BMCE BANK

Direction Organisation et Maîtrise d’Ouvrage

Procédure Générale
Cartographie des Risques Opérationnels
7180.9.0007

Nom
Rédacteur(s) Direction Organisation et Maitrise d’Ouvrage

Risk Management Groupe

Approbateur(s) Tous les correspondants Métiers BMCE et filiales

FICHE DE SUIVI DES MODIFICATIONS DU DOCUMENT

Emetteur Description Demande Version Approbation

de révision
M. LAHRICHI Note de procédure - Création - 1.0 30/03/2009
A. KARIMALLAH Note de procédure – Mise à jour - 2.0 24/12/2012
 DOMO Cartographie des Risques Opérationnels

SOMMAIRE
1. Généralités.............................................................................................................3
1.1. Objet ................................................................................................................3
1.2. Domaine d’application.....................................................................................3
1.3. Definitions .......................................................................................................3
2. Les Acteurs............................................................................................................5
3. Principes de Gestion ..............................................................................................6
4. Logigramme ..........................................................................................................7
6. Commentaires du Logigramme .............................................................................8
6.1. Les opérations ..................................................................................................8
6.2. Les Messages .................................................................................................11

05/02/2013 Généralités 2/12

 DOMO Cartographie des Risques Opérationnels

1. GENERALITES

Code Qualité Classe Type Fréquence

7180.9.0007 Assurance Qualité Exploitation Générale Annuelle

1.1. OBJET
Cette procédure a pour objet de décrire la méthodologie de cartographie des risques opérationnels mais aussi
leurs autoévaluations.

Cette procédure se déclenche lors de l’alimentation de la cartographie suite à l’identification d’un nouveau risque
non cartographié, mais aussi avec le début d’une campagne d’autoévaluation.
Elle s'achève par la cotation des risques identifiés pour chaque entité.
Dans le cadre du choix qu’a fait le Groupe BMCE, pour le calcul des Fonds propres réglementaires à allouer aux
Risques opérationnels (Méthode Standard), il convient de mener au moins une fois par an l’inventaire et la
cotation des risques, et mettre ainsi à jour la cartographie des risques opérationnels.

La méthodologie de cartographie des risques opérationnels et leurs autoévaluations s’applique à BMCE Bank et
aux filiales du Groupe BMCE (TOS, SALAFIN, MAROC FACTORING, MAGHREBAIL, BMCE
CAPITAL, BBI Londres, BBI Madrid, Eurafric Information, La Congolaise des Banques, BMCE Euro Services).
.

1.2. DOMAINE D’APPLICATION

Risque opérationnel.

1.3. DEFINITIONS
Modélisation des activités : Recensement des activités et découpage en domaines/ processus majeurs / sous
processus.

Processus : Un processus est une succession de tâches planifiées, réalisées par des acteurs en utilisant du
matériel et des informations et en suivant des documents d’instruction. Ceci pour obtenir un résultat (matériel ou
non) correspondant à un objectif.
Quelques caractéristiques d’un processus :
- Un processus a un nom
- Un processus est borné : il a un début et une fin
- Les données d’entrée et de sortie d’un processus sont identifiables
- Les ressources utilisées sont identifiables

05/02/2013 Généralités 3/12

 DOMO Cartographie des Risques Opérationnels

Risques : Un dysfonctionnement dans un processus, potentiellement générateur de préjudices pour l’entité ou

une anomalie de source externe impactant un processus.

Cotation : Cotation des évènements de risque par les opérationnels suivant deux critères : fréquence et
sinistralité et suivant deux axes : prospectif et rétrospectif et en distinguant les pertes attendues et les pertes
inattendues. Ensuite, il s’agit d’apprécier le dispositif de maîtrise (par les opérationnels).

