ANALYSE D'UNE Démarche de Cartographie Du Risque

CE SAG
t:t:."'ITREAFR I CAIN l)'ETUDt:.'S SUPERIEU RES .:/'1'
.4'.~~
M..\.'STI:lH; EN Il ,\NQI IE
Gt:sTIO",'
t:T ..1NM~n; M,\ ...-n:H I ~ '''' 'K ING ,\ '\Il F''''IANn:
1....\ BANQUt; ln; nt"Nn~
t:URosvsn :ME
4me PROMOTION: 20042005
MEMOIRE DE fiN DE CYClE

T"I.I ~
ANALYSE D'UNE .c................ CARTOGRAPHIE DES RISQv.&:J1J OPERATIONNELS DANS LE BANCAIRE: LE CAS DE .,,c.,.~ QUE DE FRANCE
J J . l U H ...
& .
Sous la Direction
d~
Prsent par:
M. Moussa YAZI,
Directeur adjoint d e l'inslitut Suprieur de Comptabilit
du CESAG;
Attouo Rgina Emma MOHAMED
Avec la collaboration de:
M0103MBF06
111111111111111111111111111
2========::!J
M. Ousmane SOW, Ex:pert Comptable es MORISSON, Responsable du Ple Afrique Sub-saharienne de l'IBFI
Jlnafyse aune marcne e cartoorapnie es risquesoprationneCs ans t omaine 6ancaire: t cas d anque e !France
r
P.nsuite:
DEDICACES
:Nous aions Ce prsent mmoire d fin d cycCe :

)1 (J)1P.V terne{et tout puissant, par qui,
nous awns toujours o6tenu, toute grce et tout
men.
Il
Jl notre (]!re, :Monsieur :M01(Jl:MP'(J) Cliarfes, qui a soutenu tant financirement que
moraCement, notre parcours inte{[ectue{jusqu' ce niveau;
Il
Jl notre mre, :Madame :MCY.J{)I:MP'(J) )ltfrienne, qui est notre force d vaincre ans
toutes nos entreprises;
Il
Jl notre frre et nos surs, 16raliim, tJ(pinul., Carone et Clifiatou, que nous aimons
ae tout notre cur.
Il
Jl nos amis, fltlianase, rice, fandine et Serge-)tutf'rey

gaCement ans notre cur.
tJ!E)I, nous vous portons
Le chemin de fa russite, c'est nous de fe constntire, nous construirons, 6ien entenau,

fe ntre.
CI) )fttouo qqOftullEmma :M01f)f!MlE(]), 4
me promotion
u :Mastre en <Banque et Pitulnce, (JES)f
ftnaljse une marclie e cartographie es risques oprationnelS d'ans Ce omaine 6ancaire: Ce cas e anque e Prance ~
rREMERCIEMENTS
Ce travail de recherche, n'aurait pu tre men bien sans le soutien de personnes, qui, de prs ou de loin, ont aid son laboration. Nous tenons donc remercier: ".. Monsieur Gilles MORISSON, Responsable du Ple Afrique sub-saharienne, de l'Institut Bancaire et Financier International de la Banque de France, pour son encadrement tout au long de notre stage et pour ses conseils lors de la rdaction de notre mmoire. ".. Monsieur Moussa YAZI, Responsabe du programme Audit et Contrle de Gestion et Directeur Adjoint de l'Institut Suprieur de Comptabilit, pour avoir accepter de nous encadrer de manire rigoureuse et efficace, et de ce fait, d'associer son nom cette uvre intellectuelle. ".. Monsieur Ousmane SOW, Expert Comptable, Professeur d'Audit Bancaire, pour avoir galement encadr ce travail de recherche en apportant ses conseils inestimables dans le but de son amlioration. ".. Messieurs Roger ATINDEHOU et Boubakar BAIDARI, respectivement, ancien et nouveau Chef de projet du Mastre en Banque et Finance du CESAG, pour leur soutien acadmique lors du droulement des cours thoriques. ".. Monsieur Grard BEDUNEAU, Directeur de l'Institut Bancaire et Financier International de la Banque de France, pour nous avoir accept en stage, pour la rdaction de ce mmoire. ".. Tout le personnel de la Banque de France, et plus particulirement, de l'Institut Bancaire et Financier International (lB FI), pour leur amabilit lors de notre stage et pour les informations utiles la rdaction de ce mmoire. ".. Le corps professoral du CESAG, pour les enseignements et les services multiples dont nous avons pu bnficier tout au long de notre formation. ".. Enfin, les Mastriens de la 4me promotion du Mastre en Banque et Finance, pour les perptuels encouragements et les moments inoubliables passs ensemble.
(lI) ;4ttouo tJ<jgUl P.mma !MCXJ{;4!MPlD, 4"- promotion au !Mastre en anque et Pi1UtTla, CPS;4C}
ii
)fTllllyse d'une J."marche Ife cartographie Iles rispus oprationnels dans Ce Iomaine 6ancaire : Ce cas Ife !Banque ae fFrance
r
3CI:
AMA:
AMARIS:
SIGLES ET ABREVIATIONS
Comit de Coordination et du Contrle Interne Advanced Measurement Approach Approche pour la MAtrise des RISques Association pour le Management des Risques et des Assurances de l'Entreprise Banque Centrale Nationale Banque de France Based Indicators Approach Compagnie Nationale des Commissaires aux Comptes Criteria of Control Board Committee Of Sponsoring Organisation Entreprise Risk Management Groupe Consultatif d'Assistance aux Pauvres Institut Franais des Auditeurs et Consultants Internes Institute of Internal Auditors Ple Risques : Assistance l'Analyse et Consolidation Questionnaire de Contrle Interne Risk Manager Systme Europen des Banques Centrales Systme d'Infonnation sur les RISques Secrtariat du Conseil du Trsor Tableau des Forces et faiblesses Apparentes Standard Approach
AMRAE:
BCN: BDF: BIA; CNCC: COCO: COSO: ERM: GCAP: IFACI:

liA:
PRAAC:
QCI: RM: SEBC: SI RIS : STC: TFfa: TSA:
ru
}l.ttouo
~8ina 'Emma :MCY.J{}I.:M'ECD, 41ste promotion du :Mastre en anque et Pinance, (YES}I.(]
iii
)f.nafyse tf'une amarelie ae cartograpliie d'es risques oprationnefs d'ans Ce d'omaine 6ancaire: Ce cas d'e iBanque d'e Prance
r
1-
TABLEAUX ET FIGURES
Liste des tableaux:

19
Tableau 1 : tableau synoptique des composants du risque oprationnel Tableau 2: synthse des diffrentes approches mthodologiques pour la cartographie des risques Tableau 3 : les activits et Mtiers de la Banque de France Tableau 4 : les diffrents types de processus de la Banque de France Tableau 5 : chelle commune de scoring du taux de dfaillance Tableau 6: chelle de cotation des facteurs de vulnrabilit Tableau 7: chelle d'valuation de la probabilit du risque oprationnel Tableau 8 : chelle d'valuation de l'impact financier du risque oprationnel Tableau 9: chelle d'valuation de l'impact image Tableau 10 : chelle d'valuation de la pertinence du contrle interne Tableau Il : chelle d'valaution de l'efficacit du contrle interne Tableau 12 : modle-type de plan d'action Tableau 13 : comparaison entre notre rfrentiel et la dmarche AMARIS Tableau 14 : bilan du cadre mthodologique AMARIS Tableau 15 : bilan de l'enchanement des tapes de la dmarche AMARIS Tableau 16 : bilan dtaill de chacune des tapes de la dmarche AMARIS Tableau 17 : bilan des supports de la dmarche AMARIS Tableau 18 : tableau des forces et faiblesses apparentes Tableau 19 : proposition d'chelle d'valuation de l'efficience du Contrle interne Tableau 20 : proposition d'chelle pour l'valuation globale du contrle interne Tableau 21 : proposition de fiche descriptive modifie des plans d'action Tableau 22: stratgie de gestion continue du risque
33 57 62 68
69 69
70 71
73
74
76
87
97 98 99 102 107
109 109 113 114
Of) J(ttouo tJUgina 'Em11Ul :M(YJ{J(:M'Et]), ~ prcmwtion du :Mastre en anque et Pina1la, (}ESJ(j
iv
;tnaljse 'une aemardie canograpnie aes risques oprationnefs tians le aomaine 6ancaire: le cas (Banque ae Prance
11-
Liste des figures

16 38 46
Figure 1 : proposition d'une taxinomie des risques bancaires Figure 2 : notre dmarche rfrentielle de cartographie des risques oprationnels Figure 3 : la matrice d'analyse des lacunes Figure 4 : la matrice des risques Figure 5 : les tapes de la dmarche AMARIS Figure 6 : la matrice des risques oprationnels rsiduels Figure 7: les concepts du systme d'information sur les risques Figure 8 : adaptation de la matrice d'analyse des lacunes au contexte de la Banque de France Figure 9 : proposition de modification de la matrice des risques oprationnels
47
61 75 83
III
112
(lI) )f.ttouo ~9ina P.mma :MOJf}I!Mp'(j), 4
me
promotion
au :Mastre en attlJUe et Pina1la, (!ES)f.(}
)lnalyse l'une amarcne Ife cartograpnie tfes risques oprationnelS tians t lumlaine 6ancaire: t cas Ife anque Ife Prance
r
Ddicaces Remerciements Sigles et abrviations Tableaux et figures Sommaire Codification de la bibliographie Avant-propos Rsum Abstract
SOMMAIRE
i ii
iii iv vi x xi xii
xviii
INTRODUCTION GENERALE
PARTIE 1: CADRE THEORIQUE DE L'ETUDE Introduction Chaptre 1- La spcificit des risques oprationnels dans le domaine bancaire
8
9
10
10
1.1-
La notion de risque bancaire
1.2-
La taxinomie des risques majeurs de l'activit bancaire
11 11 12 12
14
1.2.1- Dfinition 1.2.2- Le risque stratgique 1.2.3- Les risques gnraux de l'activit bancaire 1.2.4- Les risques transversaux de l'activit bancaire 1.2.5- Les autres risques bancaires 1.2.6- Proposition de taxinomie des risques bancaires
15 15
1.3-
Les spcificits du risque oprationnel bancaire 1.3.1- Le risque oprationnel et Ble II
16 16
Q) )fttouo CRigitul 'Emma ~aJ{}1!M'Eq), 4
me
promotion
au ~astre en anque et Pitulnce, (!FS)f]
vi
flna(yse l'une amarche e cartographie aes risques oprationneCs flans te aomaine 6ancaire : Ce cas ae anque ae !France
1.3.2- Les composantes gnrales du risque oprationnel bancaire 1.3.3- Les dimensions du risque oprationnel bancaire 1.3.4- La gestion du risque oprationnel dans une banque
18
20 21
Chapitre D Mise en uvre d'une dmarche rfrentielle de cartographie des risques dans le domaine bancaire 2.1- .... Le concept de cartographie des risques 2.1.1- Dfinition 2.1.2- Les motivations de l'laboration d'une cartographie des risques 2.1.3- Les facteurs cls de succs d'une cartographie des risques 2.1.4- Les facteurs de spcificit d'une dmarche de cartographie des risques
23
23 23 25 27 29
2.2- Proposition d'un rfrentiel en matire de cartographie des risques 2.2.1- Mthodologie de collecte et d'analyse des donnes 2.2.2- Notre dmarche rfrentielle
31 31 37
2.3-
Les diffrentes tapes de notre rfrentiel de dmarche de cartographie des risques 2.3.1- Le cadre mthodologique 2.3.2- Explication des diffrentes tapes de notre rfrentiel
39 39
40
Conclusion
52
PARTIE D : ANALYSE CRITIQUE DE LA DEMARCHE DE CARTOGRAPHIE DES RISQUES OPERATIONNELS DE LA BANQUE DE France Introduction Chapitre DI- Prsentation de la Banque de France et de sa dmarche de cartographie des risques oprationnels 55 53 54
3.1-
Prsentation gnrale de la Banque de France 3.1.1- Historique et volution de la Banque de France 3.1.2- L'organisation gnrale de la Banque de France
55 55
56
)lttouo
~9ina P.mma fMQJ{)lfMP.(]), 4rrte promotion du fMastre en anque et Pinance, (]FS)l
vii
Jf1UJJyse 'une amarche ae cartographie aes risques oprationneCs tians Ce aomaine 6ancaire : Ce cas ae CJ3anque ae CEranee
3.2-
Prsentation gnrale de la dmarche de cartographie des risques oprationnels de la Banque de France: AMARIS 3.2.1- Contexte, dfinition et objectifs 3.2.2- Primtre couvert par la dmarche 3.2.3- Les principes fondamentaux de la dmarche AMARIS 3.2.4- Les acteurs du dispositif AMARIS 58 58 59 59 60
3.3-
Les tapes de la dmarche AMARIS 3.3.1- La description des processus du mtier: cartographie des processus 3.3.2- L'identiflcation et l'valuation des risques inhrents 3.3.3- L'identification et l'valuation des contrles internes existants 3.3.4- L'valuation des risques oprationnels rsiduels 3.3.5- La dfinition des plans d'action pour amliorer la matrise des risques 3.3.5- Le reporting consolid ou cartographie globale des risques oprationnels de la banque 3.3.6- L'actualialisation de la cartographie
61 61 65 72 74 75
76 78
3.4-
Les supports de la dmarche AMARIS 3.4.1- Le recensement des incidents oprationnels 3..4.2- Le sysrtme d'information sur les risques oprationnels
80 80 82
Chapitre IV- Analyse critique de la dmarche de cartographie des risques oprationnels de la Banque de France
4.1L'analyse de la dmarche AMARIS 4.1.1- L'analyse du cadre mthodologique de la dmarche AMARIS 4.1.2- L'analyse du processus de cartographie des risques AMARIS 4.1.3- L'analyse des tapes de la dmarche AMARIS 4.1.4- L'analyse des supports de la dmarche AMARIS
84
84 84 86 88 95
4.2-
Le bilan de la dmarche AMARIS 4.2.1- Tableau 14 : le bilan du cadre mthodologique AMARIS 4.2.2- Tableau 15 : le bilan de l'enchanement des tapes de la dmarche AMARIS
96 97 98
(lI} ;fttouo IRJgina P.mma !M0'J{}f!MP.(]), iJme promotion au !Mastre en (}Janque et Pinance, C!FS;f(j
viii
)I~se (['une tflmardie d
cartograpliie tfes risques oprationnefs tians Ce tfomaine 6ancaire: Ce cas tfe anque d Prance
4.2.3- Tableau 16 : le bilan dtaill de chacune des tapes de la dmarche AMARIS 4.2.4- Tableau 17 : le bilan des supports de la dmarche AMARIS
99 102
4.3-
Recommandation pour l'enrichissement de la dmarche AMARIS 4.3.1- Recommandations sur la forme 4.3.2- Recommandations concernant le contenu de chaque tape
104 104 105
Conclusion
115
CONCLUSION GENERALE ANNEXES BIBLIOGRAPHIE
116
1
XXV
)lttouo tJ(iglll P,mma 'M()'}{)J!MP,(]), 4* promotion u 'Mastre en anque et Piru:mce, CPS)l
jlnaJjse 'une dimarclie rie cartofJrapliie les risques opratwnners ans re lomaine 6ancaire : re cas le alUJue le lf'rance
rCODIFICATION DE LA BIBLIOGRAPHIE
La totalit de la bibliographie figure la fin du mmoire. Cependant, en ce qui concerne les citations d'auteurs l'intrieur du mmoire, une codification sera adopte par nous. Il convient donc de la rsumer comme suit:
=> Les auteurs peuvent tre cits en note de bas de page; auquel cas, la rfrence complte du
document est totalement inscrite dans cette note.
=> Les auteurs peuvent galement tre cits, l'intrieur d'un texte. Dans ce cas, la rfrence se
psentera comme suit: nom de l'auteur (anne d'dition: page du document). Exemple: FAUTRAT (2002 :3) signifie un crit de Michel Fautrat dit en 2002 (et qu'il est possible de trouver au sien de la liste bibliographique). La citation peut tre retrouve la page 3
de cet crit.
=> Nous pourrons, en outre, reformuler certaines citations; auquel cas, nous ne mettrons pas de
guillemets. Cependant, si nous les crivons textuellement, nous utiliserons des guillemets.
(lI) Jf,ttouo 'RiOina CEmnut :MO'J{Jf,:MPlD, 4
me promotion
au :Mastre en <Banque et Pi1l4nce, (JESJf,(j
jfnafyse aune imarcne d cartograpnie ds risques oprationnefs dans ft d"omaine 6ancaire : ft cas d anque d Prance
r AVANT-PROPOS
Le ::Mastre en anque et Pinance (::MP) a t initi par ra anque CentraCe des tats de {'flfrique de {'Ouest (0EflO), ra anque des tats e {'flfrique CentraCe (flC), ra anque e Prance (WP), {'flgence ancaire, {'Vnion uropenne (VE), ra anque ::MoniaCe, Ce ::Ministre Pranais des )lffaires tranores, ra Pondation pour Ce <J{nforcement es Capacits en flfrique ()lOBP), en co{{a6oration avec Ce Centre flfricain d'tues Suprieures en Jestion ((}ESflJ).
Ce dipwme est Ce ftuit des nom6reuses rj{eJ(jons menes sur Ce tfvefoppement u secteur 6ancaire et financier en flfrique. n effet, {'flfrique est entrane ans un vaste mouvement international' de rgfementation e ra splire 6ancaire et financire. La concurrence entre 6anques s'eXflCer6e u fait de ra sintenniation croissante des financements et des pfacements fie {'mergence e ra finance de march. <Par ai{feurs, Ce secteur 6ancaire et financier africain dOit, en outre, s'aCigner sur Ces nonnes intemationaCes en matire d'atfquation de foruls propres (au.:( risques 6ancaires), de ContrCe 1nteme, de ContrCe de Jestion et e 60nne gouvernance.
Le ::MP a onc pour o6jectif de rponre au 6esoin croissant e fonnation 6ancaire et financire de liaut niveau en flfrique. Ce programme professionneC 6ilinoue (Pranais - flngrais) d'tues post-universitaires, a pour vocation e former Ces calires des ta6fissements financiers et es entreprises u secteur priv et pu6Cique, au.:( tecliniques avances e ra anque et e ra Pinance. If prpare onc {'ensem6Ce es mtiers lis ra finance
cfe
marcli, qu'e{fe soit e anque ou d'entreprise, ra gestion et ra matrise des risques
6ancaires et financiers.
flprs avoir acliev notre fonnation tliorique au !M.(BP en option
gestion 6ancaire et matrise es risques,
notre stage ra anque de Prance, nous a pennis de vefopper notre connaissance u risque oprationnel :Nous nous sommes, en effet, intress {'outif e cartograpliie des risques, e pfus en pfus utilis ans {'inustrie 6ancaire. Ce d'ocument est d'onc Ce ftuit e nos rj{eJ(jons sur {'enrichissement d'une marclie de cartograpliie es risques oprationneCs ans une 6anque centraCe : ra anque cfe Prance. :Nous 'VOus en sou/iaitons &mne fecture.
CI} Jfttouo <J<jgina mma 5M(Y.}{Jf5M<D, 4
me promotion
tEu 5Mastre en anliuc et Pinance, CFSJffj
x;j
}f.nafyse une dmarche d canooraphie ds risques qprationnefs dns Ce domaine 6ancaire : Ce cas d (Banque d /france
.~
Rsum
Nous nous sommes proposs, dans le cadre de notre mmoire de fin de cycle, de faire une analyse critique d'une dmarche de cartographie des risques oprationnels dans une Banque Centrale. Nos objectifs taient, en premier lieu, de nous approprier les concepts trs actuels, de risques oprationnels bancaires et de cartographie des risques. En second lieu, nous souhaitions, au travers d'une dmarche rfrentielle, tablie par nous et inspire des meilleures pratiques en matire de cartographie des risques, dresser un bilan de la dmarche de cartographie des risques oprationnels de la Banque de France, afin de faire des suggestions susceptibles de l'enrichir.
Nous avons donc opt pour le thme suivant: Analyse d'une dmarche de cartographie des
risques oprationnels dans le domaine bancaire: le cas de la Banque de France .
Le risque oprationnel n'est pas nouveau pour l'industrie bancaire. En effet, ce risque est l'un des plus vieux concernant l'un des mtiers les plus anciens (POULIOT & al, 2002 : 35). Cependant, les nombreux scandales dus la mauvaise gestion de ce risque, la globalisation, la gestion en temps rel et la sophistication des marchs, ont exacerb la ncessit de la mise en uvre d'une plate forme pour sa gestion.
A cet effet, le Comit de Ble, a dit des pratiques saines pour la gestion du risque oprationnel et a propos la constitution de fonds propres, par les tablissements de crdit, pour sa couverture. Le nouveau ratio de solvabilit (Ble II), qui est la matrialisation de toutes les innovations en matire de gestion du risque oprationnel, entrera en vigueur en fin 2006.
La premire phase de toute dmarche actuelle de suivi et de gestion des risques oprationnels consiste dans la dlimitation prcise du primtre de ce risque, commune et applicable l'ensemble des tablissements de crdit.
Comment donc, dfinir le risque oprationnel?
Notre approche est de faire ressortir la fois l'aspect positif et ngatif du risque oprationnel. Selon nous, le risque oprationnel, peut se dfinir comme, une menace rsultant d'une inadquation ou
Cf} )fttouo 'RigiTUl fEmma ~()'J{)t~fE(]), 4
me promotion
du ~astre en <Banque et PiTUlnce,
(YES)f
q xii
;tnafyse rf'Utl$ aimarclie ae cartograpliie aes risques oprationnelS dns le aomaitl$ 6ancaire : le cas ae anque ae Prance
d'une dfaillance attribuable des procdures, personnel, systme internes, ou rsultant d'vnements extrieurs (dfinition donne par le Comit de Ble) ; et pouvant reprsenter, un niveau cible, une occasion de saisie d'opportunits ou de cration de valeur.
Le risque oprationnel fait, en effet, partie intgrante des processus de conception, de production, de distribution et de traitement des produits et services bancaires et para bancaires (COUCHOUD, 2004: 49).
Sur la base de cette dfinition du risque oprationnel, on peut donc, en faire ressortir quatre sources principales :
II-
une dfailhmce due aux processus (risque des processus, risque d'interruption d'activit, risque comptable, risque de blanchiment);
II-
une dfaillance due aux personnes (risques de fraude, d'thique, risque dontologique, risque de mauvaise gestion du personnel) ;
IIII-
une dfaillance due aux systmes (risque informatique et des systmes d'information) ; et une dfaillance lie aux vnements extrieurs (risque juridique, risque rglementaire, risque clients, produits et pratiques commerciales, risques de dommage aux actifs corporels).
Cependant, le caractre diffus et endogne du risque oprationnel pose le problme de la mise en uvre d'outils performants destins sa gestion. A cet effet, un texte du Comit de Ble de juillet 2002 (LECLERC, 2003 : 6), prsente l'outil de cartographie des risques comme faisant partie des pratiques saines de gestion de ce risque.
Qu'entend t-on par cartographie des risques?
La cartographie des risques est la fois un outil de gestion des risques, d'allocation optimale des ressources et de communication, permettant d'identifier, d'valuer, de comparer et de matriser (plans d'action et contrles internes) les risques d'une organisation (INGRAM, 2004 : 1 ; SONIGO
& al, 2004 : 4 ; BELLUZ, 2002 : 6 ; RENARD, 2004 : 148).
Selon nous, la dmarche optimale de cartographie des risques adopter pour une banque est compose de huit phases:
jlnaJjse ti'um marclie e carto{}rapliie es risques oprationnefs ans le dOmaine 6ancaire: le cas e anque e !france ~
a. Une phase de dfinition du contexte de l'tude. b. Une phase de prparation compose des tapes suivantes: aconception de la dmarche ; tlet essai sur une entit pilote. c. Une phase de planification compose des tapes suivantes:
Il
identification et analyse des risques inhrents;
a valuation et hirarchisation des risques inhrents ;

tI
identification et valuation des contrles internes existants ; valuation et priorisation des risques rsiduels; et tablissement de la matrice des risques.
Il Il
d. Une phase de dfinition et de mise en uvre des plans d'action. e. Une phase de premier reporting au Management de la banque.
f. Une phase d'valuation de la mise en uvre des plans d'action.
g. Une phase de gestion des incidents. h. Et une phase d'actualisation.
Nous tenons prciser que la catgorie de risques cartographier n'est pas un dterminant de la dmarche adopter. En effet, elle ne modifie que le profil de risques, mais le processus en luimme reste pratiquement le mme, qu'on soit dans le cas de risque de crdit, oprationnels ou de march.
Nous sommes, en outre, bien entendu, conscients qu'il n'existe, ni une dmarche standard, ni une dmarche idale en matire de cartographie des risques. Notre dmarche rfrentielle a donc, l'ambition de se rapprocher de l'idal en matire de cartographie des risques, et d'tre adaptable tout type de banque.
Toute dmarche de cartographie doit pouvoir s'ancrer dans l'histoire, le prsent, la culture et l'environnement de l'organisation pour laquelle elle est constitue. C'est dans cet esprit que la Banque de France, par le biais de son Comit de risques (le PRAAC), a mis en uvre sa dmarche de cartographie des risques oprationnels: Approche pour la MAtrise des RISques (AMARIS), impliquant la participation de toute la banque. Cette dmarche sept tapes peut tre rsume comme suit :
Jfttouo 'ii1Jina 'Emma :MO'Hjf!M'E(]), P
promotion au :Mastre en tBanque et Pinance, crFSJfq
ftnafyse aune limarclie lie cartograpliie lies risques oprationnefs tians Ce liomaine 6ancaire : Ce cas lie anque lie (j'rance
a. La cartographie des processus de chaque mtier de la banque. b. L'identification et l'valuation des risques oprationnels inhrents. c. L'identification et l'valuation des contrles internes existants. d. L'valuation des risques rsiduels. e. Le reporting consolid ;
f.
La dfinition des plans d'actions
g. Et l'actualisation de la cartographie.
L'ensemble du processus est support par un systme de gestion d'incidents oprationnels et un systme d'information sur les risques (SIRIS).
Aucune dmarche de cartographie des risques n'est parfaite en sois. Mme si la dmarche AMARIS est assez complte, nous avons pu, par rapprochement avec notre dmarche rfrentielle, en dresser un bilan en terme de forces et de faiblesses.
Sur la base des insuffisances constates, nous avons donc fait les recommandations suivantes, visant l'enrichissement de cette dmarche de matrise des risques oprationnels bancaires :
II-
Recommandations de forme: nous avons propos une prsentation de la dmarche AMARIS sous forme d'tapes rapproches au sein de phases (cf. annexe 17, page XXII). Cette modification de prsentation de la dmarche, implique la formulation des phases de dfinition du cadre de rfrence, de prparation et de vrification de la mise en uvre des plans d'action. Nous avons, en outre suggr, une prsentation de l'tablissement de la matrice des risques et de la gestion des incidents, comme tapes part entire du processus AMARIS. Enfm, nous avons recommand, le positionnement de l'tape de reporting consolid la suite de celle de dfinition des plans d'action.
II-
Recommandations de fond: ces recommandations concernent essentiellement les phases de prparation, de planification, d'action, de reporting consolid et d'actualisation.
a. En phase de prparation, nous avons suggr la dtermination d'un plafond d'identification de 25 processus gnriques afm de faciliter l'analyse de la cartographie des processus.
(lI) )lttouo C}ljaitul 'Emma :M.O'Jf)l:M.'E(/), 4
ru
promotion au :Mastre en CBanque et Pitulnce, (!ES)lj
jblaEyse J'une marclie de cartofJrapfiie aes risques oprationnelS aans ft aomaine 6ancain : ft cas de anque de fFrance
b. En phase de planification, nos recommandations ont t les suivantes:

,.. la prise en compte de l'aspect risque opportunit dans la dfinition du risque oprationnel donn par la dmarche AMARIS ; ,.. l'enrichissement des techniques d'identification des risques oprationnels (analyse des pertes et profits, tableau des forces et faiblesses apparentes, analyse des menaces aux actifs crateurs de valeur ... ) ; ,.. la modification de la typologie des risques oprationnels de la BDF par la prise en compte des dfaillances lies aux vnements extrieurs, comme source de risque part entire; ,.. l'identification des risques oprationnels partir des activits de chaque mtier (5 me niveau de l'arborescence), impliquant une dclinaison de la typologie gnrale des risques jusqu' cernveau; ,.. l'tablissement de la matrice des risques sur la base du 5me niveau de l'arborescence; ,.. une analyse des vnements de risques s'tendant toutes les approches d'identification de nsques; ,.. l'amlioration de la fiche descriptive des risques oprationnels (cf. annexe 18, page XXIII) ; ,.. une prise en compte du niveau de tolrance aux risques oprationnels de chaque mtier, pour l'valuation des risques (inhrents et rsiduels) ; ,.. la surveillance et la rvaluation permanentes des facteurs de vulnrabilit; ,.. l'affinement de l'valuation de l'impact financier du risque oprationnel; ,.. pour l'valuation des contrles internes existants, la prise en compte du critre d'efficience la place de celui de pertinence, afin de pouvoir rapprocher les notions cotfrendementfdlais de mise en oeuvre. ,.. La formalisation de la prise en compte des critres d'efficience et d'efficacit pour l'valuation du contrle interne; ,.. l'tablissement d'une chelle globale d'valuation du contrle interne et la cotation de chaque contrle ; ,.. la diversification des outils d'valuation des contrles internes (questionnaires de contrles internes, feuille de rvaluation des risques ... ) ; ,.. la modification de la fiche descriptive des contrles internes (annexe 19, page XXIV) ; ,.. la prise en compte de l'valuation du contrle interne dans celle du risque rsiduel. A ce niveau, nous prconis, l'utilisation de la formule de calcul du risque rsiduel, propose par
flttouo
~8ina P.mma :MJYJl)f!MP'V, 4ru promotion au :Mastre en a~ et Pinance, CESflfj ~
)InafySt d'une ,fmarcfit,ft canoorapfiie ,fes risques oprationnelS ,{ans ft ,fomaine 6ancairt : fe cas ,ft an.que ,fe 'France
l'IFACI (2003 : 10) et l'utilisation d'une matrice d'analyse des lacunes (BELLUZ, 2002: 6) adapte au contexte de la BDF ;
II-
enfin, l'amlioration de la matrice des risques par un affinement du dcoupage en zones de risques; et le rapprochement de ces zones avec les stratgies de gestion (viter/liminer, rduire, transfrer/partager, accepter) ;
c. En phase d'action, nous avons suggr:
II-
une prise en compte de la notion de chronogramme d'excution au niveau des stratgies mettre en uvre;
IIII-
le calcul du cot approximatif de chaque plan d'action; et la modification du modle-type de plan d'action (cf. tableau 21, page 113).
d. En ce qui concerne le reporting consolid, nous avons propos l'tablissement d'une matrice des risques consolide l'chelle de la Banque de France, et, reprenant les cinq risques oprationnels les plus critiques de chaque mtier.
e. Enfin, afin de supporter le processus d'actualisation de la cartographie des risques, nous avons propos, en plus des approches dj utilises, une stratgie de gestion continue du risque (cf. tableau 22, page 114). Cette stratgie pourrait, ventuellement, tre adapte au contexte de la Banque de France.
Mises part toutes ces recommandations, nous avons suggr la prise en compte du mtier de fabrication de billet, le plus tout possible dans le primtre de la dmarche AMARIS. Cela permettrait une couverture totale des activits de la banque par cette dmarche.
Il revient donc la Banque de France, de s'inspirer de toutes ces propositions pour amliorer son processus de gestion des risques oprationnels. En effet, au-del des problmatiques actuelles d'allocation de fonds propres, la matrise des risques oprationnels permet de fdrer les projets d'amlioration des processus de qualit, ce qui est loin d'tre ngligeable.
)lttouo <:RJOino. tEmTlUl :M(Y.}{)f!MtE(]), 4- promotion dU :Mastre en IJJanque et Pino.nce, CPS)l] J(Yii
)lnafyse 'une tlmarc/ie e cartonrapliie ds risques oprationnefs tians Ce omaine 6ancaire : Ce cas e anque e Prance
Abstract
We proposed, within the framework of our dissertation, to make a criticaI anaIysis of an operationaI risk mapping process in a Central Bank. Our objectives were, initiaIly, to improve our knowledge about the current concepts of operational banking risk and risk mapping. In the second place, we wished, through a referentiaI approach, estabHshed by us, and inspired by the risk mapping best practices, to draw up an assessment of the operationaI risk mapping process of the Bank of France, in order to make suggestions likely to enrich it.
We thus, chose the following topic: "Analysis of an operational risk mapping process in the banking field: the case of the Bank of France."
The operational risk is not new for banking industry. Indeed, this risk is one of the oldest concerning one of the oldest trades (POULIOT & al, 2002: 35). However, man)' scandaIs due to the miss management of this risk, the globaIisation, the real time management and markets sophistication, increased the necessity of a plat-form setting up for its management.
To this end, the Basle Committee published sound practices for operational risk management and proposed the constitution of a regulatory capital ratio for its cover. The new solvency ratio (Basle II), which materialises aIl the innovations concerning operationaI risk management, will come into effect at the end of 2006.
The first step of any follow-up and operational risk management, consist in the precise delimitation of the risk perimeter, common and applicable to aIl the credit institutions.
Dow, thus, to derme the operational risk?
Our approach is to emphasize, at the same time, the positive and negative aspects of operational
risk. According to us, operational risk can be define as, a threat resulting from an inadequacy or failure due to procedures, personnel, internai systems, or resulting from externaI events (definition
CI) }lttouo ~ina 'Emma '.M(YJ{;f!M'Ef]), ,pme promotion du '.Mastre en anque et Pinance, cPS}l ~
)f.nafyse tf'une amarcfie ae cartograpfiie aes risques oprationnefs dans Ce aomaine oancaire : Ce cas ae \Banque ae q:'rance
given by the Basle Committee); and being able to present, on a target level, an occasion of opportunity and value creation.
Indeed, the operational risk makes integral part of design, production, distribution and handling processes ofbanking and para banking services (COUCHOUD, 2004: 49).
On the basis of this definition, we can thus, emphasize four main sources of this risk:
;t.
failures due to processes (processes risks, activity interruption risks, accountancy risks and laundering risks);
;t.
failures due to staff (fraud risks, ethics risks, deontologic risk, risk of Human Resources miss management);
;t. ;t.
failures due to system (data-processing and computer systems risks); and failures related to extemal events (legal risk, regulatory risk, customers, products and commercial practices risks, asset damage risk).
However, the diffuse and endogenous character of the operational risk, raises the problem of the setting up of efficient tools intended for its management. To this end, a text of the Basle Committee of July 2002 (LECLERC, 2003: 6) presented risk mapping as a sound practice for operational risk management.
How to understand the concept of risk mapping?
Risk mapping is, at the same time, a risk management, an optimal allowance of resources and a communication tool that allows an organisation to identi:fy, assess, compare and control his risks (INGRAM, 2004: 1; SONIGO & al, 2004: 4; BELLUZ, 2002: 6, RENARD, 2004: 148).
According to us, the optimal risk mapping approach for a bank, is composed of eight phases:
a. A phase of the study context definition. b. A phase of preparation, made up of the following steps: athe approach conception; aand the test on a pilot entity.
CI} )fttouo (jlJgina P.mma 9rl.-f)f9rl.P.tD, 4- promotion tfu 9rl.astre en anque et Pinance, cPS)ffj m.
fttuJfyse um amarclie tfe cartoarapliie tfes risques oprationnelS d'ans le aomaine 6ancaire: le cas tfe <Banque ae P'rance
c. A phase of planning, made up of the following steps:

a inherent risks identification and analysing;
a inherent risks assessment and prioritization;

Il Il
identification and assessment of existing internaI controIs; residuai risks assessment and prioritization;
a and risks matrix plotting.

d. A phase of defining risk management options. e. A phase of initial reporting to bank Management.
f. A phase concerning the assessment of risk management options.
g. A phase offailure monitoring. b. And a phase of revisiting the risk mapping process.
We make a point of specifying that, the risk to be mapped is not determining of the approach to be adopted. Indeed, it modifies only the risk profile, but, the process itself remains practically the same, in the case of credit, market or operational risk.
We are moreover, of course, conscious that there exists, neither a standard, nor an ideal risk mapping approach. Our referential process expects to approach the ideal risk mapping process, and, being adaptable to any type of bank.
Any risk mapping process must be able to be anchored in the history, the present, the culture and the environment of the organization for which it is made up. For this reason, the Bank of France, by the means of his risk committee (the PRAAC), set up an operational risk mapping approach: AMARIS, implying the participation of the entire bank. This process with seven steps can be summarized as follows:
a. The process mapping for each trade; b. The operational inherent risks identification and assessment; c. The existing internaI controls identification and assessment. d. The residual risks assessment; e. The consolidated reporting;
f. The risk management options definition;
(;j) )IttOUD (jlJoina <Emma !MOJ{)I!MP'V, 4
me promotion du
!Mastre en atuJut et <Finance, CES)Ij
}f.nafyse aune dmarcfie ae cartograpfiie aes risques oprationnefs c1ns fe aomaine 6ancaire: fe cas d anque d Prance
g. And the process revisiting.
The approach is supported by a failure monitoring system and a computer system (SIRlS).
No risk mapping process could be perfect. Even if AMARIS is quite complete, we plotted, by comparison with our referential approach, forces and weaknesses of this process.
On the basis of noted insufficiencies, we thus made theses following recommendations, aiming at AMARlS enrichment.
.... Form recommendations: we proposed AMARIS presentation in the shape of steps brought
closer within phases (cf. appendix 17, page XXII). This modification implies the formalization of the phases concerning the definition of the study context, the preparation, and the risk management options monitoring. We, moreover, suggested a presentation of the risk matrix plotting and the failures monitoring, as step of AMARlS process. Lastly, we recommended, the positioning of consolidated reporting following the step of risk management option definition.
.... Content recommendations: theses recommendations are related to the phases of preparation,
planning, action, consolidated reporting and revisiting.
a. In the phase of preparation, we suggested to peak the number of generic processes to 25, in order, to facilitate the risk mapping analysis.
b. In the phase of planning, our recommendations were as follows:
.... the taking into account of the risk opportunity in the definition given by AMARlS; .... the enrichment of operational risk identification techniques (loss database approach, table of apparent forces and weaknesses, analysis threats on creating value assets ... ); .... the modification of operational risk typology of the BDF, by taking into account failures related to external events as source of risk; .... the identification of operational risks from activities of each trade (5 th level of processes framework) and the typology development up to this level;
CI) )lttouo 'l<Jgina 'Emma 9tt01f)l9tt'Et]), 4
me
promoticn
au 9ttastre en atUJlll! et Pinance, (}ES)lC}
)fnalyse l'une imarclie ae cartoorapnie tfes risques oprationnelS dns l aomaine 6ancaire : fe cas ae anque tfe Prance
.~
;t
the risks matrix plotting on the basis of activities risks;
II- the risks events analysis extended to all the risk identification approaches; II- the improvement of the operational risk descriptive card (cf. appendix 18, page XXIII); II- the taking into account of the operational risk appetite of each trade for the risk assessment (inherent and residuaI); II- the permanent monitoring and rating of vulnerability factors; II- the refinement of the financiaI severity assessment; II- the taking into account of the efficiency criteria for the existing internaI controls assessment, to make closer the notions of cost/output/setting up period: II- the formalization of the taking into account of efficiency and effectiveness for the global assessment of internaI controls; II- the establishment of a global rating scale for the global assessment and the rating of each existing internaI control; II- the diversification of internaI control assessment tools (internaI control questionnaire, reassessment risk card ... ); II- the modification of the internaI control descriptive card (appendix 19, page XXIV); II- the taking into account of the internaI control assessment in the residuaI risk rating. Thus, we recommended to use the formula proposed by IFACI (2003: 10), and to use the gap anaIysis matrix (BELLUZ, 2002: 6) adapted to the BDF context; II- finally, we proposed the risk matrix improvement by refining the risk areas cutting; and the bringing together of these areas and the risk management options (accept, transfer, modify, mitigate).
c. In the phase of action, we suggested:
II-the taking into account of the concept of chronogram to expend the management strategies; ",the assessment of relative cost for each management strategy; II-and the modification of management strategies descriptive card (cf. table 21, page 113).
d. For the consolidated reporting, we suggested, to plot a consolidated risk matrix for the Bank of France, emphasizing the five most criticaI operationaI risks of each trade.
(11) )f.ttouo iJljoina mma :MOJ{)f.:M(]), 4J- promotion tfu :Mastre en anque et Pinance, (!FS)f.(j
Wi
)lnafyse "une dmarcfie ae canoorapnie aes mques oprationnefs Lans Ce dOmaine 6aru:aire: Ce cas ae anque ae Praru:e
e. Lastly, in order to support the revisiting process, we proposed, in addition to the approaches already used, an ongoing risk management strategy (cf. table 22, page 114). This approach could, eventuaIly, be adapted to the BDF context.
Besides aIl these proposais, we suggested to integrate the first trade as rapidly as possible in
AMARlS perimeter. That would allow a total coyer of the bank activities by this approach.
It thus, returns to the bank of France, to be inspired by these suggestions, to improve its operational
risk management process. lndeed, beyond problems of capital adequacy, the operational risks control makes possible to federate the improvement projects and the quality process, which is far from being negligible.
(lI) jlttouo <.Rioina 'Emma !M(YJ{jl!M'Ef}), 4- promotion au !Mastre en anque et Pinance, CESjlq xxiii
CESAG
~.~
INTRODUCTION GENERALE
)f.nafyse {'une tfnwrclie rie cartographie ries risques opratwnnefs do.ns Ce di.rmaine 6ancaire; Ce cas rie iBanque rie tf'rance
Contexte de l'tude
Les mutations du monde conomique entranant de nouvelles opportunits tout en accroissant les incertitudes auxquelles sont confrontes les entreprises, rendent imprieuse la ncessit de mthodologies efficaces et efficientes afin de mieux apprhender l'univers risqu auquel doivent faire face les organisations. L'industrie bancaire n'est pas en marge de ce fait. Cependant les tablissements de crdit ont une activit spcifique qui les distingue des autres entreprises qui offrent des biens et services. Le systme bancaire assure, en effet, le financement de l'conomie en permettant une rencontre permanente entre les agents capacit financement et ceux besoin de financement. li convient nanmoins de faire une distinction entre le rle des acteurs de ce systme. Les banques commerciales offrent des moyens de paiements prexistants (par effet de transformation d'chance) et nouveaux (par cration ex nihilo de monnaie) dont elles permettent le transfert d'une place une autre ou d'un agent un autre. Les Banques Centrales sont, quant elles, garantes de la stabilit des prix, du fonctionnement efficient et quilibr de l'ensemble des composantes du systme financier et ont l'obligation d'assumer leurs responsabilits de transparence vis--vis de l'opinion publique (Jean Claude TRICHET, 2000 : 51-52).
Ce rle assez particulier des acteurs du systme bancaire les conduit ctoyer une multitude de risques multifilaires et multigrades , Cet univers volutif du risque bancaire et financier impose aux banques de cerner toutes les dimensions des risques lies l'industrie bancaire et affectant inluctablement la firme bancaire. L'accent est d'ailleurs de plus en plus mis sur le risque oprationnel dont l'importance est dsormais reconnue du fait des scandales suscits par sa mauvaise gestion et qui ont branl toute la communaut internationale bancaire. Les exemples de la DAIWA New York et de la BARINGS, pour ne citer que ceux l, sont assez loquents l ,
1 en 1995, la Daiwa New York perdait l.lmilliards de dollars en raison de transactions illgales. Au cours de la mme anne, la BARINGS, une institution financire vieille de 233 ans, s'effondrait par la faute d'un courtier en produits drivs malhonnte. Tous ces dsastres ont eu pour nid , une mauvaise gestion des risques oprationnels. (Tir de Symantec information integrity : Ble II: risques oprationnels et scurit des informations).
flnaJjse tf'um tfimarclie Ife cartograpliie lfes risques oprationne tians Ce aomaim 6ancaire: Ce cas e anque Ife ff'rance
A ce niveau, la rglementation bancaire est en pleine mutation. L'accord de 1988 (ratio de Cooke ou Ble 1) et mis en place par le Comit de Blel en ce qui concerne la surveillance prudentielle, est sur le point d'tre remplac par un nouveau ratio de solvabilit dans le but, entre autres, de prendre rellement en compte cette catgorie de risque. Les objectifs fondamentaux du Comit restant inchangs, le ratio de Mac Donough, dont les premires applications commenceront en fin 2006, est bas sur trois piliers, savoir: une exigence minimale en fonds propres, un processus de surveillance prudentielle et une discipline de march. Les objectifs de ce ratio en ce qui concerne la matrise du risque oprationnel sont :
.. d'apprhender le risque oprationnel soit par une exigence de fonds propres soit par un processus de surveillance prudentielle ; .. de lier plus troitement le niveau des fonds propres rglementaires ainsi dtermin au profil de risques oprationnels spcifique de chaque banque ; .. d'inciter les banques dvelopper des systmes internes de mesure de ce risque; .. et de renforcer le rle des autorits de supervision (pilier 2) et celui des marchs (pilier 3).
Toute banque est donc aujourd'hui oblige d'avoir, non seulement une vue panoramique sur les risques oprationnels qu'engendre son activit mais galement de les matriser. La gestion du risque oprationnel implique la mise en uvre d'un ensemble d'initiatives (Michel FAUTRAT, 2000 :24) visant se prmunir ou rduire les manifestations de ce risque. La concurrence exacerbe conduit d'ailleurs les managers des banques son intgration dans leur prise de dcision.
Mme si la gestion des risques n'est pas un nouveau dbat, la problmatique actuelle pour une banque, est de disposer des meilleurs outils d'identification et d'analyse des risques oprationnels, facteurs d'une matrise de ses activits.
2Le Comit de Ble sur le contrle bancaire, institu en 1975, regroupe les autorits de surveillance prudentielle et les banques centrales des pays du groupe des dix dit GIO (en fuit treize actuellement) : Allemagne, Belgique, Canada, Espagne, Etats-Unis, France, Italie, Japon, Luxembourg, Pays Bas, Royaume Unis, Sude et Suisse. Le comit se runit gnralement la Banque des Rglements Internationaux, Ble, o se trouve son secrtariat permanent.
}lnafyse d'une dimarde d cartograplie ds risques oprationnels d4ns Ce cmtJ.ine 6ancaire : Ce cas ae anque d 'France
Problmatique
Cre le 18 janvier 1800 dans le but de favoriser la reprise de l'activit conomique aprs la forte rcession de la priode rvolutionnaire, la Banque de France est une banque Centrale indpendante3 depuis 1994. Avec l'avnement de la monnaie unique europenne en janvier 1999, elle intgrait l'Eurosystme et acceptait de transfrer une partie de ses comptences la Banque Centrale Europenne nouvellement cre. Faisant aujourd'hui partie intgrante du Systme Europen de Banques Centrales4 (SEBC), et sans prjudice l'objectif principal de stabilit des prix, elle apporte son soutien la politique conomique gnrale du Gouvernement franais.
Du fait de son activit assez spcifique, la Banque de France (qui demeure quand mme une entreprise), est amene ctoyer un grand nombre de risques oprationnels lis tous ses processus dcisionnels. Ces dfaillances peuvent tre multiples. On peut citer, entre autres:
Ar
des erreurs et malversations humaines telles que les fraudes internes ou encore le comportement non thique, ... ;
Ar
des risques organisationnels et de traitement tels que la mauvaise gestion administrative et du traitement des oprations, le mauvais management des mtiers, ... ;
Ar
des pannes du systme d'information lies une mauvaise matrise de la technologie et des systmes informatiques.
La survenance de ces risques est essentiellement suscite par :
Ar
un dysfonctionnement du dispositif organisationnel et technique de traitement des oprations de la banque;
Ar Ar Ar Ar
une inadquation des ressources informationnelles et une mauvaise gestion de l'information; un manque de culture d'thique et de dontologie bancaire; une inadquation quantitative et qualitative des ressources humaines; et un environnement social dfavorable.
3 C'est--dire qu'elle ne pouvait plus recevoir d'instructions de la part du gouvernement, ni mme en solliciter; elle ne pouvait plus non plus accorder de dcouvert au Trsor 4 Institu par l'article 8 du trait instituant la Communaut europenne
}f1lllfyse "'une marclie rie cartograpliie des risques oprationnefs Ilns Ce dinrtaine 6ancaire : Ce cas rie anque rie Prance
En outre, le manque d'outils adapts permettant d'identifier, de hirarchiser et d'analyser ces risques, ne facilite pas l'valuation de leur probabilit d'occurrence. La complexit de leur anticipation et la difficult rduire leur impact ne s'en trouvent qu'exacerbes. La Banque de France doit pourtant tre trs attentive aux risques oprationnels, risques les plus prpondrants de son activit, par impratif d'exemplarit vis--vis des banques commerciales de la place et pour la protection de son image.
L'on est de ce fait tent de se demander quelles options adopter pour une meilleure matrise des risques oprationnels la Banque de France?
On pourrait proposer:
.... l'tablissement d'un rpertoire des meilleures pratiques en matire de gestion des risques oprationnels, qui pourrait ventuellement tre adapt la Banque de France ;
II>
l'utilisation d'une approche par la Value At Risk (CERNES, 2004: Il) ;
CVAR) au travers d'une gestion Actif-passif
II>
la mise en oeuvre d'une dmarche base sur une analyse des tats financiers (bilan et compte de rsultat) de la banque (CERNES, 2004 : 7);
II>
l'laboration d'une dmarche commune de cartographie des risques oprationnels, intgre dans un dispositif de Contrle Interne performant connect sur la stratgie de la banque et capable d'apporter une relle expertise en matire de gestion des risques oprationnels.
La dernire solution est plus opportune, dans la mesure o elle constitue le chssis de la mise en uvre effective des autres solutions. L'on ne peut en effet, matriser le risque oprationnel sans l'avoir au pralable identifi et valu. La cartographie des risques s'intgrant dans le dispositif de contrle interne de la banque, a pour objectif d'identifier, de classer, de hirarchiser, de comparer les risques entre eux et de mettre en place des plans d'action pour les traiter en fonction des ressources disponibles (Pierre SONIGO & al, 2001 :4). Cet outil de suivi des risques et de communication est donc un appui au fonctionnement de la banque.
)fnafyse d'une amarclie cfe cartoorapliie aes risques oprationneCr tians ft dDmaine 6ancaire: ft cas cfe anque cfe If'rance
Au regard de ce qui prcde, notre question de recherche est : quelle dmarche de cartographie des risques est la plus approprie pour la matrise des risques oprationnels inhrents l'activit de la banque de France? En d'autres termes,
.. Quelles approches mthodologiques et quels outils adopter? .. Quelles procdures suivre pour une identification et une valuation exhaustive des risques oprationnels majeurs de l'activit de la Banque de France? .. Comment structurer le processus de cartographie des risques oprationnels? .. Comment amliorer la dmarche ainsi labore?
Dans l'objectif de rpondre toutes ces questions notre choix s'est port sur le thme suivant:
Analyse d'une dmarche de cartographie des risques oprationnels dans le domaine bancaire: le cas de la Banque de France
Objectifs du mmoire
L'objectif principal de ce mmoire est de mener une tude critique de la dmarche de cartographie des risques oprationnels adopte par la Banque de France.
De manire plus spcifique il s'agira:
.. d'tablir un rpertoire des meilleures dmarches de cartographie des risques dans tous les domaines d'activits ; .. d'tablir, sur la base d'un chantillon compos des dmarches les plus riches en matire de cartographie des risques, une dmarche rfrentielle adapte l'industrie bancaire; .. de prsenter la dmarche adopte par la Banque de France pour la cartographie de ses risques oprationnels ; .. de faire une analyse critique de la dmarche de la Banque de France sur la base de notre rfrentiel; .. et de faire des propositions l'enrichissement de cette dmarche sur la base des rsultats de notre analyse.
.ftnaEyse a'une marclie e cartoorapliie es risques oprationnefs dans fe omaine 6ancaire : fe cas e anque e fErame
Intrt de l'tude
Ce travail de rflexion, peut tre (sans prtention l'exhaustivit) utile la Banque de France si celle-ci veut donner une nouvelle orientation sa dmarche de matrise des risques oprationnels. De plus, il sera, pour nous, l'occasion d'appliquer les connaissances acquises lors de notre fonnation, de comprendre la logique qui sous-tend l'tablissement d'une cartographie des risques et de nous familiariser de ce fait cet outil de matrise des risques. Ce mmoire sera, enfin, pour tout nophyte, un moyen d'avoir une vue spcifique de la dmarche de cartographie et plus largement de
la matrise des risques oprationnels dans le domaine bancaire.
Plan du mmoire
Ce travail s'articulera en deux parties:
.. La premire partie constituera le cadre thorique de l'tude. Cette partie nous pennettra de cerner la spcificit des risques oprationnels dans le domaine bancaire, la multitude de dmarches existantes pour la cartographie des risques et de prsenter notre dmarche rfrentielle de cartographie. .. La seconde partie nous pennettra de prsenter et d'analyser la dmarche de cartographie des risques oprationnels adopte par la Banque de France, d'en dresser un bilan et de faire des recommandations en vue de son amlioration.
)J.naEyse d'une imarr;/ie Ife cartographie ds risques opratiotr:nefs Jims fe mnaine 6ancaiffl : fe CtU Ife \Banque Ife Prance
CE SAG
~.~----
PARTIE 1 : CADRE THEORIQUE DE L'ETUDE
--------------
)fnafyse 'une marche cfe cartographie cfes risques oprationnefs aans Ce cUnnaine 6ancaire : Ce cas cfe <Banque cfe Prance
Introduction
.. 1
Ji,
Si les banques commerciales franaises sont des entreprises relativement particulires, la Banque de France l'est encore plus. Son rle d' autorit du systme bancaire ainsi que de garant de la stabilit montaire et de la lutte contre l'inflation, fait d'elle un partenaire cl de dveloppement. Cependant, son environnement, marqu par des rgles d'thique, de dontologie et le respect d'une rglementation professionnelle, l'oblige une bonne matrise de ses actes et des risques inhrents ces actes. Elle doit en effet, par tous les moyens, viter une dfaillance globale du systme bancaire pour la protection des acquis conomiques de la France et plus largement de l'Europe.
Dans un monde complexe et imprvisible qui ne laisse plus de droit l'erreur, les dirigeants
doivent se donner d'avantage de moyens de grer leurs risques; et les actionnaires et autres parties prenantes sont en droit d'exiger plus de scurit (BAPST & BERGERET, 2002 :10). En effet, l'une des priorits des dirigeants de la Banque de France doit demeurer la gestion du risque oprationnel. A ce niveau, la dfinition, la nomenclature, la classification et l'valuation des risques par le biais d'une cartographie, s'avre l'option la plus pertinente explorer.
Comprendre et faire une analyse de la dmarche de cartographie des risques oprationnels de la Banque de France implique la dfinition des concepts cls qui sous-tendent cette approche.
Ainsi, notre revue de littrature traitera dans le premier chapitre des spcificits du risque oprationnel dans le domaine bancaire. Le second chapitre sera consacr l'exploration des dmarches de cartographie des risques existantes dans divers domaines d'activits et la mise en uvre d'une dmarche rfrentielle de cartographie des risques sur la base d'une synthse mthodologique.
L'objectif de cette premire partie est de permettre, par comparaison, une analyse et un enrichissement de la dmarche de cartographie des risques oprationnels adopte par la Banque de France.
)'lnafyse d'une d'nutrcfie e cartograpliie d'es risques oprationnefs d'ans Ce d'crmaine 6ancaire: Ce cas e anque d'e Prance
CHAPITRE 1- LA SPECIFICITE DES RISQUES OPERATIONNELS DANS LE DOMAINE BANCAIRE

Comme toutes les banques centrales, la Banque de France est mettrice de billets de banque, gestionnaire de moyens scripturaux, prteuse en dernier ressort, mettrice et rgulatrice de monnaie centrale et responsable de la politique montaire (FLOUZAT, 1999 :78-84). La matrise des risques oprationnels inhrents cette multitude d'activits est trs complexe, vu le caractre prolixe et pars de cette catgorie de risque. Cerner le risque oprationnel, implique de pouvoir en percevoir les sources, les manifestations et les consquences sur l'organisation et ses processus.
Parler, en outre, de risques oprationnels dans le domaine bancaire est assez spcifique, vu la particularit de cette activit. En effet les risques bancaires se caractrisent par leurs interconnections et le risque de dfaillance systmique qui plane permanemment sur le systme bancaire. Le risque oprationnel qui s'inscrit dans cette constellation ne saurait tre analys en dehors de ce contexte.
L'analyse critique d'une dmarche de cartographie des risques oprationnels, objet de notre tude, nous impose de nous interroger sur les paramtres et dimensions de ce risque ainsi que ses relations avec les autres catgories de risques bancaires.
Dans ce premier chapitre de notre cadre thorique, notre objectif est de faire ressortir les spcificits du risque oprationnel dans le domaine bancaire. Nous ne saurions cependant le faire sans prsenter succinctement les autres risques bancaires. Nous en proposerons donc, tout d'abord une taxinomie. Nous mettrons en outre en exergue, sans prtendre l'exhaustivit, les particularits et souscatgories du risque oprationnel bancaire. Nous prsenterons enfin un prlude sa gestion.
1.1- La notion de risque bancaire

Le risque peut se dfinir comme la menace qu'un vnement, une action ou une inaction affecte la capacit de l'entreprise atteindre ses objectifs stratgiques et compromette la cration de valeur (MOREAU, 2002 :3). Il reprsente un danger ventuel plus ou moins prvisible. Il se caractrise de
(;[) }f.ttouo 'l(jOina P,mma :M()J{)f!MP'<D,
~ promotion du :Mastre en anqu.e et Pinance, (!ES}f.
10
ftnaCyse une dmarc/ie de cartograp/iie ds risques oprationnels tfans fe domaine 6ancaire : Ce cas de anque de Prance
ce fait, par l'incertitude temporelle d'un vnement ayant une certaine probabilit de survenir et de mettre en difficult l'organisation. La connotation ngative gnralement affecte au risque n'empche pas cependant qu'il soit galement une occasion pour saisir une opportunit car, comme on le dit souvent, qui ne risque rien n'a rien. On dcide en connaissance de cause de prendre un risque mais on se donne les moyens de le matriser (RENARD, 2004 : 146). Cette conception du risque s'applique aussi la banque. Cependant, la spcificit du risque bancaire est sa multiplicit et son caractre multidimensionnel5 . Cette pluralit des risques bancaires pose le problme de la dfinition des diffrents types de risques et de la distinction entre ces risques. L'approche dfinitionnelle base sur une corrlation entre risques et performances est une dmarche certes classique, mais importante, car elle constitue un point de dpart de la gestion des risques.
Les risques bancaires voluent en mme temps qu'volue l'activit; de telle sorte qu'avec l'entre des banques au sein du march financier, plusieurs nouveaux risques sont apparus. L'environnement de la banque est aujourd'hui peupl d'une multitude de risques interdpendants et dont les diffrences sont assez floues. La problmatique de la taxinomie des risques bancaires s'en trouve donc accentue.
1.2- La taxinomie des risques majeurs de l'activit bancaire

