Les risques opérationnels doivent être considérés au-delà du simple spectre réglementaire, il s’agit également :
de piloter les processus au travers de l’appréciation des dysfonctionnements avérés ou potentiels,
de mesurer la qualité délivrée via la collecte d’indicateurs tels que les incidents.
Il est également opportun de capitaliser sur « l’outil » cartographie des risques opérationnels pour intégrer d’autres dimensions du risque tels que les risques de non-conformité, juridiques, blanchiment, … afin de créer un cockpit global de gestion.
Cette vision d’ensemble s’appuie sur l’appréciation des experts métiers et s’alimente à partir des « signaux » issus des processus : les incidents mais également les résultats de contrôle, les audits internes et externes, les réclamations clients … afin de migrer de la détection à la prévention des risques.
[Gestion des risques et conformite] gerer les risques operationnels
1. 12 octobre 2012
L’optimisation de la gestion
des risques opérationnels dans
le monde bancaire
Vos INTERLOCUTEURS
Pierre-Antoine DUEZ
Associé
chaîne TV page weave
pierre-antoine.duez@weave.eu
@weaveconseil blog.weave.eu +33 (0)6 07 80 79 29
2. 1. Le dispositif de gestion des risques opérationnels
Une définition normative des risques opérationnels…
« Les risques opérationnels correspondent aux risques de pertes résultant d’une inadaptation ou d’une
défaillance imputable à des procédures, personnels et systèmes internes, ou à des événements extérieurs, y
compris les événements de faible probabilité d’occurrence, mais à risque de perte élevée. les risques
opérationnels, ainsi définis, incluent le risque juridique mais excluent les risques stratégiques et de réputation »
Arrêté du 20 février 2007 relatif aux exigences de fonds propres applicables aux établissements de crédit et aux
entreprises d’investissement ; art 4-1 c
La règlementation Bale 2 introduit, pour les banques, l’obligation de gestion des risques opérationnels au
travers de :
Son intégration dans le calcul des fonds propres via le ratio Mac Donough :
Fonds propres de la banque > 8% des (risques de crédits + de marché + opérationnels)
L’incitation à développer un modèle interne de mesure des risques opérationnels pour permettre aux banques de limiter
leurs besoins en termes de fonds propres (approche dite avancée : Advanced Measurement Approach).
2
3. 1. Le dispositif de gestion des risques opérationnels
…précisée par Bâle II
Pour rappel, le comité de Bâle a retenu une classification qui institue sept catégories d'évènements liés aux
risques opérationnels :
1. Fraude interne
2. Fraude externe
3. Pratiques en matière d'emploi et sécurité sur le lieu de travail
4. Clients, produits et pratiques commerciales
5. Dommages aux actifs corporels
6. Dysfonctionnement de l'activité et des systèmes
7. Exécution, livraison et gestion des processus
Dans ce cadre, trois approches de mesure des risques opérationnels sont proposées :
1. Une approche de base (Basic Indicator Approach BIA), consistant en un calcul forfaitaire (α = 15 %) des exigences de
capital réglementaire (KBIA), sur la base du produit net bancaire (PNB) moyen des trois derniers exercices : KBIA = α * PNB
2. Une approche standard (Standardised Approach STA), consistant, pour chaque ligne de métiers de la banque, en un calcul
forfaitaire (β = 12 % à 18 %, selon les huit lignes définies) des exigences de capital réglementaire (KSTA), sur la base du
PNB moyen enregistré sur ces lignes de métier au cours des trois derniers exercices : KSTA = Σ (β¹-⁸ * PNB¹-⁸)
3. Une approche avancée (Advanced Measurement Approach AMA), consistant en un calcul des exigences de capital
réglementaire (KAMA) s'appuyant sur le(s) modèle(s) interne(s) de mesure des risques opérationnels développé(s) par la
banque et validé(s) par l'autorité de contrôle.
