Quel Cadre opérationnel cohérent pour la gestion des risques opérationnels?
1. Quel cadre opérationnel
cohérent pour la gestion
des risques opérationnels ?
Retour d’expérience :
Jean-Luc Masselin
Directeur du Contrôle
Interne
Banque Neuflize OBC
www.arrowfinco.com 1
Retour d’expérience :
AMA :
Vouloir et Pouvoir
2. Présentations
ABN AMRO dans le monde
Groupe bancaire de premier plan présent dans plus de 50 pays détenu par
l’état néerlandais (mise sur le marché envisagé à l’horizon 2015)
Aujourd’hui, le groupe est spécialisé dans la banque privée dans le monde et la
banque de détail aux Pays Bas : il compte 35.000 personnes.
Neuflize OBC en France
Groupe de banques de plus de 300 ans d’âge spécialisé dans la gestion de
patrimoine et appartenant à ABN AMRO depuis plus de 20 ans.
Activités : banque privée, banque d’entreprises patrimoniales, gestion d’actifs
2
Activités : banque privée, banque d’entreprises patrimoniales, gestion d’actifs
et assurance vie
1000 personnes en France au service de 45.000 clients particuliers et 5.000
entreprises patrimoniales
Jean-Luc Masselin
Directeur du Contrôle Interne pour toutes les entités Neuflize en France.
Expert comptable, diplômé CIA, co auteur des livres « Le contrôle interne des
risques » - « Gérer les risques des projets » - « Les métiers d’auditeur et de
contrôleur interne » (à paraître) (Eyrolles)
3. Sommaire
Pourquoi se lancer dans un projet AMA ?
Le cadre réglementaire
Les ambitions professionnelles
Les ambitions d’entreprises
Comment articuler un projet AMA et la gestion courante des RO ... et
plus globalement des risques ?
Une organisation et un fonctionnement en silo : adopter une organisation
Quels écueils dans la gestion d’un projet AMA ?
Donner un tour concret aux analyses de risques
3
Comment structurer le plan de migration ?
Les « volets » du programme AMA
La conduite du changement
La migration de systèmes
Quelles sont les difficultés méthodologiques principales ?
Développer la culture de risques
Cotation et hiérarchisation des risques
5. Collecter les bénéfices
Il y a un an, la présentation «Il y a un an, la présentation « Risques opérationnels et contrôlesRisques opérationnels et contrôles
PermanentsPermanents » concluait :» concluait :
Composer les deux pour faire ressortir la valeur ajoutée de chacun
des éléments
Vers la gestion intégrée des risques
Des réponses aux problémantiques classiques tant des services de gestion des
risques opérationnels que des fonctions de contrôle
5
Vers les méthodes avancées
L’esprit même des méthodes avancées : démontrer un niveau de maîtrise
supérieur justifiant une réduction des exigences de fonds propres
● Développer l’activité
● Développer le professionnalisme
● Une réelle approche qualité
Un autre niveau d’exigence
● De nouveaux rythmes
● De nouvelles exigences
● Une pression accrue sur la documentation
6. Des obligations réglementaires ?
Ne doit-on agir qu’à raison d’une contrainte réglementaire ?
Une tendance lourde :
Filière Risques depuis la révision du CRBF 97-02 en 2010.
Approches ERM (DNB)
Pilotage par les tableaux de bords et stress scenarii (EBA)
Qui traduit une volonté des Superviseurs
Mais pas une obligation réglementaire :
6
Mais pas une obligation réglementaire :
Rappel : « Etonnement » de Mme Nouy
Plusieurs méthodes offertes
Pour chaque méthode des contraintes et un niveau d’ambition
7. Des ambitions d’entreprise
Economies de Fonds Propres :
Bâle II exigent des établissements financiers une couverture adéquate de leurs
risques opérationnels par l’immobilisation de fonds propres et l’application de
bonnes pratiques de gestion des risques opérationnels bancaires
Le montant immobilisé est calculé selon une méthode « standard » ou dite
« avancée » (AMA), cette dernière se caractérisant par un montant de fonds
propres immobilisés inférieur à la méthode standard
Passer de la méthode standard à la méthode avancée est susceptible de
permettre une économie substantielle de fonds propres immobilisés. Celà
nécessite d’apporter la preuve d’une réelle maîtrise des risques opérationnels.
7
nécessite d’apporter la preuve d’une réelle maîtrise des risques opérationnels.
Effet d’image :
Professionnalisme des activités d’un groupe du secteur financier. Augmenter la
confiance des clients.
Exposition limitée, cernée et suivie à des risques de pertes opérationnelles.
Faire partie du « club ».
Elément de valorisation (présence ou accès aux marchés)
8. Des ambitions professionnelles
Le passage à une méthode « avancée » doit permettre de :
Partager un même langage processus/risques permettant une meilleure
appréhension des risques
Articuler les démarches et actions des différents acteurs de la gestion des risques
(Risk managers, contrôleurs, compliance officers, juristes, auditeurs, …).
Fédérer les entités autour d’une approche partagée de gestion des risques
opérationnels. Répondre aux demandes des régulateurs, en matière
d’appropriation de la culture risque par les collaborateurs et de synthèse risques.