1.2.1Dfinition
Selon le dictionnaire Robert (2006: 2572), la taxinomie est une tude thorique des bases, lois, rgles et principes d'une classification. La taxinomie des risques bancaires, sans s'carter de cette dfinition, est l'identification des diffrents risques inhrents l'activit bancaire. Elle passe par la dfinition des diffrents risques permettant de les dlimiter. Elle propose enfin une classification des risques bancaires en fonction de leurs spcificits. La taxinomie des risques bancaires que nous proposerons sera inspire de la constellation du risque bancaire >r (cf. annexe 1 page II) tire du livre blanc sur la scurit des systmes d'information dans les tablissements de crdit (1996 : 45).
5 Site l'Association Professionnelle Tunisienne http://www.apbt.org.tn.
des Banques
et des Etablissements Financiers:
CI) )f.ttouo ~8ina P.mma 9d0'J{)f.9dp.tJ), .pe promotion au 9dastre en (Banque et Pinance, (]ES)f.(}
11
)ftuyse l'une amarc/ie ae cartographie aes risques oprationnelS aam Ce aomaine 6ancaire : fe cas ae CBanque ae Prance
1.2.2
Le risque stratgique
Ce risque se situe au plus haut niveau hirarchique (PERCIE DU SERT, 1999 : 30). Il est inhrent toute dcision d'entreprenariat et d'investissement. 11 est donc le risque de base de toute organisation. Selon SARDI (2002 : 44), la stratgie adopte par l'tablissement de crdit dans les diffrents domaines de son activit engage des ressources significatives. Un chec de stratgie est lourd de consquences en matire de stabilit. La gestion de ce risque doit donc concerner tous les axes de dcision de la banque, mme les activits de march (aspect relation avec les investisseurs). Des erreurs stratgiques vont dcouler la majorit des risques bancaires (cf. figure l, page 16).
1.2.3-
Les risques gnraux de l'activit bancaire
L'activit de la banque engendre gnralement trois catgories de risques qui sont inhrents la particularit de son activit d'intermdiaire financier: le risque de crdit, le risque de march et le risque oprationneL
1.2.3.1-
Le risque de crdit ou de contrepartie
Le risque de crdit est le premier des risques auxquels doit faire face un tablissement financier du fait de son activit6 . Selon BESSIS (1995 : 15), le risque de crdit dsigne des pertes conscutives un dfaut de l'emprunteur face ses obligations. La dfinition donne par SARDI (2002 : 39) est un peu plus nuance, car pour lui, le risque de crdit dcoule de l'incertitude quant la possibilit ou la volont des contreparties ou des clients de la banque de remplir leurs obligations. Trs prosaquement, il existe un risque de crdit pour la banque ds lors qu'elle se met en situation d'attendre une entre de fonds de la part d'un client ou d'une contrepartie de march.
1.2.3.2-
Le risque de march
Les risques de march sont des pertes potentielles rsultant de la variation du prix des instruments fmanciers dtenus dans le portefeuille de ngociation de la banque ou dans le cadre d'une activit
6 Le ratio de Cooke qui a t institu en 1988 traitait d'abord uniquement de risques de crdit. C'est avec les diffrentes volutions que l'on a constat la prise en compte des autres types de risque.
CI) )lttouo CJYgina fF,mma !M(YJ{)l!MfF,q), 4
me
promotion u !Mastre en anque et Pinance, CPS)lq 12
flnafyse tf'une &marclie de cartograpliie des risques oprationnelS dans Ce domaine 6ancaire:
re cas de anque de 'France
de march dite aussi de trading}} ou de ngoce. Selon BESSIS (1995: 18), il s'agit du risque li des dviations dfavorables de la valeur de march des positions pendant une dure minimale requise pour liquider ces positions. Le risque de march concerne selon BUSINESS DECISION (2004: 2), les activits d'arbitrage de la banque et donc principalement les positions de hors bilan. Les oprations de march revtent des profils de risques trs diffrents du fait de la varit des produits et des nombreux segments de march qui existent. Le risque de march s'applique donc aux produits de taux (obligations, drives de taux), de change, aux actions et matires premires.
1.2.3.3-
Le risque oprationnel
La dfinition des risques oprationnels ne fait pas l'objet de consensus. Elle diffre d'un organisme un autre. Cependant les dfinitions donnes sont globalement proches.
Selon SARDI (2002: 41), le CRBF 97-02, le dfinit comme rsultant d'insuffisances de conception, d'organisation et de mise en uvre des procdures d'enregistrement dans le systme comptable et plus gnralement dans les systmes d'information, de l'ensemble des vnements relatifs aux oprations de l'tablissement. Selon le Comit de Ble 7 , le risque oprationnel est un risque direct ou indirect de pertes rsultant de processus internes, de personnes et de systmes dfaillants ou inadquats, ou d'vnements externes. }).
Dans les diffrentes dfinitions du risque oprationnel, on retrouve les notions, de capital humain, de systmes et de procdures. Il s'intgre dans le systme de conception, de production et distribution de la banque. Il est donc prsent tous les niveaux de son systme dcisionnel.
Remarque: il est vrai qu'il est possible de faire une distinction entre les trois catgories de risques
bancaires sus prsents. Cependant, il est galement vrai que ces risques sont interdpendants (cf. figure 1, page 16). En effet, le risque de crdit peut avoir pour origine une dfaillance d'une contrepartie de march. Il peut tre galement le fait d'inefficacit de procdures de suivi du portefeuille de crdit.
7Basle Committee on Banking Supervision, The new Basel Capital Accord , Operational risk", documents consultatifs de janvier 200 l.Texte disponible sur leur site internet. Bis.org
CIt }f.ttouo <J.{igina 'Emma 9d(Y.}(}f.9d'E(]), 4
me
promotion du 9dastre en atUJUe et Pinance, C!ES}f.J 13
j(nafyse l'une timardie Ife cartograpfiie lfes risques oprationnels tians Ce omaine 6ancaire: le cas Ife anque tie IFrance
1.2.4-
Les risques transversaux de l'activit bancaire
Les risques qualifis de transversaux dans cette partie, sont des risques qui ne peuvent tre classs exclusivement dans aucune des grandes catgories de risques (risques de crdit, de march ou oprationnels). Ils y sont diffus et reprsentent plutt des effets de ces risques. Ils revtent donc la fois des aspects du risque de crdit, de march et du risque oprationnel.
1.2.4.1-
Le risque de liquidit
SARDI (2002 : 43) le dfinit comme le risque de ne pas pouvoir faire face ses engagements, du fait de l'impossibilit de se procurer des fonds. Ce risque est apparu au cours des crises montaires et boursires (PERCIE DU SERT, 1999 :16). Le risque de liquidit peut se manifester plusieurs degrs (illiquidit extrme, manque de matelas de scurit et illiquidit temporaire). Il peut tre l'aboutissement d'une dfaillance des contreparties de l'tablissement ou d'une transformation excessive des dpts de la clientle. Il est dans ce cas une consquence du risque de crdit. Il peut tre galement d au fait que les activits de la banque sur les marchs financiers ne sont pas assez liquides. Il est, ce moment, une consquence du risque de march. Il peut enfin tre une sanction du manque de confiance accorde par les dposants et les marchs financiers l'tablissement. Il est, ds lors, un effet du risque oprationnel.
1.2.4.2-
Le risque global de taux d'intrt
Le risque de taux est le risque de voir ses rsultats affects dfavorablement par des mouvements de taux d'intrt (BESSIS, 1995 : 17)). Ce taux affecte aussi bien le portefeuille de ngociation que le portefeuille bancaire de l'tablissement. Les mouvements de taux d'intrt affectent les bnfices en modifiant les revenus d'intrts nets, les autres revenus sensibles aux taux d'intrt et les dpenses d'exploitation. Ils ont galement une incidence sur la valeur des crances, des dettes et des instruments du hors bilan, tant donn que la valeur actualise des flux de trsorerie attendus (et, dans certains cas, les flux eux-mmes) varie en fonction des taux d'intrt (Comit de Ble, 1997 :
5).
CI)
jlttouo ~lJina tEmma :M(YJ{jl:MtEID, 4- promotion
au :Mastre en a1UJue et Pinance, (}ESjl
14
)fnafyse aune amarcne ae cartograpnie aes risques opratwnnefs d'ans Ce aomaine 6ancaire: le cas ae <Banque ae Prance
Du fait de leur rle d'intermdiaires fmanciers, les banques sont exposes de plusieurs manires au risque de taux (indexation aux marchs financiers, non adossement, dformation de la courbe de taux, risque de base, clauses optionnelles). Le risque de taux d'intrt est donc li la fois, aux risques de crdit, de march et oprationnels.
1.2.5-
Les autres risques bancaires
Ces risques sont les consquences des premiers risques prsents (cf. figure 1, page 16).
1.2.5.1-
Le risque de rputation
Il est l'atteinte la confiance qu'une banque doit inspirer sa clientle et au march la suite d'une publicit portant sur des faits vrais ou supposs. A degrs levs, il peut conduire au risque systmique (SARDI, 2002: 44).
1.2.5.2-
Le risque systmique
L'industrie bancaire se caractrise par l'interdpendance des tablissements de crdit les uns par rapport aux autres. Le risque systmique est le risque de dfaillance de tout le systme bancaire (SARDI, 2002 : 44). Il est, selon PERCIE DU SERT (1999 : 26), le risque de transmission, par effet de contagion, des dsquilibres ponctuels accrus entre les banques.
1.2.6-
Proposition de taxinomie des risques bancaires
La taxinomie que nous proposons ne prendra pas en compte les risques communs tout type d'organisation tels que les risques politiques, extrieurs ainsi que les risques spcifiques aux activits non bancaires. Elle reprsente l'illustration de notre prsentation gnrale des risques bancaires et de leurs spcificits.
CI)
)Ittouo ~8ina :mma :MOJ{)I:M:Q), P promotion du :Mastre en anque et Pinance, (!ES)I 15
)hlllfySI fune tf/manne Ife cartogrupliit au l'iuu oprationnels d4rlS rfomairu 6ancairt : fi cas cft anqut cf, 'Fra nce
Figure J : Proposition d ' une taxinomi e des ri sques bancaires

Risque stratgique Risque de liquidit Risque global de ta ux
.. ~~:>
.....
<:==..
....0' ' -_
0;;; . . ; ;: .; .. ;.
d' intrt
_ _ __ _ _.1
Risque de conlrepartie
..............................::::::::. rT-. -.. .... -... ~ . .~..~. " . ;. ;;;;;;;~....~~t. . . .. -::,. ........., . ".=~-... .--. . T . ( o
/~.. .. ..... ................ ............. ..........
Risque de march
ROqU' OpO'.';O""
D
F ac1CINS aldogents
.... Lien dt caus al i.
~RisqU$
Risque de rputation
(personnes. pf'OlXssus. S)'Slm cs)
transyersallJo;
...... Lien relo,ionncl
Source:
IIOUS
R isque systmique
---Systme
Facl curs exogn es

(~v~l'ICmI::nI5
e.>; lritUl'S)
ban~.ire ~
mme fX/rlir de la consfelfolion des risques bancaires, de BAR (2005 : J7 ) et UTEUI,{ al (2001 :JO )
Aprs avoir prsent les ri sques bancaires dans leurs gneralits runsi que les interrelations entre eux, nous nous intresserons plus particulirement au risque opratiormel ban caire , objet de notre travail. Pourquoi accorder tan t importance ce risque? Que recouvre-t-il ?co mment Je grer? C'est l'objet de la dern ire section de ce chapitre.
1.3- Les spcificits du risque oprationnel bancaire

Celte derni re section a pour objet de prsenter les caractristi ques du risque oprationnel bancaire el les tapes cls de sa gestion.
1.3.1
Le risque opratioDnel et Ble TI
Le risque opratioM el n' est pas Wl risque nouveau dans le monde de la banq ue . Il est "un des plus vieux risques du monde concernant l'un des mtiers les plus anciens (pOULIOT & al. 2002 : 35). Selon COU CHOU D (2004 : 49) ; il est inhrent tous les processus de la banque quels que soient
(1) Jlttcuo rJ?jgina iEmma '),fO'.Jf.A.!MP/D, 4
iae
promotion au !Mastire en anque et PiTum, C!ESfl- 16
)f.nafyse une amarc/ie ae cartograpliie tfes risques oprationnelS tians Ce aomaine 6ancaire: Ce cas ae anque ae <France
ses domaines d'activits. Ce n'est pas non plus un risque inconnu des autorits de contrle qui l'ont plus moins intgr dans le profil de risque des tablissements de crdit8 .
L'importance du risque oprationnel s'est cependant accrue du fait de la multiplication des scandales due sa mauvaise grance. La globalisation, la gestion en temps rel et la sophistication des produits et des activits l'ont par ailleurs exacerbe. Face cette matrialisation plus que jamais affirme, le Comit de Ble a jug ncessaire d'assurer la matrise de ce risque. Il a dit des pratiques saines de sa bonne gestion, mais il a galement mis en place une exigence de fonds propres alloue sa couverture.
Le ratio de Mac DONOUGH, qui tient compte de toutes les innovations en matire de risque oprationnel a d'abord t contest mais il est dsormais accept par tous les acteurs du systme bancaire. Le problme qui demeure depuis lors, est la quantification du risque oprationnel.
Sur la base de sa dfinition, trois approches ont t labores par le Comit de Ble pour l'valuation de l'exposition ce risque ainsi que le calcul des fonds propres ncessaires sa couverture.
,. L'approche de base: qui ne ncessite aucune organisation particulire et qui consiste en un
coefficient forfaitaire appliqu au revenu brut de la banque pour la couverture de ce risque.

,. L'approche standard: qui ncessite un dcoupage de l'activit en ligne de mtier, une gestion
priodique ainsi qu'un suivi stricte des risques oprationnels. Le pourcentage de fonds propres allouer est appliqu au revenu des trois dernires annes de chaque ligne de mtier de la banque.
,. L'approche des mesures avances (Advanced Measurement Approach) : qui intgre l'approche
standard et prend en compte la fois les donnes historiques et prospectives (analyse de scnarios, vnements potentiels, facteurs d'environnement et contrle interne) (DUFOUR, 2005, 39).Cette approche permet l'tablissement d'utiliser ses propres mthodes d'valuation du risque et des fonds propres ddis sa couverture (RISKPARNER, 2002 :1-4; MOULTON, 2004:1-7).
8 En France, le risque oprationnel a fait l'objet d'une attention particulire tant au travers des livres blancs publis par la Commission Bancaire (1995; 2000) que du rglement n097-02 du Comit de Rglementation Bancaire et Financire.
)f.ttouo tJ(loina P.mma :M0Jl)f!MP.(]), 4me promotion au :Mastre en anque et Pinance, (!ES)f.q 17
;4natjse aune rimardie rie cartographie ries risques oprationnelS tians Ce riomaine 6ancaire: Ce cas rie (}3anque rie (France
il.
Il n'en demeure pas moms que, quelle que soit l'approche utiliser, la matrise des risques oprationnels passe par un pralable de prcision dfinitionnelle et d'identification des sources et des manifestations de ce risque.
1.3.2-
Les composantes gnrales du risque oprationnel bancaire
Malgr son caractre endogne et diffus (PAPAEVAN GELOU, 2000 : 47), quatre composantes essentielles se dgagent de la dfinition du risque oprationnel (pOULIOT & al, 2002 : 36) :
Il Il
une dfaillance due aux processus,; une dfaillance due aux personnes ; une dfaillance due aux systmes d'information; une dfaillance due aux vnements extrieurs.
1:1 1:1
Chacune de ces sources du risque oprationnel est l'origine des sous-catgories (ou manifestations) de ce risque (cf. tableau 1, page 19). Les frquences de manifestation des souscatgories de risque oprationnel varient d'un tablissement un autre. Cependant l'enqute ralise en 2002 par le Comit de Ble auprs de 89 institutions financires (COUCHOUD, 2004 : 60), a permis d'obtenir, pour 8 milliards d'euros de pertes dues aux risques oprationnels, une ventilation dans laquelle la fraude et les erreurs en matire d'excution, de livraison et de gestion des traitements sont les plus importants (cf. annexe 2, page III). Cela ne devrait cependant pas servir de base de rpartition car, avec le dveloppement des systmes d'information et la naissance de nouveaux domaines d'activit, l'ordre de ventilation est en pleine mutation.
)fttouo ~lJina 'Emma ~(YJ{)f~PlD, "'" promotion du ~astre en CBanque et Pinance, OES)fCj 18
)lnafyse d'une amarcne ae cartograpnie aes risques oprationnels aans Ce aomaine 6ancaire: Ce cas d !Banque ae Prance
T ableau 1 :tahl eau synoptIque d es composants du rIsque operatlonne

SOURCE
1
riii;j.;' d'interruption d'~~tivit 1 bancaires.
CATEGORIES DE RISQUE
fRfsq;;-d~s pr~c;~;';-;'7s~l;7~'d~';auvaise g~~~'d~;Processu;', w&~auv~i's traitements de~~~sa~tio~s ~t d~'non respect d~~p;~cdur~;-d~ i~b;'q'7;~':---
';i d';int~rruptio~"d'es systmes: risque de perturbat~~ des'a~ti~iis~t d~s sy;~~s c~nduis;;' j;~ais~n d~s servi~~;~'
Processus
!
Personnes
rRiSqU~ comptable: risque de p~rte de pisted-audit, d'i;;suffisance de ju~tk;d;;;;;;;;;;:'~'det;'~ductk;;; 'i~co;;ected;r;;;ge fidi~-d~-'--'--"~ . l'tablissement du fait de la non application des normes comptables ou d'informations errones.
~__
m~
.. _
""
.,~""
Ml _ _ P r I , . l I I _
1W___ """"' _ _.......
W'_.-..-
Risque de blanchiment: risque pour la banque de participer consciemment ou inconsciemment, directement ou indirectement des oprations de . blanchiment de sommes tires de crimes ou de dlit, ou de concourir des oprations de placement; de dissimulation ou de conversion de produits direct ou 1indirect d'un crime ou d'un dlit.
rililmEilt_ IIIl-
_;;
1_,rlj'''f.:<:Ii!Olj _ _ _
)&_~llM'9IlJj
(IO'_~<I;
~-
ti-~,~.
_'!Il:I _ _ ~
~""A;I!:
~11
..
1-
'lit
-.. _~..ail!!_-;i\1
_1'\'1I'l'11\11.o.~:II1I'7'q"
;_@
_ _ _ ~_""_7'_~~
1perptr
1 Risque de fraude: risque de pertes dues tout acte illgal caractris par la tromperie, la dissimulation ou la violation de la confiance. Ce risque peut tre
par des personnes internes (fraude interne) ou externes (fraude externe) la banque dans le but d'obtenir de l'argent, des biens et services ou de s'assurer un avantage personnel ou commercial.
1 Risque thique: risque de non respect des principes moraux de la banque

~~do"nt~i~iiiq.;e : risq~e- de no~~gk~'d;b~~e condui~' et de 'bonn7sPratiq~;;~aire;q~-;;rt-;;'p;;f;;;i'~~neis d~ la ban;U;~"'w,.
1ou la scurit, risque de demandes d'indemnisations au titre d'un dommage personnel ou d'atteinte l'galit (actes de discrimination).
uu,_ -" _ ... -
['-'--'-'---1
~
Systmes d'information
. Risque informatique et des systmes d'information: risque de pertes dues un faible niveau de scurit des systmes informatiques, des procdures de secours informatique non disponibles afm d'assurer la continuit de l'exploitation en cas de difficults graves dans le fonctionnement des systmes 1informatiques. Ce risque s'tend galement la conservation des informations et la documentation relatives aux analyses, la programmation et ! l'excution des traitements. imputable l'tablissement au titre de ses oprations.
r:-' . .
riisqu;"de ma~;;-ge;ti;';' d~'p;;;;~~: risqu~'d~'p~rte;-d~;~ ' des-;~t;-;;;;o7r;;~;~- 1; lgi;iati;~ ~~;;-~;~~ti~~s';;latTv";;;'i;~;pl~i,"j; s~t

M._""' -- '" .._ u ,
, _ "" ... _ _.__.
~.
Le risque juridique: risque de tout litige -a~;;' ~ .ntt.parti;;;;sul";'~~:'la-;;";,: i;;uffh~~~; d~ ~;;;;;q"i~
1 Le risque rglementaire : risque de pertes rsultant du non respect de la rglementation bancaire en vigueur.
Evnements extrieurs ~~ts, p;oduits et pratiques co;;;merciale~ : ;i;q~~anquement non institutionnel o~glig;;;; ~tio;prof~;;f;;~;;e~ 1 envers les clients spcifiques, ou relative la nature et conception d'un produit.
1~i~ques
SlDlstres.
7).
de dommages aux actifs corporels: risque de destruction ou
IPe<:
aux actifs physiques rsultant d'une catastrophe naturelle ou d'autres
Source: Etabli partir de SARDI (2002: 41-42) ; ROUFF (2003: 10) ; JOUFROY (2000 : 12) ; JOLAIN (2000 : 17) ; BRJAUD (2003: 27) ; HILLION (2002 : 22) et AMD (2005 : 6-
)fttouo CJ(jgtna fEmma ;M()J{)f;MPiD, 4<- promotion
au ;Mastre en anque et <Finance, CPS)fq
19
)f.nafyse J'une amarche ae cartographie aes risques oprationnefs tians Ce aomaine 6ancaire : Ce cas ae anque ae !France
A
1.3.3-
Les dimensions du risque oprationnel bancaire
Le risque oprationnel, comme tous les autres risques se calcule de la faon suivante: Risque oprationnel = probabilit x impact
/10
La probabilit du risque dsigne les possibilits de ralisation du risque. Elle peut tre dsigne
par le tenne voisin de frquence d'occurrence. Son chelle peut tre quantitative (chelle de valeur de 0 1 ou encore de frquence ou pourcentage) ou qualitative (probabilit importante
probabilit faible) (DE MARESCHAL, 2003: 9). On fait gnralement chec la probabilit
de survenance d'un risque par des politiques de prvention (RENARD 2004: 147) .
.. L'impact ou la gravit concerne la ralisation effective de l'ventualit. Il s'agit de la

quantification de la ralisation du risque. Son chelle peut galement tre quantitative ou qualitative. Il est possible de faire chec la svrit d'un risque par des politiques de protection (RENARD 2004: 147).
A ces deux dimensions de mesure gnralement utilises, viennent s'ajouter les notions de risk
timing et de risk duration (MCNAMEE; 1998: 39). En effet le poids du risque dpend
galement de sa priode d'occurrence c'est--dire de l'tape du processus laquelle il se manifeste, ainsi que de la dure de ses consquences sur les activits de l'organisation.
Quelles qu'en soient les caractristiques, il convient de faire la distinction entre le niveau de risque brut du risque oprationnel et son niveau rsiduel aprs application des mesures de contrles (cf. annexe 2, page III). Il s'agit en fait, d'une apprciation plus affine du risque oprationnel intgrant une apprciation de la qualit du dispositif de Contrle Interne. Les travaux du COS02 encouragent d'ailleurs cet affinement de l'apprciation du niveau de risque oprationnel, facteur d'une meilleure matrise (RENARD, 2005 : 143).
Aprs avoir prsent le risque oprationnel en termes de domaines de survenance, de consquences ventuelles et de dimensions pouvant affecter son importance, nous pouvons maintenant nous intresser au dispositif qui pourra permettre son radication.
W)fttouo iJ.(igina P;mma !MOJ{)f!MPi]), 4fu promotion du !Mastre en a1UJ.uc et Pinance, (JES)f
20
;lnafyse une amarclie e cartograpliie aes risques oprationnels
aans l aornaine 6ancaire: l cas ae anque ae Prance
1.3.4-
La gestion du risque oprationnel dans une banque
En matire de gestion des risques oprationnels, les objectifs recherchs sont gnralement la protection du patrimoine et de la valeur actionnariale, la sensibilisation aux risques oprationnels, la sauvegarde de la rputation, l'amlioration de la qualit des services, la rduction des pertes et enfin le respect de la rglementation prudentielle.
Les tapes fondamentales de cette gestion sont les suivantes (BARROIN & al, 2002 : 1-4; CGAP, 2003: 1-39) :
a. L'identification des risques: cette tape consiste inventorier tous les risques oprationnels qui affectent l'activit de la banque. Elle passe par une bonne matrise de cette activit et de ses domaines de perturbation et d'incertitudes. L'on cherchera tout d'abord dterminer les facteurs de risques oprationnels. La typologie de risques oprationnels qui en dcoulera permettra, par la suite, d'aboutir une nomenclature des risques oprationnels caractristiques de l'activit. b. L'valuation ou l'analyse du risque oprationnel: il s'agit de la dtermination du poids du risque en terme de ressources humaines ou de systme d'information et de donnes (BARROIN & al (2002 : 3). Cette tape consiste en une quantification des paramtres du risque oprationnel (probabilit et impact). les fonds propres rglementaires sont, en fin d'tape, valus en fonction du poids du risque au travers de diverses approches (donnes historiques, scnarios, scorecard) (DUFOUR, 2004 : 39). c. Dvelopper des stratgies et des plans pour le traitement du risque: la stratgie est le choix trs oprationnel, soit d'viter un risque, soit de le rduire, de le transfrer ou le partager ou encore bien entendu de le prendre et de l'assumer pleinement (BAPST & al (2002 : 32). d. La mise en uvre des contrles et l'attribution des responsabilits: cette tape a pour objectif la mise en uvre des contrles adapts aux stratgies dfinies lors de l'tape prcdente. Elle est base sur les processus oprationnels et l'organisation de la banque (hommes, mthodes et systmes d'information). L'on veillera, en outre une dlgation claire des responsabilits et une sparation des tches. Les contrles utiliss seront prventifs, dtectifs et correctifs (CGAP, 2001 : 25-34). Les travaux d'audit peuvent, en outre tre mis profit lors de cette tape. e. Contrler la performance du processus de management des risques et l'amliorer: il s'agit du dploiement d'un dispositif de suivi du processus de matrise des risques. Il sera charg de
a'flttouo 'RiOiTUI. P.mma ~CY.J{)f!MP'(J),
4me promotion du ~astre en anque et PiTUl.tlCe,
cPSflq
21
)f.Mfyse tU1UI dmarcfie d canoorapfiie ds risques oprationnefs d'ans Ce omaine 6ancaire : Ce cas d a.nque d 'rance
tester les rsultats du processus de gestion des risques oprationnels. L'objectif recherch est l'actualisation permanente de ce dispositif afm de le rapprocher le plus possible des attentes de la banque. Durant cette tape, le manager des risques peut galement s'appuyer sur le dpartement d'audit interne.
Durant tout le processus de gestion des risques oprationnels, les managers doivent tre informs de tous les rsultats d'analyse afin d'tre orients dans leur prise de dcision. La gestion des risques oprationnels doit impliquer de ce fait, toute la banque qui doit s'engager dans ce processus, qui, s'il est bien men, portera forcment des fruits en terme de rentabilit.
En matire de matrise des risques oprationnels les mthodes varient d'un tablissement un autre et l'innovation est de mise. La cartographie des risques oprationnels qui est un outil d'appui au management de tout type de risque, est une solution de plus en plus apprcie par les tablissements financiers.
Jlttouo c:ti{jina <.Emma :MJy'J{)I!M<.ECV, ,pme promotion u :.Mastre en <Banque et Pinance, CPSJlq
22
}lnafyse tl'une af1larche tfe cartographie aes risques oprationntfs tfdns Ce Mmaine
6ancaire : Ce cas at a.nque at Ifrance
A.
CHAPITRE IIMISE EN UVRE D~UNE DEMARCHE REFERENTIELLE DE CARTOGRAPHIE DES RISQUES DANS LE DOMAINE BANCAIRE
Il n y a pas de profit sans risques (COUCHOUD, 2004 : 57). Cependant, parler de matrise des
risques oprationnels dans le domaine bancaire est aujourd'hui la fois assez spcifique et complexe. {( La prise de conscience rglementaire de ce risque et les mutations du systme de surveillance bancaire qui s'en sont suivi, ont exacerbs la problmatique de la mise en uvre d'une plate forme de sa gestion. En effet, la quantification du risque oprationnel est sans doute le volet le plus difficile cerner du ratio de Mc DONOUGH. Les facteurs alatoires et incertains inhrents au risque le rendent, en effet, difficile valuer (DUFOUR, 2005: 38).
Les banques orientent donc, de plus en plus, leurs travaux vers la mise en uvre d'une dmarche formalise de matrise du risque oprationnel, base du calcul de rserves destines la couverture d'ventuels dsastres causs par ce risque. A cet effet, de nombreux textes ont t labors, notamment un texte du Comit de Ble en juillet 2002 prsentant la cartographie des risques comme faisant partie des bonnes pratiques pour le management et la surveillance des risques oprationnels.
Qu'entend t-on par cartographie des risques. Quels sont les dterminants de cette approche de gestion?
Il est certain que la mise en uvre d'une dmarche de cartographie des risques dans l'industrie bancaire est assez spcifique puisque l'on veut aboutir au calcul de fonds propres rglementaire afin d'atteindre une gestion optimale des risques. L'on est alors tent de se demander quelle dmarche explorer?
2.1- Le concept de cartographie des risques.