3
4. 1. Le dispositif de gestion des risques opérationnels
Une mise en cohérence nécessaire avec les autres briques du dispositif global
Politique de gestion des Risques Opérationnels Risk and Control Self Assessment (RCSA)
Appétence au Définition des principes de Campagne d’auto- Résultats /
évaluation des préconisations de Données de Données de
risque management risques et des pertes externes pertes internes
contrôles l’audit interne
Dispositif de gestion des Risques Opérationnels
Contrôle de la
conformité des RCSA Cartographie Base
procédures des risques Incidents
Gestion du capital
Revue périodique du dispositif au regard de la Base Incidents :
Allocation Mesure Réduction • Revue de la cartographie des risques
du du du • Adaptation des dispositifs de mitigation des risques
capital capital risque • Revue de la gestion du capital
Reporting
Reporting interne Reporting réglementaire
Au sein de ce dispositif global, le RCSA tient une place centrale et permet de rapprocher les
résultats issus des autres composantes de la gestion des risques
4
5. 1. Le dispositif de gestion des risques opérationnels
Un partage des rôles dans la mise en œuvre du dispositif
Valider la mise en place du dispositif de
gestion des risques opérationnels
Définir les principes directeurs / la politique Définir les responsabilités dans la déclinaison
de gestion des risques des normes et procédures au niveau des
Challenger les résultats des dispositifs de métiers
Direction Directions des Piloter la gestion des risques opérationnels au
gestion des risques opérationnels
Générale lignes métier
Définir la politique d’allocation des fonds niveau de la ligne métier
propres Prioriser les plans d’action
Veiller à l’indépendance de la fonction Risque Valider les mesures de prévention
Garantir que le dispositif est soumis à un Veiller à la formation des personnels
audit interne
Définir les normes et les procédures et veiller
au respect des standards de gestion des
Gérer les processus opérationnels et détecter
risques opérationnels
les risques
Impulser et coordonner la mise en place des Fonctions
Direction des Effectuer les contrôles de niveau 1
dispositifs opérationnelles
Risques Evaluer ponctuellement la qualité des
Développer les méthodologies et outils de
contrôles
pilotage
Contrôler/Superviser le pilotage des
dispositifs locaux
Contrôle
Auditer le dispositif
Assurer la fiabilité et la sécurité de périodique
Les métiers l’information
transverses
Outiller le dispositif Valider la conformité des processus
(DSI, Direction Contrôle
Se prémunir contre les risques juridiques et Effectuer les contrôles de niveau 2
Juridique, DRH) permanent
sociaux Assurer la collecte des incidents
La prévention des risques opérationnels n’est pas l’exclusivité de quelques experts mais doit
devenir une véritable culture d’entreprise où chacun contribue activement au dispositif
5
6. 2. Le contexte réglementaire en matière de risques
opérationnels
Les réglementations diffèrent par leurs points de vue et leurs objectifs, mais dans la plupart des cas
elles convergent en substance
Mise en place de systèmes de gestion dédiés au risque opérationnel et adaptés aux activités
BALE II Quantitatif : calcul des exigences de FP au titre des risques opérationnels
Gestion des risques opérationnels (Art. 4 - j)
Mise en place d’un plan de continuité d’activité (Art. 14 / 14-1)
CRBF 97-02 Inclusion des activités externalisées dans le dispositif de contrôle interne (Art. 37-2)
Mise en place d’un dispositif de contrôle de la conformité (Art. 6)
Production d’un rapport annuel sur le dispositif de contrôle interne (Art. 42)
Lutte Mise en place d’un dispositif de surveillance des opérations financières dans le cadre de la
Anti-blanchiment lutte contre le blanchiment et contre le financement du terrorisme
SOX et LSF Cartographie des risques ayant un impact sur les comptes de l’entité
Document Cartographie des risques ayant un impact sur la sécurité physique des collaborateurs
Unique
Les réglementations se sont étoffées au cours des dernières années pour améliorer la gestion
et la prévention des risques opérationnels
6