Perte moyenne
Signification
annuelle observée

1 Aucune perte
2 Moins de KMAD 10
3 De KMAD 10 à KMAD 100
4 De KMAD 100 à KMAD 250
5 De KMAD 250 à KMAD 1 000
6 De KMAD 1 000 à KMAD 5 000
7 De KMAD 5 000 à KMAD 10 000
8 Supérieur à KMAD 10 000

Perte moyenne
annuelle Signification
observée
1 Aucune occurrence
Moins d'un cas par an (ou un cas tous
2 les 2 ans, 3 ans…)
Quelques fois par an (ou entre 1 et 10
3 cas par an…)
Quelques fois par mois (ou entre 10 et
4 50 cas par an…)
Quelques fois par semaine (ou entre 50
5 et 250 cas par an…)
Quelques fois par jour (ou entre 250
6 cas par an…)

05/02/2013 Généralités 4/12

 DOMO Cartographie des Risques Opérationnels

Niveau de
RIP Risque d'interruption
maîtrise Libellé ROP Risque Opérationnel
de processus
du risque
Le dispositif actuel de maîtrise des Un PCA existe pour ce
1 Efficace risques tel que perçu par l'évaluateur processus et maintenu et
est efficace et suffisant testé régulièrement
Le dispositif actuel de maîtrise des Un PCA existe pour ce
2 Acceptable risques tel que perçu par l'évaluateur processus, mais n'a pas
doit subir quelques modifications pour encore été testé
atteindre un niveau satisfaisant
Le dispositif actuel de maîtrise des Un PCA est en cours de
3 A renforcer risques tel que perçu par l'évaluateur mise en place pour ce
doit être renforcé processus
Le dispositif actuel de maîtrise des Ce processus ne dispose
4 Défectueux risques tel que perçu par l'évaluateur pas de PCA
doit être réorganisé sans délais

Synthèse : Hiérarchisation des risques opérationnels et mise en évidence des risques majeurs, des plans
d’actions à mettre en place et des processus vitaux. Une matrice des risques est établie au travers d’un scoring
(Fréquence * Sinistralité).

Les risques sont positionnés au niveau des zones de la matrice en fonction de leur score (Sinistralité Moyenne*
Fréquence) indépendamment des processus d’activité sur lesquels a porté le recensement, l’objectif étant de faire
ressortir les risques les plus élevés et dont le niveau de maîtrise et à renforcer.

Correspondants métiers/ Experts métiers : L’ensemble des responsables de Directions / Départements au

niveau du Groupe BMCE BANK et des filiales cités plus-haut.

2. LES ACTEURS

Département Risques Opérationnels Groupe

Correspondants Métiers / Experts Métiers

05/02/2013 Les Acteurs 5/12

 DOMO Cartographie des Risques Opérationnels

3. PRINCIPES DE GESTION

Démarche à suivre pour l’identification des risques :

Champ d’application : Périmètre de consolidation financière (BMCE BANK et Filiales) :

o BMCE BANK
o TOS
o SALAFIN
o MAROC FACTORING
o MAGHREBAIL
o BMCE CAPITAL
o BBI Londres
o BBI Madrid
o Eurafric Information
o La Congolaise des Banques
o BMCE Euro Services

05/02/2013 Principes de Gestion 6/12

 DOMO Cartographie des Risques Opérationnels

4. LOGIGRAMME

Département Risques Opérationnels Groupe Correspondants Métiers /

Experts Métiers

Nouveau Processus identifié

Campagne d'autoévaluation

Organiser un atelier de travail avec

l'entité concernée par le nouveau
process

Processus identifiés

Décrire le processus

Processus décrits

Identifier des risques

opérationnels associés à ces
processus

Nouveaux risques identifiés

Intégrer ces risques au

niveau de MEGA GRC

Risques intégrés

Créer une session d'autoévaluation avec une date

début et une date fin précises

Session d'autoévaluation créée

Définition du périmètre et des correspondants Coter, évaluer les

Coter, évaluer les risques
métiers de ladite session risques opérationnels
opérationnels sur MEGAet
Envoyer un formulaire apprécier
GRC et le dispositif
apprécier le de
Envoyer ledes
d'autoévaluation formulaire
risques via
Formulaire envoyé maîtrise
dispositif mis en place
de maîtrise mis en
Périmètre et répondants définis d’autoévaluation
MEGA GRC des risques
place