2.1.1Dfinition
La cartographie des risques est en pleine expansion dans l'industrie bancaire. Les multitudes de dfinition relatives ce terme tournent autour du mme objectif: une reprsentation visuelle des risques de l'organisation servant de support leur matrise. Selon DE MARESCHAL (2003 : 15), la cartographie des risques est un mode de reprsentation et de hirarchisation des risques d'une
)lnafyse tfUfU! lrnarcfie rie cartograpfiie les risques oprationnels /ans l lornaine 6ancaire: te cas rie anque le If'rance
ES"
organisation s'appuyant sur une identification des risques. Ces risques se voient ensuite attribuer des caractristiques (gnralement probabilit et gravit) qui permettent de les situer sur une carte. Cependant la dfinition de SONIGO & al (2001 :4) va plus loin. En effet, pour eux, cet outil permet galement la mise en uvre de contrles et de plans d'action permettant de palier les consquences des risques. CERNES (2004; 8), met en outre l'accent sur le caractre
translucide de la cartographie car elle laisse transparatre les tendances d'volution des risques,
les inquitudes et les proccupations qualitativement et quantitativement. Pour elle, cet outil met galement en exergue la fragilit du fonctionnement et les zones sensibles de l'organisation.
D'aprs cette dfinition assez large, nous pouvons dire que la cartographie des risques est la fois un outil de gestion des risques, d'allocation optimale de ressources et de communication.
III
Outil de gestion des risques: la cartographie des risques oriente l'entreprise vers l'amlioration
des contrle internes existants et la mise en uvre de nouveaux contrles et de plans d'action susceptibles de lui permettre une matrise des risques inhrents ses activits. Elle est de ce fait un appui la gestion des activits et du fonctionnement de l'organisation. On peut aller plus loin en la qualifiant de premire tape d'un ERM (Enterprise Risk Management) ou de premire phase de processus de gestion des risques pour une entreprise ne disposant pas d'ERM formalis (INGRAM, 2004 : 1).
III
Outil d'allocation optimale de ressources; la mise en uvre des plans d'action et des contrles
se fait au regard du ratio cot/rendement (SONIGO & al, 2004 : 4). La cartographie des risques permet donc d'viter le gaspillage de ressources par une rpartition optimale des ressources en fonction de la priorit des activits et de leur profil de risques (BELLUZ, 2002 : 6).
III
Outil de communication: la cartographie des risques est la fois un moyen de communication
et d'information des responsables et de la Direction Gnrale (RENARD, 2004 : 148). En effet, les responsables y adaptent le management de leurs activits. Elle permet de plus la Direction gnrale, avec l'aide des Risk Managers (RM), l'laboration d'une politique de risques s'imposant toute l'organisation.
La cartographie des risques ne peut donc pas se rsumer en une taxinomie des risques. Elle s'y appuie en l'approfondissant par l'analyse des dimensions des risques bruts (impact et frquence d'occurrence), la dtermination de risques rsiduels et de plan d'action permettant d'liminer ces risques rsiduels ou de les rapprocher d'un niveau cible. Son caractre volutif (par actualisation)
~nafyse l'une a.rcfie tU cartograpliie aes risques oprationnels
aans fe dOmaine 6aneaire : fe cas tU anque ae Pranee
lui permet de s'adapter tous les bouleversements environnementaux de l'organisation. Elle est donc utile aux oprationnels, leurs responsables, aux RM, l'Audit et la Direction Gnrale. Cet outil est en somme un encadrement dcisionnel et un facteur de stabilit de l'organisation (BEL LUZ, 2002 : 2).
Il convient ici de prciser que si la configuration et la prsentation de la cartographie sont dpendantes du type de risque, la dmarche de cartographie en elle-mme, n'en est pas fonction. En effet, hormis la nomenclature des risques qu'elle permet d'tablir, les phases de la cartographie ne devraient aucunement varier considrablement qu'on soit en situation de risques oprationnels, de crdit ou de march. De ce fait, tout au long de ce chapitre nous traiterons du concept gnral de
cartographie des risques et nous ne le cloisonnerons pas dans une catgorie de risque donne.
2.1.2Les motivations de l'laboration d'une cartographie des risques
L'objectif recherch en matire de cartographie des risques est la matrise des risques de l'organisation. Cependant des raisons plus spcifiques peuvent amener une banque utiliser la cartographie des risques plutt que tout autre outil de management des risques.
2.1.2.1Le plan d'Audit
Pour Jacques RENARD (2004 : 403), lorsqu'une cartographie des risques est tablit, elle constitue l'outil de mesure dont va s'emparer l'auditeur interne. La cartographie des risques permettant le pilotage de la gestion du risque en identifiant les domaines d'actions prioritaires (DE MARESCHAL, 2003 : 21), sert de base la programmation des missions d'audit. En effet, cet outil permet, par une confrontation entre l'opinion des oprationnels et de l'Audit, une rationalisation de la dmarche du dpartement d'Audit (.POTDEVIN, 2003 : 6 ; D'ALBRAND, 2003: 6).
2.1.2.2-
Un rfrentiel d'analyse des risques
La cartographie des nsques est tablit pour permettre autant aux responsables qu'aux oprationnels, d'avoir un rfrentiel en matire de risques. Pour D'ALBRAND (2003: 7), elle est une base car elle permet d'attester de la dmarche en matire de gestion des risques.
ClI)Jlttouo ~9ina P.mma !MJY.J{JI:MP.(]), 4Me promotion u :Mastre en t1:n,!ue et Pinance, cPSJlq
25
)fnaEyse d'une Jmarc/ie Je cart00raphie d'es risqUJ!S opraticnnefs d'ans le Mmaine 6ancaire : le cas d'e anque Je Prance
2.1.2.3-
La communication en matire de risques
Selon DE MARESCHAL (2003: 34), la cartographie des risques permet d'amliorer la communication des risques vers la Direction Gnrale. Les dirigeants l'utilisent pour matriser l'volution des risques cls susceptibles d'affecter gravement leurs activits et pour lesquels des actions prventives et correctives doivent tre menes (RICARDO 2003 : 6). Le reporting qui en dcoule les oriente dans leur prise de dcision. Elle reprsente galement un projet de partage du savoir entre responsables (SONIGO & al, 2001 : 1).
La cartographie des risques est, en outre, un outil de communication en externe (assurance,
administration, commissaires aux comptes, analystes financiers ... ). Elle permet en effet de rpondre la demande grandissante de transparence en matire de risques (DE MARESCHAL, 2003 : 6).
2.1.2.4-
La rglementation bancaire
La constitution de rserves pour la couverture des risques bancaires impose aux banques de
disposer d'outils aidant l'identification et la quantification des risques inhrents aux activits des banques. Les diffrentes approches dveloppes pour le respect de ces ratios sont facilites par un outil tel que la cartographie des risques car il reprsente une tape pralable en matire de gestion des risques (RISKPARTNER, 2005 : 3; DUFOUR 2005: 38-41). La cartographie des risques se prsente donc, comme une tape incontournable pour le calcul des fonds propres rglementaires.
2.1.2.5-
Les vnements de restructuration de l'organisation
Selon BELLUZ (2002: 2), une fusion ou une acquisition peut tre envisage pour des raisons diverses. Au cours de ces restructurations, le rajustement de l'effectif, la gestion des diffrentes cultures d'entreprises peuvent entraner des cots monstres et mener des faillites dans certains cas. La gestion des risques permet de minimiser les pertes et de maximiser les effets positifs des dcisions. Lors de ces vnements, une cartographie des risques doit tre tablit pour orienter des acteurs dans leur prise de dcision.
')lttouo <.Rigina P.mma :J,1CYJI)fSM.P.(}), f#hIe promotm tEu :Mastre en atUJ.tle et Pinance, (JES)l
26
)f.nafyse l'une amarclie ae canoerapliie ds risques oprationnelS Jans le aomaine 6ancaire: le cas ae tBanque tfe tf'rance
2.1.2.6-
Les pressions des gouvernements d'entreprises et Comit d'Audit
Dans un objectif de transparence et de regard port sur la viabilit de la banque, les gouvernements d'entreprise et Comits d'Audit peuvent pousser l'organisation tablir une cartographie des risques. Selon BARON (2001 :8), compte tenu du contexte mondial, ils exigent la mise en place d'une organisation et d'un traitement globaux des risques. Dans ce cadre, la cartographie des risques est susceptible de les guider vers les zones hauts risques ncessitant une attention particulire de leur part. Ils peuvent ainsi jouer leur rle qui est de veiller au bon fonctionnement du dpartement d'audit interne; de la qualit de l'information et du respect des rgles d'thique.
2.1.2.7-
Les autres motivations
Une banque peut galement tablir une cartographie des risques par effet de mode pour tre la pointe mthodologique en matire de gestion des risques.
Les raisons internes comme externes qui peuvent pousser un tablissement financier l'tablissement d'une cartographie des risques pour la matrise de ses activits sont nombreuses. La dmarche doit donc tre mene de manire scrupuleuse et prcise. Elle doit respecter des conditions indispensables sa russite.
2.1.3-
Les facteurs cls de succs d'une cartographie des risques
La russite d'une cartographie des risques est conditionne par certains facteurs (FONTUGNE &
al, 2001 : 9) :
a un soutien motiv de la Direction Gnrale; a des objectifs clairs et bien communiqus ;

tI tI
la dsignation d'un chef de file ; une quipe de travail de qualit;
a et la disponibilit des moyens
.f4nafyse une dmarclie d'e cartographie d'es risques oprationnefs d'ans Ce d'omaine 6ancaire: Ce cas d'e anque d'e iFrance
2.1.3.1~
Un soutien motiv de la Direction Gnrale
En temps qu'axe stratgique, la dcision d'application de tout outil de gestion des risques doit partir de la Direction Gnrale. Elle a de ce fait, une obligation d' appropriation de tous ces outils. Elle doit, en outre, faire comprendre et accepter sa politique de risque toute la banque et surtout aux vritables propritaires de ces risques (les oprationnels). Il est de ce fait, impratif qu'elle s'implique dans le projet de cartographie des risques afin de faire merger une vision consolide, hirarchise et partage des grands risques de la banque (MOREAU, 2002: 9).
2.1.3.2-
Des objectifs clain et bien communiqus
En matire de cartographie des risques, la dfinition des objectifs est un prrequis essentiel. Selon MOREAU (2002: 136), elle dtermine l'approche qui sera mene. La dfinition de ces objectifs intgre galement les motivations relles. Il convient donc de savoir ce que l'on recherche (FONTUGNE, 2001 :9). Une fois ces objectifs dtermins, ils doivent, en outre, tre parfaitement compris par le groupe de travail afin de favoriser une vision cohrente de la dmarche adopter.
2.1.3.3~
La dsignation d'un chef de file
Tout projet doit avoir un responsable. L'une des premires questions rsoudre en matire de cartographie des risques est le choix du cartographe, du chef de file ou du responsable de projet (RENARD, 2003 :100). Il peut tre un membre de la Direction Gnrale, le dpartement d'Audit ou le dpartement Risques.
2.1.3.4-
Une quipe de travail de qualit
La mise en place d'une quipe projet charge de piloter et de coordonner la dmarche de cartographie est indispensable (DE MARES CHAL, 2003: 34). Cette quipe doit tre ventuellement compose de responsables oprationnels ayant une meilleure vision des processus et activits de la banque, ainsi que de membres de la Direction Gnrale ayant charge d'adapter la stratgie de la banque et de prendre les dcisions en matire de politique de risque. L'intervention d'un cabinet de conseil externe l'organisation peut tre trs bnfique afin de
W)lttouo Ci/Bina P.mma !M(Y.}{)I!Mp'(]), P promotion du !Mastre en \Banque et Pinance, cPS)lq
28
jbwJyse 'unt. marcli4 e cartoorapliie es risques oprationnelS tians Ce omaine 6ancaire : Ce cas e (Banque e !France
faciliter et d'objectiver les dcisions (FONTUGNE & al, 2001 : 9; de MARES CHAL ; 2003 : 35 ; WALKER & al, 2003 :2).
2.1.3.5-
La disponibilit des moyens
L'quipe ainsi constitue doit pouvoir disposer de tous les moyens indispensables la russite du projet. Outre la mise disposition d'un capital humain dynamique et expriment, la cartographie des risques ncessite des fonds (budget) pour sa ralisation.
Il n'existe aucune dmarche standard de cartographie des risques. Cependant, soyons clairs ce niveau, il est question d'tapes cls d'laboration et non de profil de risques. Les dmarches de cartographie des risques s'intgrent, en effet, en gnral dans la culture et le fonctionnement de l'entreprise et sont plutt fonction d'autres facteurs, distincts du profil de risques, qu'il convient ici de prsenter.
2.1.4-
Les facteurs de spcificit d'une dmarche de cartographie des risques
Notre revue de littrature nous a pennis de dgager, sans prtendre l'exhaustivit, cinq dtenninants orientant les dmarches de cartographie : l'activit de l'organisation, les objectifs de l'entreprise, l'aversion aux risques de l'entreprise, les motivations de l'tablissement de la cartographie et la dlimitation de la dmarche.
2.1.4.1-
L'activit de l'organisation
Selon RENARD (2003, 100), il existe de nombreux modles de cartographie qui vont varier en fonction de l'activit exerce, mme si des constantes restent partout. En effet, une banque par exemple n'aura pas totalement la mme approche mthodologique qu'une autre catgorie d'entreprise car la cartographie des risques reprsentera pour elle, en autres, la base du calcul de fonds propres rglementaires.
)fnafyse aune amarclie ae cartoorapliie aes risques oprationnelS d"ans fe aomaine 6aneaire: fe cas J:e rBanque J:e Pranee
2.1.4.2-
Les objectifs de l'entreprise
Une stratgie de gestion des risques ne peut aboutir que lorsqu'elle est lie aux objectifs de l'entreprise (CPA, 2001 : 3). En effet, les objectifs stratgiques de l'entreprise dtennineront l'approche mthodologique de l'laboration de sa cartographie des risques. De ce fait elle doit tre en concordance avec le business plan de l'entreprise et varier en fonction de ses spcificits (WALKER et al, 2003 : 2).
2.1.4.3-
L'aversion aux risques de l'entreprise
Cette notion se rfre la facult d'une entreprise s'exposer d'elle-mme aux risques (WALKER et al, 2003: 1). Elle varie d'une organisation une autre (BELLUZ, 2002 : 6) et dtermine le niveau de tolrance aux risques (risques acceptables par l'entreprise) et de risque cible. Ces paramtres de ciblage et d'acceptabilit du risque sont des dtenninants des stratgies de matrise des risques.
2.1.4.4-
Les motivations de l'laboration de la cartographie des risques
Nous avons vu, dans les sections prcdentes, que plusieurs motivations peuvent susciter l'laboration d'une cartographie des risques (respect de rglementation professionnelle, activits d'audit interne ... ). Ces motivations dtennineront l'approche qui sera adopte ainsi que les diffrentes tapes d'laboration (LECLERC, 2003 : 6-9).
2.1.4.5-
La dlimitation de la cartographie des risques
Bien que les dfinitions de la cartographie tournent autour des mmes caractristiques, la dlimitation du processus varie d'un auteur un autre. En effet, pour certains auteurs, la dmarche s'achve par l'tablissement de la matrice des risques. D'autres assimilent la dmarche de cartographie des risques la phase initiale d'un ERM (par exemple, confrontation entre la conception de MOREAU (2000: 162-164) et celle de INGRAM (2004: 1. La perception du processus est donc galement un dtenninant des tapes de l'approche adopter.
CI)flttouo <JYoina P.mma ~O'J(JI.~P.([), 4- promotion
au ~astre en anque et Pinance, cPSfl(}
30
___ ...... _ __ ___ _...... _ _ ........... ____ __ ___ ___ _ _ ..... _ _ _--t 1ft. )f.nafyse l'une demarcfie d:e _ cartographie risques oprationnels d4ns re dOmaine 6ancaire: re cas d:e a~ d:e Prance ~.\.
aes
Aprs la prsentation des facteurs de spcificit d'une dmarche de cartographie des risques, l'on est tent de se demander comment critiquer une dmarche de cartographie des risques? A cette question l'on peut rpondre que comme pour tout outil de gestion, il existe un ensemble de bonnes pratiques permettant d'optimiser les rsultats escompts. De ce fait, il est possible d'tablir un rfrentiel en matire de cartographie, rsultat d'une consolidation des multitudes de dmarches existantes. Ce rfrentiel ne reprsenterait pas l'idal en matire de dmarche adopter mais s'en rapprocherait. La seconde section de ce chapitre sera donc consacre la mise en uvre d'une dmarche rfrentielle de cartographie des risques adapte une banque.
2.2- Proposition d'un rfrentiel en matire de dmarche de cartographie des risques

Cette section a pour objet la prsentation de notre modle d'analyse. Il s'agit en fait d'une proposition de dmarche rfrentielle de cartographie des risques inspire de l'exploration des approches les plus riches en la matire. Cette dmarche est en effet une consolidation des meilleures pratiques de cartographie, et plus largement, de gestions des risques dans divers domaines d'activit, adapte au secteur bancaire. Elle n'a pas la prtention de reprsenter l'idal en matire de cartographie des risques dans le secteur bancaire, mais souhaite s'en rapprocher.
Comme nous l'avons dj dit au dbut de ce chapitre, le type de risque n'est pas un facteur de spcificit de la dmarche adopter en matire de cartographie des risques. Ainsi, le rfrentiel que nous proposons pourrait tre adapt n'importe quelle catgorie de risques (crdit, oprationnel, march ... ).
Cette partie sera donc fractionne en trois phases. Nous prsenterons en premier lieu, la mthodologie de collecte et d'analyse de donnes ayant abouti l'laboration de notre modle d'analyse. Nous dfinirons ensuite notre dmarche rfrentielle; et nous achverons cette partie par l'explicitation de ses diffrentes phases et tapes.
2.2.1-
Mthodologie de collecte et d'analyse des donnes
Cette partie sera consacre la prsentation de notre chantillon d'analyse ainsi qu' l'explicitation de notre mthodologie d'analyse des donnes collectes.
ClI)Jfttouo l8Joina tEmma :M(Y.}{.ft!MtEV, P promotion
au :Mastre en anque et Pinance, (JESJf(]
31
jlnafyse d'une amarc/ tfe cartograpftie tfes risqUi!s oprationnefs tLzns fe aomaine 6ancaire : fe cas ae anqUi! ae Prance
2.2.1.1-
L'chantillon d'analyse
Notre chantillon d'analyse est compos de neuf dmarches proposes par divers auteurs dans divers domaines d'activit. Nous sommes aboutis notre rfrentiel par consolidation de ces diffrentes approches. En effet, la dmarche de cartographie des risques oprationnels du Crdit Agricole SA (COUCHOUD, 2004; 49-60), voluant dans le secteur bancaire, nous a servi de dmarche de base. Nous l'avons par la suite approfondi et enrichi par le biais de l'exploration de la perception de huit autres auteurs sur la dmarche de cartographie des risques. Notamment, nous avons, en premier lieu, tenu compte de l'approche de professionnels aviss en la matire :
a a a a
des consultants en risques (BODINE & al, 2001 : 2; BELLUZ, 2002: 1-7) ; des auditeurs (RENARD, 2004: 148; FONTUGNE, 2001 : 1-20); des assureurs (WALKER & al, 2003 : 1-8) un collaborateur de Dpartement Risques (DE MARESCHAL, 2003 : 1-50).
En second lieu, nous nous sommes inspirs de deux cas d'entreprise:
a a
France Tlcom (MOREAU, 2000: 162-164) ; et une rgie de rentes (MATTE, 2003 : 39-40)
Le tableau 2 (page 33) prsente la synthse mthodologique ayant permis la constitution de notre rfrentiel.
IDJlttouo Cf(IOla !Emma !M0'J{jl!M!E(]), P promotion du !Mastre en (Banque et Pinance, CPSJlq
32
AnaEyse d'une dmarcfie de canograpfiie des risques oprationneCs dans Ce domaine 6ancaire: Ce cas de !Banque de Prance
Tableau 2 : synthse des diffrentes approches mthodologique pour la cartographie des risques
~
WALKER &al
X
r
1
I~ PHASES
--------"--.-- -_.
ETAPES Analyse du contexte de l'tude Conception dmarche Etape pilote Identification et analyse de risques inhrents Evaluation et cotation des risques inhrents Identification valuation contrles existants et des internes de la
Crdit Alricole
DODINE &al
X
MOREAU
RENARD
MATrE
DE MARESCHAL
FONTUGNE
X
DELLUZ
Cadre de rfrence
1 --1
1
X X X X X X
Prparation
1 1 1
X X X
X X X
X X X
X X
X X X
X X X
X X X
Planification
Evaluation et cotation des risques rsiduels Etablissement matrice des rsiduels Action de la risques
X X
X X
X X
X X X
X X
X X
X X
1
X X X X X X
Etablissement et mise en uvre des plans d'action les Reporting sur risques rsiduels et les plans d'actions mis en uvre Vrification de la mise en uvre effective des plans d'action recensement des incidents et alertes conscutifs aux risques, dclaration de sinistres Amlioration dmarche de la
1
X X X X
Reporting initial
1
X X
Evaluation
I.~"'. d~ m,;de."
1
X X
1
X X X X X
Actualisation
Source: nous mme
)fttouo ~8ina CEmma !MOJ{)f!MCE([), 4me promotion u !Mastre en aTUJue et Pinance, cPS)fCj
33
Analyse "une tfmarcle d cartographie tfes risques opratitmneCs tians Ce tfomaine 6ancaire: Ce cas tfe <Banque d <France ~
2.2.1.2-
La mthodologie d'analyse des donnes
Cette section a pour objet de prsenter le processus d'analyse des donnes de notre chantillon ayant penuis l'laboration de notre dmarche rfrentielle. En d'autres tenues, nous y montrerons de manire prcise, comment nous avons consolid les dmarches de cartographie que nous avons explores et quels lments cls nous avons pris en compte. Nous montrerons, en effet, comment nous avons enrichi l'approche du Crdit Agricole afin d'aboutir notre rfrentiel.
A-
La dmarche de cartographie des risques oprationnels propose par le Crdit Agricole
L'objectif du Crdit Agricole est de transcrire la nouvelle rglementation de Ble dans un dispositif cohrent et efficace tourn vers l'usage. Cet tablissement de crdit a, de ce fait, opt pour la mise en uvre d'une approche dynamique commune toutes les entits du Groupe et qui se droule en quatre phases successives :
a. Une phase de conception et d'essai de la dmarche dans une caisse rgionale pilote.
Les enseignements tirs de cette phase penuettront la mise en uvre des phases qui concernent le dploiement effectif de la dmarche. b. L'laboration d'une premire cartographie des risques qualitative, participative (entretiens avec les responsables des units oprationnelles), progressive (description et inventaire des processus, cotation et hirarchisation des risques) et rsolument prospective (oriente vers les mutations futures de la banque). A ce niveau, il convient de mettre en exergue quatre tapes essentielles:
a la description des processus de l'entit concerne;
a l'identification/inventaire des risques et des vnements de risques; a l'valuation des vnements de risques en fonction de leur probabilit et impact; a et enfin leur hirarchisation.
c. La dfinition et la mise en uvre planifies d'indicateurs cls de suivi et de mesures de gestion
pour les risques majeurs identifis au travers de la cartographie des risques.
d. L'enrichissement de la cartographie par la mise en uvre d'une base de donnes incidents et

alertes conscutives aux risques.
flttouo ~lJina 'Emmo, ;M()'J{)fSM.'E(]), 4hM promotion du ;Mastre en anque et 'Finance, CPSflJ
34
)f.naEyse l'une tfmarclie tfe cart00rapliie tfes risques oprationnelS aans le rfomaine 6ancaire : le cas tfe anque e If'rance
Il convient de prciser que, durant tout le processus de cartographie des risques, le Crdit Agricole a mis en uvre un systme d'information permettant d'assurer un reporting fiable au management de la banque sur le profil de risque de celle-ci. Ce systme d'information est formalis par un tableau de bord priodique sur les risques oprationnels. Il permet un suivi des indicateurs cls de risques ainsi que la gestion du cot du risque sur la priode coule.
La dmarche propose par le Crdit Agricole n'a pas la prtention d'tre parfaite. En effet, mme si elle respecte globalement quelques tapes gnrales du processus de cartographie des risques, certains auteurs de notre revue de littrature ont propos des tapes complmentaires qui sont tout autant importantes. Afin d'aboutir notre rfrentiel, nous nous sommes appesantis sur certains lments susceptibles d'enrichir cette dmarche de cartographie.
B-
L'approche de DODINE et al (2001 :2)
Pour ces auteurs, la dfinition d'un contexte gnral (environnement, objectifs, attentes) est un pralable pour toute dmarche de matrise des risques. La dmarche de cartographie ne saurait donc se soustraire cette logique. De ce fait, en plus de l'approche dfinie par le Crdit Agricole, ils proposent la dfinition du cadre de rfrence de l'organisation (contexte gnral de l'tude).
c- Le dcoupage de l'activit (MOREAU, 2000 : 162-164 ; RENARD,2004 : 148)

La problmatique des meilleures pratiques en matire de cartographie des risques entrane
galement celle du dcoupage optimal de l'activit de l'entit qui permette une identification exhaustive des risques. A ce niveau, les avis divergent. Cependant, il convient de prciser que le dcoupage de l'entreprise est galement un pralable l'identification des risques.
D-
L'approche de MATTE (2003: 39-40)
Sans se soustraire aux tapes gnrales de cartographie des risques, MATTE (2003 : 39) prconise galement une phase de prparation (collecte de donnes) de la cartographie des risques. Les caractristiques de cette phase, l'tablissent la suite de phase de contexte. Cet auteur propose galement la mise en uvre d'un rpertoire gnral de risques (risques sectoriels par exemple) enrichi par l'identification de risques additionnels inhrents l'organisation.
)lttouo llYlJina 'Emma !M(YJ{jI!M'EID, 4J- promotion du !Mastre en <Banque et Pinance, CPS)lq
35
jlnafyse aune Ifmarcfie Ife cartograpfiie Ifes risques oprationneCs ans re Ifomaine 6ancaire: Ce cas Ife anque Ife (j'rance
~SIAGIIIIII
~~
E-
L'approche de FONTUNE (2001 : 1)
Certains auteurs trouvent assez difficile et peu pratique de procder l'identification de risques
brut c'est--dire nonobstant toute mesure de contrle existante (DE MARESCHAL, 2003 : Il).
Ils basent de ce fait leur dmarche sur une identification des risques rsiduels en prenant en compte l'valuation des contrles internes dj mis en place. En tout tat de cause, n'apparatront sur la cartographie des risques que les risques rsiduels. Cependant, pour FONTUGNE (2001 : 10), une approche plus complte est plus pertinente. En effet, il est en premier lieu, ncessaire d'identifier et d'valuer les risques bruts avant de s'appesantir sur l'valuation des risques rsiduels. Ceci conduirait une approche prenant en compte les deux niveaux de risques.
F- La gestion du risque cible (WALKER & al, 2003: 1-8)
Ces auteurs du monde de l'assurance suggrent un enrichissement de la dmarche de cartographie des risques par la dtermination et l'analyse du risque cible sur la base de la tolrance et du niveau d'acceptabilit des risques de l'entreprise. La comparaison entre ce niveau de risque et le profil de risque permettrait d'orienter les prises de dcision en matire de gestion des risques.
G-
La matrice des risques
Le terme cartographie recouvre l'tablissement d'une carte laissant transparatre la cotation et la hirarchisation des risques rsiduels; mais les avis divergent galement ce niveau. Le dcoupage simple en zones de risques (matrice classique) propos par WALKER & al (2003 : 2) et DE MARESCHAL (2003 : 46) est de plus en plus remplac par un dcoupage plus labor et plus fin tenant compte de l'aversion de l'organisation au risque (INGRAM et al, 2004 : 3 ; FONTUGNE, 2001 : lO).Cependant certains auteurs trouvent cette reprsentation encore assez simpliste. En effet, un article de l'universit de Kentucky9 propose que la matrice des risques laisse transparatre les dcisions prendre face au niveau de risques rsiduels. Toutes ces considrations (qui ne sont bien entendues pas exhaustives) amnent l'laboration d'une matrice assez complexe.
9 Cet article peut tre retrouv l'adresse suivante: www.wku.eduldeptisupportlfmadminlRISK20%MAPPING information sur sa date d'dition.
. Nous n'avons
malheureusement aucune
Cff) Jfttouo CJljOina CEmma ~(YJ{)f!.MCE(]), 4
me promotion
du ~astre en a1UJlU et Pinance, C'PSJfJ
36
,AnaLYse l'une d1:marc/ie rie cartographie ries risques oprationnefs aans Ce d'ornaine 6ancaire: Ce cas rie <Banque rie Prance
tP~
~~
H-
Une gestion visant l'excellence de l'exploitation par le dploiement d'un processus planification-action-valuation-ajustement (BEL LUZ, 2002: 1-7)
BELLUZ (2002: 1-7), sans se mettre en marge de la conception gnrale, propose en outre, une intgration de l'ensemble des tapes de la cartographie des risques au sein d'un processus quatre phase: la planification, l'action, l'valuation et l'ajustement. La phase de planification concerne l'identification et l'valuation des risques et des contrles internes. A ce niveau, l'auteur propose la conception d'une matrice d'analyse des lacunes aidant l'apprciation des dispositifs de contrles internes. La phase d'action, quant elle, reprsente la mise en uvre des plans d'action. Aprs cette phase il est propos un suivi de cette mise en uvre lors de la phase d'valuation et une actualisation de la cartographie en phase d'ajustement.
2.2.2-
Notre dmarche rfrentielle
L'analyse des donnes de notre revue de littrature nous a permis de dfinir une dmarche de . cartographie des risques compose de huit phases pour un droulement optimal du processus de cartographie des risques (cf. figure 2; page 38).
Jlttouo ~8ina P.mma fMJ{)l!MP.([), 4- promotion au fMastre en anque et Pinance, CPSJl 37
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .~ESA~
}f.nafyse {'une dtTUlrcfie de cartograpfiie des risques oprationneCs dans Ce dOtTUline 6ancaire: Ce cas de anque de Prance .6~
Fieure 2 : notre dmarche rfrentielle de cartograohie des risques
~
~/~::::::::::::::::~a~
1
Prparation
=1 ~I
."r........D_.fi.. n.. it.io ..n_d.u.. c .. a.. d.r.. e.d.e.r..f.r.e.n.c.. e _ _. . .
__________C_o_n_c_ep_t_io_n_d_e_l_a_d__m_M_c_h_e________~
Etape pilote
Planification
Identification et analyse des risques inhrents Evaluation, cotation des risques inhrents Identification et valuation des contrles internes existants Evaluation et cotation des risques rsiduels Etablissement de la matrice des risques rsiduels
Action
,
Actualisation
101IIII
Reporting initial au M_a.na.g.e.m.e.n.t_ _ _...
O
r
- - - - -
~----------------------------~/ Evaluation de la mise en uvre effective des