7. 2. Le contexte réglementaire en matière de risques
opérationnels
Le comité de Bâle et la BRI ont parallèlement publié des documents dits de « bonnes pratiques »
autour de l’ensemble des sujets ayant trait à la gestion des risques opérationnels :
Operational Risk – Supervisory Guidelines for the Advanced Measurement Approaches
Juin 2011 Principles for the Sound Management of Operational Risk
Août 2006 High level principles for Business continuity
The treatment of expected losses by banks using the Advanced Measurement Approach
Novembre 2005 under Basel II framework
Des bonnes pratiques ont été généralisées pour renforcer et homogénéiser le cadre de mise en
œuvre des dispositifs
7
8. 3. Les enjeux actuels du dispositif de gestion des
risques opérationnels dans la banque
Des processus de plus en plus fluides Le recours à des scénarios de défaillance
• Une approche intégrée Front-to-Back • Certains établissements ont déjà mis en place un scénario annuel de
• L’utilisation de modèles d’évaluation standards, considérant de défaillance d’une contrepartie de type TITF (i.e. too important to fail)
manière explicite les changements récents, facteurs de risque pouvant entrainer leur faillite
(nouveaux produits, variation importante des volumes, …) • L’objectif étant de tester leur capacité de réaction face à ce type
• Des revues trimestrielles plutôt qu’annuelles d’événements et les possibilités d’assurer la continuité des activités
dans les meilleures conditions
• Un focus sur les risques clés plutôt que l’intégralité des risques, et
un recours dans certains cas à la pratique du « sample-based
testing » des contrôles
• Une formalisation des processus d’identification des risques
émergents et des équipes dédiées pour étudier l’impact de ces
risques sur la banque
Une prise en compte des événements externes Un travail conjoint avec les fonctions support
• De plus en plus d’établissements financiers ont recours à des • Un travail collaboratif avec les fonctions audit et conformité : les
processus d’analyse systématique d’événements externes (collecte revues RCSA sont pilotées par l’équipe risques opérationnels et
et analyse de pertes importantes dans d’autres établissements) partagés avec les autres fonctions, pour éviter le phénomène de
« fatigue » des évaluations
• Cela permet d’en tirer des retours d’expérience et de renforcer la
capacité d’anticipation de la banque • Une implication grandissante des autres fonctions supports dans des
groupes de travail sur les principaux sujets d’inquiétude du moment
• Les résultats sont partagés avec les lignes métiers, de sorte qu’ils
puissent anticiper les risques identifiés en rapport avec la croissance
du business
Face aux risques « émergents », les établissements financiers doivent adopter une approche
de plus en plus proactive au sein de leur dispositif de gestion des risques opérationnels
8
9. 3. Les enjeux actuels du dispositif de gestion des
risques opérationnels dans la banque
Face aux risques émergents… …Les dispositifs actuels doivent évoluer
• Au cours des 10 dernières années, plusieurs événements ont • La gestion du risque doit devenir un véritable « business
révélé les limites de la gestion du risque traditionnelle, et driver »
notamment la capacité des établissements à les gérer de
manière individuelle : • Chaque établissement doit identifier les risques qui sont
• La montée du terrorisme, avec par exemple les attentats pertinents pour son organisation, et se doter d’un « radar »
du 11 septembre qui mette en regard la stratégie et les risques émergents
associés
• L’apparition de « Black Swans »*, source de disparition de
certains établissements • Il convient d’évaluer la portée de chaque risque et leur degré
• L’augmentation de la gravité des fraudes internes et d’interconnexion, afin d’identifier leurs conséquence au
externes niveau des différentes lignes métier de la banque
• L’impact du « rogue trading », avec des montants de • Face aux risques émergents, les stratégies de réponse doivent
pertes de plus en plus importants être établies en collaboration avec les autres parties
prenantes externes, pour renforcer la cohérence et l’efficacité
