Mai 2012                                            La cartographie des risques :                                         ...
La cartographie des risques                   de l’outil réglementaire à outil de management La cartographie des risques ...
La cartographie des risques                  de l’outil réglementaire à outil de management L’évolution des usages de la ...
Les différentes dimensions de la cartographie                    Les trois axes structurants                              ...
La méthodologie                    Modéliser pour évaluer Il existe de multiples méthodes de représentation des événement...
La méthodologie                      Représenter les risques pour communiquer Une cartographie offre une hiérarchisation ...
La méthodologie                            La méthode quantitative s’impose Au-delà de la méthode choisie, des éléments f...
La méthodologie                     Nos convictions Avant de choisir une méthodologie d’identification des risques, il co...
Nos convictions             Le lien entre les risques et les contrôles est fondamental      Résultats                     ...
Le périmètre                      Quel champ couvrir ? Le périmètre couvert par la cartographie des risques tend à s’élar...
Le périmètre                    Le risque de l’exhaustivité ? L’ergonomie d’une cartographie dépend de la méthodologie  r...
Le périmètre                       Favoriser les interactions                   •Indicateurs de pilotage Risques          ...
Le périmètre                    Nos convictions La cartographie des risques doit intégrer l’ensemble des dimensions des r...
L’évaluation                     La quantification des risques Une cartographie permet d’identifier et de hiérarchiser le...
L’évaluation                      Les limites de la quantification Toutes les natures de risques ne permettent pas une qu...
L’évaluation                    Nos convictions L’évaluation des risques doit tendre vers la méthode quantitative. La di...
En conclusion…. La cartographie des risques est un outil en évolution constante, tant sur ses usages, la méthodologie  qu...
Le Groupe Weave                             Un groupe de conseil multi-spécialiste à taille humaine• Un acteur significati...
Prochain SlideShare
Chargement dans…5
×

[weave] Risk and Compliace - cartographie des risques

8 281 vues

Publié le

La cartographie des risques est devenue un outil réglementaire de premier plan suite à diverses
réglementations bancaires (Bale II, 3ième Directive) ou Assurance (Solvency II).

Publié dans : Business

[weave] Risk and Compliace - cartographie des risques

  1. 1. Mai 2012 La cartographie des risques : jusqu’où aller ? Vos INTERLOCUTEURS Didier Alleaume Pierre-Antoine Duez Associé Associé chaîne TV page weave didier.alleaume@weave.eu Pierre-antoine.duez@weave.eu@weaveconseil blog.weave.eu +33 (0)6 68 08 19 43 +33 (0)6 07 80 79 29
  2. 2. La cartographie des risques de l’outil réglementaire à outil de management La cartographie des risques est devenue un outil réglementaire de premier plan suite à diverses réglementations bancaires (Bale II, 3ième Directive) ou assurance (Solvency II). Cet instrument a pour vocation initiale d’intégrer la dimension des risques opérationnels dans l’évaluation des capitaux réglementaires issus du ratio de solvabilité. A partir de ce socle « calculatoire », le Régulateur a progressivement intégré dans ses exigences et recommandations « l’approche par les risques » pour la mise en place de dispositifs de maitrise visant à prévenir les défaillances. • La transformation d’une cartographie en instrument de pilotage des activités par • les risques suppose d’avoir une méthodologie et des moyens adaptés à ses ambitions 2
  3. 3. La cartographie des risques de l’outil réglementaire à outil de management L’évolution des usages de la cartographie impliquent une attention accrue sur les modalités de collecte et de gestion des données qui la constituent : Zone réglementaire Risque Risques Processus Processus LCB/FT opérationnel Contrôle Prévention des Solvabilité Qualité des risques risques Performance des processus 3
  4. 4. Les différentes dimensions de la cartographie Les trois axes structurants Méthodologie• Les principales questions pour éviter les écueils d’une démarche de cartographie : Evaluation Cartographie Quelle méthodologie retenir ? Quel périmètre couvrir ? Comment évaluer les risques ? Périmètre 4
