SlideShare une entreprise Scribd logo
Forum des competences_Le risque résiduel_v1.0 10/11/2009 1/4
GROUPE DE TRAVAIL – FORUM DES COMPETENCES
LE RISQUE RESIDUEL : QUI L’ASSUME ?
Contexte
Afin d’assurer une maîtrise plus précise et efficace des risques, l’approche prudentielle des groupes de
travail de la BRI – Banque des Règlements Internationaux - préconise de prendre en compte le risque
opérationnel. Ainsi, selon la définition de Bâle II, on entend par risque opérationnel, « le risque de
pertes dues à des personnes, processus ou systèmes défaillants ou résultant d’événements externes.
Cette définition intègre en particulier le risque de non conformité». Cf. Accord Bâle II – Directive CRD.
Le responsable métier gère par nature l’ensemble des risques liés
à son activité. Il gérait déjà les risques de contreparties, marché,
liquidité, etc au sens de Bâle I et doit désormais prendre en compte
le risque opérationnel au sens Bâle II.
Ainsi les institutions financières intègrent désormais la gestion du
risque opérationnel dans la gestion quotidienne de leur activité
métier. Le responsable métier se doit de prendre en compte ses
risques opérationnels dans la conception et la mise en œuvre d’un
nouveau produit ou d’une nouvelle activité
Dans ce contexte, il est primordial d’avoir une vision complète des risques impactant le métier et d’en
déduire par conséquent les risques résiduels acceptés.
La multiplicité des expertises risques opérationnels (SI, juridique, humain, logistique, de conformité,
sinistre externe, etc) tant en termes de fréquence que de sévérité des événements a nécessité la mise
en place d’une gouvernance adaptée.
Cette réflexion a pour objectifs d’apporter des éclairages sur les points suivants :
Comment passer du risque au risque résiduel ?
Comment consolider et évaluer le risque résiduel ?
Qui l’assume ? Qui se charge de le suivre ?
Le risque résiduel : qui l’assume ?
Forum des competences_Le risque résiduel_v1.0 10/11/2009 2/4
Comment passer du risque au risque résiduel ?
Le risque résiduel se définit comme étant le risque
net après prise en compte des mesures, actions,
dispositions… atténuants le risque brut. Il peut être
obtenu après plusieurs itérations. Il peut être
accepté ou non.
Lors de l’élaboration du nouveau produit ou
service, une analyse de risque est réalisée.
Au cours de la phase de construction du produit, une appréciation préalable des risques afférents à
ses activités est réalisée par différents experts (responsables de la continuité d’activité, ressources
humaines, Sécurité des systèmes
d’information, juridique, etc). Ce qui
constitue la version initiale du dossier
d’évaluation des risques.
Tout au long du cycle de vie du produit, ce
dossier est régulièrement mis à jour.
Un contrôle de 2e
niveau est assuré par une fonction d’analyse des risques et des processus,
indépendante (exemple risk manager, contrôle permanent) qui a une bonne connaissance des
activités métier. Elle a pour mission d’émettre un avis sur les risques évalués par les experts de
chaque activité et de le communiquer ensuite au responsable métier. Pour ce faire, il est nécessaire
que les experts expriment leurs analyses dans un langage orienté métier. La consolidation de ces
analyses constitue le dossier d’évaluation des risques. En effet, il permet au responsable métier
d’avoir une vision globale des risques résiduels qu’il a acceptés.
En phase de mise en œuvre du produit ou du service, le responsable métier doit s’assurer de la
mise à jour du dossier d’évaluation des risques. Ce processus de mise à jour doit être également
documenté.