plans d'action
suite -.--~.~
La gestion des incidents
L _____________________ .-
.
Prise de dcision I l
Lien
de
=="'..
~ Lien dcisionnel
Source: nous mme
Jlttouo 1?Jgina tEmma :MO'J{jfSMtE(]), 4me promotion du :Mastre en anque et Pinance, CPSJlq
38
)lnIlfyse ({'une imarclie Ife cartographie d'es risques oprationnelS d'ans le d'(}tII(line 6ancaire : le ca.s Ife anque Ife !France ~'\.
Aprs avoir constitu notre modle d'analyse, nous pouvons prsenter le contenu que nous donnons aux phases et tapes le composant. Cette dernire section de notre cadre thorique aura donc pour objectif de mettre en exergue le cadre mthodologique de notre dmarche rfrentielle ainsi que le contenu dtaill de chacune de ses phases.
2.3- Les diffrentes tapes de notre rfrentiel de dmarche de cartographie des risques.
Nous ne saurions commencer la prsentation de notre dmarche rfrentielle sans avoir dfini le cadre mthodologique de son dploiement. A ce niveau, il convient de se demander comment mener l'analyse et quelle hirarchie adopter.
2.3.1-
Le cadre mthodologique
Nous nous intresserons principalement deux aspects: l'option analytique et la hirarchie mthodologique.
2.3.1.1-
L'aDalyse
Il convient pour une analyse plus pertinente, de combiner, quand les donnes disponibles le permettent, l'approche qualitative propose par le Crdit Agricole (COUCHOUD, 2004 : 49-60), une approche purement quantitative (incidents, donnes historiques de pertes, dclaration de sinistres ... ) afin d'objectiver la dmarche. L'on obtiendrait ainsi une analyse des risques intgrant
la fois des donnes chiffres et une apprciation du niveau de vulnrabilit de l'entreprise tel que
le peroivent ses diffrentes parties prenantes (BELLUZ, 2002 : 2). Nous adopterons donc cette option pour le dploiement de notre dmarche rfrentielle.
2.3.1.2-
La hirarchie mthodologique
Aucune hirarchie n'est parfaite pour apprhender le processus de cartographie des risques. L'approche des partisans de DESCARTES (<< bottom-up ) est base sur le principe selon lequel les oprationnels tant les plus proches de l'activit de l'organisation, ils doivent tre les premiers acteurs impliqus dans le processus de cartographie des risques. La chane d'intervention doit
}lttouo <8j1JUl P.mma :MO'J{}l!MP.(]), 411u promotion
au :Mastre en (}Janque et Pituzn.ce, (!FS}l
39
jlnafyse tf'Utul dmarcle de cartograpliie des risques oprationnels dns ft domaine 6ancaire; ft cas de anque de Prance
..
ensuite suivre de faon ascendante la ligne hirarchique jusqu'au sommet (RENARD, 2003 : 100). Les mules de PASCAL, adeptes d'une approche plutt top-down , sont d'avis que la dmarche de cartographie des risques doit partir du sommet hirarchique, d'o sont perus tous les risques, y compris les risques stratgiques et les tendances d'volution. Les risques identifis peuvent ensuite tre dclins en allant du gnral au particulier (oprationnels) (DE MARES CHAL, 2003 : 16). Cependant, beaucoup d'auteurs sont conscients que la meilleure dmarche est celle qui concilie les deux attitudes. De ce fait, nous prconisons cette dernire approche.
Ayant prsent le cadre mthodologique du processus de cartographie des risques, nous pouvons aisment faire la proposition des tapes qui constituent notre rfrentiel.
2.3.2-
Explication des diffrentes tapes de notre rfrentiel
Comme cela peut se percevoir dans notre synthse, certaines tapes sont communes plusieurs auteurs. Il convient cependant de prciser, ce niveau, que les visions de ces tapes peuvent diverger malgr leur appellation commune (le concept d'identification des risques inhrents peut diverger d'un auteur un autre). Cette section a donc pour objet de prsenter notre perception des diffrentes tapes de la cartographie des risques qui n'est, en fait, qu'une consolidation des diffrentes approches des auteurs de notre revue de littrature.
2.3.2.1-
Le cadre de rfrence
Cette premire phase de la cartographie concerne la dfinition du contexte de l'tude. On s'intresse, en effet, au micro et au macro environnement de l'organisation, ses cibles et ses objectifs stratgiques (BODINE, 2001 :3). De ce fait, il est recommand que cette phase soit oriente par le business plan de l'organisation, s'il en existe un (WALKER & al, 2003 : 2). Lors de la dfinition du cadre de rfrence, il est enfin trs important de dfinir les indicateurs de cration de richesse (indicateurs de croissance, d'efficacit et d'efficience) (FONTUGNE, 2001 : 6), le niveau d'acceptabilit du risque et le niveau de risque cible vis par l'organisation. Du cadre de rfrence, va dpendre la cohrence de toute la dmarche dploye.
C~ flttouo 'Rjgina <Emma :M(YJ{)f!M.<E(J), 4me promotion du :Mastre en anque et Pinance, CPSfl(}
40
)fnafyse "une mardie de cartographie es risqzus oprationnefs Ilns f.e omaine 5ancaire: f.e cas e anque e r.France
2.3.2.2-
La phase de prparation
Cette phase qui suit celle de dfinition du contexte concerne la mise en place des fondements de la dmarche. Elle se compose de ce fait de deux tapes successives. La conception de la dmarche et son enrichissement par les enseignements tirs lors de son essai sur une entit pilote.
A-
La conception de la dmarche
Cette tape passe tout d'abord par une recherche documentaire sur les meilleures pratiques en matire de gestion des risques et de cartographie des risques dans un objectif de benchmarking amlior (MAITE, 2003 : 39). Aprs la collecte de donnes, on peut aisment concevoir un projet de dmarche. Cependant, au pralable, on doit convenir du dcoupage de l'activit. A ce niveau,les possibilits sont nombreuses. En effet, on peut dcider d'un dcoupage par mtier, processus, activits, tches ... A ce niveau, nous pensons toutefois qu'il est plus pertinent d'opter pour un dcoupage en processus car son arborescence prend en compte la fois les activits et les tches (lNSIGHT, 2003: 2; MOREAU, 2000 :163). Cette sous-tape est trs importante car elle est dterminante pour l'identification et l'valuation des risques de l'organisation. Une fois le dcoupage de l'activit opr, on dfinit une dmarche globale essai qui fera par la suite l'objet d'exprimentation afin de pouvoir la peaufiner en fonction des caractristiques de l'organisation.
B-
L'tape pilote
Cette tape concerne le pr dploiement de la dmarche essai au sein d'une entit pilote (COUCHOUD, 2004 : 50-51). Les difficults et enseignements tirs serviront d'enrichissement de la premire dmarche. Ils pourront mme entraner une rorientation de la dmarche si cela est ncessaire. Cela vite le gaspillage de ressources entran par la mise en uvre d'une dmarche non efficace, non cohrente avec les motivations de l'tablissement de la cartographie des risques ou encore non adapte l'organisation. A l'issue de l'tape pilote, une dmarche dfinitive de cartographie sera labore et dploye toute l'organisation.
)lruzfyse l'une rimarche rie cartographie ries risques oprationnefs tlns Ce riomaine 6ancaire: Ce cas rie ,Banque rie rFrance
2.3.2.3-
La phase de planification
La phase de planification concerne le dbut de la mise en uvre effective de la dmarche de

cartographie des risques. Elle est la phase la plus importante du processus de cartographie des risques car de sa bonne mise en uvre va dpendre toutes les prises de dcisions en matire de gestion des risques. Certains auteurs assimilent d'ailleurs ( tort) cette phase l'ensemble du processus de cartographie. Il n'en demeure pas moins que tous sont d'accord sur la ncessit de sa mise en uvre efficace. Pour nous, cette phase comprend: a l'identification et l'analyse des risques inhrents; al' valuation et la hirarchisation des risques inhrents; a l'identification et l'valuation des contrles internes existants; al' valuation et la priorisation des risques rsiduels ;
Il l'tablissement de la matrice des risques rsiduels.
Comme toutes les phases suivantes, sa mise en uvre est fonction des enseignements tirs en phase d'essai.
A-
L'identification et l'analyse des risques inhrents
Rappelons que les risques inhrents sont en fait les risques bruts d'une activit c'est--dire les risques auxquels il n'a t appliqu aucune mesure de contrle interne.
L'objectif de cette tape est de s'approcher le plus possible de l'exhaustivit. Il peut tre trs utile de commencer par un listage de tous les risques inhrents au secteur d'activit de l'organisation. En ce qui concerne les risques oprationnels du secteur bancaire, on pourrait ventuellement s'inspirer de la typologie propose par le Comit de Ble (AMD, 2005 : 6). Cette check-list sera par la suite analyse afm de dterminer les risques se referant l'activit de la banque (INGRAM, 2004 :2 ; RENARD, 2004 : 148). Cette approche qualifie par BAPST (2003 : 2-3), d'approche risque par
alas possibles doit cependant, obligatoirement tre complte par une identification plus prcise
des risques inhrents au niveau de chaque unit de dcoupage. A ce niveau, on pourrait percevoir, les risques comme des menaces aux actifs crateurs de valeur, des entraves l'atteinte des objectifs BAPST (2003 : 2-3), des menaces sur l'environnement prsent et futur de l'organisation (David MCNAMEE: 1998: 30) ... Cependant cet ordre n'est pas fig. En effet, l'identification des risques
~)
}tttouo ~1Ul tEm11Ul !MaJ{}t!MtE(/), 4me promotion du !Mastre en anque et Pi1Ulnce, CPS}tq
42
)fnatyse "une timarclie tie cattolJrapliie ties risques oprationnefs J'ans ft tiomaine 6ancaire: ft cas tie a.1UJuc tie IFrance .t~
au travers d'une check-list peut galement venir en appoint des autres approches (menaces l'environnement, hypothses ... ) (BAPST, 2003 : 3). En outre, on pourrait, de faon plus centrale, s'appuyer sur la catgorie pertes et profits du compte de rsultat lO afin de dterminer les sources des incidents chiffrs, dans le but d'enrichir les autres approches. A la fin de l'tape d'identification, un rpertoire des risques inhrents l'activit de la banque sera dfini.
L'tape suivante, et non moins importante, concerne l'analyse de chaque risque. En effet, l'on cherche comprendre le risque; c'est--dire dterminer les vnement internes et externes de risques (INGRAM, 2004 : 2 ; COUCHOUD, 2004 : 55) ainsi que leurs causes, et les indicateurs cls de risques. Cette phase est un prlude l'tape d'valuation des risques.
B-
L'valuation et la hirarchisation des risques inhrents
Cette seconde tape de la phase de planification est relative la dtermination des caractristiques de chaque risque aboutissant la hirarchisation des risques inhrents.
::} L'valuation des risques inhrents
Il s'agit en fait de la quantification des dimensions de chaque risque. En la matire il est plus judicieux de s'intresser la probabilit du risque (frquence d'occurrence) et l'impact du risque (svrit de ces consquences sur l'organisation en cas de manifestation) (COUCHOUD, 2004 : 55; DE MARES CHAL, 2003: 37). Les paramtres prendre en considrtion sont la culture du personnel, l'expertise de l'entreprise, son exprience dans son domaine d'activit, l'volution de son micro et macro environnement, les systmes d'information ... (INGRAM, 2004 : 2 ; MOREAU, 2000 : 163). Il serait plus efficace, quand les donnes internes et externes le permettent, de procder une combinaison des approches qualitatives et qualitatives. Autrement dit:
a. L'valuation de la probabilit peut, de ce fait, se faire par l'exploitation des donnes de pertes ou encore des taux de dfaillances par le biais de modles statistiques cherchant mettre en exergue la relation risques/rendement (CERNES, 2004: 8; INGRAM, 2004: 2). On peut
10 Cette catgorie du compte de rsultat, conformment aux principes de surveillance permanente (CRBF 97-2), recense une partie des incidents lis aux risques oprationnels.
cr;,
)fttouo ~Bina .Emma :M(YJ{)f!M.EV, 4t:me promotion du :Mastre en anque et Pitulnce, CPS)f(j
43
}fnafyse ({'une dmarc/e de cartographie des risques oprationnelS dans te domaine 6ancaire: te cas de anque de Prance
galement procder une analyse plus subjective par apprciation de la vulnrabilit de l'entreprise face son environnement externe. b. L'apprciation de l'impact du risque peut tre obtenue par l'exploitation de donnes de pertes ou autres consquences ngatives dj survenues dans l'organisation. A ce niveau on pourrait se baser sur la catgorie pertes et profit des comptes de rsultats les plus rcents. Cependant on peut, de manire plus subjective, procder des prvisions en fonction de l'environnement interne et externe de la banque (COUCHOUD, 2004: 55). On pourrait enfin, explorer une approche qualitative par apprciation du niveau de svrit par les parties prenantes de la banque (INGRAM, 2004: 2; BODINE, 2001 :4; BELLUZ, 2002: 3).
Les rsultats de l'valuation des dimensions permettront de dfinir une chelle cohrente de quantification (impact/probabilit fort ou faible), support de la hirarchisation des risques.
=> La hirarchisation des risques inhrents

Il s'agit d'un classement en fonction du score de chaque risque inhrent. Ce score est obtenu par le produit de ses dimensions. C'est donc une combinaison de tous ses paramtres. La hirarchisation des risques est tablie par le biais des chelles dfinies en tape d'valuation (INGRAM, 2004, 3 ; WALKER et Al, 2003: 3) et en gardant en mmoire le seuil de tolrance aux risques de l'organisation ainsi que son risque intrinsque (risque maximum possible) (RENARD, 2004: 150). Il n'est cependant, pas pertinent de maintenir la hirarchisation des risques inhrents telle qu'elle. Elle doit en effet, tre affine par l'apprciation des contrles internes ayant dj t mis en uvre pour la rduction des effets de ces diffrents risques.
c~
L'identification et l'valuation des contrles internes existants
L'identification des contrles internes existants}} est la mise en exergue de tous les contrles qui ont t mis sur pied pour pallier les consquences ngatives des risques avant la conception de la cartographie des risques. Il s'agit en fait d'un listage de ces contrles de la manire la plus dtaille et la plus prcise possible. On s'interroge gnralement sur les objectifs de ces contrles (prvention, dtection ou correction), le risque inhrent couvert, leur mode de fonctionnement, le dpartement (ou le responsable) en charge de leur mise en uvre leur suivi, leurs facteurs cls de succs et indicateurs de performance.
flttouo (]lJa ina CEmma !MCYJ{jf!MCE(]), 4- promotion u !Mastre en CBanque et Pinance, cPSfl9 44
jlnafyse aune lfmarcFie Ife canograpFiie Ifes risques oprationnels tians Ce Ifomaine 6ancaire: Ce cas Ife rBanque Ife Prance tt~
La complexit de cette tape prend, cependant, tout son sens lorsqu'il est question d'valuation des contrles internes existants, autrement dit de rapprochement de ce qui est fait en la matire ce
qui devrait tre fait (WALKER et al, 2003 : 6). A ce niveau, une approche qualitative est plus
pertinente. Mais en ralit, la problmatique est de dfinir les critres d'valuation des contrles internes. On peut citer :
... l'efficacit (COOPERS & al, 1994: 107; BELLUZ, 2002 : 6) : la capacit du contrle jouer pleinement son rle et atteindre les rsultas pour lesquels il est mis en uvre; ... la pertinence (IF ACI, 2003 : 20) : utilit du contrle. On s'intresse au rapport cot/utilit;
... la fiabilit (IF ACI, 2003 : 20) : la capacit du contrle fonctionner correctement de faon permanente ; ... la qualit de la conception et de la mise en uvre (BELLUZ, 2002 :6) ; ... ou encore, l'efficience (FONTUGNE, 2001: 12):
il
s'agit
du
rapprochement
cot/rendement/dlais d'obtention des rsultats.
Comme les risques inhrents, les contrles internes se voient attribuer des cotations sur la base de leur valuation (5 : adquat, 1 : non adquat, 5 : efficace, 3 : moyennement efficace, par exemple). L'chelle de cotation peut varier, par exemple de 1 5 Il (FONTUGNE, 2001 : 12; IFACI, 2003 : 10). L'apprciation des contrles internes existants devrait, en outre, tre enrichie par une apprciation du dpartement audit interne pour plus de pertinence et d'objectivit (WALKER & al, 2003 : 6; RENARD, 2004: 404-413). Les outils gnralement utiliss en la matire, sont les questionnaires de contrles internes (cf. annexe 3, page IV), les jeux d'essai, les progiciels d'audit (CNCC, 1992 : 95), la feuille de rvlation des risques, etc.
L'apprciation des risques inhrents et des contrles internes permettra d'valuer et de prioriser les risques rsiduels sur lesquels s'appliqueront toutes les stratgies de gestion des risques.
D-
L'valuation et la priorisation des risques rsiduels
Comme leur nom l'indique, les risques rsiduels sont les risques qui subsistent aprs application des procdures de contrle. Cependant, on est tent de se demander: comment combiner l'valuation
Il 1- inexistante, 2- insuffisante, 3- adquate, 4- trop importante, 5- exagre.
a,
)fttouo (]ijtJina fEmma ::M(Y.){)f::MfE(]), 4ttu promotion du ::Mastre en (}Janque et Pinance, (!ES)f(}
45
jfnafyst l'uru aimarc6t fk carrograpliie au risquu opbutiontuls tlal'tS UtWmaru 6ancaill' : U (ilS Ife <BallqUt tif 'frunce .f:~
des risques inhrents et celle des contrles internes afin d'aboutir une apprciation des risques rsiduels?
A ceUe question, nous pouvons rpondre que du fail de l 'apprciation du contrle interne dont elle tient compte, J'valuation du risque rsiduel est gnralement qualitative. L' IFACI (2003: 10) propose ce niveau , une approche d'valuation selon la fannule suivante: IDsque rsiduel
impact rsiduel x probabilit rsiduelle (impact inbrent x probabilite inhrente) 1 evaluation du contrle interne
11 peut galement tre tabli une matrice d' analyse des lacunes pour l'valuation des risques
rsiduels (BELLUZ, 2002 : 6). Cette matrice con fronte le profil de risques inhrents et l'efficacit des contrles internes. De la situation du risque rsiduel sur la matrice dcoule son valuation (comme le montre la figure 3, page 46).
Figure 3: la matrice d' analyse des lacunes
1 '.,,,,,,.,
~_~'
.!.-'..1
Moyenne
Eleve
Tr es failli e
Faible
Moyen
Ekv
Tm lev
Source: BELLUZ (2002 : 6)
NB : " valuation du risque rsiduel rapproche au risque cible peut permettre, par effet rtroactif,
une rvaluat ion du contrle interne (s ur-contrl ou appropri).
Le tenne
prioritizing ou priorisation concerne la dfinition des priorits de gestion en fonction
de la cotation el de la hirarchisation des ri sques rsiduels. Ils sont donc cots selon les mmes modalits que les risques inhrents (mais spcialement sur la base d'une chelle qualitative (extrme, lev, moyen, faible, par exemple). Le scoring permet la hirarchisation des risques
rsiduels. A ce niveau, il est important de prendre en considration Je seuil de tolrance aux risques
CI) ;fttouo tJ?ieinD rEmfM '.MCYJ{)t'M."ErD, tF- prorrwtion fiu 9rl.asUre en anque et 'Finance, ePS/Hj
46
jfrlafySl unl amarrfie al canoorapnit u risques opimtionneCs aflS ornaine 6ancai,., : le cas ae f&Jnque Ji lfmnu ~~
de l'organisation dfini au niveau du cadre de rfrenc e. L'on aboutit la fin de cette tape un classement des ri sques rsiduels par priorit d' action (< prioritizing ).
E- L' tab lissement de la matrice des risques
La matrice des risques reprsente l' image des risques de l' organisation un instant donn (MArTE,
2003 : 39). Elle n' est en fait que la matrialisation de la hirarchisation des risques rsiduets opre
lors de J'tape prcdente. Elle doit, de ce fait, revtir les caractristiques suivantes:
'" un dcoupage labor semblable celui propos par fN GRAM (2004 : 3) ~

h
e l Wle
prsentai ion, en fonction des zones de ri sques, des choix oprer en matire de gestion
des risques (cf. figure 4, page 47).

Impllet rsiduel
Figure 4 : la matrice des risques
\IIIOU 11Il1ll1<lI,lh' , ,1
,'\ ,Ii ,
RH~' .I\I.lio"
."".t'llt, t IccCpltr
faible
Moyen
Probllbilit risiduellc
Source : nous mme partir d'un article de l'Universit de KENTUCKY, de WA LKER el AI (2003 : 2-4), INGRAM
II (/004 , 3)
Une fois la matrice tablie, (es risques critiques de chaque processus el en gros de l'organisation sont mi s en exergue. Le risque intrinsque ou risque maximum possible (RENARD, 2004 :149) est egalement visible. Cela pennet une orientation des prises de dcisions.
(If)
)fttouo !J?i911za :mttUl 9tf.OJ{j1.'MP/D, 4hne promotion u 9tf.astre en atUl'u et Pinance, C!ES}t
47
)fnaCyse aune amarcfie ae cartograpfiie aes risques oprationnefs d'ans Ce aomaine 6ancaire: Ce cas ae anque ae !France ~.~
ESAC.
2.3.2.4-
La phase action
Cette phase concerne la mise en uvre de plans d'action afin de grer les risques cartographis en fonction des ressources disponibles (MATTE, 2003 : 39). Les mesures prendre sont fonction de la position du risque rsiduel sur la matrice et du niveau du risque cible. On peut gnralement regrouper les dcisions de gestion des risques en quatre options (BODINE, 2001 : 5 ; WALKER & al, 2003 : 5) :
110
viter le nsque s'il ne s'est pas encore manifest et, le cas chant, l'liminer par la multiplication des actions correctives;
110
modifier les paramtres du risques (probabilit ou impact) afin de le prvenir ou le rduire en cas de manifestation effective;
110 110
transfrer le risque par le biais de l'assurance ; accepter le risque. Cette dernire option est surtout valable pour les nsques de mveau relativement faible et qui offrent des opportunits considrables. Il n'est en effet pas du tout question d'une surveillance excessive des risques jusqu' la perte d'occasions de cration de valeur.
La phase d'action ncessite un arbitrage entre l'esprance d'conomie de cot rsultant des mesures proposes et le cot de la mise en place et de la maintenance de ces mesures, selon les orientations stratgiques de l'organisation (COUCHOUD, 2004 : 53).
2.3.2.5-
Le reporting initial
Le reporting concerne la premire remonte, aux hautes instances de l'entreprise, d'informations relatives aux risques rsiduels et aux plans d'action pour lesquels on a opt. Il prsentera de ce fait, les tableaux d'valuation des risques inhrents et rsiduels ainsi que la matrice des risques. Les actions permettant de ramener le niveau de chaque risque rsiduel au risque cible seront galement mis exergue (FONTUGNE, 2001 : 1). Le reporting orientera les premires dcisions en matire de gestion de risque et sera relay plus tard par un reporting priodique permanent (suivi permanent).
OI) )fttouo fJ<ioina lEmma 9rlOJ{)f9rllE<D, 4
me
promotion du 9rlastre en anque et Pinance, CPS)fq
48
}I.nolyse aune tfmarclie de cartographie aes risques oprationnefs dns k aomaine 6ancaire : k cas de anque ae Prance
2.3.2.6-
La phase d'valuation
Cette phase concerne le suivi de la mise en uvre effective ainsi que la premire valuation de l'efficacit des plans d'action. Elle est donc fonction des dcisions suscites par le reporting initial (BELLUZ, 2002 : 3). Il convient, en premier lieu, de dfinir les indicateurs de suivi de la mise en uvre et de l'efficacit des plans d'action (BAPST, 2001 : 14) et, en second lieu, de s'interroger sur l'efficacit des plans d'action sur la base de ces indicateurs (WALKER & al, 2003: 7). Les erreurs d'application sont donc identifies et analyses et les plans d'action inappropris sont remplacs par des stratgies meilleures. Cette phase n'est en fait qu'un prlude un suivi permanent venant enrichir les donnes de risques.
2.3.2.7-
L'actualisation de la cartographie
Le micro et le macro environnements de l'organisation tant en perptuelle mutation, l'univers du risque qui leur est rattach l'est galement. La mise en uvre d'une premire cartographie des risques doit tre absolument complte par celle d'un processus d'actualisation. Le concept d'actualisation concerne toute action permettant une mise jour de la cartographie afin de l'adapter au profil de risque volutif de l'organisation. Cette phase regroupe, ds lors, deux concepts cls: celui de suivi priodique des risques et celui de ritration complte de la dmarche de cartographie.
A-
Le suivi priodique des risques
Il s'agit du suivi de l'volution du profil de risque de l'entreprise. Il a pour objectif d'informer le management des volutions ventuelles des risques rsiduels rpertoris et des apparitions de nouveaux risques en vue d'amliorer la politique de risques. L'volution du niveau des risques rsiduels tant fonction de l'efficacit des plans d'action mis en uvre, cette tape complte la phase d'valuation. Le suivi priodique des risques se matrialise donc par :
a. le suivi des risques inhrents au travers d'indicateurs de risques, signaux de la prsence de risques (AMD, 2005 : 4) ; b. le suivi des contrles internes au travers des indicateurs de performance dfinis en phase de planification (WALKER & al, 2003 : 7) ;
CI}
;4.ttouo f.RJgina tEmma ;M()'}{)f9dtEtJJ, 4me promotion
au ;Mastre en anque et Pinance, (JES;4.(j
49
----------------------------------------------------------------------~~.~
Les deux premiers suivis sont des supports de la surveillance des risques rsiduels au travers d'indicateurs cls de risques tenant compte des caractristiques des risques inhrents et des contrles internes.
}fMfyse d'une marcfie ae cartograpfiie aes risques oprationnefs
aans Ce aomaine 6ancaire: fe cas tie anque tfe Cf'rance
c. une vritable gestion des plans d'action ne se limitant pas uniquement une premire valuation (phase d'valuation) mais s'tendant un suivi permanent de leur volution. Cette gestion est faite au travers des indicateurs de performance dfinis en phase d'action (WALKER & al, 2003 : 6-7).
Le suivi permanent permet d'acclrer le flux d'information remont au Management afin d'amliorer les prises de dcisions au fur et mesure de l'volution du profil de risque de l'organisation.
B-
La ritration de la dmarche de cartographie
Pour beaucoup d'entreprise, le suivi permanent, lui seul, permet d'assurer par effet de surveillance, une mise jour correcte de la cartographie des risques. Cette vision est un peu simpliste, car du fait de la complexit et de l'volution permanente des risques (et plus particulirement des risques bancaires), une remonte d'information, mme trs frquente, ne saurait assurer une mise jour optimale de la cartographie des risques.
Il convient, en outre, pour une optimisation, des rsultats escompts, de reprendre le processus de cartographie des risques en entier, au moins une fois par an, afin de permettre une gestion plus active des risques de la banque (DE MARESCHAL, 2003 : 50 ; INGRAM, 2004 : 3).
2.3.2.8-
La gestion des incidents
La collecte d'incidents concerne l'alimentation d'une base de donnes pertes (loss data) internes et externes (incidents constats dans le secteur d'activit). Le rpertoire de donnes historiques d'incidents, enrichi au fil des annes, constitue une source prcieuse d'information permettant d'objectiver et de peaufiner la cartographie des risques. Le processus de gestion des incidents ne devrait, cependant, pas tre confondu celui d'actualisation. En effet, mme si elle est un support considrable d'une objectivisation de la quantification des risques et de gestion du cot du risque, la
~ jtttouo !l(iaina. CEmma !M(YJ{jf!MCE(]), 4me promotion du !Mastre en anque et Pina.TUe, CPSjtJ 50
)Inalyse d'une ({marclie fie eartogmpliie fies risques oprationnefs ({ans Ce fiomaine 6aneaire: Ce cas fie (Banque fie Pmnee ~~_
gestion des incidents est galement un support de la dmarche qualit. Elle permet, en outre, d'tablir une approche statistique pour le calcul des fonds propres rglementaire dans le cadre du ratio de Mc DONOUGH (DUFOUR, 2005 : 39).
2.3.2.9-
Un systme d'information sur les risques
Du fait de l'volution rapide des profils de risques, l'un des facteurs dterminants de l'efficacit d'une dmarche de cartographie rside dans les dlais de la mise en uvre des dcisions de gestion qui en dcoule. Toutes les tapes de la dmarche de cartographie des risques doivent donc tre soutenues par un systme d'information 12 permettant de rduire les dlais de traitement des risques et des plans d'action et d'automatiser, de ce fait les prises de dcisions. Nous proposons donc:
ta l'implmentation d'un logiciel de cartographie des risques adapt la banque (AMD,
2005 : 7) ;
ta la mise en uvre d'un tableau de bord de suivi et de gestion des risques et des cots du
risque (BAPST, 2001 : 12, COUCHOUD, 2004: 52).
La cartographie des risques est certes un outil moderne de gestion des risques, son efficacit et l'efficience des rsultats qu'elle permet d'tablir ne peuvent rellement tre perceptibles qu'au travers d'une reprise continue du processus au moins une fois par an. Ce cycle permettrait non seulement, une meilleure matrise du profil de risque de la banque mais galement, une amlioration perptuelle de sa politique de risques oprationnels. L'on passerait donc d'une photo
(cartographie initiale) un film (volution des risques de la banque) (DE MARESCHAL, 2003 :
50).
12 On peut dfinir le systme d'infonnation comme un ensemble d'activits qui saisissent, stockent, transforment et diffusent les donnes sous un ensemble de contraintes appeles l'environnement du systme (RNARD, 2003 : 20).
W )fttouo <J{igtna 'Emma 9rtOJ{)I9rt'E(}),
4me promotion u 9rtastre en (}Janque et Pinance, ES)f}
51
--------------------------------------------------------------------------..~
Conclusion
Notre revue de littrature nous a permis d'avoir une vue plus prcise de la gestion des nsques oprationnels bancaires. Nous avons pu nous rendre compte que pour contourner la contrainte dfinitionnelle de ce risque, il fallait l'apprhender au regard d'une analyse du couple facteurs/consquences. Cette analyse qui ne limiterait pas l'tendue des problmatiques concernes, permettrait, en revanche, une gestion plus efficace du risque oprationnel.
)tnaEyse aune amarcfie ae cartograpfiie aes risques vprationneCs ans Ce aomaine 6ancaire: Ce cas d anque ae <France ~.\..
C'est au regard de tout ce qui prcde, que notre exploration et notre synthse mthodologique des meilleures pratiques en matire de cartographie des risques oprationnels, nous ont permis d'tablir une dmarche rfrentielle qui cerne l'ensemble du primtre et des paramtres du risque oprationnel. Le calcul de fonds propres rglementaires n'en est que facilit.
Ce rfrentiel sera donc, en gardant en mmoire qu'il ne peut tre parfait, notre outil d'analyse de la dmarche dploye par la Banque Centrale de France pour la cartographie de ses risques oprationnels. C'est l'objet de la seconde partie de ce travail de recherche.
(lI)
.ftttouo ~9ina 'Emma ;MOJ{jfSM'E(]), 4me promotion
au ;Mastre en anque et Pinance, CPS.ftq
52
jf~e tl'u:ne amarc/ie
ae cartoarapnie aes risques oprationnelS dns le aomaine 6ancaire: le cas ae a"4ut fie Prance
i nlllllfllllllllilili
l 1
Ul~.l1li5ll
PARTIE Il :ANALYSE CRITIQUE DE LA DEMARCHE DE CARTOGRAPHIE DES RISQUES OPERATIONNELS DE LA BANQUE DE FRANCE
7
----- CD ----}Ittouo ~8ina tEmma !MO'J{jNltE(J), P promotion du !Mastre en. lBanque et Pinance, CPS}lq
)f.naffyse une amarcne ae cartograpnie aes risques oprationneCs dans Ce aomaine 6ancaire: Ce cas ae anque ae ifrance
Introd uction
Notre revue de littrature nous a permis de dterminer, sur la base des multitudes de pratiques existantes en matire de cartographie des risques oprationnels, une dmarche rfrentielle permettant une prise en compte et une valuation exhaustives ainsi qu'une hirarchisation pertinente des risques oprationnels de toute organisation. Ce rfrentiel a t tabli en gardant en mmoire que toute approche mthodologique doit s'ancrer dans la ralit de l'entreprise pour laquelle elle est labore, en tenant compte du contexte organisationnel et environnemental de sa mise en oeuvre. Il n'a donc pas la prtention d'tre parfait, mais il donne une vue assez globale des dmarches existantes en matire de cartographie des risques car il en est une combinaison.
La seconde partie de ce travail de recherche a pour objectif, non seulement, une exploration, mais galement une analyse de la dmarche de cartographie des risques oprationnels adopte par la Banque de France. L'objectif recherch est de prsenter un bilan de cette dmarche mais aussi de faire, sur la base de notre rfrentiel, des recommandations susceptibles de l'enrichir.
Le premier chapitre de cette partie sera donc consacr la prsentation de la Banque de France, sa mission, son organisation et ses mtiers. Ce chapitre traitera galement de la dmarche de cartographie des risques oprationnels adopte par cette banque centrale.
Le second chapitre aura, quant lui, pour objet l'analyse des forces et faiblesses de cette dmarche de cartographie des risques oprationnels, sur la base de notre rfrentiel et de nos remarques personnelles. Il aboutira des recommandations visant enrichir la dmarche dans l'optique d'une gestion plus efficace et efficiente des risques oprationnels dans cette institution.
}fttouo rJljgina 'Emma !M01f.Jl!MPlD} 4me promotion au !Mastre en anque et Pinance} C'PS}f
54
)f.naEyse ({'une amarclie d cattograpliie aes risques oprationnefs aans le aomaine 5ancaire: fe cas d anque ae (j'rance
"HAPITRE 111- PRESENTATION DE LA BANQUE DE FRANCE ET DE SA DEMARCHE DE CARTOGRAPHIE DES RISQUES OPERATIONNELS
Comme toute entreprise, la Banque de France est expose un grand nombre de risques oprationnels qui sont partie intgrante des processus de conception, de production, de distribution et de traitement de ses produits et services bancaires et para bancaires. Pour une Banque Centrale, cette catgorie de risques est un concept fondamental dvelopper du fait de leur prpondrance dans son activit, du respect des ratios prudentiels et de leur impact indniables sur la rentabilit de toute organisation.
Consciente de ce fait, et dans l'objectif de dvelopper une culture de matrise des risques oprationnels et de contrle interne par une approche commune au sein des mtiers, la Banque de France s'est dote d'une dmarche de matrise des risques oprationnels intgre son dispositif de Contrle Interne: la dmarche AMARIS.
Le premier chapitre de ce cadre pratique sera consacr rexploration de cette dmarche. Cependant, cela ne saurait tre fait sans une prsentation pralable de son promoteur : la Banque de France. Nous donnerons donc, en premier lieu, un aperu gnral de cette Banque Centrale avant de nous appesantir sur les tapes cls de la dmarche de cartographie des risques adopte par elle.
3.1- Prsentation gnrale de la Banque de France