  5. 5. La méthodologie Modéliser pour évaluer Il existe de multiples méthodes de représentation des événements de Méthode des « scénarios » risques avérés ou potentiels. Elles ont essentiellement pour dénominateur commun de permettre une évaluation des risques à partir de la collecte d’informations. Score Cards Méthode bayésienne Méthode « DMR » Risque Effica Impact Histori Événement de Catégorie Bâle Sous-catégorie Fréquence Risque net dimage / Processus Sous - Processus E00 Commentaires Impact Perte brute annuelle Évaluation DMR existant DMR cible cité PCA que risque II Bâle II annuelle annuel conformit DMR (O/N) é Hypothèse Organisation / Procédures Organisation / Procédures - devoir de confidentialité connu par les collaborateurs de Munigarde et rappelé dans le - centraliser les demandes dinformation externe auprès du responsable de service Appel de tiers (membres de la famille, commissaires priseurs) pour recueillir des informations sur le ou les contrats règlement intérieur dun client. - refus de divulgation dinformation par téléphone Contrôle manuel / visuel Risque : Plainte du client, poursuite pénale pour non respect du devoir de confidentialité - entrée séparée et sécurisée pour les clients Munigarde -. E07-Munigarde conformité, - organisation systématique de rendez-vous afin déviter que les clients se croisent P01 Diffusion clients, produits SP01 - Identification diffusion Risque dimage, Risque de non conformité dans les locaux de Munigarde Contrôle automatique / Outils Entrée en client E01 dinformations et pratiques dinformations et 25,0 KE 0,10 2,5 KE -. 90% 0,3 KE non CI relation confidentielles commerciales devoir fiduciaire Impact unitaire: Moyen Contrôle manuel / visuel Dommages-intérêts pouvant aller de 1 € symbolique à 25 K€ -. Fréquence: Non significatif Contrôle automatique / Outils A dire dexpert il ny a pas doccurrence connue de diffusion dinformations confidentielles. -. Hypothèse Organisation / Procédures Organisation / Procédures - demande systématique dune pièce didentité en cours de validité pour le titulaire et - actualiser la procédure dentrée en relation Non respect des obligations relatives à la lutte anti-blanchiment. léventuel co-titulaire - exclure le permis de conduire de la liste des pièces didentité probantes - demande dun justificatif de domicile de moins de trois mois (pour les nouveaux - mettre en place une procédure de revue des dossiers existants Les dossiers doivent comprendre les justificatifs client (pièce didentité, justificatif de domicile, attestation clients) - vérifier systématiquement ladresse donnée par le client dassurance, renonciation à recours) et les documents contractuels (bon de prise en charge, contrat, formulaire - photocopie pièce didentité et justificatif de domicile ou saisie du numéro de pièce - refuser détablir les contrats sil manque des pièces dassurance, bons de visite, décharge). Si les dossiers sont incomplets, létablissement sexpose à une sanction didentité réglementaire. - demande de lextrait KBIS pour les personnes morales Contrôle manuel / visuel - consultation éventuelle dInternet pour réaliser des recherches sur la réputation du - organiser une revue périodique (annuelle) des dossiers existants E08-Munigarde P01 exécution, Risque dimage, Risque de non conformité client Défaut admission et SP01 - Identification livraison et - formation TRACFIN Contrôle automatique / Outils Entrée en client E02 didentification du gestion des documentation 100,0 KE 0,10 10,0 KE 80% 2,0 KE non CI Impact unitaire : Élevé - procédure de remontée dalerte connue - mettre en place dune GED permettant de conserver et visualiser à la demande les relation client clientèle processus Risque de sanction réglementaire estimé à 100 K€ - paiement en espèces interdit si le montant est supérieur à 3.000€ pièces du dossier Fréquence : Non significatif Contrôle manuel / visuel A dire dexpert, il est réalisé 350 nouveaux contrats par an et toutes les nouvelles entrées en relation sont - contrôle de la validité apparente des éléments justificatifs documentées. Seuls quelques anciens contrats sont en cours de mise à jour. - contrôle de la signature