L’évaluation des risques doit être révisée de manière périodique dans le but de tenir compte de
l’évolution de l’environnement réglementaire et technique, du changement des périmètres métier ou
organisationnel et de l’apparition de nouvelles menaces.
Figure 2. Le risque
résiduel acceptable
Figure 3.Cumul de quelques risques résiduels
identifiés tout au long du cycle de mise en
place et fonctionnement opérationnel
Le risque résiduel : qui l’assume ?
Forum des competences_Le risque résiduel_v1.0 10/11/2009 3/4
Deux familles de risques sont à distinguer :
Les risques courants inhérents à l’activité mais avec un impact limité sur le processus métier
(exemple : fraude quotidienne liée aux cartes bancaires, pertes/vol des cartes, etc). Ces
sinistres récurrents sont traités comme des pertes opérationnelles et pris en compte dans les
budgets relatifs à chaque métier.
Les risques exceptionnels ont une probabilité d’occurrence faible et un impact très fort sur le
fonctionnement du process métier (fraude exceptionnelle, indisponibilité des réseaux, sinistre
majeur, choc extrême, etc). Ces risques font partie intégrante du calcul des fonds propres.
En résumé, le dossier d’évaluation des risques est un outil de pilotage du responsable métier. Il lui
permet de regrouper l’ensemble des risques identifiés, tout au long de la phase de conception et
de mise en œuvre; de les quantifier en vue de les prendre en compte dans l’estimation des pertes
opérationnelles et le calcul du capital économique (Bâle II); et de pratiquer les arbitrages et les
investissements nécessaires.
Exemple de constitution d’un dossier d’évaluation des risques à partir du standard
ISO 27005
Parmi les approches les plus communément admises, la norme ISO 27005 – risk management,
expose la démarche d’appréciation et de traitement des risques.
Cette méthode peut être utilisé par l’ensemble des experts sur lesquels s’appuie le responsable
métier pour la constitution de son dossier d’évaluation des risques et se décline de la manière
suivante :
Etape 1 - Etablissement du contexte : consiste à spécifier le périmètre de l’appréciation des
risques, l’environnement et l’organisation du processus métier.
Etape 2 - Appréciation du risque : se décompose en deux sous parties :
o L’analyse des risques : identifie et quantifie les actifs sensibles, les menaces et
vulnérabilités et estime, la probabilité d’occurrence des risques identifiés en vue de
calculer les risques.
o L’évaluation des risques : permet de classifier les risques au regard des critères
d’évaluation, préalablement établis par les objectifs et contraintes imposés par le
responsable métier.
Figure 4. Dossier d’évaluation des risques
Le risque résiduel : qui l’assume ?
Forum des competences_Le risque résiduel_v1.0 10/11/2009 4/4
Etape 3 - Traitement du risque : consiste à décider des solutions à envisager selon les options
suivantes : refus/évitement, transfert du risque, réduction du risque et prise de risque.
Etape 4 - Acceptation du risque : permet d’apprécier le risque résiduel obtenu une fois que le
traitement du risque est mis en œuvre. A cet égard, le responsable prend la responsabilité
d’assumer son risque résiduel ou d’arrêter le projet.
En conclusion, le responsable Métier assume son risque résiduel au travers le processus de
consolidation du dossier d’évaluation des risques. Il s’appuie sur :
Les experts qui l’accompagnent dans la qualification et le traitement des risques,
Les fonctions de gestion des risques et de contrôle.
Pour que ça fonctionne, il est indispensable d’avoir une gouvernance adaptée à la culture et au niveau
de maturité de chaque établissement.
Figure 4.Source : schéma de l’iso 27005

