Cartographie

des risques oprationnels

Atelier

Cartographie des risques : enjeux, dmarche et tat de lart

Dan Chelly, Directeur Associ, Elseware.
Ancien Responsable des risques oprationnels dun grand Groupe bancaire franais

Table ronde AMRIM Dcembre 2008

Ce qui ressort le plus souvent des cartographies

Analyse en scnarios ncessaire
Souvent li la continuit
dactivit (lien avec le PCA)

Impact

Risques majeurs
(Souvent externes)

Risques moyens

Souvent li au cur
dactivit : ncessit de
surveiller le DMR

Frquence

Risques
cur dactivit

Risques faibles

Volumtr
ie de la
base
incident

Niveau de matrise
* Schma volontairement simplifi
Table ronde AMRIM Dcembre 2008

Cartographie des risques oprationnels

1.

Cartographie : dfinition et enjeux

2.

Structuration des rfrentiels

3.

Dmarche organisationnelle

4.

Mthodologie dvaluation

5.

Validation et reportings

Table ronde AMRIM Dcembre 2008

La cartographie dans le dispositif

Vulnrabilits
Vulnrabilits
(=Risques
(=Risques
potentiels)
potentiels)

Cartographies

Zones
Zones
de fragilits
de fragilits
potentielles
potentielles

Indicateurs
Prdictifs
de risques

Incidents
Incidents
avrs
avrs

Base
Incidents

Scnarios de risques majeurs

Scnarios de risques majeurs
Approche causale
Approche causale

Table ronde AMRIM Dcembre 2008

Politique en matire de cartographie

Les travaux de cartographie des risques

oprationnels ont pour objet didentifier,
dvaluer, de classer, de comparer et de
hirarchiser les risques susceptibles dimpacter
une ligne de mtier donne et / ou un tablissement.

Des plans dactions sont alors engags partir

des risques critiques identifis afin den
diminuer lexposition.

Table ronde AMRIM Dcembre 2008

Objectifs de la Cartographie

La cartographie permet de dfinir le

rfrentiel des risques et ses volutions voir
de dfinir un tronc commun pour le Groupe

Cest une tape dacculturation aux RO de

lensemble des personnes impliques

Elle doit tre une image fidle bien que

mouvante du profil de risque de
ltablissement.

Cest avant tout un outil de pilotage : cest

lorsque la cartographie est finalise que la
gestion des risques prend toute sa place

Table ronde AMRIM Dcembre 2008

Cartographie des risques oprationnels

1.

Cartographie : dfinition et enjeux

2.

Structuration des rfrentiels

3.

Dmarche organisationnelle

4.

Mthodologie dvaluation

5.

Validation et reportings

Table ronde AMRIM Dcembre 2008

Evnement de Risque : dfinition et modlisation

Un Evnement de Risque se dcline en 2

dimensions :

Ces 2 dimensions sappellent (couple PG/ER ER):

Lactivit, le mtier, le processus,

Lvnement de risque lui-mme, cest--dire le risque
oprationnel qui se produit dans le cadre du mtier, du processus
concern.

Le Processus Gnrique (PG)

LEvnement de Risque (ER).

Elles sont dfinies et sont modlises selon des

niveaux spcifiques de hirarchisation des donnes.
Approche ncessaire et structurante au niveau dun
Groupe

Table ronde AMRIM Dcembre 2008

Organisation des donnes et rfrentiels

Table ronde AMRIM Dcembre 2008

Les diffrents types dvnements de risques / cotations

Types dER

ER COMMUNS
( tous les
tablissements
de mme ple
Mtier : CE ..=)

ER LOCAUX
(spcifiques
un
tablissement)

Table ronde AMRIM Dcembre 2008

Cotation
ER
coter
Groupe

Cotation obligatoire
pour tous les
tablissements du
mme ple mtier
Cotation par quelques
tablissements dun ple

ER
coter
local

ER
coter
facultatif

Cotation rendue
non obligatoire
(ER non pertinent
pour ltablissement ..)

Cotation par un
tablissement dun ple

10

Cartographie des risques oprationnels

1.

Cartographie : dfinition et enjeux

2.

Structuration des rfrentiels

3.

Dmarche organisationnelle

4.

Mthodologie dvaluation

5.

Validation et reportings

Table ronde AMRIM Dcembre 2008

11

Schma gnral du processus de cartographie

Dfinir une organisation / un calendrier
Dfinir le primtre dER coter
Former/quiper les
(identifier les vulnrabilits)
Correspondants
(processus,
Identifier les acteurs de
mthode, outil)
lvaluation (validation) et affecter les ER
Suivre
lactualisation Coter les ER (valuation, validation)
et la fiabilit
(mthodologie,
Dfinir les nouveaux plans dactions
justification ..)