à partir de la pièce didentité - contrôle mensuel de 10 dossiers, par le Responsable Conformité Contrôle automatique / Outils - interrogation Safe Watch (édition systématique du bulletin). Hypothèse Organisation / Procédures Organisation / Procédures - analyse de la motivation de lentrée en relation réalisée au cours dun entretien avec - organiser une formation complémentaire à la lutte anti-blanchiment Non détection des conditions suspectes de dépôt dun objet. un collaborateur Munigarde, incluant lidentification des opérations atypiques sur la - impliquer la Conformité dans le dispositif base de lexpérience dudit collaborateur Si Munigarde se trouve impliqué dans le recel dobjets volés, une sanction réglementaire peut être prononcée à - identification, tout au long de la relation, de tout comportement atypique par rapport Contrôle manuel/visuel lencontre du Crédit Municipal. aux objectifs exprimés par le client ou toute dérive de cette relation - mettre en place une fiche dentrée en relation recensant lidentification du client, les - Exemple : dépôt de 20 bijoux volés provenant de la famille impériale de Russie, valeur déclarée 900.000 $ => - formation TRACFIN diligences réalisées et les échanges avec le collaborateur Intervention de la Brigade de répression du banditisme. La moitié des objets étaient des faux. - procédure de remontée dalerte connue - mettre en place un contrôle de 2d niveau du responsable LAB sur la correcte identification des opérations atypiques E09-Munigarde De plus, dans le cas dune escroquerie, la personne lésée dans la transaction peut se retourner contre le CMP EPA Contrôle manuel/visuel P01 Non détection pour obtenir réparation du préjudice. -. Contrôle automatique / Outils : SP02 - - Exemple : escroquerie dun acheteur potentiel (en sabritant derrière la notoriété de Munigarde) par un déposant -. Entrée en Caractéristiques objet E01 dune opération fraude externe vol et fraude 100,0 KE 0,50 50,0 KE 60% 20,0 KE non CI suspecte qui surévalue des objets (valeur déclarée) servant de base à la négociation. Contrôle automatique / Outils relation -. Risque dimage, Risque de non conformité Impact unitaire: Elevé Sanction réglementaire estimée à 100 K€. Fréquence: Très faible A dire dexpert, il est réalisé 350 nouveaux contrats par an. La fréquence doccurence des opérations frauduleuses est estimée à moins d 1/an. Hypothèse Organisation / Procédures Organisation / Procédures - responsabilité des propriétaires jusquà la prise en charge (signature du bon de prise - informer les collaborateurs Munigarde sur les assurances relatives au transport Dégradation ou destruction des objets lors de lenlèvement au domicile du client ou du transport. en charge par le client) - inclure dans la documentation un avertissement relatif aux risques de perte pour le Agression des agents au cours du transport pour voler les objets. - les magasiniers disposent déléments permettant de sécuriser le transport des objets client en cas dinadéquation de la couverture dassurance En moyenne, les objets sont assurés pour 100K€. Les clients ont la responsabilité de souscrire une assurance (emballages spécifiques) - les magasiniers disposent déléments permettant de sécuriser le transport des objets adaptée. - entrée/sortie des objets en un seul voyage (pas daller-retour). (emballages spécifiques), ces éléments doivent aussi être utilisés en cas de transport Risque de devoir restaurer ou rembourser les objets. - absence darrêt intermédiaire lors du transport au sein de Munigarde - transports réalisés en présence de 3 personnes (2 magasiniers et 1 collaborateur - facturer la prestation de transport Risque dimage Munigarde) E01-Munigarde Dégradation, - camionnette banalisée Contrôle manuel / visuel exécution, destruction ou saisie, exécution - refus de prise en charge des objets trop fragiles (ex. terres cuites), trop volumineux ou - vérifier ladéquation de la couverture dassurance du CMP EPA avec les objets P02 SP01 - Enlèvement / livraison et Impact unitaire: Non significatif E01 perte des objets et suivi des 0,4 KE 3,00 1,1 KE 10% 0,9 KE non I Prise en charge Transport gestion des Une restauration suite à un sinistre sélève, à dire dexpert, à 0,35K€ en moyenne. trop lourds transportés au cours du transactions - restauration possible des