Contenu connexe

Tendances

Evolution du contrôle interne bancaire en France
Evolution du contrôle interne bancaire en FranceEvolution du contrôle interne bancaire en France
Evolution du contrôle interne bancaire en France
Arrow Institute
 
Fiche 4 management des risques
Fiche  4    management des risquesFiche  4    management des risques
Fiche 4 management des risques
Halim ARROUDJ
 
Management des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et CartographieManagement des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et Cartographie
ibtissam el hassani
 
La gestion du risque cas des dérivés de credit
La gestion du risque   cas des dérivés de creditLa gestion du risque   cas des dérivés de credit
La gestion du risque cas des dérivés de credit
NoamRevah
 
Développer la culture ERM
Développer la culture ERMDévelopper la culture ERM
Développer la culture ERM
David Dubois
 
Quel Cadre opérationnel cohérent pour la gestion des risques opérationnels?
Quel Cadre opérationnel cohérent pour la gestion des risques opérationnels?Quel Cadre opérationnel cohérent pour la gestion des risques opérationnels?
Quel Cadre opérationnel cohérent pour la gestion des risques opérationnels?
Arrow Institute
 
[Gestion des risques et conformite] mettre en place une demarche erm
[Gestion des risques et conformite] mettre en place une demarche erm[Gestion des risques et conformite] mettre en place une demarche erm
[Gestion des risques et conformite] mettre en place une demarche erm
onepoint x weave
 
Juqu'où la responsabilité du compliance officer peut-elle être engagée?
Juqu'où la responsabilité du compliance officer peut-elle être engagée? Juqu'où la responsabilité du compliance officer peut-elle être engagée?
Juqu'où la responsabilité du compliance officer peut-elle être engagée?
Arrow Institute
 
cours de Gestion des risques - demarche
cours de Gestion des risques - demarchecours de Gestion des risques - demarche
cours de Gestion des risques - demarche
Rémi Bachelet
 
Gestion des risques opérationnels: Le transfert du risque à l'assureur, compo...
Gestion des risques opérationnels: Le transfert du risque à l'assureur, compo...Gestion des risques opérationnels: Le transfert du risque à l'assureur, compo...
Gestion des risques opérationnels: Le transfert du risque à l'assureur, compo...
Arrow Institute
 
Document unique d'évaluation des risques professionnels 4 292
Document unique d'évaluation des risques professionnels 4 292Document unique d'évaluation des risques professionnels 4 292
Document unique d'évaluation des risques professionnels 4 292
Mhammed Hamdaoui
 
Management des risques
Management des risquesManagement des risques
Management des risques
abdelghani Koura
 
[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnels[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnels
onepoint x weave
 
[Gestion des risques et conformite] solvabilite 2
[Gestion des risques et conformite] solvabilite 2[Gestion des risques et conformite] solvabilite 2
[Gestion des risques et conformite] solvabilite 2
onepoint x weave
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB
 
Management des risques
Management des risques Management des risques
Management des risques
Pasteur_Tunis
 
Mémoire David Guetta : Le système des taux de cessions internes du groupe Ban...
Mémoire David Guetta : Le système des taux de cessions internes du groupe Ban...Mémoire David Guetta : Le système des taux de cessions internes du groupe Ban...
Mémoire David Guetta : Le système des taux de cessions internes du groupe Ban...
ActuariaCnam
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risquesmoussadiom
 

Tendances (20)

Evolution du contrôle interne bancaire en France
Evolution du contrôle interne bancaire en FranceEvolution du contrôle interne bancaire en France
Evolution du contrôle interne bancaire en France
 
Fiche 4 management des risques
Fiche  4    management des risquesFiche  4    management des risques
Fiche 4 management des risques
 
Risque de credit
Risque de creditRisque de credit
Risque de credit
 
Management des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et CartographieManagement des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et Cartographie
 
Risque credit
Risque creditRisque credit
Risque credit
 
La gestion du risque cas des dérivés de credit
La gestion du risque   cas des dérivés de creditLa gestion du risque   cas des dérivés de credit
La gestion du risque cas des dérivés de credit
 
Développer la culture ERM
Développer la culture ERMDévelopper la culture ERM
Développer la culture ERM
 
Quel Cadre opérationnel cohérent pour la gestion des risques opérationnels?
Quel Cadre opérationnel cohérent pour la gestion des risques opérationnels?Quel Cadre opérationnel cohérent pour la gestion des risques opérationnels?
Quel Cadre opérationnel cohérent pour la gestion des risques opérationnels?
 
