux risques Le Plan de Continuité d’Activité, PCA
opérationnels Les entreprises ne peuvent empêcher la survenance
de certains risques exogènes, tels que la crue d’un
L’Enterprise Risk Management fleuve, mais elles peuvent à défaut en limiter les im-
Le risque opérationnel étant aux confins d’autres pacts. C’est alors qu’intervient notamment le plan de
risques, il s’inscrit idéalement dans une dé- continuité d’activité.
marche plus globale dite d’ERM, Enterprise Risk En effet, quels que soient les événements
Management. Cette démarche consiste en un en- et leurs niveaux de gravité, l’entreprise
semble de processus conduisant à identifier, quan- doit être en mesure d’assurer au mieux Une direction
tifier et gérer les risques auxquels est exposée l’en- les prestations de services attendus par
treprise, qui peuvent mettre en péril l’atteinte de ses les acteurs du marché, que ce soient ces
générale doit pouvoir
objectifs stratégiques. Il s’agit alors de construire clients, actionnaires, investisseurs ou rapidement visualiser
une véritable politique de gestion des risques sur encore les autorités de tutelle. les risques significatifs
tous les risques significatifs. L’objectif de l’ERM Dans le cas particulier des banquiers
n’est pas forcément de réduire le risque au minimum et assureurs, il est impératif d’assurer
susceptibles d’ébranler
mais de le contenir au mieux afin d’optimiser le coût à tout moment le maintien en condi- l’entreprise et prendre
du risque, et ce, toujours en lien avec la stratégie de tion opérationnelle, via des tests, de les décisions qui
l’entreprise qui oblige à prendre en compte, certes les la continuité des activités dites « cri-
pertes, mais également le coût des mesures de pré- tiques ». Ces dernières devront être pré-
s’imposent, y compris
vention, de protection et de financement du risque. alablement identifiées, pour définir les d’accepter le risque
www.optimind.fr
besoins de continuité et les ressources en l’état.
La liste des risques entrant dans le périmètre du risk nécessaires à leur fonctionnement.
management n’est évidemment jamais fermée. Une
bonne démarche ERM doit aussi et surtout déter- L’assurance
miner le plus tôt possible tous les nouveaux risques La souscription de polices d’assurance permet d’assu-
pouvant influencer, à plus ou moins long terme, rer le financement d’une perte par un tiers assureur.
l’atteinte des objectifs stratégiques. Elle constitue donc également un levier de maîtrise
du risque opérationnel avec notamment l’utilisation
L’ajustement du dispositif de contrôle de polices d’assurance responsabilités civiles profes-
Parmi les différents moyens de maîtrise à disposi- sionnelle, exploitation ou mandataires sociaux, fraude,
tion des risk managers, il faut citer la mise en place perte d’exploitation ou de revenu, et dommages aux
de points de contrôle complémentaires ou réajustés. biens et personnes.
Ainsi, en réponse à certains risques, il est possible de
décider d’assurer : La plupart de ces polices d’assurance couvrent des
- la validation systématique par le département ju- risques opérationnels purs ou liés à d’autres risques.
ridique de la plaquette commerciale d’un nouveau Tous les risques ne sont cependant pas assurables, ils
produit avant son lancement ; doivent vérifier les conditions classiques des risques
- le blocage automatique de la saisie sur le système d’assurance, à savoir, être issus d’événements aléa-
d’information pour éviter le dépassement d’un seuil toires, futurs, licites et dont la survenance est in-
de montant pour une transaction. dépendante de la volonté de l’assuré. À noter que le
fait d’assurer un risque ne dédouane pas l’entreprise
Le processus de mise en place des points de contrôle de mettre en œuvre une gestion des risques et un
est un processus itératif d’amélioration. contrôle interne efficients permettant de prévenir la
survenance du risque opérationnel.
Conclusion
Les risques opérationnels peuvent à la fois survenir Dans le monde des assurances, la directive
au quotidien dans le cadre d’une activité commune Solvabilité II n’est pas encore très précise sur ces
mais également intervenir très ponctuellement et attentes en matière de risque opérationnel. Les me-
de façon dévastatrice dans des cas extrêmes. Face sures d’exécution de niveau 2 et 3 devraient y remé-
à cette diversité de manifestation du risque opéra- dier. Dans cette attente, la majorité des organismes
Les dossiers techniques d’information Optimind
tionnel, les dispositifs présentés dans ce dossier assureurs se sont appuyés sur les textes et les expé-
technique offrent un panorama complet permettant riences de leurs homologues bancaires pour mettre
de les appréhender et de les réduire. en place les différentes approches et déployer leurs
dispositifs. Le monde bancaire continue d’ailleurs
Réalisation :
marche de gestion et de pilotage des risques Solvabilité II.
opérationnels.
de l’environnement. Ils sont imprimés sur des papiers certifiés par des labels de qualité
Les Dossiers Techniques Optimind sont produits selon des processus respectueux