objets - vérifier le respect des procédures relatives au transport processus transport - déplacements limités à Paris intra-muros Fréquence: Faible A dire dexpert 100 transports sont réalisés chaque année et on dénombre 2 à 3 incidents par an. - valeur dassurance déclarée par le client Contrôle automatique / Outils -. Contrôle manuel / visuel -. Contrôle automatique / Outils -. Hypothèse Organisation / Procédures Organisation / Procédures - assurance souscrite par les clients - faire signer systématiquement une décharge en cas de manipulation dobjets dans Dégradation des objets conservés dans les alvéoles par le personnel Munigarde. Lassurance Munigarde prend en - clients avertis par courrier simple que labsence dassurance se fait à leurs risques et les alvéoles charge ce type dévénements mais ces incidents pourraient entraîner une perte de clients. périls - refus de manipulation des objets par les magasiniers dans les alvéoles Contrôle manuel / visuel Vol des objets : ce risque est porté par le client qui doit sassurer en fonction de la valeur des objets déposés. - dérogation possible uniquement contre décharge - mettre en place un contrôle de 2d niveau afin de sassurer de ladéquation des - risques de vol limités par le volume important des objets couvertures assurance au risque encouru E17-Munigarde Risque dimage - présence des clients et dun collaborateur Munigarde indispensable pour accéder aux - dédier des vigiles à lactivité Munigarde P03 exécution, Risque de saisie, exécution alvéoles livraison et Conservation SP01 - Alvéoles E01 vol/dégradation gestion des et suivi des Impact unitaire: Faible 12,0 KE 0,10 1,2 KE - présence dun collaborateur Munigarde pendant le temps où les clients sont dans les Contrôle automatique / Outils 75% 0,3 KE non I des objets dans les alvéoles transactions Le risque dimage pourrait se traduire par une perte de clients estimée à 12K€ (100 contrats X 126€) alvéoles -. processus Fréquence: Très faible Contrôle manuel / visuel A dire dexpert, aucun incident avéré -. Contrôle automatique / Outils - alarme - caméras de surveillance Hypothèse Organisation / Procédures Organisation / Procédures - difficultés daccès aux magasins (étages élevés, accès sécurisé, dispositif dalerte) -. Vol dobjets entreposés dans les magasins ou vol avec agression - impossibilité matérielle de vider lensemble des magasins - Exemple : vol avec prise dotage du personnel, portant sur une fraction du stock (par hypothèse, 1/5 des objets - difficulté à écouler la marchandise (ex. toiles de maîtres) Contrôle manuel / visuel entreposés) entreposée dans la chambre tableaux pour une valeur de 25M€ - pose de scellés sur les boîtes - dédier des vigiles à lactivité Munigarde - alerte du PC de sécurité - organiser une ronde par des veilleurs de nuit pour vérifier le bon fonctionnement de Risque dimage E29-Munigarde tous les éléments de la sécurité passive et active P03 Contrôle manuel/visuel - vérifier périodiquement lefficacité des dispositifs de sécurité Vol dans les Impact unitaire: Très élevé - accès contrôlé aux magasins : accès aux magasins en binôme Conservation SP02 - Magasins E01 magasins fraude externe vol et fraude 25000,0 KE 0,10 2500,0 KE 95% 125,0 KE non I Par hypothèse, 25M€ - 2 clés pour laccès à létage par ascenseur Contrôle automatique / Outils des objets - grille fermée à clé à létage - organiser la traçabilité des déplacements et des accès aux zones sécurisées, par la Fréquence: Très faible - porte blindée mise en œuvre de badges A dire dexpert, aucune occurrence constatée. - mettre en place un sas daccès à Munigarde Contrôle automatique / Outils - alarme silencieuse - vidéosurveillance 5
  6. 6. La méthodologie Représenter les risques pour communiquer Une cartographie offre une hiérarchisation des risques. Les représentations graphiques doivent permettre d’identifier les zones à traiter prioritairement par rapport à l’appétence aux risques des entités. Quelques exemples de représentations 6