[Gestion des risques et conformite] mettre en place une demarche erm
[Gestion des risques et conformite] mettre en place une demarche erm[Gestion des risques et conformite] mettre en place une demarche erm
[Gestion des risques et conformite] mettre en place une demarche erm
 
Juqu'où la responsabilité du compliance officer peut-elle être engagée?
Juqu'où la responsabilité du compliance officer peut-elle être engagée? Juqu'où la responsabilité du compliance officer peut-elle être engagée?
Juqu'où la responsabilité du compliance officer peut-elle être engagée?
 
cours de Gestion des risques - demarche
cours de Gestion des risques - demarchecours de Gestion des risques - demarche
cours de Gestion des risques - demarche
 
Gestion des risques opérationnels: Le transfert du risque à l'assureur, compo...
Gestion des risques opérationnels: Le transfert du risque à l'assureur, compo...Gestion des risques opérationnels: Le transfert du risque à l'assureur, compo...
Gestion des risques opérationnels: Le transfert du risque à l'assureur, compo...
 
Document unique d'évaluation des risques professionnels 4 292
Document unique d'évaluation des risques professionnels 4 292Document unique d'évaluation des risques professionnels 4 292
Document unique d'évaluation des risques professionnels 4 292
 
Management des risques
Management des risquesManagement des risques
Management des risques
 
[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnels[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnels
 
[Gestion des risques et conformite] solvabilite 2
[Gestion des risques et conformite] solvabilite 2[Gestion des risques et conformite] solvabilite 2
[Gestion des risques et conformite] solvabilite 2
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
 
Management des risques
Management des risques Management des risques
Management des risques
 
Mémoire David Guetta : Le système des taux de cessions internes du groupe Ban...
Mémoire David Guetta : Le système des taux de cessions internes du groupe Ban...Mémoire David Guetta : Le système des taux de cessions internes du groupe Ban...
Mémoire David Guetta : Le système des taux de cessions internes du groupe Ban...
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 

En vedette

Squline Mandarin Business Intermediate 2 Lesson 27
Squline Mandarin Business Intermediate 2 Lesson 27Squline Mandarin Business Intermediate 2 Lesson 27
Squline Mandarin Business Intermediate 2 Lesson 27
squline
 
LANZA TU NEGOCIO POR INTERNET: Herramientas y Estrategias
LANZA  TU NEGOCIO POR INTERNET: Herramientas y EstrategiasLANZA  TU NEGOCIO POR INTERNET: Herramientas y Estrategias
LANZA TU NEGOCIO POR INTERNET: Herramientas y Estrategias
Marta García
 
презентация1
презентация1презентация1
презентация1
Оксана Замківська
 
How to deal with disengaged people in workplace
How to deal with disengaged people in workplaceHow to deal with disengaged people in workplace
How to deal with disengaged people in workplace
CommLab India – Rapid eLearning Solutions
 
Master's Dissertation report
Master's Dissertation reportMaster's Dissertation report
Master's Dissertation report
Aijaz Siddique
 
Convegno Modena 25 06 2013
Convegno Modena 25 06 2013Convegno Modena 25 06 2013
Convegno Modena 25 06 2013
Alberto Nuzzo
 
Medidas seguridad implementadas en Nepcom
Medidas seguridad implementadas en NepcomMedidas seguridad implementadas en Nepcom
Medidas seguridad implementadas en Nepcom
Nepcom
 
Classification et étiquetage des produits chimiques
Classification et étiquetage des produits chimiquesClassification et étiquetage des produits chimiques
Classification et étiquetage des produits chimiques
Souad Hadjadj
 
Comissão interna de prevenção de acidentes
Comissão interna de prevenção de acidentesComissão interna de prevenção de acidentes
Comissão interna de prevenção de acidentes
Giovanni Bruno
 
Kepmenkes 1758-menkes-sk-xii-2003
Kepmenkes 1758-menkes-sk-xii-2003Kepmenkes 1758-menkes-sk-xii-2003
Kepmenkes 1758-menkes-sk-xii-2003
Nova Putri
 