Organiser une Risques cotés et évalués

Hiérarchiser les risques et
réunion de
Risques majeurs identifiés identifier les risques majeurs
validation et de
traitement des
risques majeurs Charger sur MEGA GRC le
fichier de la Cartographie RO
mise à jour Cartographie RO chargée
sur MEGA GRC

Transmettre la liste
des plans d'action
Piloter et surveiller les risques
à l'entité en
Plans d'actions définis opérationnels cartographiés
charge de leur
mise en oeuvre
Comité de Suivi
des Risques
Opérationnels

05/02/2013 Logigramme 7/12

 DOMO Cartographie des Risques Opérationnels

6. COMMENTAIRES DU LOGIGRAMME
6.1. LES OPERATIONS

A réception de
Nouveau Processus identifié

Organiser un atelier de travail avec l’entité Département Risques Opérationnels Groupe

concernée par le nouveau process

Suite à l'identification d’une nouvelle activité au sein d’une entité, un atelier de travail doit être organisé avec les
correspondants risques opérationnels (métiers et filiales) /experts métiers responsables de cette nouvelle activité.

Document s/ Produit s
Processus identifiés

A réception de
Processus identifiés

Décrire les processus Département Risques Opérationnels Groupe

Il s’agit d’une compréhension et de la modélisation de l’activité. Le processus doit être décomposé en étapes clés,
et identifier les différents marchés (Particuliers/ Entreprises…) qu’il vise. Il faut le relier à une ligne métier. Par
ailleurs un listing des acteurs et ressources matérielles intervenant sur ce processus doit être établi.
Ensuite, il faut intégrer ces informations au niveau de MEGA GRC.

Document s/ Produit s
Processus décrits

A réception de
Processus décrits

Identifier des risques opérationnels associés Département Risques Opérationnels Groupe

aux processus

Identification des différents risques des processus et identification des différentes causes, conséquences et
catégorie Bâloise y afférentes.

Document s/ Produit s
Nouveaux risques identifiés

05/02/2013 Commentaires du Logigramme 8/12

 DOMO Cartographie des Risques Opérationnels

A réception de
Nouveaux risques identifiés

Intégrer ces risques au niveau de MEGA Département Risques Opérationnels Groupe

GRC

Les nouveaux risques cartographiés émanant soit de l’identification de nouveaux processus, soit des évènements
collectés, ou encore des rapports du contrôle général sont repris au niveau de MEGA GRC avec toutes les
informations qui leur sont liées, notamment la cause générique, la cause spécifique, les conséquences et la
catégorie bâloise auxquelles ils sont rattachés.

Document s/ Produit s
Risques intégrés

A réception de
Campagne d’autoévaluation

Créer une session d’autoévaluation avec une Département Risques Opérationnels Groupe
date début et une date fin précises

Chaque campagne d’autoévaluation est composée d’une ou plusieurs sessions d’autoévaluation. Elles sont (les
campagnes et les sessions) créées par le département Risques Opérationnels Groupe, pour lancer la revue de la
cartographie.
Chaque session d’autoévaluations est définie avec une date début et une date fin précise.

Document s/ Produit s
Session d’autoévaluation créée

A réception de
Session d’autoévaluation créée

Définition du périmètre et des Département Risques Opérationnels Groupe

correspondants métiers de ladite session

Suite à la création d’une session d’autoévaluation, il convient d’en définir les caractéristiques notamment le
périmètre et les répondants. En effet, il s’agit de relier les risques à coter aux correspondants risques opérationnels
(métiers et filiales) /experts métiers concernés par ces risques.

Destinataires des sessions d’autoévaluation : Correspondants risques opérationnels (métiers et filiales) / Experts
métiers qui vont participer à la cotation des risques qui leurs sont alloués.
Périmètre : Il s’agit de la liste des risques sélectionnés à affecter à un ou plusieurs répondants et des objets à
évaluer.