  7. 7. La méthodologie La méthode quantitative s’impose Au-delà de la méthode choisie, des éléments fondamentaux doivent être formalisés dans la cartographie des risques, tels que le référentiel organisationnel ou les dispositifs de maitrise. L’évaluation quantitative (unité monétaire) permet d’effectuer une hiérarchisation objective et contribue à l’évaluation des actions préventives ou correctives à mettre en œuvre sur la base de l’efficacité économique. 2 3 4 51 Cartographie Evaluer le Cartographie Identifier les Identifier les Evaluer les des risques Déterminer le des risques DMR et le nets activités défaillances risques bruts bruts DMR cible risque net Un plan Le risque brutLes processus Connaître ses d’actions est Le risque net est le risque L’efficacité du sont la base risques L’intensité du élaboré pour est hors DMR réduit de la avérés et risque brut minimiser le l’indicateur dispositif de le risque Brut cartographie potentiels détermine le coût du de pilotage maitrise DMR risque vis-à-vis de l’appétence 7
  8. 8. La méthodologie Nos convictions Avant de choisir une méthodologie d’identification des risques, il convient de définir les différents usages de la cartographie des risques. La cartographie des risques est à la fois un outil réglementaire et de management des activités. L’objectif premier est de pouvoir hiérarchiser les risques afin de favoriser le pilotage. Une démarche d’autoévaluation des risques et des contrôles (RCSA) par les opérationnels permet au management d’avoir une meilleure connaissance des risques clés et de définir des préconisations d’améliorations Un lien dynamique doit exister entre Processus – Risques – Contrôles – Plan d’actions. Il est essentiel d’avoir un outil « communiquant » et qui soit facilement appropriable par les collaborateurs et le management opérationnel, au-delà de la seule filière Risques. 8
  9. 9. Nos convictions Le lien entre les risques et les contrôles est fondamental Résultats Evolutions règlementaires Indicateurs Audits3 Reporting Réalisation des contrôles Nouvelles activités 5 Incident(s) 6 Actualisation Actualisation 2 Gestion des risques Plan de 4 Actualisation contrôle Organes de permanent 7 direction Actualisation Cartographie des risques 1 Bonnes Contrôles Contrôles Audits pratiques réglementaires spécifiques 9
  10. 10. Le périmètre Quel champ couvrir ? Le périmètre couvert par la cartographie des risques tend à s’élargir graduellementA l’origine centrée sur les risquesopérationnels, la cartographie tend à La cartographie des risquescouvrir l’ensemble des risquesauxquels est exposée une entité. Risques « métiers »Les effets induits sont :- La création d’un langage commun entre plusieurs fonctions Risques de non qualité- Un décloisonnement de la cartographie Risques juridiques- Une vision globale des risques Risques de non conformitéToutefois, il faut être vigilant sur :- La capacité à maintenir une méthodologie homogène Risques LAB/FT- Le partage des rôles entre gouvernance de la cartographie et Risques opérationnels gestion des risques spécifiques 10
  11. 11. Le périmètre Le risque de l’exhaustivité ? L’ergonomie d’une cartographie dépend de la méthodologie retenue et de la granularité d’identification des risques. Il convient de ne pas négliger le « risque » d’exhaustivité dans la démarche de cartographie des risques. Cette volumétrie est liée : - A la démarche de collecte des risques opérationnels qui peut aboutir à des nomenclatures de plus de 2 000 événements !! - l’ajout de risques additionnels qui viennent compléter les risques opérationnels (LAB/FT, non conformité, métiers, qualité…) Un nombre important de risques à gérer peut : - Nuire à la qualité de l’information collectée avec une charge importante de mise à jour des données au dépend de leur analyse, sans compter l’effort de collecte des incidents avérés - Affecter la capacité à prioriser les risques à piloter en priorité - Saturer les capacités de gestion des outils dédiés à la gestion de la cartographie des risques 11
  12. 12. Le périmètre Favoriser les interactions •Indicateurs de pilotage Risques •Vulnérabilités des processus •Modélisation des activités •Incidents et pertes •Objectifs des processus • Taux de conformité des Management des processus Management des Processus •Risques à couvrir Risques •Incidents et pertes • Objectifs Qualité• Indicateurs de • Défaillances des pilotage Dispositif de contrôle processus Qualité permanent •Efficacité du DMR• Défaillances des processus •Modélisation des activités •Taux de conformité des processus •Points de contrôle Qualité •Modélisation des activités Management de la •Risques de non qualité •Objectifs des processus Qualité •Incidents et pertes 12