Kisi kisi akreditasi pusk pokja ii
Kisi kisi akreditasi pusk pokja iiKisi kisi akreditasi pusk pokja ii
Kisi kisi akreditasi pusk pokja ii
Imam Wahyudi
 

En vedette (11)

Squline Mandarin Business Intermediate 2 Lesson 27
Squline Mandarin Business Intermediate 2 Lesson 27Squline Mandarin Business Intermediate 2 Lesson 27
Squline Mandarin Business Intermediate 2 Lesson 27
 
LANZA TU NEGOCIO POR INTERNET: Herramientas y Estrategias
LANZA  TU NEGOCIO POR INTERNET: Herramientas y EstrategiasLANZA  TU NEGOCIO POR INTERNET: Herramientas y Estrategias
LANZA TU NEGOCIO POR INTERNET: Herramientas y Estrategias
 
презентация1
презентация1презентация1
презентация1
 
How to deal with disengaged people in workplace
How to deal with disengaged people in workplaceHow to deal with disengaged people in workplace
How to deal with disengaged people in workplace
 
Master's Dissertation report
Master's Dissertation reportMaster's Dissertation report
Master's Dissertation report
 
Convegno Modena 25 06 2013
Convegno Modena 25 06 2013Convegno Modena 25 06 2013
Convegno Modena 25 06 2013
 
Medidas seguridad implementadas en Nepcom
Medidas seguridad implementadas en NepcomMedidas seguridad implementadas en Nepcom
Medidas seguridad implementadas en Nepcom
 
Classification et étiquetage des produits chimiques
Classification et étiquetage des produits chimiquesClassification et étiquetage des produits chimiques
Classification et étiquetage des produits chimiques
 
Comissão interna de prevenção de acidentes
Comissão interna de prevenção de acidentesComissão interna de prevenção de acidentes
Comissão interna de prevenção de acidentes
 
Kepmenkes 1758-menkes-sk-xii-2003
Kepmenkes 1758-menkes-sk-xii-2003Kepmenkes 1758-menkes-sk-xii-2003
Kepmenkes 1758-menkes-sk-xii-2003
 
Kisi kisi akreditasi pusk pokja ii
Kisi kisi akreditasi pusk pokja iiKisi kisi akreditasi pusk pokja ii
Kisi kisi akreditasi pusk pokja ii
 

Similaire à ++Le risque r_siduel_qui l'assume

Synthèse Risk talking about the services and the
Synthèse Risk talking about the services and theSynthèse Risk talking about the services and the
Synthèse Risk talking about the services and the
hjhihvj
 
Cours extremes
Cours extremesCours extremes
Cours extremes
amine145
 
LA GESTION DES RISQUES DANS UN PROJET.pptx
LA GESTION DES RISQUES DANS UN PROJET.pptxLA GESTION DES RISQUES DANS UN PROJET.pptx
LA GESTION DES RISQUES DANS UN PROJET.pptx
mouradsaadoun
 
ASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation socialeASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation sociale
armelleguillermet
 
Conference EIFR - la conception d un systeme de gestion des risques ERM
Conference EIFR - la conception d un systeme de gestion des risques ERMConference EIFR - la conception d un systeme de gestion des risques ERM
Conference EIFR - la conception d un systeme de gestion des risques ERM
Alban Jarry
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
Aymen Foudhaili
 
MODELE INTERNE EN ASSURANCE VIE : APPLICATION DES LEAST SQUARES MONTE CARLO D...
MODELE INTERNE EN ASSURANCE VIE : APPLICATION DES LEAST SQUARES MONTE CARLO D...MODELE INTERNE EN ASSURANCE VIE : APPLICATION DES LEAST SQUARES MONTE CARLO D...
MODELE INTERNE EN ASSURANCE VIE : APPLICATION DES LEAST SQUARES MONTE CARLO D...
Jeremy Robert
 