Sécuriser les résultats en limitant les événements de risques opérationnels
générateurs de pertes nettes
8
Améliorer la rentabilité des entités en identifiant les processus « à risque »,
optimisant leur dispositif de contrôle et conduisant à des actions nécessaires à
leur mise sous contrôle.
L’adoption d’un outil intégré de gestion des risques :
Faciliter les prises de décisions à caractère économique.
Garantir une meilleure cohérence des différentes étapes du processus de
gestion des risques (prise en compte des incidents et évolutions dans les
ajustements de plans de contrôle, …).
Eviter nombre de ressaisies et de rapprochements.
9. AMA intégrant une approche par
processus à valeur ajoutée
Cibler les risques et les contrôles
● Localiser les risques dans les processus avec les métiers
● Identifier les enjeux, incidents, …
● Hiérarchiser les risques et partager les priorités
● Définir les contrôles adaptés
● Mettre en œuvre effectivement les contrôles jugés nécessaires faces aux risques jugés prioritaires.
● Rationaliser / rapprocher les contrôles des risques et des impacts mesurables.
● Piloter dans la durée l’identification des risques, leur hiérarchisation et l’adaptation des plans de contrôle
Mieux articuler les étapes de la gestion des risques
● Parler le même langage : une terminologie « risques » (taxonomie)
● Parler de la même chose : une approche processus gérée par la DOI retenue pour le chantier « Customer Excellence »
● Parler aux bons interlocuteurs : nouveaux rôles (signataire, pilote, expert métier, gestion de projet), unités opérationnelles
9
● Parler de la même chose : une approche processus gérée par la DOI retenue pour le chantier « Customer Excellence »
● Parler aux bons interlocuteurs : nouveaux rôles (signataire, pilote, expert métier, gestion de projet), unités opérationnelles
● Rationaliser le timing et les points clés de la gestion des risques : un nouveau cycle annuel
● Choisir une clé commune pour « faire parler » les systèmes et approches : « l’événement de risque générique »
● Mettre à jour toutes les procédures du « nouveau » processus de gestion des risques
● Définir une méthode commune de mesure et de hiérarchisation des problèmes : la cotation des risques opérationnels
Tirer plus efficacement les enseignements des incidents et Fournir un
volet risques plus pertinent et plus intégré
● Améliorer la définition, l’identification, l’enregistrement des incidents
● Rapprocher systématiquement les incidents recensés avec les « événements de risque génériques ».
● Mettre à jour les indicateurs et tableaux de bord de pilotage
● Organiser l’analyse de la nature et de la fréquence des incidents pour les éviter à l’avenir s’il y a un gain suffisant à la clé
● Améliorer l’efficacité de la boucle de correction (mise à jour des procédures, systèmes, formations, contrôles, …).
10. En résumé : les enjeux
FinancierFinancier :
Bale II - méthode AMA, et (sur) coût en
capital : faire la démonstration de la maîtrise
effective des risques par des contrôles réels,
tangibles et efficaces.
RéglementairesRéglementaires :
Responsabilité des métiers de s'approprier
leurs risques (3 LoD) en phase avec les
objectifs stratégiques et principes d’action du
Groupe : Rassurer le superviseur.
AMA
10
Amélioration des processusAmélioration des processus :
Efficacité – coefficient d’exploitation
Capacités de traitement
Nouveaux produits
…
QualitéQualité :
Efficacité des Front Offices
Intégration des ambitions de développement,
des contraintes réglementaires et d’un appétit
modéré pour le risque.
Business
11. Comment articuler un projet AMA et la gestion courante des
11
Comment articuler un projet AMA et la gestion courante des
RO ... et plus globalement des risques ?
12. Les volets AMA à déployer …
SRA RCSA ELCA CRA
12
SA MC&T REM KRI
IMAT
Risk
Awareness
MSA Risk Report
13. …En parallèle de la gestion classique
des risques
Familles de risques
Risques
Evénements de risques
Unités opérationnelles
Responsables
Contrôleurs
Procédures
Recommandations
Processus
Sous processus
Procédures
Responsables
Organisation
Procédures
Contrôles de
1er niveau
Management
Charte du dispositif
Support Direction
Fiches de postes
Formation
Evaluation
13
Evénements de risques
Quantification incidents
Outils de Contrôle
Opérations
Analyse
des risques
Procédures
Systèmes
Contrôles de 2nd niveau
Reporting
Recommandations
Et suivis
Management
Centralisation et
Contrôle des
procédures
Plan
Incidents
Règles de fonctionnement
Grille de qualification
Audit Constat Gravité
UO Actions Priorité
Calage des ambitions
Livrables concrets
Modalités de clôture
Lien risques/ incidents
/ processus / contrôles
Pilotage limites,
Expositions
dépassements
14. … dégageant la nécessité d’une
véritable culture de risque
Les trois lignes de défense
Le métier
Les contrôleurs de second niveau
L’audit interne
Les questions
L’appropriation de la démarche de gestion intégrant les risques par les métiers
L’organisation des rôles et méthodes au sein du second niveau
La place de l’audit interne
14
Les pistes de conduite du changement
Identifier des responsables et être clair avec eux
Former à la gestion des risques et au contrôles
Manifester explicitement l’importance de la démarche pour l’établissement
Animer le dispositif
Equiper / assister les acteurs
Rythmer la montée en puissance en modulant les exigences dans le temps
15. Un projet complexe
Gestion des
risques
opérationnels
Revue annuelle des
risques
Surveillance des
risques
Evolution
méthodologies
Calage des
référentiels
Accompagnement
de l’appropriation
de la gestion des
risques par les
métiers
Adaptation des
rôles, cycles et des
structures
15
Migration
Spécification, choix
et mise en place
du projet
Mise en œuvre Gestion intérimaire
Go live et
accompagnement
16. Un timing complexe
Gestion courante des risques
opérationnels
Revue
annuelle des Surveillance des risques
16
annuelle des
risques
Mise à jour des
méthodologies et
taxonomies.