  13. 13. Le périmètre Nos convictions La cartographie des risques doit intégrer l’ensemble des dimensions des risques affectant une entité. Il est semble indispensable de se concentrer sur les risques « majeurs » selon l’appétence au risque de l’entité. Une cartographie d’environ 200 risques avec une sélection de 20 à 30 risques à piloter en priorité semble un objectif raisonnable. Il convient d’organiser la gouvernance de la filière en identifiant les rôles de pilote du dispositif (normes et méthodes) et de management des risques (filière de risque) La complexité croissante de la cartographie des risques implique le recourt à un dispositif outillé afin de collecter, traiter et distribuer l’information. 13
  14. 14. L’évaluation La quantification des risques Une cartographie permet d’identifier et de hiérarchiser les risques avérés ou potentiels. La quantification « monétaire » est l’approche la plus efficace pour le dispositif de pilotage. Approche qualitative Approche quantitative Cette approche permet de : - Prioriser de façon précise et objective les risques - Faire un lien avec la collecte des incidents avérés - Mesurer le respect de l’appétence au risque et réaliser des stress tests - Dimensionner le coût du dispositif de contrôle et des plans d’actions - Réaliser des calculs de réévaluation des risques et de produire des indicateurs 14
  15. 15. L’évaluation Les limites de la quantification Toutes les natures de risques ne permettent pas une quantification monétaire faute de données d’impact identifiables ou de possibilité de hiérarchiser les événements au sein d’un impact commun. Cette limite implique le maintien d’un référentiel de cotation qualitatif/ quantitatif et l’introduction de la notion de « vulnérabilité » pour les risques de non-conformité et LCB/FT. Evaluation « qualitative » Evaluation « quantitative » Evaluation « iso quantitative » Risques d’image Risques « métiers » Risques de non Risques stratégiques Risques juridiques conformité Risques de non qualité Risques opérationnels Risques LCB/FT 15
  16. 16. L’évaluation Nos convictions L’évaluation des risques doit tendre vers la méthode quantitative. La diversité croissante des natures de risques présentes au sein de la cartographie des risques induit d’adapter l’échelle de cotation pour avoir obtenir une hiérarchisation globale. L’évaluation quantitative offre la possibilité d’une approche « économique » du dispositif de gestion des risques via la mesure de la rationalité des actions. Elle apporte permet également d’introduire des notions d’appétence aux risques, de réévaluation automatique des risques et d’indicateurs prédictifs. La cartographie des risques peut devenir ainsi un outil de management des entités. 16
  17. 17. En conclusion…. La cartographie des risques est un outil en évolution constante, tant sur ses usages, la méthodologie que sur son spectre de couverture fonctionnelle. Il s’agit dès lors d’avoir une vision précise de l’utilisation de la cartographie afin de dimensionner le dispositif de structuration et de gestion des données. L’efficacité du dispositif dépend également des moyens techniques mis en œuvre et de son intégration dans les activités opérationnelles et de management. • Jusqu’où aller ? Le plus loin possible, à votre rythme… 17
  18. 18. Le Groupe Weave Un groupe de conseil multi-spécialiste à taille humaine• Un acteur significatif du conseil en France : o Créé en 2001 Une culture de l’excellence alliant un savoir faire issu o 240 consultants fin 2011 des grands cabinets à une capacité à construire o Bureaux à Paris et Bruxelles des interventions sur-mesure• Un cabinet de conseil dynamique en forte croissance : o 1er cabinet de conseil français diplômé EFQM en 2011, en obtenant l’une des meilleures notes de ce modèle o Prix gazelle 2005 du Ministère des PME récompensant les entreprises à forte croissance o Capacité d’accompagnement à l’international• 2 métiers complémentaires : o Le conseil en stratégie opérationnelle o Le conseil en management des systèmes d’information• Des compétences multisectorielles : o Banque, o Assurance, o Gestion d’actifs, o Utilities, o Energie, o Agroalimentaire, o Distribution, o Secteur Public. 18

×