Solvabilité 2: mise en oeuvre opérationnelle
Solvabilité 2: mise en oeuvre opérationnelleSolvabilité 2: mise en oeuvre opérationnelle
Solvabilité 2: mise en oeuvre opérationnelleQuoc Nguyen Dao
 
Gestion de crise Apports respectifs Gestion de crise - Audit et contrôle int...
Gestion de crise  Apports respectifs Gestion de crise - Audit et contrôle int...Gestion de crise  Apports respectifs Gestion de crise - Audit et contrôle int...
Gestion de crise Apports respectifs Gestion de crise - Audit et contrôle int...
Eric CASPERS
 
Evaluation des risques profissionels btp
Evaluation des risques profissionels btp Evaluation des risques profissionels btp
Evaluation des risques profissionels btp
GENICIMO
 
POURQUOI evaluer.ppt
POURQUOI evaluer.pptPOURQUOI evaluer.ppt
POURQUOI evaluer.ppt
aitsahed
 
Auto evaluation des risques professionnels
Auto evaluation des risques professionnelsAuto evaluation des risques professionnels
Auto evaluation des risques professionnels
Philippe Porta
 
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
SARASIM6
 
Mwa study 3 intégration de nouveaux facteurs de risque à la va_r et méthode d...
Mwa study 3 intégration de nouveaux facteurs de risque à la va_r et méthode d...Mwa study 3 intégration de nouveaux facteurs de risque à la va_r et méthode d...
Mwa study 3 intégration de nouveaux facteurs de risque à la va_r et méthode d...mwaresearch
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internetproximit
 
Raroc
RarocRaroc

Similaire à ++Le risque r_siduel_qui l'assume (20)

Synthèse Risk talking about the services and the
Synthèse Risk talking about the services and theSynthèse Risk talking about the services and the
Synthèse Risk talking about the services and the
 
Cours extremes
Cours extremesCours extremes
Cours extremes
 
Audit bancaire
Audit bancaireAudit bancaire
Audit bancaire
 
LA GESTION DES RISQUES DANS UN PROJET.pptx
LA GESTION DES RISQUES DANS UN PROJET.pptxLA GESTION DES RISQUES DANS UN PROJET.pptx
LA GESTION DES RISQUES DANS UN PROJET.pptx
 
ASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation socialeASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation sociale
 
Conference EIFR - la conception d un systeme de gestion des risques ERM
Conference EIFR - la conception d un systeme de gestion des risques ERMConference EIFR - la conception d un systeme de gestion des risques ERM
Conference EIFR - la conception d un systeme de gestion des risques ERM
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
MODELE INTERNE EN ASSURANCE VIE : APPLICATION DES LEAST SQUARES MONTE CARLO D...
MODELE INTERNE EN ASSURANCE VIE : APPLICATION DES LEAST SQUARES MONTE CARLO D...MODELE INTERNE EN ASSURANCE VIE : APPLICATION DES LEAST SQUARES MONTE CARLO D...
MODELE INTERNE EN ASSURANCE VIE : APPLICATION DES LEAST SQUARES MONTE CARLO D...
 
Solvabilité 2: mise en oeuvre opérationnelle
Solvabilité 2: mise en oeuvre opérationnelleSolvabilité 2: mise en oeuvre opérationnelle
Solvabilité 2: mise en oeuvre opérationnelle
 
Nt29 2010 eval_chim
Nt29 2010 eval_chimNt29 2010 eval_chim
Nt29 2010 eval_chim
 
Gestion de crise Apports respectifs Gestion de crise - Audit et contrôle int...
Gestion de crise  Apports respectifs Gestion de crise - Audit et contrôle int...Gestion de crise  Apports respectifs Gestion de crise - Audit et contrôle int...
Gestion de crise Apports respectifs Gestion de crise - Audit et contrôle int...
 