• La crise financière de 2008 et 2009 a aussi révélé la fragilité des dispositifs
des établissements au sein d’une économie interdépendante, • Les dispositifs de contrôle doivent évoluer, pour passer d’un
et accentué le sentiment de risque systémique
exercice ponctuel à une véritable activité menée en continu
• Les réglementations ont évolué pour faire face à la montée de • Pour cela, la diffusion d’une culture des risques à l’ensemble
ces nouveaux risques, mais elles constituent une réponse des collaborateurs constitue un facteur clé de succès
insuffisante qui doit être complétée par des initiatives
complémentaires au niveau des banques
* « Black Swan » : selon leur définition par TALEB, les Black Swans ou Cygnes Noirs sont des évènements difficiles à prévoir, d'une grande rareté mais avec un impact unitaire majeur en cas d’avènement
Le contexte actuel marqué par l’émergence de nouveaux risques constitue une bonne
opportunité pour tester l’efficacité du dispositif de gestion des risques et le faire évoluer
9
10. 4. Nos convictions pour optimiser le dispositif
Une gestion collaborative des
risques garantit la pertinence
du dispositif
Les évolutions du dispositif Vers une gestion
de gestion des risques des risques Il est nécessaire de focaliser
opérationnels doivent être opérationnels les efforts autour des risques
pensées au regard de la créatrice de majeurs
maturité des organisations valeur
Cartographie des risques et
plans de contrôle doivent être
corrélés au sein d’un outil
adapté
10
11. 4. Nos convictions pour optimiser le dispositif
Une gestion collaborative des risques garantit la pertinence du dispositif
Experts métiers Contrôle périodique
Cartographie des risques Audit interne
Définition et mise à jour de la cartographie Analyses périodiques de l’activité et des processus
Evaluation
des risques
Direction des lignes métiers Contrôle permanent
Gestion opérationnelle du risque Résultats des contrôles
Mise en place des plans d’action, collecte des incidents Définition et implémentation des plans de contrôle et
et back-testing de la cartographie des risques analyse des résultats
La prévention des risques opérationnels n’est pas l’exclusivité de quelques experts mais doit
devenir une véritable culture d’entreprise où chacun participe à la vie du dispositif
11
12. 4. Nos convictions pour optimiser le dispositif
Il est nécessaire de focaliser les efforts autour des risques majeurs
La cartographie des risques devient rapidement, surtout lorsqu’elle n’est pas outillée, un document dont la
lecture est difficile
Il n’est pas rare de voir quelques centaines de risques opérationnels référencés
L’analyse des causes principales et des conséquences communes n’est pas toujours facile
La priorisation des DMR* ne se fait que risque par risque et n’est donc pas optimale
Le caractère fastidieux des revues périodiques du dispositif peut générer un certain effet de « fatigue »
Le recentrage des efforts autour des risques majeurs selon l’approche suivante est un facteur clé d’amélioration
de l’efficience du dispositif :
1. Définir la notion de risque majeur pour l’établissement
comme étant soit :
Un risque susceptible de remettre en cause les objectifs Stratégiques
Un risque pouvant entrainer des pertes financières importantes
(dépassant le seuil tolérable défini par l’entreprise)
2. Définir la zone de tolérance au risque
3. Identifier les niveaux de risque net par risque majeur :
Niveau de risque résiduel après mise en place des DMR* et des
contrôles
4. Limiter les efforts de mise en place de plans d’actions
aux risques majeurs dont le niveau de risque net
dépasse la tolérance au risque
* Dispositif de maîtrise des risques
12
13. 4. Nos convictions pour optimiser le dispositif
Cartographie des risques et plans de contrôle doivent être corrélés au sein
d’un outil adapté
L’implémentation d’un outil de gestion des risques
doit permettre de répondre à des objectifs tels que :
Pérenniser la démarche d’identification et de Scénarii de Processus
suivi des risques gestion de crise Risques
Assurer la continuité de la collecte des incidents Analyse Contrôles