Document s/ Produit s
Périmètre et répondants définis

05/02/2013 Commentaires du Logigramme 9/12

 DOMO Cartographie des Risques Opérationnels

A réception de
Périmètre et répondants définis

Envoyer un formulaire d’autoévaluation des Département Risques Opérationnels Groupe

risques

Le formulaire d’autoévaluation est envoyé aux correspondants risques opérationnels (BMCE et filiales) / Experts
métiers concernés. Le niveau de maîtrise du risque ainsi que l’efficacité du dispositif de maîtrise sont appréciés
par les opérationnels.

Document s/ Produit s
Formulaire envoyé

A réception de
Formulaire envoyé

Coter, évaluer les risques opérationnels et Correspondants métiers / Experts Métiers

apprécier le dispositif de maîtrise mis en
place

Le correspondant métiers (BMCE et filiales) / Expert métiers, doit apprécier la fréquence, la sinistralité et le
niveau de maîtrise de chaque risque lui étant affecté pour cotation et évaluation. Tout risque devant être coté au
moins une fois par an.

Par ailleurs, il doit mesurer l’efficacité du dispositif de maîtrise allouée à chaque risque coté.
Enfin, il est vivement souhaité de la part des correspondants métiers de proposer des actions correctives,
notamment quand le niveau de maîtrise est à renforcer ou défectueux.

Document s/ Produit s
Risques cotés et évalués

A réception de
Risques cotés et évalués

Hiérarchiser les risques et définir les risques Département Risques Opérationnels Groupe
majeurs

Identification des risques majeurs en fonction de leur sinistralité et fréquence, ce qui permet leur hiérarchisation
pour leur traitement dans le cadre de réunions dédiées.

Document s/ Produit s
Risques majeurs identifiés

A réception de
Risques majeurs identifiés

05/02/2013 Commentaires du Logigramme 10/12

 DOMO Cartographie des Risques Opérationnels

Organiser une réunion de validation et de Département Risques Opérationnels Groupe

traitement des risques majeurs

Le département Risques opérationnels Groupe, organise une réunion de validation des cotations reçues et définit
les actions préventives / correctives en concertation avec les correspondants métiers (BMCE et filiales) /experts
métiers.

A réception
Charger de
sur MEGA GRC le fichier de la Département Risques Opérationnels Groupe
Plans d’action définis
Cartographie RO mise à jour

Le Département Risques Opérationnels Groupe procède au chargement sur l’outil MEGA GRC du fichier de la
Cartographie RO suite à sa mise à jour.

Document s/ Produit s
Cartographie RO chargée sur MEGA GRC

A réception la
Transmettre deliste des plans d’action définis Département Risques Opérationnels Groupe
àPlans d’action
l’entité définis
en charge

Le département Risques opérationnels Groupe transmet la liste des plans d’action palliatifs aux risques majeurs
arrêtés avec les experts métiers/ Correspondants métiers des différentes entités à la Direction Maîtrise d’Ouvrages
& Synergies Technologiques (DMOST) pour prise en charge.

Document s/ Produit s
Plans d’action définis

A réception de
Plans d’action définis

Piloter et surveiller les risques opérationnels Département Risques Opérationnels Groupe

cartographiés

Le département Risques opérationnels Groupe, définit les risques majeurs et les processus vitaux cartographiés. Il
procède au pilotage et à la coordination des plans d’action avec les entités en charge.

Le suivi de la mise en œuvre des plans d’actions arrêtés est opéré au travers du Comité de Suivi des Risques
Opérationnels qui se réunit trimestriellement.

6.2. LES MESSAGES

05/02/2013 Commentaires du Logigramme 11/12

 DOMO Cartographie des Risques Opérationnels

Processus identifiés
Processus décrits
Nouveaux risques identifiés
Risques intégrés
Session d’autoévaluation créée
Périmètre et répondants définis
Formulaire envoyé
Risques cotés et évalués
Risques majeurs identifiés
Plans d’action définis
Nouveau Processus identifié
Campagne d’autoévaluation
Cartographie des RO chargée sur MEGA GRC

05/02/2013 Commentaires du Logigramme 12/12