Evaluation des risques profissionels btp
Evaluation des risques profissionels btp Evaluation des risques profissionels btp
Evaluation des risques profissionels btp
 
POURQUOI evaluer.ppt
POURQUOI evaluer.pptPOURQUOI evaluer.ppt
POURQUOI evaluer.ppt
 
Auto evaluation des risques professionnels
Auto evaluation des risques professionnelsAuto evaluation des risques professionnels
Auto evaluation des risques professionnels
 
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
 
Du sst-inrs-ed480
Du sst-inrs-ed480Du sst-inrs-ed480
Du sst-inrs-ed480
 
Mwa study 3 intégration de nouveaux facteurs de risque à la va_r et méthode d...
Mwa study 3 intégration de nouveaux facteurs de risque à la va_r et méthode d...Mwa study 3 intégration de nouveaux facteurs de risque à la va_r et méthode d...
Mwa study 3 intégration de nouveaux facteurs de risque à la va_r et méthode d...
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
 
Raroc
RarocRaroc
Raroc
 
Raroc
RarocRaroc
Raroc
 

++Le risque r_siduel_qui l'assume

  • 1. Forum des competences_Le risque résiduel_v1.0 10/11/2009 1/4 GROUPE DE TRAVAIL – FORUM DES COMPETENCES LE RISQUE RESIDUEL : QUI L’ASSUME ? Contexte Afin d’assurer une maîtrise plus précise et efficace des risques, l’approche prudentielle des groupes de travail de la BRI – Banque des Règlements Internationaux - préconise de prendre en compte le risque opérationnel. Ainsi, selon la définition de Bâle II, on entend par risque opérationnel, « le risque de pertes dues à des personnes, processus ou systèmes défaillants ou résultant d’événements externes. Cette définition intègre en particulier le risque de non conformité». Cf. Accord Bâle II – Directive CRD. Le responsable métier gère par nature l’ensemble des risques liés à son activité. Il gérait déjà les risques de contreparties, marché, liquidité, etc au sens de Bâle I et doit désormais prendre en compte le risque opérationnel au sens Bâle II. Ainsi les institutions financières intègrent désormais la gestion du risque opérationnel dans la gestion quotidienne de leur activité métier. Le responsable métier se doit de prendre en compte ses risques opérationnels dans la conception et la mise en œuvre d’un nouveau produit ou d’une nouvelle activité Dans ce contexte, il est primordial d’avoir une vision complète des risques impactant le métier et d’en déduire par conséquent les risques résiduels acceptés. La multiplicité des expertises risques opérationnels (SI, juridique, humain, logistique, de conformité, sinistre externe, etc) tant en termes de fréquence que de sévérité des événements a nécessité la mise en place d’une gouvernance adaptée. Cette réflexion a pour objectifs d’apporter des éclairages sur les points suivants : Comment passer du risque au risque résiduel ? Comment consolider et évaluer le risque résiduel ? Qui l’assume ? Qui se charge de le suivre ?
  • 2. Le risque résiduel : qui l’assume ? Forum des competences_Le risque résiduel_v1.0 10/11/2009 2/4 Comment passer du risque au risque résiduel ? Le risque résiduel se définit comme étant le risque net après prise en compte des mesures, actions, dispositions… atténuants le risque brut. Il peut être obtenu après plusieurs itérations. Il peut être accepté ou non. Lors de l’élaboration du nouveau produit ou service, une analyse de risque est réalisée. Au cours de la phase de construction du produit, une appréciation préalable des risques afférents à ses activités est réalisée par différents experts (responsables de la continuité d’activité, ressources humaines, Sécurité des systèmes d’information, juridique, etc). Ce qui constitue la version initiale du dossier d’évaluation des risques. Tout au long du cycle de vie du produit, ce dossier est régulièrement mis à jour. Un contrôle de 2e niveau est assuré par une fonction d’analyse des risques et des processus, indépendante (exemple risk manager, contrôle permanent) qui a une bonne connaissance des activités métier. Elle a pour mission d’émettre un avis sur les risques évalués par les experts de chaque activité et de le communiquer ensuite au responsable métier. Pour ce faire, il est nécessaire que les experts