Palier le risque « homme clé » statistique
« Industrialiser » le processus de collecte Analyse Cartographie
Disposer d’une vision stratégique et
opérationnelle
Disposer d’un reporting spécifique pour chaque
service
Disposer d’une vision consolidée au niveau des
instances de décisions
Gestion Gestion
Disposer d’un outil d’aide à la rédaction des
rapports officiels Collecte des des
Rendre plus efficientes les fonctions Contrôle Alertes incidents risques Consolidation
Permanent et Risques Traitements KRI
Assurer une traçabilité des actions entreprises correctifs Tableaux de
Documenter les décisions prises et préventifs bord
Partager une information commune pour une
prise de décision plus pertinente
L’outillage doit permettre de recentrer les contrôleurs sur l’analyse en facilitant la collecte de
l’information
13
14. 4. Nos convictions pour optimiser le dispositif
Les évolutions du dispositif de gestion des risques opérationnels doivent être
pensées au regard de la maturité des organisations
Objectifs du dispositif de
gestion des risques opérationnels
Piloter l’activité
par les processus Partager les
résultats et penser
des plans d’actions
communs entre les
filières
(qualité, efficacité
Optimiser le dispositif
Corréler évènements opérationnelle)
de risque et
contrôles dans une
logique
Réduire d’amélioration
les pertes de PNB Etablir et suivre le continue
lien entre
évènements de
Optimiser l’allocation
risque, incidents et
des fonds propres Calculer les dispositif de maîtrise
Répondre aux exigences de (DMR)
exigences réglementaires Cartographier les capitaux propres en
risques fonction d’un
modèle interne de
Collecter les mesure du risque Effort requis /
incidents
Difficulté de
mise en œuvre
Au-delà de la conformité réglementaire, la création de valeur passe par la création d’une
dynamique d’analyse et d’optimisation de l’allocation des ressources et des moyens
14
15. 5. Notre offre autour des risques opérationnels
Nos savoir-faire Nos contextes d’intervention Extrait de références
• Elaboration des principes directeurs • Assistance à la
et de la politique de gestion des
risques production du
• Vous accompagner dans la mise en reporting
• Définition de l’organisation de la réglementaire
filière Risques (gouvernance et œuvre du dispositif de gestion des
processus) risques • Création du
• Mise en place d’un cadre de dispositif de
référence / ERM • Effectuer un audit du contrôle interne
contrôle interne
• Réalisation d’une campagne d’auto- • Opérer un diagnostic de la
• Création du
évaluation des risques et des performance et de la qualité des
contrôles dispositif de
processus risques
gestion des risques
• Réalisation d’une cartographie des
risques • Vous assister dans votre démarche • Implémentation de
Enterprise Risk Management la directive LAB/FT
• Diagnostic et optimisation des
dispositifs de maîtrise • Vous accompagner dans • Mise en place d’un
• Mise en œuvre d’un PCA l’optimisation de votre dispositif de SIGR
• Choix d’outil SIGR et assistance à contrôle
l’intégration • Mise en place d’un
SIGR
• Mise en place d’une base incidents
15
16. Présentation du groupe weave
Un groupe de conseil multi-spécialiste à taille humaine
• Un acteur significatif du conseil :
o Créé en 2001 Une culture de l’excellence alliant un savoir faire issu
o 240 consultants en 2011 des grands cabinets à une capacité à construire
o Bureaux à Paris et Bruxelles des interventions sur-mesure
1. Contexte et objectifs
• Un cabinet de conseil dynamique en forte croissance :
o 1er cabinet de conseil français diplômé EFQM en 2011, qualité totale, en obtenant l’une des meilleures notes de ce modèle
o Prix gazelle 2005 du Ministère des PMEconvictions
2. Nos récompensant les entreprises à forte croissance
o Capacité d’accompagnement à l’international
3. Démarche proposée
• 2 métiers complémentaires :
4. Conditions d’intervention
o Le conseil en stratégie opérationnelle
o Le conseil en management des systèmes d’information
5. Extrait de nos références ‘organisation’
• Des compétences multisectorielles :
o Banque,
o Assurance,
o Gestion d’actifs,
o Energie,
o Industrie,
o Distribution,
o Secteur Public,
o Transports
16