Effectuer les
contrles
de cohrence

Contrler que tous les ER

sont valids
(aucun en cours ou prim)

Justifier, documenter
les raisons de retenir ou
dexclure un ER
du primtre de cotation

Utiliser :
- Les experts (avec / dispatc
- Les anciennes cotations
- Les incidents
- Les changes avec les
homologues
- Les benchmarks

Actualisation
au fil de leau

Valider la cartographie
- Nouvelles activits, fusions ..
- Nouveaux risques
- Plan dactions mis en uvre
Prsenter la cartographie
et les plans dactions en CRO
Table ronde AMRIM Dcembre 2008

12

Dfinition dune organisation / dun calendrier

Une organisation doit tre mise en place :

>

Quelle que soit la situation (volution ou nouvelle cartographie), une organisation doit
tre mise en place afin de sassurer de la cotation des vnements de risque.
> Cette organisation sappuiera sur un calendrier (X % dER coter dici au ... etc.. /
Domaine X coter dici au ...) et / ou sur une mise jour continue suivie au travers
de loutil ddi.

Le primtre des vnements de risques valuer doit tre

prcis :
>

Les risques du tronc commun.

> Les risques locaux (Les tablissements ont toute latitude pour largir ce primtre )

Table ronde AMRIM Dcembre 2008

13

Identification des acteurs et affectation des ER

Les vnements de risques doivent tre attribus aux experts
mtiers internes les mieux mme de raliser lvaluation et / ou la
validation.
Si des Responsables Oprationnels, en charge de processus
multiples, se trouvent destinataires dun grand nombre
dvaluations, il est souhaitable de rpartir les vnements valuer
entre des collaborateurs plus spcialiss.
Une fois laffectation des vnements de risque ralise, les
collaborateurs en charge de 1 N valuations sont individuellement
responsables des travaux qui leur ont t confis et du respect des
chances fixes.

Table ronde AMRIM Dcembre 2008

14

Formation / Equipement des correspondants

Communiquer sur le processus

>
>
>
>

Transmettre la mthode dvaluation des risques et la

connaissance de loutil
>
>

Dmarche de gestion des Risques Oprationnels

Objectifs de la cartographie
Rgles gnrales de mise en uvre de la cartographie
Calendrier

Diffusion de supports aux correspondants

Animation de formations

Donner laccs loutil ddi

Table ronde AMRIM Dcembre 2008

15

Cotation des Evnements de Risques

La cotation des Evnements de Risques est effectue

par les experts mtiers, selon deux modes dorganisation
possibles :
>
>

Le RRO participe la cotation en prsence de lexpert.

Le RRO envoie des ER coter lexpert concern, effectue un suivi,
analyse la cotation produite.

La cotation dun Evnement de Risque peut tre

facilite, par exemple par :
>
>
>

Lexamen de la cotation de lER dans la cartographie prcdente,

La prise en compte des incidents qui se sont produits sur lER concern.
La prise en compte dincidents dans la base de pertes externes

Table ronde AMRIM Dcembre 2008

16

Cartographie des risques oprationnels

1.

Cartographie : dfinition et enjeux

2.

Structuration des rfrentiels

3.

Dmarche organisationnelle

4.

Mthodologie dvaluation

5.

Validation et reportings

Table ronde AMRIM Dcembre 2008

17

Elments de lvaluation

La frquence : c'est le nombre de fois o le risque pourrait se produire sur une

priode donne.
>

LEvnement de risque peut tre estim Courant (il se produit au moins une fois par an),
Rare (moins dune fois par an).
> On peut aussi estimer quil ne se produit Jamais.

Les impacts : ce sont les consquences financires et les effets sur limage de
ltablissement ou du Groupe.
Les Dispositifs de Matrise de Risques (DMR) : cest lensemble des mesures

existantes qui doivent permettre lentreprise dviter de faire face la ralisation du

risque.
Exemples de Dispositifs de Matrise des Risques :
>

Contrles a priori, contrles a posteriori,

>

Systme de dlgation, sparation des tches,

>

Scurisation des accs logiques / des accs physiques, systme de surveillance,

>

Transfert de responsabilit ...