Cette section a pour objectif de prsenter la Banque Centrale de France. Elle s'intressera donc aux tapes cls de ses deux sicles d'volution, son rle actuel dans l'conomie franaise, son organisation et ses activits.
3.1.1-
Historique et volution de la Banque de France
La banque de France a t en 1800 par le premier Consul Napolon BONAPARTE dans le but d'inciter la reprise conomique aprs la rcession cause par la priode rvolutionnaire. Elle tait alors organise sous la forme d'une socit par actions, au capital de 30 millions dont les actionnaires majoritaires taient les membres de rAssemble Nationale. Malgr les nombreuses
)'lnafyse {{'une limarcfie
ae cartograpfiie lieS risques oprationneCs d'ans Ce aomaine 6ancaire: Ce cas ae anque ae (France
..~ ..
difficults financires rencontres dans les premires annes d'exercice de cette banque centrale, la priode 1808-1936 a vu l'Extension de son privilge d'mission et le dveloppement de son rseau et de ses activits. Mais au del de cette volution gographique, la Banque de France a plusieurs fois vu son statut modifi l'gard du gouvernement franais. En effet, dans le but de renforcer l'autorit des pouvoirs publics, le 2 dcembre 1945, cette Banque Centrale a t nationalise entranant un transfert de son capital l'tat franais et un remplacement de ses actions par des obligations.
Par contre, le 4 aot 1993, l'histoire de la Banque de France a pris un autre tournant dcisif. En effet, cette date a marqu le dbut de son indpendance face l'tat franais dans le but d'assurer la continuit et la permanence de l'action de la politique montaire. Cette indpendance a d'ailleurs t la base de l'intgration de la France dans le systme de monnaie unique (Euro) impliquant l'intgration de la Banque de France dans le Systme europen de banques centrales 13 . Elle a depuis lors lgu une partie de ses pouvoirs la Banque Centrale Europenne (BCE) et est devenue de ce fait une Banque Centrale Nationale (BCN) qui apporte un soutien considrable l'conomie franaise.
3.1.2-
L'organisation gnrale de la Banque de France
Cette partie sera consacre la prsentation du rle et des activits de la Banque de France en tant que membre de l'Eurosystme.
3.1.2.1-
Aperu gnral du rle et des activits de la Banque de France
Aujourd'hui, cela fait six ans que la Banque de France est membre de l'Eurosystme qui fonctionne sur un mode dcentralis. De ce fait, l'chelle de la zone Euro, elle contribue la prparation et la mise en uvre de la politique montaire dans un objectif de stabilit des prix. Outre cet objectif, la Banque de France assure plus largement la mission de stabilit financire (le suivi des marchs, la surveillance des moyens et systmes de paiement). Dans le mme cadre, elle remplit galement des missions au plan national en ce qui concerne le contrle et la surveillance des intermdiaires financiers, les services rendus aux banques, aux entreprises et aux collectivits publiques, l'analyse
13 A ce propos, La loi de 1993 t renforce par la loi du 4 aot 1993 dans le but de tenir compte de l'intgration de la Banque de France dans le Systme Europen de Banques Centrales.
C1I~ )fttouo qygina CEmma ~OJ{.ftSM.CEq)} 4me promotion au ~astre en aTUJue et Pinance, CPS)fq 56
Jf.rwJyse {{'une amarc/ie ae cartographie aes risques oprationnefs tians fe aomaine 6ancaire: l cas ae anque ae IFrance
de la situation financire des entreprises et la protection des particuliers dans le domaine conomique et financier.
3.1.2.2-
L'organigramme de la Banque de France
Pour mener bien l'ensemble de ses activits, la Banque de France a opt pour une structure hirarchique dcentralise (cf. organigramme en annexe 4, page V) et pour une implantation dans toutes les rgions de la France. Elle dispose galement de deux centres informatiques Marne-laValle et Poitiers.
3.1.2.3-
Les mtiers de la Banque de France
La Banque de France a organis l'ensemble de son activit en cinq domaines couverts par 17 mtiers (cf. tableau 3 , page 57)
Domaines d'activit
1
1
Mtiers Fabrication des billets Gestion de la circulation firllldair" Gestion des instruments scripturaux et des systmes d'change Gestion des relations internationales Prparation de la politique montaire Mise en uvre de la politique montaire et de change Opration titres Rglementation bancaire et financire Rglementation prudentielle et surveillance du systme bancaire Contrle sur place et supervision des risques Collecte, analyse et mise disposition d'informations sur les entreprises non financires Gestion et du rseau Programmation et gestion financire Gestion des Ressources Humaines Gestion des moyens arlmini~tratif<; Gestion de l'organisation et de l'informatique Comml et
Gestion et circulation fiduciaire
1 1 1
Activits montaires et systmes de place
1
1
Rglementation et surveillance bancaire
1 1
Prsence de place et entreprises
1
1
Gestion des moyens
1
1
Source: nous mme partir de JEFJ (2004 : 4)
Le processus entam en matire de cartographie des risques oprationnels s'inscrit dans le cadre des activits du mtier 16 (contrle sur place et supervision des risques), et, plus prcisment du Comit de risques.
W )fttouo ([<JgUl tEmma ~O:J{)f~PlD, 4
me promotion
du ~astre en anque et Pirutnce, cPS)fq 57
)lnafyse l'une t1tulrclie e cartograpliie es risques oprationnefs ans Ce omaine 6ancaire: Ce cas e anque e Prance
Aprs avoir dfini le contexte environnemental de l'implmentation de la dmarche de cartographie des risques, nous pouvons nous appesantir sur ses concepts et les tapes cls de son dploiement.
3.2- Prsentation gnrale de la dmarche de matrise des risques oprationnels de la Banque de France: AMARIS
Cette seconde section sera consacre la prsentation gnrale du cadre contextuel du dploiement de la dmarche AMARIS. Seront de ce fait, mis en exergue, ses objectifs et principes de mise en uvre ainsi que le primtre couvert par cette dmarche.
3.2.1-
Contexte, dfmition et objectifs
L'Approche pour la Matrise des RISques (AMARIS) est une dmarche globale commune
permettant de cartographier, par une analyse permanente, les risques oprationnels lis aux activits des mtiers de la Banque de France. Elle s'inscrit dans la logique des travaux rgionaux et internationaux sur le sujet (COCO,
casa,
Tumbull, loi Kontrag et SEBC), des orientations
professionnelles en matire de contrle interne (les normes de l'lIA), des recommandations des commissaires aux comptes en matire d'amlioration du dispositif de contrle interne et de gestion des risques et des dmarches des grandes entreprises du secteur financier ou industriel. Elle est en outre, conforme aux orientations du Comit de Ble en matire de gestion des risques oprationnels dans le cadre du ratio de Mac DONOUGH.
AMARIS rpond un double objectif:
1:1
donner aux mtiers de la Banque de France les moyens de mieux apprhender les divers risques oprationnels lis leurs activits afin de mieux les matriser;
1:1
et permettre l'tablissement d'un reporting consolid des risques oprationnels de la Banque de France au profit du Comit de Direction et du Gouvernement de Banque. la
(lI)
)lttouo <J.Ueina I.Emma :MOJ{)I:MI.E1>, 4ime promotion
au :Mastre en tBanque et Pinance, CPS)lq
58
}f1lllfyse aune dimarclie I cartograpfiie des risques crprationnefs dans k domaine 6ancaire: k cas de anque I Prance
La dmarche AMARIS n'est pas isole, elle s'inscrit dans le concept gnral de gestion de la banque . Elle est donc en interrelation constante avec les autres dmarches et rfrentiels l4 dvelopps par la Banque Centrale de France pour son bon fonctionnement.
3.2.2-
Primtre couvert par la dmarche
La dmarche AMARIS a t conue dans le cadre d'un fonctionnement courant. De ce fait, pour l'examen des risques associs des situations extraordinaires, il est ncessaire de mettre en uvre des actions plus spcifiques. En ce qui concerne le contexte d'activit normale, le primtre couvert peut s'apprcier deux niveaux :
a. Primtre des mtiers couverts: la dmarche AMARIS s'applique tous les mtiers de la
Banque de France l'exception du mtier de fabrication de billet (le mtier 1), qui pourrait rejoindre cette dmarche dans une phase ultrieure. Elle prend galement en compte certaines entits autonomes mais dont les risques spcifiques sont galement inhrents la Banque de France du fait de leurs interrelations (entits atypiques). Il convient ici de prciser que les fournisseurs, sous-traitants et prestataires extrieurs ne sont pas considrer comme entits atypiques. Les risques les concernant sont donc traits dans le cadre de la dmarche.
b. Primtre des risques couverts: les risques couverts par la dmarche AMARIS sont les
risques oprationnels. Cependant, les risques stratgiques et rputationnels n'y sont pas rellement exclus comme le suggre le Comit de Ble. En fait, les risques stratgiques sont uniquement envisageables au niveau des orientations de chacun des mtiers et les atteintes l'image de marque de la Banque sont reprises comme critre d'impact.
Aprs avoir dfini la dmarche de cartographie des risques de la Banque de France ainsi que son primtre d'action, intressons-nous aux principes qui guident son droulement et son volution.
3.2.3-
Les principes fondamentaux de la dmarche AMARIS
Il s'agit essentiellement de quatre concepts cls qui guident tout le processus de cartographie des risques oprationnels. On peut citer:
14 Dmarche MELODIe sur la scurit des systmes d'information, les dmarches qualit, les dmarches de mise en uvre de la comptabilit analytique ....
Jlnalyse ti'une amarcfie e cartograpliie des risques oprationnefs dans Ce domaine 6ancaire: Ce cas e aTliJue de Prance ...~
ESAC.
Il
ri
Principe 1 : l'autovaluation des risques par les mtiers (par les Risk Manager). Principe 2 : l'approche par processus d'activit. Principe 3 : une dmarche progressive et itrative. Principe 4 : la coopration inter-mtiers.
Il Il
3.2.4-
Les acteurs du dispositif AMARIS
La dmarche AMARIS se caractrise par une organisation transversale trois composantes: le Ple Risque, les Risk Managers et le Comit de Coordination et du Contrle Interne.
a. Le Ple Risques: Assistance l'Analyse et Consolidation (PRAAC) : c'est l'acteur central du processus de cartographie des risques. Cet organe est rattach la Direction de la Prvention des risques (mtier 16). Son rle est d'assurer une expertise et une veille mthodologique en matire de matrise des risques. Il est de ce fait le promoteur de la dmarche AMARIS et exerce un rle de conseil auprs des mtiers en ce qui concerne la dmarche de renforcement du contrle interne. Il est galement charg du reporting consolid AMARIS (cartographie globale des risques oprationnels) destin au gouvernement de la banque.
b. Les Risk Managers (RM): dans chaque mtier, ces personnes s'occupent de la promotion de la culture de risque, de l'tablissement de la cartographie des risques l'chelle du mtier et de la mise en uvre des plans d'action en collaboration avec le chef de mtier. Ils sont donc les interlocuteurs privilgis du PRAAC pour l'tablissement du reporting consolid tout au long du processus de cartographie. c. Le Comit de Coordination et du Contrle Interne (JCI) : c'est une instance qui se runit deux trois fois par an sous la prsidence du Conseil Gnral. Elle est charge de veiller l'volution permanente des travaux de matrise des risques au sein de la banque. Le 3CI est compos des Chefs de Mtier et de leurs reprsentants ainsi que des Risk Managers, et prsid par le Contrleur Gnral.
Au-del de ces trois composantes essentielles, on peut noter les frquentes participations des Chefs de Mtiers, des Chefs d'Unit, des Responsables de scurit, de l'Audit Interne et plus largement une implication relle des oprationnels.
CI) )lttouo c.RJeina !Emma :Mo:Jl)f!M.!E(]), 4* promotion u :Mastre en (Banque et 'Finance, CPS)lq
60
;fnalyse aune dmarche de cartonraphie des risques oprationnels dans le ilamaine 6ancaire : fe cas de !Banque de Prance
3.3- Les tapes de la dmarche AMARIS

La dmarche AMARIS est une dmarche progressive compose de plusieurs jalons, allant de la cartographie des processus de la banque au recensement la gestion des incidents oprationnels. Chacune des tape prsentes dans la figure 5 (page 61), est ncessaire au bon droulement du processus de cartographie des risques et aucun jalon n'est suffisant pris isolment. Il est galement important de prciser que cette dmarche doit tre droule de faon rgulire afin d'tre toujours actualise.
Figure 5 : les tapes de la dmarche AMARlS
~
/ /
cc
Reporting consolid
c~
Cartographie des processus de mtier

/
Identification et valuation des risques inhrents

/
!/
Identification et valuation des contrles internes existants
,
Actualisation
Evaluation des risques rsiduels
Dfinition des plans d'action
Source: nous mme partir du guide AMARIS
3.3.1-
La description des processus du mtier: cartographie des processus
Cette tape est fondamentale car elle est le point de dpart de tout le processus de cartographie des risques oprationnels. Elle est ralise par le Risk Manager de chaque mtier. Pour une meilleure efficacit, il est indispensable de cibler les interlocuteurs et le niveau de dtail de la cartographie, permettant de garantir une identification exhaustive des risques.
(;1fJ Jf.ttouo <J.Ygina 'Emma 9do:J(jf.9d'Ef]), 4'- promotion u 9da.stre en anque et Pinance, CPSJf.fj
61
flnaCyse a'une amarclie ae cartoarapliie aes risques oprationnelS dns Ce aomaine 6ancaire: fe cas ae aTliJue ae Prance ~~_
3.3.1.1-
La notion de processus
Un processus est un ensemble ordonn de tches, visant fournir un produit ou un service un client final interne ou externe. Il se caractrise, de ce fait, par un point de dpart, un rsultat final, des acteurs, la succession de plusieurs phases et une valeur ajoute entre l'entre et la sortie de chaque activit. Les processus sont gnralement reprsents par une arborescence (cf. annexe 5, page VI). Six niveaux de processus sont proposs par la dmarche AMARIS, pour permettre la comprhension des activits du mtier. On peut les prsenter selon le tableau suivant:
Tableau 4 : les diffrents types de processus de la Banque de France

Rponse aux questions
Niveau
Type de processus Mga processus concern.
Dfinition
Plafond respecter
5
10 (dont 5 pour les services/produits et 5 pour les bnficiaires)
Pourquoi? 2
Processus majeurs Processus gnriques
Correspondent aux grands domaines d'activits qui permettent de raliser la mission identifie pour le mga processus. J1s produisent les grandes catgories de services/produits adresses aux principales catgories de bnficiaires. Ensemble de couples (service/produits x bnficiaires) cohrents complexes.
~--~--~--~----~--~--~~~~~~~---
3 Quoi? 4 5 Qui fait quoi, comment? 6
Processus Ensemble de couples (service/produits x bnficiaires) cohrents lmentaires relativement simples. Activits tches Modes opratoires
Source: nous mme
Cette dcomposition en 6 mveaux n'est cependant pas obligatoire. Certains niveaux, en effet, peuvent tre supprims s'ils ne sont pas utiles la bonne comprhension et la cohrence d'ensemble.
3.3.1.2-
L identification des processus du mtier
Elle consiste en une identification des processus caractristiques de l'activit de chaque mtier. A ce niveau on peut retenir deux approches: l'approche Top-down et l'approche Bottom-up. Pour la ralisation de la cartographie des processus, le RM s'entretiendra avec les Directeurs, le Chef de
Attouo iJ(Jgina tEmtlUl :M(Y.J{jl!MtE<D, 4me promotion u :Mastre en afUJUl et Pinance, (!ESAt]
62
)lnaEyse aune marcfie e cartograpfiie es risques oprationnefs ans Ce omaine 6ancaire: Ce cas e IBanque e Prance
Mtier, les Chefs de services et les Responsables oprationnels selon un guide diffrant d'une approche l'autre (cf. annexe 6, page VII).
A-
L'approche Top-down
Cette approche consiste, en premier lieu, identifier les processus les plus globaux (niveaux 1 et 2), pour ensuite les dtailler en fonction du besoin. Cette approche se droule donc en deux temps: l'identification des mga processus et des processus majeurs, et l'identification des processus gnriques et lmentaires ainsi que leurs composantes.
a. L'identification des mga processus et des processus majeurs: l'objectif de cette tape est l'identification des processus cur de mtier (processus oprationnels) de niveau 1 et 2. Elle consiste, en premier lieu, en l'identification des mga processus qui sont en fait les missions du mtier. La mise en vidence des grands domaines d'activits concourrant la ralisation de ces missions, permettra, par la suite, de mettre en vidence les processus majeurs. Ces processus se caractrisent, de ce fait, par des catgories de services/produits et de bnficiaires (internes ou externes) en correspondance cohrente.
b. L'identification des processus gnriques et lmentaires: cette tape vise complter la partie
basse de l'arborescence. Pour chacun des processus majeurs identifi durant l'tape prcdente, le RM cherche recenser indiffremment, d'une part, les bnficiaires appartenants la catgorie de bnficiaire le composant, et d'autre part, les services/produits appartenant la catgorie de services/produits de ce processus majeur. Il procde ensuite la formation de couples (bnficiaires x services/produits) cohrents pour chacun des processus majeurs. Les processus gnriques et lmentaires sont chacun de ces couples. La distinction entre ces deux catgories de processus s'opre, cependant, en terme de finesse d'analyse juge souhaitable et ncessaire. Dans certains cas, les processus gnriques peuvent donc tre dclins directement en activits.
Les processus gnriques et lmentaires, identifis prcdemment par le RM, pourront, en fin d'approche, tre aisment dcomposs, avec l'aide des oprationnels, en activits concourrant la production du service/produit destin au bnficiaire; puis en modes opratoires de chaque activit (tches).
CI}
)lttouo ~9ina t'Emma ~OJ{)I~t'E(]), 4me promotion du ~astre en a1lllue et Pinance, CPS)lq
63
;Inafyse l'une amarChe di! cartographie aes risques opirationnefs
aans fe aomaine 6ancaire: (e cas ae anque di! Prance
B-
L'approche Bottom-up
Cette approche est quasi contraire l'approche Top-down. Elle consiste en l'identification des processus en commenant par le recensement des lments les plus fins (activits ou tches), afin de les regrouper ensuite et identifier ainsi les processus de niveau suprieur. Elle se droule en deux temps: le recensement de tous les processus puis leur regroupement et leur hirarchisation.
a. Le recensement de tous les processus: l'objectif recherch est l'identification de tous les
processus sans tenir compte de leur enchevtrement ventueL Dans un premier temps, le RM fait merger, de la manire la plus exhaustive possible, les activits du mtier. On essaie ensuite de retracer leur enchanement en fonction des bnficiaires qu'ils servent et des produits/services qu'ils dlivrent.
b. Le regroupement et la hirarchisation des processus recenss: le regroupement se fait grce

une restructuration cohrente de la liste de processus constitue. Le RM cherche, en effet, mettre en vidence les grandes catgories de services/produits et de bnficiaires. Les catgories de bnficiaires et de services/produits seront ensuite hirarchises par niveau (infrieurs et suprieurs) par le RM. Cette hirarchisation est faite par itrations successives. Il en dcoule donc par ricochet une hirarchisation des processus. A la fin de cette tape, On obtient une liste de processus hirarchiss en mga processus, en processus majeurs, gnriques, lmentaires, en activits et en tches.
Les deux approches s'achvent par la vrification de l'homognit et de l'exhaustivit de l'arborescence constitue.
c- La combinaison des deux approches

Les deux approches sus prsentes ne s'excluent pas mais se compltent. AMARIS recommande, en effet, de dmarrer la cartographie des processus par l'approche Top-Down )} qui sera ensuite enrichie par l'approche Bottom-Up . Cependant, malgr ce fait, les Risk Managers ont la latitude de choisir l'approche qui leur sied le mieux, compte tenu du but atteindre.
(lI)
)f.ttouo rJ?jOina tEmma :MOJ-{jl:MtE([), 4me promotion du :Mastre en anque et Pinance, (JFS)f.j
64
)lnafyse aune dmarclie de cartograpliie des risques oprationneCs dans Ce domaine 6ancaire: Ce cas de IJ3anque de I}'rance .....~
ESAGw
Prcisons, cependant que chaque processus identifi lors de l'tape de cartographie des processus fera l'objet de description, par le biais d'une fiche (cf. annexe 7, page XI) dans le but de faciliter l'tape d'identification des risques inhrents.
3.3.2-
L'identification et l'valuation des risques inhrents
Cette tape qui suit la cartographie des processus, a pour objectifs l'identification et l'valuation des menaces sur le fonctionnement de chaque processus et l'empchant de remplir, comme prvu, ses critres de qualit et de matrise. De ce fait, elle concerne tous les risques lis au processus, mme s'ils sont couverts par un contrle interne adquat (risques bruts ).
3.3.2.1-
L'identification de risques inhrents
La dmarche d'identification des risques inhrents aux processus repose sur deux approches complmentaires :
,. une approche intuitive fonde sur le principe d'un questionnement partir d'informations
recueillies sur les processus identifis;
,. et une approche systmatique partir des catgories de risques de niveau 3 de la typologie

gnrale de risques oprationnels dfinie par la Banque de France.
A-
L'approche intuitive
Cette approche consiste en une identification des risques partir des processus. Le RM procde donc la recherche des menaces qu'un vnement, une action ou une situation fait porter la capacit des processus fonctionner et raliser leur mission. Deux approches peuvent tre utilises pour dterminer le niveau pertinent auquel les risques doivent tre dcrits:
,. une approche partant du niveau d'arborescence lev et qui permet d'identifier les principaux nsques oprationnels. Cette premire identification, oriente le travail ultrieur
d'approfondissement, garantit une bonne exhaustivit et prdispose une valuation de qualit;
CI)
}lttouo CRJgina tEmma 9rl.OJ{}l9rl.tE(]), 4me promotion au 9rl.astre en anque et Pinance, CPS}lq
65
JInalyse aune aemarc/ie e cartograpliie aes risques oprationnels tians Ce aomaine 6ancaire: Ce cas e (Banque ae Pranee
,... et une approche partant du niveau d'arborescence le plus fin qui garantit plus de prcision et l'adhsion des oprationnels. Les risques identifis pourront ventuellement faire l'objet de consolidation en fonction du Management du mtier et de la banque.
Quelle que soit l'approche utilise, l'identification des risques oprationnels inhrents chaque processus se fait sur la base de rponses des questions portant sur les objectifs et les critres de performances, ainsi que les causes possibles de non ralisation de ces objectifs (cf. annexe 8, page XII).
B-L'approche systmatique
La typologie gnrale des risques oprationnels de la Banque de France est fonde sur la dfinition des risques oprationnels du Comit de Ble 15(cf. annexe 9, page XIII). Elle a t conue dans le but d'inscrire les diffrentes catgories de risques oprationnels des mtiers dans une nomenclature commune et de permettre ainsi un reporting consolid modulable et significatif. Le recensement des risques partir de cette typologie, vient en complment de l'approche intuitive. Il permet de vrifier que l'identification des risques partir des processus a couvert le panorama le plus large possible des risques et de relier les risques identifis par l'approche intuitive au troisime niveau de la typologie (par affinement ou par consolidation) des fins de consolidation. Cette dmarche est systmique car l'on cherche, sur la base du troisime niveau de la typologie, identifier les risques pertinents pour chaque processus. Pour tout nouveau risque identifi, on s'interrogera sur ses caractristiques et sur son degr de significativit.
Il convient de prciser que la typologie peut tre amliore au fur et mesure du dploiement de la dmarche AMARIS.
L'ensemble des deux approches est peaufin par la mise en uvre de fiches descriptives de risques oprationnels sur la base du troisime niveau de la typologie dgage (cf. annexe 10, page XIV). Ces fiches illustrent les risques oprationnels identifis (causes, manifestations, consquence) et
15Contrairement la conception du Comit de Ble en matire de risques oprationnels, certains aspects des risques stratgiques sont pris en compte dans la typologie gnrale des risques oprationnels dfmie par la Banque de France.
)lttouo 'RJoina lEmma :MOJ{)I:MlEl}), 4me promotion au :Mastre en anque et Pinance, C'PS)lj
66
flnaljse aune marcl.e e canograpfiie ds risques oprationnefs dns Ce omaine 6ancaire: Ce cas e (Banque e Prance
pennettent de ce fait, de faciliter le travail du Risk Manager et de promouvoir l 'homognit du reporting consolid.
3.3.2.2-
L'valuation des risques oprationnels inhrents
Les risques bruts)} identifis doivent faire l'objet d'une valuation fonde sur l'apprciation de deux dimensions essentielles :
a leur probabilit de survenance base sur le taux de dysfonctionnement et/ou une

apprciation de la vulnrabilit de l'activit;
a et leur consquence potentielle en fonction de deux critres : l'impact financier et

l'atteinte l'image.
A-
L'valuation de la probabilit du risque oprationnel
Rappelons-le, la probabilit du risque inhrent correspond sa possibilit de survenance en l'absence de tout dispositif de contrle interne. Elle est value suivant deux aspects:
tI
un taux de dfaillance bas sur un historique des dysfonctionnements (s'il en existe un);
tI
et la vulnrabilit du processus au risque considr.
=> L'valuation de la probabilit sur la base du taux de dfaillance

Cette approche d'valuation n'est possible qu'en l'existence d'un historique des
dysfonctionnements ou d'incidents au sein du mtier. Les taux de dfaillance sont donc fixs par les mtiers pour chaque processus, en fonction des caractristiques propres de ce dernier (nature et volume des oprations ou traitement, priodicit, ... ). A chaque taux de dfaillance, il est ensuite affect un score (en fonction d'une chelle commune), qui reprsentera la cotation de la probabilit du risque (comme le montre le tableau 5, page 68).
Cn
;tttouo!l{f1JiM 'Emma ~()'}{)f.~'E(]), 4me promotion du ~astre en \Banque et Pinance, CPS;tq
67
)fnafyse l'une marcfie d cartoarapliie es risques oprationneCs tIans Ce omaine 6ancaire : fe cas e anque e 'France
Tableau 5 : chelle commune de scoring des taux de dfaillance

------
5
4
Probabilit d'occurrence .. Extrme

--~---------" _-,--~
Au-del de X 4% X 2%<taux<X3% _-_.. _-X 1%<taux<X2 %

-~._---~---------
3 2
---
Forte Moyenne
Modre
._,~--
......-
-_._ ...
--
-'"" ".- ---
Faible
En de de X 1%
lX., X2, X3 et X4 sont des taux de dfaillance fixs par mtier pour chaque processus. Source: nous mme partir du guide AMARlS d'valuation des risques inhrents
=> L'valuation de la probabilit suivant la vulnrabilit du processus au risque considr

L'apprciation de la probabilit du risque en fonction de la vulnrabilit est une approche base sur le jugement et l'observation. Elle est donc plus subjective que l'valuation au travers d'un taux de dfaillance. La vulnrabilit du processus s'value par le biais de quatre facteurs caractristiques de l'environnement de la banque: l'environnement organisationnel, la complexit, le changement et/ou la nouveaut et l'environnement externe. Pour chacun de ces facteurs, sont lists, de manire non exhaustive, un certain nombre de caractristiques ou d'lments prendre en considration pour leur valuation (cf. annexes 11, page XV). Ces quatre facteurs s'appliquent au processus dans son ensemble et, de ce fait, tous les risques qui s'y rattachent (sauf exception) et qui doivent faire l'objet d'valuation en terme de probabilit.
Chaque facteur de vulnrabilit est cot (de 1 5) en fonction de ses caractristiques (cf. tableau 6, page 69). Afin d'obtenir la vulnrabilit globale du risque (probabilit d'occurrence du risque), le Risk Manager procde au calcul de la moyenne pondre de l'valuation de chacun des facteurs de vulnrabilit. A ce niveau, il convient de prciser que les pondrations diffrent en fonction de l'importance du facteur. Selon AMARIS, l'environnement organisationnel tant gnralement le plus vulnrable, ce facteur est pondr 40% alors que les trois autres facteurs le sont 20%. La pondration peut nanmoins varier d'un processus un autre.
}lttouo ~gina P.mma :MO:J{jl:MP.(]), 4tu promotion du :Mastre en anque et Pinance, (YES}l;
68
)'lnaEyse d'une amarclie ae cattoarapliie aes risques oprationneCs aans Ce aomaine 6ancaire: fe cas tfe 'Banque tfe Prance
Tableau 6 : chelle de cotation des facteurs de vulnrabilit

Evaluation des facteurs de vulnrabilit d'un processus Environnement organisationnel Complexit Changement et/ou nouveaut Environnement externe
PondraJ;on 40%
Faiblesses majeures dans l'organisation Faiblesses significatives dans l'organisation Quelques faiblesses dans l'organisation Peu de faiblesses dans l'organisation Trs peu de faiblesses dans l'organisation
PondraJ;on 10%
Environnement extrmement complexe Environnement trs complexe Environnement complexe Environnement peu complexe Environnement trs peu complexe
PondraJ;on 10%
Nombreux changements trs significatifs (activit, systmes et organisation) Plusieurs changements significatifs (nouveau produit, systme et organisation) Quelques changements (nouveau systme et changements organisationnels) Peu de changements (changement organisationnel) Trs peu de changements ou de nouveauts
PondraJ;on 10%
Environnement externe fortement contraignant Environnement externe trs contraignant Environnement externe contraignant Environnement externe peu contraignant Environnement externe trs peu contraignant
5 1
4
1
3
1
1
Source: nous mme partir du guide AMARIS pour l'valuation des risques inhrents
En dfinitive, pour l'valuation (cotation) de la probabilit, l'chelle propose est la suivante:
Tableau 7 : chelle commune d'valuation de la probabilit