expriment leurs analyses dans un langage orienté métier. La consolidation de ces analyses constitue le dossier d’évaluation des risques. En effet, il permet au responsable métier d’avoir une vision globale des risques résiduels qu’il a acceptés. En phase de mise en œuvre du produit ou du service, le responsable métier doit s’assurer de la mise à jour du dossier d’évaluation des risques. Ce processus de mise à jour doit être également documenté. L’évaluation des risques doit être révisée de manière périodique dans le but de tenir compte de l’évolution de l’environnement réglementaire et technique, du changement des périmètres métier ou organisationnel et de l’apparition de nouvelles menaces. Figure 2. Le risque résiduel acceptable Figure 3.Cumul de quelques risques résiduels identifiés tout au long du cycle de mise en place et fonctionnement opérationnel
  • 3. Le risque résiduel : qui l’assume ? Forum des competences_Le risque résiduel_v1.0 10/11/2009 3/4 Deux familles de risques sont à distinguer : Les risques courants inhérents à l’activité mais avec un impact limité sur le processus métier (exemple : fraude quotidienne liée aux cartes bancaires, pertes/vol des cartes, etc). Ces sinistres récurrents sont traités comme des pertes opérationnelles et pris en compte dans les budgets relatifs à chaque métier. Les risques exceptionnels ont une probabilité d’occurrence faible et un impact très fort sur le fonctionnement du process métier (fraude exceptionnelle, indisponibilité des réseaux, sinistre majeur, choc extrême, etc). Ces risques font partie intégrante du calcul des fonds propres. En résumé, le dossier d’évaluation des risques est un outil de pilotage du responsable métier. Il lui permet de regrouper l’ensemble des risques identifiés, tout au long de la phase de conception et de mise en œuvre; de les quantifier en vue de les prendre en compte dans l’estimation des pertes opérationnelles et le calcul du capital économique (Bâle II); et de pratiquer les arbitrages et les investissements nécessaires. Exemple de constitution d’un dossier d’évaluation des risques à partir du standard ISO 27005 Parmi les approches les plus communément admises, la norme ISO 27005 – risk management, expose la démarche d’appréciation et de traitement des risques. Cette méthode peut être utilisé par l’ensemble des experts sur lesquels s’appuie le responsable métier pour la constitution de son dossier d’évaluation des risques et se décline de la manière suivante : Etape 1 - Etablissement du contexte : consiste à spécifier le périmètre de l’appréciation des risques, l’environnement et l’organisation du processus métier. Etape 2 - Appréciation du risque : se décompose en deux sous parties : o L’analyse des risques : identifie et quantifie les actifs sensibles, les menaces et vulnérabilités et estime, la probabilité d’occurrence des risques identifiés en vue de calculer les risques. o L’évaluation des risques : permet de classifier les risques au regard des critères d’évaluation, préalablement établis par les objectifs et contraintes imposés par le responsable métier. Figure 4. Dossier d’évaluation des risques
  • 4. Le risque résiduel : qui l’assume ? Forum des competences_Le risque résiduel_v1.0 10/11/2009 4/4 Etape 3 - Traitement du risque : consiste à décider des solutions à envisager selon les options suivantes : refus/évitement, transfert du risque, réduction du risque et prise de risque. Etape 4 - Acceptation du risque : permet d’apprécier le risque résiduel obtenu une fois que le traitement du risque est mis en œuvre. A cet égard, le responsable prend la responsabilité d’assumer son risque résiduel ou d’arrêter le projet. En conclusion, le responsable Métier assume son risque résiduel au travers le processus de consolidation du dossier d’évaluation des risques. Il s’appuie sur : Les experts qui l’accompagnent dans la qualification et le traitement des risques, Les fonctions de gestion des risques et de contrôle. Pour que ça fonctionne, il est indispensable d’avoir une gouvernance adaptée à la culture et au niveau de maturité de chaque établissement. Figure 4.Source : schéma de l’iso 27005