Table ronde AMRIM Dcembre 2008

18

Schma gnral du processus dvaluation

Jamais

Courant
(au moins une fois par an)

Rare
(moins dune fois par an)

Dterminer la frquence
- Moyenne
- Maximum

Dterminer la frquence
(une seule frquence pour
les ER rares)

Dterminer lImpact financier

- Moyen
- Maximum

Dcrire / coter les DMR*

Prvention / Protection
(exprims en % defficacit)

Dterminer lImpact image

Situation
plausible,
courante
Maximum
mais
plausible
(pas de
scnario
catastrophe
impossible)

CONSERVATION DES ELEMENTS - PISTE DAUDIT

Qualifier la frquence de lEvnement de Risque

Dterminer lImpact financier

- Moyen
- Maximum

Dcrire / coter les DMR*

Prvention / Protection
(exprims en % defficacit)

Dterminer lImpact image

Schma gnral du processus de

* DMR = Dispositifs de Matrise des
cotation
Table ronde AMRIM Dcembre 2008
Risques
19

Dynamique de lvaluation de limpact financier

En ralit, pour valuer limpact financier dun ER, on va du net vers le
brut
Concernant lvaluation de limpact financier, la mthode propose de
commencer par lvaluation du risque net, c'est--dire le risque
rsiduel, qui tient compte de lexistant, c'est--dire des effets du dispositif de
matrise des risques en place, puis les DMR, et lon obtient le risque brut.
Risque net: le risque net valorise les impacts que ltablissement
pourrait effectivement subir en termes financiers et dimpact, en
intgrant les dispositifs de prvention et de dtection existants.
Efficacit des DMR: mesure en pourcentage, lefficacit des DMR rduit
dune part les impacts et dautre part la frquence doccurrence de lvnement
de risque.
Risque brut: cest la valorisation du risque en termes de frquence et
dimpacts, en faisant abstraction des dispositifs de matrise des risques
existants.
Lvaluation du risque brut est dduite automatiquement.
Table ronde AMRIM Dcembre 2008

20

Evaluation de limpact image

Lvaluation de limpact image est dcline selon les parties

prenantes de lactivit pouvant tre affectes par la survenance de
lEvnement de Risque :
>

la clientle,
> le personnel,
> les fournisseurs,
>

Pour chacune de ces catgories on se rfre une cotation

qualitative :
>

Fort,
> Moyen/fort,
> Moyen/faible,
> Faible.

Table ronde AMRIM Dcembre 2008

21

Cartographie des risques oprationnels

1.

Cartographie : dfinition et enjeux

2.

Structuration des rfrentiels

3.

Dmarche organisationnelle

4.

Mthodologie dvaluation

5.

Validation et reportings

Table ronde AMRIM Dcembre 2008

22

Contrle de la fiabilit des cotations

Ce contrle consiste vrifier :

>
>

Le respect de la mthodologie dvaluation des risques,

La pertinence de lvaluation :

>

Prise en compte des bons facteurs dimpact,

Chiffrage correct de chaque facteur dimpact concern.

La justification des valuations produites et la bonne

conservation de ces justifications :

Formalisation du dtail des calculs,

Prsence de documents explicatifs (statistiques ...).

Table ronde AMRIM Dcembre 2008

23

Contrle de la cohrence de la cartographie

Cest un pralable la prsentation de la cartographie au Comit
Risques oprationnels.
Ce contrle vise sassurer de la cohrence des cotations
dvnements de risques :

>

Dune version de cotation la suivante,

> Entre ER de mme nature ou proches (nature du risque, impacts, frquences),
> Vis--vis des tablissements de mme nature.

Ce contrle permet :
>

De reprer les valuations qui devront tre expliques,

> De corriger les ventuelles erreurs dvaluation (ou de saisie, puisque ces actions
seffectuent via loutil ddi).

Table ronde AMRIM Dcembre 2008

24

Prsentation de la cartographie et des propositions de plans

dactions en Comit Risques Oprationnels

Lidentification des plans dactions mettre en uvre doit tre ralise au

cours du processus de mise jour de la cartographie.
La cartographie actualise, et les plans dactions qui en sont issus, font
lobjet dune prsentation dtaille au Comit Risques Oprationnels dans
lobjectif dune validation par chaque tablissement.
Les plans dactions en cours et les rsultats des plans dactions clos
issus de la cartographie prcdente font galement partie des points
prsents au Comit Risques Oprationnels.
La validation du Comit Risques Oprationnels constitue la validation
officielle de la cartographie.
Les risques majeur de niveau Groupe sont grs au niveau de lquipe
nationale en collaboration avec les tablissements concerns

Table ronde AMRIM Dcembre 2008

25

FIN
Merci de votre attention

Table ronde AMRIM Dcembre 2008

26