Probabilit d'occurrence Vulnrabilit de l'environnement de la Banque !-EnviTonnementextrmement vulnrabl--i Environnement trs vulnrable
-~~-~,~-~~,,----~
Moyenne Modre Faible
r--EnviTonnement
-_._~---~-
vUilirable-------,----~
..
_---~----
Environnement peu vulnrable [Environnemelrt trs' peu vuIniable
Source: nous mme partir du guide A MARIS pour l'valuation des risques oprationnels inhrents.
L'apprciation de la probabilit brute partir de la vulnrabilit devra tre en cohrence avec celle faite grce au taux de dfaillance. Toute diffrence significative doit tre analyse. Toutefois, par mesure de prudence, seule l'valuation la plus leve sera prise en compte.
B-
L'valuation de la svrit du risque oprationnel
L'impact du risque reprsente ses consquences sur le processus, une fois que sa survenance est effective. Compte tenu de l'environnement de la Banque de France, la dmarche AMARIS propose deux catgories d'impact: l'impact financier et l'impact image.
( [ ) )lttouo IFJgina fEmma :M(Y.}{)l:MfE(]), 4me promotion
au :Mastre en \Banque et Pinance, (}ES)lJ
69
jfnafyse ({'une marclie e cartograpliie es risqUl!s aprationneCs ans l omaine 6ancaire: l cas e a~ e !France
:::::> Evaluation de l'impactfinancier du risque
En matire d'impact financier, il est tenu compte des faits financiers ngatifs et de leurs consquences susceptibles d'advenir au processus (pertes financires, cots de remplacement, cot de rparation/maintenance ... ) en cas de ralisation du risque. Bien que les impacts financiers varient d'un processus un autre et sont fonction du type de risque, toutes les consquences potentielles doivent tre chiffres en euros afin de pouvoir les intgrer sur une base commune de comparaison (cf. tableau 8, page 70). En somme, en fonction de ses caractristiques chiffres, chaque risque oprationnel se verra affecter un impact financier cot de 1 5.
Tableau 8: chelle d'valuation de l'impact financier

Impact en euros
1.000.000 10.000.000 50.000 1.000.000 <2.000
Source: nous mme partir du guide AMARIS d'valuation des risques inhrents
:::::> L'valuation de l'impact image
Pour l'valuation de l'impact image, il est tenu compte de plusieurs facteurs relatifs la rputation de la Banque de France l'gard de son environnement interne et externe. Ces facteurs sont intgrs une chelle commune dont les valeurs vont de 1 5 (cf. tableau 9, page 71).
Tableau 9: chelle d'valuation de l'impact image ------------------------------------------~---------~~

Echelle - Impact sur l'image
.Jl.nafyse tf'u~ d'marcfie d'e cartograpfiie d'es risques oprationneCs d'ans fe d'omai~ 6ancaire : fe cas d'e anque d'e <France
Trs forte dtrioration des relations avec la BCE et/ou les autorits de tutelle (niveau des Gouverneurs. Interpellation au Comit de 5
Extrme gouverneur de la BCE par exemple.); Manquement grave aux missions fondamentales de la Banque de France fixes par la loi; Poursuite devant les juridictions pnales l'encontre des dirigeants de la Banque; Trs dure dtrioration des relations avec la profession bancaire (niveau des Gouverneurs).
forte dtrioration des relations avec la BCE et/ou les autorits de tutelle (niveau des Chefs de mtier, interpellation au comit de la
BCE par exemple);
manquement aux missions fondamentales de la Banque de France ou manquement grave sur les missions non fondamentales;
4 Fort
forte dtrioration des relations avec la profession bancaire (niveau des chefs de mtier); atteinte grave la crdibilit de la Banque de France vis--vis des organismes internationaux, nationaux ou des partenaires extrieurs; couverture mdiatique internationale ngative; Poursuites devant les juridictions pnales l'encontre de membres du personnel de la Banque. Working Groups par exemple); manquement aux missions fondamentales de la Banque de France; dtrioration des relations avec la profession bancaire (niveau des Directeurs); atteinte notable la crdibilit de la Banque vis--vis d'organismes internationaux, nationaux ou prestataires extrieurs; interruption de services bloquant la bonne excution d'un processus transversal (par exemple, la messagerie); couverture mdiatique nationale ngative; recours devant les juridictions civiles; recours devant les juridictions administratives.
dtrioration des relations avec la BCE et/ou des autorits de tutelle (niveau des Directeur ou reprsentant, interpellation dans des

Moyen

2
1
Modr
interruption de service bloquant la bonne excution d'un processus; atteinte modre la crdibilit de la Banque vis--vis d'organismes internationaux, nationaux, ou de partenaires extrieurs;
citation ngative dans les mdias nationaux. interruption de service perturbant la bonne excution d'un processus; citation ngative dans la presse spcialise ou rgionale.
Faible
Source: nous mme partir du guide AMARlS d'valuation des risques oprationnels inhrents.
Cette liste peut varier au fur et mesure du dploiement de la dmarche et en fonction des mtiers.
jlttouo ~oina <Emma :M(Y.J{jl:M<E(}), 4me promotion du :Mastre en anque et Pinance, (YESjlf}
71
}lnaCyse aum amarc/ie ae canograpfiie aes risques opratWnmCs dns k aomaim 6ancaire: k cas tU <Banque ae P'rance
Une fois les risques oprationnels bruts}) identifis et valus, il convient de s'assurer qu'un dispositif destin les matriser a bien t mis en uvre. Quelque soient leurs natures, les contrles internes doivent faire l'objet d'identification et d'valuation.
3.3.3-
L'identification et l'valuation des Contrles Internes existants
Une activit de contrle est dfinie par la dmarche AMARIS comme l'application des nonnes et procdures destines assurer l'excution des directives mises par le Management en vue de matriser les risques. Il existe plusieurs types de Contrles Internes en fonction de l'impact recherch sur le risque.
;t.
Les contrles prventifs visant rduire la probabilit de survenance du risque. Ils agissent sur les causes du risque.
;t. ;t.
Les Contrle dtectifs pennettant d'alerter et d'agir sur le risque lors de sa manifestation. Les Contrle correctifs qui ont pour objectif la rduction des consquences du risque.
3.3.3.1-
L'identification des contrles internes existants
La dmarche consiste identifier les contrles internes existants et non ceux qui devraient exister. La comparaison avec une vision cible interviendra lors de l'valuation du contrle interne et pennettra de dtenniner les ventuels plans d'action. De ce fait, pour chaque processus et indpendamment d'une quelconque valuation, le Risk Manager tablira la liste la plus exhaustive possible des contrles internes et des quasi-contrles (plans de fonnations, indicateurs de risques, reporting priodiques sur les risques ... ) existants. Pour y parvenir, il s'appuiera sur des entretiens avec les oprationnels et leurs responsables, des manuels de procdures, des rapports d'audit internes et externes ...
Une fois la liste des contrles tablie, il conviendra d'associer chacun d'eux un ou plusieurs risques bruts}) identifis lors de l'tape prcdente. Un risque peut faire l'objet de plusieurs contrles et un contrle peut couvrir plusieurs risques. La dernire tape de l'identification des contrles consistera caractriser les contrles, c'est--dire prciser s'ils sont prventifs, dtectifs ou correctifs.
)lttouo 'RJgina 'Emma :M0'.J(;l:M'E(]), 4- promotion au :Mastre en anque et Pinance, cPS)lJ
72
)lnaEyse ({'une lmardie e cartographie d'es risques opration nefs dns l lomaine 6ancaire: l cas le anque le ifmnce
3.3.3.2-
L'valuation des contrles internes
Pour l'valuation des contrles internes existants, l'on considre deux critres: la pertinence et l'efficacit. En effet, l'on doit s'assurer d'une part que les contrles internes sont adapts aux risques
couvrir (rapport cot/utilit) ; et d'autre part, qu'ils sont correctement appliqus et fonctionnent de
manire permanente.
A-
L'valuation de la pertinence d'un contrle interne
L'valuation de la pertinence du contrle interne peut se faire sur le plan unitaire (action d'un contrle sur un risque) et collectif (action d'un ensemble de contrle sur un mme risque).
Au plan unitaire, l'on cherche apprcier, en fonction du rapport cot/utilit, si le contrle, tel qu'il est conu, permet de matriser le risque. Du point de vue collectif, on value en terme de cot la capacit de l'ensemble des contrles assurer une matrise suffisante du risque. A ce niveau, on s'assure de leur cohrence, de leur non accumulation injustifie et de leur capacit de couverture.
A la fin de l'analyse unitaire et collective de chacun des contrles internes existants, la pertinence sera value sur une chelle trois niveaux, comme le montre le tableau suivant:
Tableau 10 : chelle d'valuation de la pertinence du contrle interne

1 1
Niveau de pertinence Adquat Partiellement adquat

Non adquat
1 1
1
1
1 1
Illustration Le contrle interne tel qu'il est peru fournit une couverture approprie du risque. Le contrle interne tel qu'il est conu fournit une couverture partielle ou excessive du risque. Le contrle interne tel qu'il est conu ne concourt pas la matrise du risque.
Source: nous mme partir du guide AMARIS d'valuation des contrles internes
B-
L'valuation de l'efficacit du contrle interne
L'apprciation de l'efficacit du contrle interne consiste en l'estimation de la qualit, de la rgularit et de la permanence de son fonctionnement effectif. Le Risk Manager s'intresse donc son fonctionnement, son application et au dlai de traitement ventuel des anomalies dtectes par son biais. Il est cependant important de signifier que l'absence d'anomalies dtectes ne doit pas tre
JfttoUD 'Rioina 'Emma :M0'JI)f:M'E(]), 4me promotion au :Mastre en atUJue et Pinance, CPSJf
73
;lna(yse 'une dimarcli.e ae cartograpfiie MS risques oprationnefs d'ans t Mmaine 6ancaire: t cas ae anque ae !France
considre comme une preuve de bon fonctionnement du contrle interne, mais doit au contraire conduire s'interroger sur la pertinence de celui-ci. L'chelle d'valuation de l'efficacit du contrle interne est prsente par le tableau Il (page 74). Tableau 11 : chelle d'valuation de l'efficacit du contrle interne
1 1
Niveau d'efficacit Satisfaisant Satisfaisant avec rserve

Non satisfaisant Non valu
1
1
1
Illus~ ...........
Le contrle interne fonctionne efficacement et de manire permanente Le contrle interne ne fonctionne pas de manire permanente ou fonctionne de manire moyennement efficace Le contrle interne est non efficace L'efficacit et/ou la performance du contrle interne n'ont pu tre, pour l'instant; apprcies de manire fiable
1
1
Source: nous mme partir du guide AMARIS d'valuation du contrle interne
3.3.4-
L'valuation des risques oprationnels rsiduels
Le niveau du risque rsiduel est le niveau du risque inhrent attnu du dispositif de contrle interne. L'valuation du risque rsiduel est donc infrieure ou gale celle du risque inhrent. Le processus d'valuation des risques rsiduels se fait en deux phases: l'apprciation du risque rsiduel et son rapprochement avec le niveau de risque cible.
3.3.4.1-
L'apprciation du risque rsiduel
Les risques rsiduels sont apprcis selon les mmes modalits, les mmes critres d'impact et de probabilit et avec les mmes chelles que les risques bruts . Dans ce cadre, le RM tient compte de l'effet du contrle interne sur l'valuation faite des risques inhrents (en terme de probabilit et d'impact) en fonction des niveaux de ses critres d'valuation (efficacit et pertinence). L'utilisation du taux de dfaillance (lorsqu'il existe) peut, ce niveau, se rvler trs enrichissant pour corroborer l'valuation de la probabilit rsiduelle ainsi obtenue.
3.3.4.2-
La comparaison entre le risque rsiduel et le risque cible
Une fois l'valuation des risques rsiduels effectue, il convient de dterminer le niveau de risque cible. Autrement dit, le niveau de risque que le mtier juge souhaitable et possible d'atteindre, compte tenu des contraintes qui psent sur lui et/ou du rapport cot/utilit engendr par un
)lttouo fRJoina P.mma 9daJ{jf!MP.([), 4me promotion au 9dastre en anque et Pinance, cPS)lq
74
}I.nafyse {'une lfmarclie Ife cartOf/rapliie Iles risques oprationnefs ans Ce omaine 6ancaire: Ce cas e anque e (France
renforcement du dispositif de matrise. Le rapprochement entre le risque rsiduel et le risque cible peut entraner trois situations :
a. le niveau du risque rsiduel est suprieur celui du risque cible : le risque cible devient donc le
niveau qui devra tre atteint par la mise en uvre d'un plan d'action adquat;
b. les niveaux des deux types de risques s'quivalent: le dispositif est donc bien appropri;
c. le niveau du risque rsiduel est infrieur au niveau du risque cible: le risque peut alors tre
sur-contrl et la qualit du dispositif de matrise doit tre amliore.

A l'issue de l'tape d'valuation des risques rsiduels, le RM peut dresser la matrice des risques oprationnels l'chelle du mtier. La reprsentation visuelle de cette carte est donne par la figure 6 (page 75).
Figure 6 : la matrice des risques oprationnels rsiduels

Probabilit
D
2
~::~r!:s .;rn;..
1
Extrme -
Modr Faible
5
D
:2
:2
5
Impact
Source: guide AMARIS d'valuation des risques rsiduels
3.3.5-
La dfmition de plans d'action pour amliorer la matrise des risques
Aprs l'valuation de l'ensemble des risques rsiduels du mtier, il convient de mettre en uvre des actions susceptibles de ramener les niveaux de risques les plus insatisfaisants des niveaux acceptables (risque cible). C'est l'objectif du plan d'action. Dans ce cadre, les actions prendre pour renforcer la matrise des risques peuvent relever de deux niveaux :
AnalYse ({'une lmarclie le cartographie les risques opirationnefs {ans Ce lomaine 6ancai: Ce cas Ife anque le Prance
II> II>
ramener le niveau de risque rsiduel celui dfini comme acceptable ; et amliorer la qualit et l'efficacit du contrle interne (changement en faveur d'un dispositif moins coteux, suppression des sur-contrles ... ) ;
Pour tre efficace, un plan d'action doit contenir les informations ncessaires un suivi rgulier et objectif de son avancement. Le modle type de plan d'action propos par la dmarche AMARIS est tabli dans cet esprit. Il contient de ce fait tous les lments de suivi de mise en uvre effective et des plans d'action directement rattachables chacun des processus cartographis (cf. tableau 12, page 76).
Tableau 12 : modle type de plan d'action
Processus majeur: Risque identifi ACTIONS A MENER N Objectif MOlens mis en oeuvre
1
PLAN D'ACTION 1 Processus RESPONSABLE DATE BUTOIR AVANCEMENT Indicateur de Etat suivi
Source: guide mthodologique AMARlS de dfinition des plans d'action
3.3.6-
Le reporting consolid ou cartographie globale des risques oprationnels de la
banque.
Le reporting reprsente l'tape de consolidation de l'ensemble des informations collectes sur les risques oprationnels auprs de chaque mtier de la BDF. Contrairement aux autres tapes de la dmarche, la consolidation est tablie par le PRAAC. Son objectif est de fournir une vision la fois globale et prcise des risques oprationnels auxquels l'ensemble de la Banque de France est expos. La frquence du reporting est dtermine par le 3CI. Cependant, une chance trimestrielle ou semestrielle peut tre envisage en phase de dploiement.
Compte tenu de la sensibilit des informations contenues dans le reporting consolid, le PRAAC s'engage ne diffuser ce document qu'auprs des acteurs concerns (Gouvernement de la Banque, 3CI et ventuellement auditeurs internes et/ou externes). Il doit galement transmettre le projet au Mtier concern (pour la partie le concernant) pour raction avant la diffusion dfinitive.
CI) Jlttouo <RJgina 'Emma t;M(YJ{jt!M'Ec]), 4- promotion au !Mastre en <Banque et Pinance, CPSJlq
76
)lnafyse d'une umarclie de cartograpliie des risques oprationneCS ans Ce aomaine 6ancaire ; Ce cas tfe anque de Prance
La constitution du reporting consolid est effectue en deux tapes: une analyse globale et une analyse par mtier. La structure de ce document est calque sur ces deux tapes auquel il est adjoint une prsentation gnrale et des documents annexes. Ce document est donc compos de quatre parties: une prsentation gnrale, une analyse globale, une analyse par mtier et des annexes.
3.3.6.1-
La prsentation gnrale
Cette premire partie du reporting consolid est constitue par une prsentation de la dmarche AMARIS et de ses concepts cls. Elle prcise galement la structure du document, ses modalits de constitution et la progression de la dmarche dans chaque mtier.
3.3.6.2-
L'analyse globale
Il s'agit de la confrontation de toutes les informations collectes auprs des mtiers. Elle est, de ce fait, l'aboutissement d'un change permanent entre les Risk Managers et le PRAAC. Elle ncessite donc un pralable :
a. de vrification de la cohrence et des fonnats des infonnations transmises par les mtiers ; b. de ralisation des graphiques constitutifs de la cartographie globales des risques oprationnels (cartes des risques par mtier, bar-chart de comparaison des risques et des contrles internes); c. et d'analyse des rsultats concrtise par un commentaire attach chaque graphique.
Cette partie comprend trois types d'analyses:
b.
l'analyse par type de risques pennet d'avoir une vision transversale des risques de la Banque au
travers des grandes catgories de risques prdfinis dans la typologie gnrale des risques oprationnels de la Banque. Ces informations pennettent une caractrisation de chaque risque (type, poids, rattachement) ;
c.
l'analyse par score pennet, quant elle, d'identifier les risques majeurs de l'activit de la
banque tant au niveau brut qu'au niveau net. Il est galement mis en exergue leur niveau de matrise et l'engagement des mtiers appliquer les plans d'action;
d.
l'analyse du degr de couverture des risques oprationnels dans chaque mtier permet d'illustrer
l'effet des contrles internes et des plans d'action prvus sur chaque risque.
)f.ttouo 9!<Jgina tEmma :MOJ{)f.:MtE(]), 4trJe promotion au :Mastre en tBanque et Pinance, CPS)f.(}
77
j{nafyse 'une dmarcfie de cartograpliie des risques oprationneCs dans ft domaine 6ancaire .' ft cas de anque de Prance
3.3.6.3~
L'analyse individuelle par mtier
Elle reprend la matrice des risques tablie pour chaque mtier aprs l'valuation des risques rsiduels (cf. figure 6, page 75). Cependant, n'apparatront que les risques rsiduels les plus importants (les cinq risques oprationnels rsiduels majeurs). Chaque matrice est assortie d'un commentaire rdig par le mtier sur des lments explicatifs qu'il souhaite adjoindre. Cette partie est donc un complment de l'analyse globale.
3.3.6.4~
Les annexes
Les annexes reprennent des lments du guide AMARIS qui peuvent tre ncessaires pour la bonne comprhension du reporting: la typologie des risques et les diffrentes chelles de cotation des nsques.
3.3.7-
L'actualisation de la cartographie
Cette tape a pour objectif, la mise jour de la cartographie, afin de l'adapter aux variations ventuelles du profil de risques oprationnels de la banque. Elle peut revtir trois formes majeures:
a le suivi permanent des donnes relatives aux risques;
a l'amlioration et l'approfondissement de la cartographie des risques du mtier;

a et l'actualisation proprement dite de la dmarche.
3.3.7.1~
Le suivi permanent
Il s'agit du suivi des risques de la cartographie qui sont considrs par le mtier comme particulirement critiques et pour lesquels des plans d'actions sont en cours. Ce suivi porte gnralement sur un primtre assez restreint et vise avant tout mesurer l'efficacit des dispositifs de contrle internes et le progrs des plans d'actions. A cette fin, il est recommand l'laboration d'indicateurs spcifiques de risques, de contrle interne, d'avance ou de mise en uvre de plans d'action.
Of} )lttoUQ rRjeina :mma fMOJf)lfM:V, 4
me promotion
au fMastre en anque et Pinance, CPS)lq
78
;tnafyse une amarclie tle cartograpliie aes risques oprationnels aans l aOm4ine 6ancaire : l cas ae <Banque tle P'rance
3.3.7.2-
L'enrichissement des donnes risques du mtier
Il s'agit de la ralisation par le Risk Manager d'un travail pennanent de rvision des donnes de risques. On mettra en vidence les variations issues d'une vritable volution du risque et ceux rsultant d'une amlioration de la mesure du risque. Ces modifications tant susceptibles de modifier le reporting consolid, le PRAAC doit tre infonn de tout changement significatif des donnes de risques.
3.3.7.3-
L'actualisation annuelle de la dmarche
Ce travail consiste ritrer la dmarche AMARIS dans son ensemble et suit donc les mmes tapes que celles du dploiement initial. Il s'agit de :
a. ['actualisation des processus: elle consiste en un rexamen des domaines d'activits du mtier afin de mettre en vidence les ventuels changements susceptibles d'affecter l'arborescence ou la description des processus. Cette tape concerne en outre la revue des diffrentes rubriques de la fiche descriptive des processus (cf. annexe 7, page XI) ; b. l'identification et la cotation des risques inhrents: lors de cette tape, l'ensemble des risques identifis doit tre revu en s'interrogeant sur l'apparition ou la disparition de certains risques et sur la modification de la cotation des risques inhrents ; c. l'identification et l'valuation des dispositifs de contrle; il convient lors de cette tape, de s'interroger sur la mise en place de nouveaux dispositifs, la modification du fonctionnement et de l'efficacit des anciens dispositifs ainsi que la disparition d'ventuels dispositifs; d. la cotation des risques rsiduels: une nouvelle cotation des risques rsiduels doit tre effectue en cas d'identification de nouveaux risques inhrents, de disparition de risques inhrents, de modification de l'valuation des risques inhrents et de modification de l'valuation des dispositifs de contrles. e. les plans d'action: elle concerne la dfinition de nouveaux plans d'action ou la modification de plan d'action existants.
La revue complte de la dmarche AMARIS doit tre opre sur une base annuelle afin de dtecter toutes les volutions qui ont pu intervenir dans le cadre de l'activit du mtier et qui peuvent avoir des consquences sur la cartographie des risques.
(iI) }lttouo <RJgitul P.mma !Mo:JI)f!MP.(]), 4
tt1e promotion
du !Mastre en anque et Pitulnce, cp's}l]
79
)ilnaEyse um dmarcfie de cart00rapliie aes risques oprationmfs tians l Mmaim 6ancaire: l cas ae <Banque ae lf'rance
Pour s'assurer de la qualit et de la traabilit de la phase d'actualisation, il appartient chaque mtier d'tablir un planning de rvision annuel qui permettra de rpartir la charge de travail (cf. annexe 15, page XIX). Ce planning est prsent par le Risk Manager au Chef de Mtier pour approbation, puis transmis au PRAAC qui rapporte au 3C!.
3.4- Les supports de la dmarche AMARIS

Afin d'enrichir l'ensemble de la dmarche AMARIS, le PRAAC a dvelopp des supports transversaux de sa mise en uvre. L'objectif est de pouvoir objectiver la dmarche AMARIS par l'apport d'lments quantitatifs de gestion et d'automatiser le traitement des risques oprationnels et des plans d'action. Les travaux initis consistent:
Il
Il
au dploiement d'un processus de recensement des incidents oprationnels; et au dveloppement d'un systme d'information sur les risques oprationnels.
Cette dernire section sera donc consacre leur prsentation
3.4.1-
Le recensement des incidents oprationnels
AMARIS dfinit l'incident oprationnels comme tant un vnement qui engendre ou traduit un
dysfonctionnement dans le droulement d'un processus . Il convient donc de lui affecter deux
dimensions complmentaires:
Il Il
l'incident stricto sensu: la ralisation concrte d'un risque avec des impact avrs; le quasi incident: la manifestation d'un risque oprationnel n'ayant pas eu d'impact avr mais ayant perturb le bon droulement des activits.
De mme que la dmarche AMARlS, l'ensemble des mtiers et des activits de la Banque de France doit tre couvert par un processus de recensement d'incidents. Ce processus rpond trois objectifs:
'" fournir au management de chaque mtier des lments complmentaires facilitant le pilotage et la matrise de ses activits ; '" amliorer et objectiver la dmarche de cartographie des risques;
}tttouo tRJOina P,mma :M(YJ{}l!Mp,(J), .;me promotion dU :Mastre en a1UJlle et Pinance, CPS}tq
80
Jtnafyse 'une aimarclie ae cartograpliie aes risques r.rpirationnefs tians Ce aomaine 6ancaire : Ce cas ae <Banque ae Prance
.. permettre, l o ce sera jug pertinent, une quantification traitement statistique de la collection des incidents.
du nsque oprationnel par le
Il revient donc chaque mtier, en se rfrant la cartographie qu'il a tablie, de dfinir les types d'incidents pertinents collecter, les seuils et indicateurs ventuels affrents.
Comme la dmarche AMARlS, le recensement des incidents est une succession d'tapes qui doivent continuellement tre rptes afin de permettre une actualisation constante de la base de donnes incidents du mtier.
3.4.1.1-
La dtection et l'enregistrement de l'incident
Ds lors qu'un incident est dtect, il doit faire l'objet d'enregistrement sur la base d'incidents. La fiche peut s'enrichir progressivement des lments de description et d'analyse complmentaires (cf. annexe 16, page XXI).
3.4.1.2-
La mise jour de la cartographie des risques
L'analyse d'un incident peut conduire aux deux cas suivants:
.. il est la manifestation d'un risque oprationnel dj identifi dans la cartographie des risques: il convient ds lors de s'interroger sur la ncessit d'une mise jour des lments caractristiques de ce risque et des dispositifs de contrles internes;
.. il ne peut tre rattach aucun risque de la cartographie: il convient d'identifier et d'analyser ce

nouveau risque.
3.4.1.3-
Le reporting
Le PRAAC n'effectue pas de reporting sur les incidents oprationnels. Cependant, la connaissance des incidents des mtiers lui permet de s'assurer de la cohrence des valuations effectues et de ce fait, de veiller la qualit du reporting consolid. Les changes d'information entre le PRAAC et les mtiers respectent cependant les mmes modalits que celles en vigueur dans la dmarche AMARIS.
W flttouo ~8ina 'Emma fM(Y.J{flfM'E(]),
4me promotm u fMastre en anque et Pinance, CPSflq
81
flnatjse "une amarde J:e cattoorapliie J:es risques oprationnels dans fe aomaine 6ancaire : fe cas ae (Banque J:e Pronce
Le reporting dont il est question dans cette tape est plutt un reporting intra-mtier. Pour ce qui est de ce reporting, il revient chaque mtier d'en dfinir la nature et les modalits organisationnelles.
3.4.1.4-
Le suivi et l'valuation du processus de recensement d'incidents
Le Risk Manager a l'obligation d'valuer et de veiller l'efficacit du processus de recensement d'incidents mis en place au sein de son mtier. L'absence d'incidents recenss doit tre particulirement analyse afm de s'assurer qu'elle ne rsulte pas d'une dfaillance du processus de recensement lui-mme.
3.4.2-
Le systme d'information sur les risques oprationnels
Le Systme d'Information sur les RISques (SIRIS) est le logiciel de cartographie des risques oprationnels de la Banque de France. Il est en fait un enrichissement du logiciel ORCAS jusque l utiliser comme support la dmarche AMARIS. Les objectifs de ce systme d'information sont:
a d'automatiser la description de l'arborescence des processus des mtiers;

Il
d'automatiser la description et l'valuation des risques, des dispositifs de contrle interne et des plans d'action;
a de recenser les incidents et de guider et tracer le cycle de vie de ceux-ci; a