Identification des
impacts dans le
modèle
(alignements) et
hors (habitudes)
Activation des
modules de
synthèse / revue
du cadre
d’analyse
Surveillance des risques
Activation des
modules
événementiels
(incidents,
novations, recos,
…)
Contrôle du
dispositif. Mise en
forme des plans
de contrôle,
chargement des
cadres d’analyse,
initialisation et
chargements.
Reportings. Bases,
cycles et
documentation
de l’exploitation
des résultats de la
surveillance des
risques.
18. DECEMBRE
… vers un plan de migration
JANV FEV JUIN AOÛT OCT DEC
Méthodologie RCSA
– scope hors AMA
Méthodologie RCSA
– scope AMA
RCSA 2014
MARS AVRIL MAI JUIL SEPT NOV
QA RCSA 2013
Production de l’ELCA
Définition des rôles et accès dans Formations 2nde LOD et 1ère LOD
Monitoring Testing
Alignement des BPC et de
TRAC avec les RCSA
2013
Alignement des risques et de la structure des contrôles RCSA
Rating
Monitoring
Alignement des risques et de la structure des contrôles non AMA (ateliers
RCSA 2013) et complément descriptif éventuel
Généralisation formation
Monitoring
Testing
Définition des pré-requis à la
migration, plan de migration
Bases LoNo
conservées pour le
stock, et pour N-
Vie
18
AGRC
Pilote sur l’intégration dans
AGRC d’un RCSA
un fonctionnement BAU prioritaires
Chargement de la structure
organisationnelle du
Conglomérat
Protocole de
passage dans
AGRC
Tests de charge
Validation CODIR
RCSA 2013
Go Live RCSA et
MC&T dans
AGRC
Envoi du framework RCSA Envoi du framework MC&T
Bascules IMAT &
REM
GO/NO GO sur
chargement
automatique
Envoi des résultats MC&T
Envoi des
frameworks non
AMA
Généralisation formation
Intégration dans AGRC de tous les plans de contrôle
complets
Option : Saisie dans AGRC de tous les plans de contrôle
complets
Accompagnement des métiers au quotidien
migration, plan de migration
outil
Scenarii de reprise des données
historiques
Go/NO GO sur
décommissionnement BPC
Utilisation AGRC au quotidien
Bilan de projet
AGRC
Etapes clé
19. Les composantes
Panorama des tâches
Lister les exigences et exercices requis
Préciser les calendriers, dates cibles, …
Revoir les outils existants et les conditions de « décommissionnement »
Apprécier le degré de centralisation / délégation
Que doit faire l’équipe projet ? Que doivent faire les acteurs métiers ?
Quelles compétences sont requises pour chaque exercice ? Sont-elles
disponibles ?
19
Investiguer les automatisations envisageables. Prévoir des solutions de
contournement.
Identifier et responsabiliser les acteurs
Quels partenaires ? Qui décide ? Qui sait ? Qui fait ?
Expliciter les attentes / responsabilités / livrables et planning et formaliser.
Communication
Annoncer – donner de la visibilité – jalonner
Distinguer les populations et se doter des modes de communication appropriés
21. La gestion de projet
Qui fait quoi ?
De la définition de la cible a celle du plan de migration
La complexité de l’appropriation des risques par les métiers
Que faire du passé et de l’avenir ?
Gestion des pratiques déjà établies et des historiques de données
Articulation des ambitions parfois différentes
Gestion du projet sur un périmètre qui ne présente pas la même maturité
Quid des entités « atypiques »
21
Quelle cible réaliste et suffisante ?
Un projet pour les bonnes motivations ?
Le minimum nécessaire pour satisfaire les exigences des superviseurs
La non régression et les contraintes du projet.
Gérer les difficultés au quotidien
Non livraison ou retard
La communication et le rejet du changement
23. La méthode ?
Le modèle
Le cœur du dispositif pour le superviseur : 80% des échanges
Le cycle de gestion des risques
Une évidence … pour qui ?
La cotation des risques
Partager une vision commune des risques
Décliner concrètement l’appétit pour le risque
23
Décliner concrètement l’appétit pour le risque
Définir des seuils financiers pertinents localement et globalement
Evaluer les risques non financiers