Il
de faciliter l'laboration du reporting consolid; et de suivre l'volution des indicateurs de risques et de contrle.
Il est donc compos la fois d'un progiciel de cartographie des risques oprationnels, de cartographie des incidents et d'un tableau de bord de suivi et de gestion des risques.
On peut prsenter les concepts manipuls par ce logiciel ainsi que leur rattachement par la figure 7
(page 83) :
)lttouo ~[Ji.na tEmma :MO'J{)I:MP/D, 4me promotion u :Mastre en a1UJUt et Pinance, CPS)li
82
Jlnafyse aune tfmardie d cartograpliie tfes risques oprationneCs tians Ce tfomaine 6ancaire : Ce cas tfe anque d Prance
Figure 7 : les concepts du systme d'information sur les risques oprationnels
CARTOGRAPHIE DES RISQUES OPERATIONNELS
f"-------, , ,
Plan d'action : ( 8jsque
1 ,. 1 --..., ,. . . -----t--------.,
--~,.
Evaluation de contrle
CARTOGRAPHIE DES INCIDENTS OPERATIONNELS
... -----...,...~:
, \.._-------.-.
-'
'------l---... ,. 1 ,. 1 ,.
Incidents
, ,
Actions correctives ou prventives
Source: manuel SIRlS
Les utilisateurs de SIRIS sont d'une part, les acteurs impliqus au sein des mtiers dans les actions de management des risques et d'autre part, le PRAAC, en charge de la coordination globale du dispositif et de l'laboration du reporting consolid.
La dmarche de cartographie des risques oprationnels de la Banque de France est ancre dans ses ralits et s'appuie sur une base d'incidents et un systme d'information afin de maximiser son objectivit et son automatisation. Cette dmarche est oriente vers l'utilisation de l'approche des mesures avances pour le calcul des fonds propres rglementaires dans le cadre du ratio de Mc DONOUGH. La Banque de France souhaite ainsi faire un pas dcisif vers la matrise complte de ses risques oprationnels.
(;[) Jf.ttouo '1?inina CEmma :MO'Jf)f.:MCE([), 4'- promotion du :Mastre en anque et Pinance, CPSJf.i
83
;tnaf;se l'une marclie e cartOfJrapliie es risques oprationneCs ans Ce omaine 6ancaire: Ce cas e atliJue e IFrance
CHAPITRE IV- ANALYSE CRITIQtJE DELA DEMARCHE DE CARTOGRAPHIE DES RISQUES OPERATIONNELS DE LA BANQUE DE
Franc~
Peut on parler de critique exhaustive d'une dmarche de cartographie des risques oprationnels? A notre sens, non. Il serait plutt judicieux d'adoucir l'approche en parlant d'enrichissement. En effet, comme nous l'avons dit depuis le dbut de ce travail d'tude, aucune dmarche n'est parfaite; chacune se dploie en tenant compte des caractristiques propres de l'organisation. On pourrait cependant enrichir toute dmarche de cartographie des risques par les apports d'autres auteurs et d'autres entreprises de divers secteurs d'activit. C'est donc l'optique que nous adopterons dans le droulement de ce dernier chapitre de notre cadre thorique.
Ainsi, sur la base de notre rfrentiel issu des meilleures pratiques en matire de cartographie des risques et de nos remarques personnelles, nous tenterons de dresser un bilan des forces et des faiblesses de la dmarche de cartographie des risques oprationnels dploye par la Banque de France. A la fin de ce processus, nous ferons des recommandations susceptibles d'enrichir l'approche ainsi constitue.
Le chapitre IV de la seconde partie sera donc compos de trois sections: une analyse progressive de la dmarche AMARIS, la mise en uvre d'un tableau double entre dressant les forces et faiblesses de la dmarche et la proposition de suggestions en vue de corriger les faiblesses releves.
4.1-
L'analyse de la dmarche AMARIS
Notre analyse de la dmarche AMARIS se fera selon quatre axes:

ri ri
une analyse du cadre mthodologique de la dmarche; une analyse de l'ensemble du processus de cartographie des risques (enchanement des diffrentes tapes) ;
ri ri
une analyse de fond de chacune des tapes de la dmarche AMARIS ; et une analyse des supports de la dmarche AMARIS (gestion des incidents et systmes d'information).
~ )f.ttouo cJqgina CEmma fMJXJ{}l!MCE(]), 4me promotion !lu :Mastre en (Barupu et 'Finance, (!ES)f.
\.ll!~
84
)fnaEyse d'une amardie cfe cartograpliie aes risques oprationnefs aans ft aomaine 6ancaire: ft cas ae anque ae 'France
Cette analyse sera inspire par une comparaison permanente avec le rfrentiel tabli au chapitre II. Cependant, pour plus de pertinence, nous enrichirons, notre approche de rflexions personnelles en la matire.
4.1.1-
L'analyse du cadre mthodologique de la dmarche AMARIS
Comme nous l'avons dit dans le chapitre prcdent de cette tude, la dmarche AMARlS a t conue pour s'ancrer dans la ralit de l'histoire)} de la Banque de France et pour s'adapter son activit complexe. Cette dmarche implique, en outre, la participation de toute la banque. On peut ainsi citer :
a. Les propritaires du risque oprationnel, autrement dit, les oprationnels (les mtiers). En effet, la responsabilit de la mise en uvre de cette dmarche leur incombe. Ils ont donc charge l'apprciation de leur activit. b. Le PRAAC qui est la plaque tournante de la dmarche et qui est chargs de la vrification et de la consolidation des informations reues des oprationnels, pour la constitution de la cartographie l'chelle globale. c. Les dcideurs (le gouvernement de la Banque de France), qui sont charg de la prise de dcision en matire de politique de risques oprationnels dans la banque.
Ce premier axe de notre analyse sera consacr au primtre couvert par la dmarche et aux principes de son dploiement.
4.1.1.1-
Analyse du primtre couvert par la dmarche AMARIS
La dmarche AMARIS ne couvre pas encore tous les mtiers de la BDF. En effet, le mtier de fabrication de billet n'est pas encore inscrit dans son primtre de dploiement. Ce mtier peut pourtant tre porteur d'importants risques oprationnels. La dmarche AMARlS a nanmoins, prvu sa prise en compte dans une phase ultrieure.
En ce qui concerne le primtre de risques couverts, la Banque de France s'est un peu carte de la conception du Comit de Ble en matire de risques oprationnels. En effet, les risques stratgiques sont recenss au niveau des orientations de chaque mtier; autrement dit au niveau de
}f.ttouo t:Jljgina P.mma :MCYJ{}f.9dP.C]), 4* promotion
au :Mastre en anque et Pinance, (JES}f.q
85
flnafyse ri'une aimardie e cartograpliie aes risques oprationnefs tians Ce aomaine 6ancaire: Ce cas e anque e !France
l'identification des risques inhrents aux mga processus. De plus, mme si le risque rputationnel n'est pas rpertori en tant que tel, il est dfini un impact image qui tient compte de la rputation de la Banque de France auprs de ses interlocuteurs nationaux et internationaux.
Il faut prciser enfin que la dmarche AMARlS est exclusivement conue dans un contexte d'activit normale de la Banque. De ce fait, pour des bouleversements d'activits occasionns par des vnements inattendus tels que l'attentat des tours jumelles )), il convient d'utiliser, d'autres approches mthodologiques (spcialement, conues pour ces circonstances) et inspires des concepts de la dmarche AMARIS.
4.1.1.2-
Analyse des concepts fondamentaux de la dmarche
La dmarche AMARlS est progressive et itrative. En effet, cette dmarche volue par jalon successif et chaque tape est aussi importante que la prcdente. Le dcoupage en processus sur lequel est bas la dmarche est selon nous, une option assez intressante car elle permet la prise en compte de tous les niveaux de responsabilit (des mga processus aux tches), ce qui est accentu par le concept d'autovaluation des risques par les oprationnels. La dmarche AMARIS est donc une dmarche cohrente et dynamique par l'implication de tous les centres de responsabilits de la banque.
Cette analyse du cadre mthodologique de la dmarche AMARlS, nous amne nous intresser, de manire plus prcise, Fenchanement des tapes qui composent le processus de cartographie des risques oprationnels dploy par la Banque de France.
4.1.2-
L'analyse du processus de cartographie des risques AMARIS
Cette partie sera pour nous, l'occasion de rapprocher les tapes de notre rfrentiel celles de la dmarche AMARIS. A ce niveau, nous nous intresserons aux concepts n'apparaissant pas de part et d'autre (cf. tableau 13, page 87).
Jlnafyse aune tfmarcne tfe cartograpnie tfes risques oprationnefs tians le tfomaine 6ancaire : le cas tfe anque tfe !France
Tableau 13 ; comparaison entre notre rfrentiel et la dmarche AMARIS

Notre rfrentiel Dfinition du cadre de rfrence de Conception de la dmarche Phase prparation Etape pilote Identification et analyse des risques inhrents Evaluation et cotation des risques inhrents de . Phase Identification et valuation des contrles planification internes existants Evaluation et cotation des risques rsiduels Etablissement de la matrice des risques Etablissement et mise en uvre des plans d'action Reporting initial Vrification de la mise en uvre effective des plans d'action Actualisation Gestion des incidents AMARIS Cartographie des processus
Identification et valuation des risques oprationnels inhrents Identification et valuation des contrles internes existants Evaluation des risques oprationnels rsiduels
Dfinition des plans d'action Reporting consolid Actualisation Processus de recensement des incidents oprationnels (n'apparaitpas comme une tape)
Source: nous mme
La dmarche AMARlS n'est pas vraiment diffrente de notre dmarche rfrentielle. On, y retrouve en effet, la plupart des tapes essentielles du processus de cartographie des risques, mme
SI
certaines tapes sont plutt consolides (identification et valuation des risques inhrents). Il convient cependant de faire les remarques suivantes :
a. Il Ya une diffrence de format entre notre dmarche rfrentielle et celle de la Banque de France. En effet, AMARIS n'est compos que d'tapes successives (pas de prsentation sous forme de phases). Cette diffrence formelle n'est pas vraiment une carence, puisque l'enchanement des tapes d'une dmarche une autre n'est pas diffrent. Il aurait t nanmoins, intressant de rapprocher certaines tapes en les faisant apparatre au sein d'une mme phase. b. La phase de dfinition du cadre de rfrence n'apparat pas dans la dmarche AMARIS. Cependant, nous savons que cette dmarche a t inspire des rapports internationaux en la matire (COCO, COSO, Turnbull, loi Kontrag, lIA, SEBC ... ). Ce rapprochement avec les meilleures pratiques de gestion des risques n'aurait pas pu tre fait sans une analyse de l'environnement interne et externe de la Banque de France. c. Nous savons que la dmarche AMARIS a t mise en uvre sur des processus pilotes (pour chaque mtier) avant son dploiement total sur toute la banque.
W;4.ttouo 'RJoina P.mma :Mo:J{;4.:Mp.([),
4"- promotion u :Mastre en anque et Pinance, CPS;4.
87
;tnaEyse tf'une tfmarche e cartographie es risques oprationnefs o.ns t omaine 6ancaire : t cas e anque e rprance
Nous savons galement que le dcoupage de l'activit en processus (qui fait partie de l'tape de conception de la dmarche) est un pralable toute phase d'essai. Cependant, la phase de prparation qui regroupe les tapes de conception de la dmarche et d'essai n'est pas vraiment formalise au sein de la dmarche AMARIS. Cette carence entrane que nous n'avons aucune information, sur les types de processus choisis pour la mise en uvre de l'tape pilote ni sur son primtre de dploiement. d. L'tape d'tablissement de la matrice des risques n'est pas vraiment formalise dans la dmarche AMARIS. Elle est en effet, intgre celle d'valuation des risques rsiduels alors que les deux concepts (bien que lis) sont assez diffrents. Le dessin de la carte des risques est, en effet, tablit sur la base de l'valuation des risques rsiduels. e. La phase de vrification de la mise en uvre des plans d'action n'est, non plus, pas formalise. C'est pourtant une tape assez importante du processus de cartographie des risques. Elle est en effet la base d'une correcte mise en uvre de la phase d'actualisation.
f.
L'tape de plan d'action de la dmarche AMARIS est tablie au mme niveau que celle de reporting consolid. Cela n'est pas vraiment logique du fait que le reporting consolid met en exergue, dans son analyse globale, tous les plans d'action ayant pour but de ramener le risque rsiduel un niveau cible. L'tape de reporting devrait donc suivre celle de dfinition des plans d'action.
g. Enfin, le processus de recensement des incidents est prsent comme un support de la dmarche AMARIS. Cela est vrai. Cependant, malgr ce fait, il est important de prciser que la gestion des incidents est aussi une tape du processus de cartographie des risques qui vient en appoint de celle d'actualisation. Elle doit donc pouvoir apparatre comme tel dans la dmarche.
Aprs avoir analys le processus de cartographie des risques, intressons au contenu de chacune des tapes de ce processus.
4.1.3-
L'analyse des tapes de la dmarche AMARIS
Cette partie concerne une analyse dtaille de chacune des tapes de la dmarche AMARIS. Nous nous inspirerons pour cela du contenu de notre dmarche rfrentielle, de remarques personnelles et de remarques faites par le PRAAC lors de nos entretiens avec ce Comit de Risques.
CI) Jlttouo RjOiM 'Emma :M()J{)I:M'E(J), 4
hM
promotion ilu :Mastre en tBanque et PiMnct, CPSJl
88
jtnafyse une amarche ae cartographie aes risques oprationnels dans Ce aomaine 6ancaire: Ce cas ae anque ae !France
4.1.3.1-
La cartographie des processus
Il est pertinent de commencer toute cartographie des risques par un dcoupage de l'activit en processus. Nous remarquons, en outre que le concept (processus) a t bien dfini. L'arborescence est elle aussi assez claire; cependant aucun plafond au niveau des processus gnriques n'a t dtermin. Ceci est en incohrence avec les plafonds dtermins pour les processus mga et majeurs. L'absence de plafonds pour le troisime niveau de l'arborescence pourrait, en effet, en compliquer l'analyse.
Notons enfin, que l'tablissement de la cartographie des processus combinant les approches
bottom-up et top-down est trs intressant car cela permet une identification plus exhaustive
des processus en fonction des objectifs stratgiques de la banque.
4.1.3.2-
L'identification et l'valuation des risques oprationnels inhrents
Nous procderons, ce niveau, l'analyse de la mthodologie dploye pour l'identification et l'valuation des risques oprationnels inhrents.
A-
L'identification des risques oprationnels inhrents
L'approche AMARIS est assez complte en matire d'identification des risques oprationnels inhrents. En effet, on procde premier lieu, une identification sur la base de la cartographie des processus. Les risques identifis sont analyss en vue d'en dterminer les vnements internes et externes. En second lieu, il est adopt une approche systmatique au travers d'une check-list des risques oprationnels (cf. annexe 9, page XIII) tablie par la Banque de France (sur la base des propositions du Comit de Ble). Enfin, les risques retenus pour l'tablissement de la cartographie sont les risques de niveau 3 de la typologie: les risques gnriques, sur la base desquels sera tablit la matrice des risques. Il convient cependant de faire les remarques suivantes: a. La dfinition donne par la dmarche AMARIS du risque ne tient pas compte de l'aspect risque opportunit qu'il convient de ne jamais ngliger. Sa prise en compte permet, en effet, une meilleure orientation des dcisions prendre en matire de gestion des risques.
~ )f.ttouo CJ.Yoma P.mma :MQJ{)f.:MP.ClJ, P promotion u :Mastre en <Banque et Pmana, CPS)f.(j \I,!!,
89
;tnafyse une marcfie e cartoorapfiie es risques oprationnelS ans Ce omaine 6ancaire: Ce cas e anque e 'France
b. Comme le prconise la dmarche AMARIS, les Risk Managers n'identifient le risque oprationnel que sur la base d'une conception risque menace l'atteinte des objectifs et d'une check-list. Alors qu'en la matire, divers auteurs ont propos plusieurs techniques d'identification des risques. Citons entre autres, les travaux de BAPST (2003 : 2-3) et de MCNAMEE (1998 : 3033). Il peut s'agir, d'une approche par analyse de l'environnement interne et externe, de la recherche des causes de destruction de valeur ou encore des pertes et profits ... c. La dtermination des vnements internes et externes de risques oprationnels (analyse du risque) n'est faite qu'au niveau de l'approche intuitive sur la base des processus. d. Mme si la check-list des risques oprationnels (cf. annexe 9, page XIII) est tablie sur la base des propositions du Comit de Ble en la matire, l'on ne voit pas y apparatre les quatre catgories de risques oprationnels. En effet, la catgorie vnement extrieurs est incluse dans celle des risques organisationnels et de traitement. Elle n'apparat de ce fait pas comme une source de risques part entire. e. La consolidation des risques oprationnels au troisime niveau de la typologie peut entraner l'omission de certains risques oprationnels caractristiques des activits (niveau 5 de 1' arborescence).
f. Mme si elle en tient compte, la fiche descriptive des risques oprationnels n'est pas assez prcise
au niveau des illustrations de risques oprationnels (cf. annexe 10, page XIV). Il n'y apparat, en effet, aucune distinction entre les causes, les manifestations et les consquences des risques oprationnels.
B-
L'valuation des risques oprationnels inhrents
La dmarche AMARIS est trs pertinente en la matire. Elle quantifie les paramtres (probabilit et svrit) des risques oprationnels travers une combinaison d'approches quantitatives et qualitatives. Les remarques que l'on peut, nanmoins faire, sont les suivantes:
a. La double approche de dtermination d'un taux de dfaillance et d'analyse de la vulnrabilit du processus est un excellent moyen d'objectiver la quantification de la probabilit du risque oprationnel. Cependant, l'analyse des facteurs de vulnrabilit est assez subjective. En effet, les pondrations peuvent, d'une priode une autre, facilement varier d'un facteur un autre, biaisant ainsi l'apprciation de la probabilit du risque (au cas o aucune donne quantitative n' est disponible).
Q) )fttouo 'RilJituz i'E,mma 'MCYJ{)t!Mi'E,t]), ~ promotion au 'Mastre en anqU8 et Pitulnce, CFS)ffj
90
Analyse tf'une tfimarcfie ae canograpfiie ,!es risques oprationnefs d'ans Ce dOmaine 6ancaire : fe cas ae (Banque fie If'rance
b. L'analyse de la svrit du risque oprationnel travers l'apprciation de l'impact financier et d'image permet une prise en compte de l'environnement interne et externe de la banque. Cependant, l'impact financier n'est pas assez dtaill. Il n'est, en effet, fait aucune distinction entre le cot direct du risque (cot de rparation, remplacement ... ) inscrit en comptabilit et son cot indirect relatif au temps de travail utilis par les agent pour la rfection de chaque processus dfaillant. c. La prise en compte de l'apprciation la plus considrable entre les diffrentes sources (taux de dfaillance/analyse de la vulnrabilit ou impact image/impact financier), est un excellent moyen de s'accorder une marge de scurit en cas de manifestation effective du risque. Par exemple, pour un risque dont l'impact image est extrme (5) et l'impact financier est faible (1), il sera retenu l'impact image pour le calcul de son score. Cela permet, en cas de manifestation effective de ce risque, de mettre en uvre des mesures permettant de le couvrir sur une sphre assez large (prise en compte de l'impact jusqu'au niveau 5). d. La cotation des risques oprationnels est faite par le biais d'une chelle cohrente et commune tous les mtiers, facilitant ainsi le reporting consolid. e. Il n'est fait aucune rfrence la tolrance aux risques oprationnels de chaque mtier, l'valuation des risques oprationnels est faite sans rellement en tenir compte.
4.1.3.3-
L'identification et l'valuation des contrles internes existants
La dmarche d'identification et d'valuation des contrles internes existants dploye par AMARIS est assez exhaustive et pertinente. Un contrle interne est rattach chaque risque oprationnel couvert et l'on fait la distinction entre les contrles prventifs, dtectifs et correctifs. Au niveau de l'valuation des contrles internes, on s'intresse leur application correcte, leur fonctionnement permanent et au rapport cot/utilit au travers des critres d'efficacit et de pertinence. Une chelle d'valuation est, en outre, dtermine pour l'valuation de chacun des critres et pour l'valuation gnrale du contrle travers une apprciation qualitative de leurs caractristiques. Les remarques essentielles que l'on peut faire sur cette tape du processus AMARIS sont les suivantes:
a. L'utilisation des critres d'efficacit et de pertinence est trs intressante parce qu'on y voit galement les concepts de fiabilit, de qualit de conception et de qualit de mise en uvre proposs par l'IFACI (2003 :20) et BELUZ (2002: 6). Cependant la dmarche ne fait pas
W )f.ttouo liJoitul. P.mma !Ma.J{)lSMp'q),
4me promotion
au !Mastre en tBanque et PiMnce, (!FS)f.(]
91
)f.naf;yse d'une dmarche de cartographie des risques oprationnefs d'ans Ce domaine 6ancaire : Ce cas de <Banque de Prance
allusion au critre d'efficience qui met en relation cot/rendement/dlais de mise en uvre. Ce critre est pourtant trs important (FONTUGNE, 2001 : 12). b. La fiche de description du contrle interne (annexe 13, page XVII) ne mentionne pas la personne/dpartement responsable de sa mise en uvre et de son suivi. c. Il est tabli des chelles pour l'valuation des critres d'efficacit et de pertinence du contrle interne, mais aucun rapprochement n'est fait entre ces deux chelles.
d. L'apprciation globale du contrle est dclarative, le Risk Manager donne son opinion sur la
situation de matrise du risque oprationnel considr. La prise en compte des critres de pertinence et d'efficacit n'est donc pas rellement formalise. Il n'est, en outre, tabli ni chelle ni qualificatif d'valuation gnrale du contrle interne, (appropri ou inappropri par exemple ... ). En fait il n'est fait aucune combinaison des chelles d'apprciation de la pertinence et de l'efficacit aboutissant cette chelle consolide d'valuation du contrle interne. L'on ne sait donc pas rellement comment on aboutit une valuation du contrle interne sur la base de ces critres.
4.1.3.4-
L'valuation des risques oprationnels rsiduels
La dmarche AMARIS prvoit l'valuation des risques rsiduels selon les mmes principes que les risques inhrents (impact image et financier, probabilit, chelles) ; en tenant compte de l'valuation faite, des contrles internes existants. Ce qui permet de maintenir une cohrence au sein de la dmarche. Les remarques que l'on peut faire sur cette tape sont les suivantes:
a. Le niveau de risque cible n'est dfini qu'au niveau de l'tape d'valuation des risques rsiduels
alors qu'il devrait tre dj dfini au niveau du contexte de dploiement de la dmarche.
b. L'valuation des risques rsiduels permet, par comparaison avec le niveau de risque cible, un
contrle de l'valuation du contrle interne. On vrifie qu'il est effectivement pas appropri ,
appropri ou exagr .
c. Le rapprochement entre les risques rsiduels et cibles est fait sans mention du seuil de la tolrance aux risques oprationnels de chaque mtier. d. L'utilisation de l'valuation du contrle interne pour aboutir celle du risque rsiduel n'est pas assez formalise. En effet, sur la base de l'apprciation dclarative du contrle interne l'valuation du risque rsiduel est faite selon les mmes modalits que celles utilises pour le risque inhrent. Cette approche est trop subjective. Cela est quelque peu attnu par l'utilisation
Q) )fttouo ~8ina mma !M()J{)l!M<D, 4- promotion du !Mastre en a.tu:pte et Pinance, CPS)fJ
92
;tnaryse tf'une amarcle ae cartograpliie aes risques oprationnefs tians fe dOmaine 6ancaire : fe cas ae anque tfe Prance
du taux de dfaillance afin de corroborer l'valuation de la probabilit rsiduelle tablie. Mais cela ne suffit pas car on ne sent pas la cohrence du processus. En effet, on ne peroit dans la dmarche, pas comment l'valuation du contrle interne pennet de modifier les caractristiques brutes du risque afin d'aboutir au risque rsiduel. e. Le fait de tenir compte de l'valuation la plus leve (entre l'approche quantitative et qualitative) comme dans le cas des risques inhrents, pennet la mise en uvre de plan d'action couvrant une sphre assez large de risques.
4.1.3.5-
La matrice des risques oprationnels
La Banque de France a opt pour une matrice des risques oprationnels assez simple avec un dcoupage labor en zones de risques. Cela pennet une apprciation visuelle et consolide du profil de risques oprationnels de la banque afm de faciliter les prises de dcisions. Il convient nanmoins de faire les constatations suivantes :
a. La matrice des risques ne dfmit ni les dcisions prendre ni la priodicit du suivi, en fonction des zones de risques. Cela pennet pourtant de faciliter le travail de mise en uvre et de suivi des plans d'actions. b. Il n'a t mis en exergue sur la matrice, que trois zones de risques, on est tent de se demander comment faire la rpartition entre ces zones et les choix de gestion (liminer, rduire, accepter ou transfrer).
4.1.3.6-
Les plans d'action
La mise en uvre des plans d'action, afin de ramener le niveau de risque oprationnel un niveau raisonnable, intgre la prise en compte d'une date butoir et d'un suivi de l'avancement sur la base d'indicateurs. Cette approche (qui regroupe les phases d'action et d'valuation de notre rfrentiel) pennet une gestion efficace des plans d'action. Cependant:
a. La notion de date butoir, trs absolue, n'inclut pas forcment la notion de chronogramme
d'excution qui est pourtant trs importante prendre en compte.
)lttouo ~8ina 'Emma fM(YJ{)lfM'El}), 4me promotion
au fMastre en anque et Pinance, CPS)lq
93
Jlnaf:yse {'une dmarche de cartographie des risques oprationnefs dns Ce domaine 6ancaire : Ce cas de fJJanque de Prance
b. Le modle-type de plan d'action prvoit, au niveau des actions mettre en uvre, les objectifs et les moyens, sans prciser l'action (stratgie de gestion) qui doit tre mise en uvre. Cet lment est pourtant l'un des plus importants du modle-type de plans d'action. c. Il n'est fait aucune allusion au cot de mise en uvre du plan d'action. Il s'agit pourtant d'un lment fondamental du suivi des plans d'action. Il permet, en effet, au fur et mesure de leur mise en uvre, une analyse du couple cot/rendement.
4.1.3.7-
Le reporting
La dmarche AMARIS permet l'tablissement d'un reporting consolid c'est--dire donnant une vision globale et prcise des risques oprationnels auxquels est expose la banque. Le rapprochement des profils de risques oprationnels de chacun des mtier, travers le reporting consolid, est un moyen efficace de la mise en uvre d'une politique de risques cohrente, applicable l'ensemble de la banque. L'on peut nanmoins faire les remarques suivantes:
a. La frquence du reporting est assez courte (quatre deux fois par an) ce qui est trs pertinent. b. Le reporting consolid n'exclut pas la remonte directe d'informations par les mtiers au gouvernement de la banque. Cela permet une confrontation perptuelle entre les donnes d'une remonte directe d'information et celles du reporting consolid. Cette approche est trs intressante. c. Mme si l'analyse globale est faite de manire consolide, il n'existe pas de matrice des risques consolide. En effet, chaque matrice par mtier est inscrite au sein d'une analyse individuelle.
4.1.3.8-
L'Actualisation
L'actualisation AMARIS est compose d'un suivi permanent des risques critiques, d'un enrichissement des donnes de risques oprationnels et d'une ritration annuelle de la dmarche. Cette approche est trs pertinente pour maintenir une gestion du changement pour la matrise des risques oprationnels. Les constatations que l'on peut faire sur cette tape sont les suivantes:
a. Le suivi permanent ne concerne que les risques oprationnels critiques. L'enrichissement des donnes de risques vient, cependant, en complment du suivi permanent puisqu'il concerne tous les risques oprationnels identifis.
)tttouo ~8ina q::mma 9tf..01l)t!Mq::v, 4me promotion u 9tf..astre en anque et <Finance, CPS)tq
94
)lnafyse d'une dmarche de cartographie des risques oprationneCs dm fe domaine 6ancaire : fe cas de anque de Prance
b. La reprise complte de la dmarche, est prvue une fois par an. c. Le processus d'actualisation est support par un planning d'action mis en uvre par chaque mtier et permettant une rpartition optimale de la charge de travail.
4.1.4-
L'analyse des supports de la dmarche AMARIS
La dmarche AMARIS a prvu la mise en uvre d'un processus de recensement d'incidents et d'un systme d'information sur les risques oprationnels afin de permettre, respectivement, un apport quantitatif la dmarche et son application optimale. Cette partie concerne l'analyse de ces deux supports.
4.1.4.1-
La gestion des incidents oprationnels
Le processus de gestion des incidents est labor l'chelle de chaque mtier. Il s'applique tous les processus de la banque et permet une mise jour/enrichissement de la cartographie, et un reporting intra-mtier sur les incidents oprationnels. Les remarques que l'on peut faire sur ce processus sont les suivantes:
a. Une distinction est faite entre les incidents effectifs et les quasi-incidents mettant ainsi en exergue, la diffrence entre une ralisation effective de l'incident et une simple manifestation de l'incident, attnue par un dispositif de Contrle Interne. b. L'impact image de l'incident tant mis en uvre selon les mmes procdures que celles de la dmarche AMARIS, il revt les mmes contraintes de subjectivit. c. Au niveau de l'impact financier de l'incident, il est fait une distinction entre les cots directs (montants figurant en comptabilit) et les cots indirects (valorisation de jours/agents de traitement de l'incident).
4.1.4.2-
Le systme d'information sur les risques oprationnels
Le systme d'information, SIRIS mis en uvre par la Banque de France, est un support assez complet de la dmarche AMARIS. Il couvre, en effet, la fois l'ensemble de la dmarche AMARIS ainsi que le processus de gestion d'incidents. Les remarques qui peuvent tre faites ce niveau sont les suivantes :
)lttouo (}(Jgina 'Emma !4tOJ{}f!M.'EiD, 4tM promotion
au !4tastre en <Banque et Pinance, CPS)lq
95
)fnafyse l'une dimarclie tic cartograpliie es risques oprationnels dans Ce aomaine 6ancaire: Ce cas e !Banque e Prance
a. SIRIS est facilement utilisable par le Risk Manager, le rdacteur et le lecteur de la cartographie, grce, son manuel d'utilisateur trs dtaill (comprenant un glossaire expliquant tous les concepts). b. Il prvoit toutes les fonctionnalits ncessaires au dploiement optimal de la dmarche AMARIS (consultation, cration, modification, duplication, suppression, recherche et reporting). c. Il comprend un tableau de bord de suivi des risques au travers d'indicateurs. d. Il prvoit des messages d'erreur selon les rgles de gestion en cours au sein de la banque, pour un bon suivi des saisies d'informations. e. Il est donc une aide la prise de dcision l'chelle du mtier et un promoteur de la politique de risques l'chelle de la banque.
Notre analyse de la dmarche AMARIS, comparativement notre rfrentiel, nous a permis de mettre en exergue des points d'attention, sur lesquels nous nous baserons pour prsenter un bilan de la dmarche AMARIS. Ce bilan aura pour objectifs, de mettre en vidence les atouts et faiblesses de la dmarche AMARIS. C'est l'objet de la seconde section de ce chapitre.
4.2- Le bilan de la dmarche AMARIS

Aucune dmarche n'tant parfaite en soi. Cette partie est consacre la mise en exergue des forces et des faiblesses de l'ensemble de la dmarche AMARIS, portant la fois sur la forme et le fond. Notre approche sera dcline, en cohrence avec les axes de rflexion dfinis lors de notre analyse de la dmarche, savoir :
Il Il Il Il
un bilan du cadre mthodologique de la dmarche AMARIS ; un bilan du processus AMARIS (enchanement des tapes) ; un bilan de chacune des tapes AMARIS ; et un bilan des supports mthodologiques de la dmarche AMARIS ;
Chacun des bilans sera prsent sous forme de tableaux doubles entres.
or)
Jfttouo lf(Joina lEmma ~o:J{Jf~lEtD, 4me promotion au ~astre en (Banque et Pinance, CPSJfq
96
)bUlEyse aune amarche ae cartographie ds risques oprationnefs d'ans Ce aOt1Uline 6ancaire : fe cas ae \Banque d Prance
4.2.1-
Tableau 14 : le bilan du cadre mthodologique AMARIS
Atouts La dmarche AMARIS est totalement adapte aux caractristiques et l'environnement de la Banque de France et est commune tous ses mtiers. Elle est conforme aux normes et chartes en vigueur de la Banque de France. Elle n'est pas isole, elle est tablie en cohrence avec les autres approches mthodologiques de la Banque de France. Elle est galement inspire des diverses pratiques en matire de gestion des risques oprationnels.
La dmarche AMARIS intgre une implication de tous les acteurs de la banque (oprationnels, PRAAC et dcideur). Toute la banque se sent donc concerne par la matrise des risques oprationnels. Les stakeholders (le gouvernement de la banque) s'approprient rellement la dmarche AMARIS, ce qui est un facteur de russite de toute dmarche de cartographie des risques. Une communaut vivante de Risk Managers facilite une vision tant verticale (ligne hirarchique) qu'horizontale (relation entre mtiers) ; Un rle pivot est jou par le Ple Risque permettant de maintenir la cohrence d'ensemble; Une communication permanente est maintenue entre tous les acteurs de la dmarche AMARIS.
Faiblesses
Aperu gnral
Acteurs
Primtre couvert
La vision des risques oprationnels est inspire des recommandations du Comit de Ble, mais est largie aux concepts de risques stratgiques et d'impact image pour tenir compte des caractristiques de l'activit de cette Banque Centrale. La dmarche couvre 16 mtiers de la banque et prend en compte les entits caractre atypique. En cas de situations inattendues, il est possible de mettre en uvre des approches s'inspirant de la dmarche AMARIS. La dmarche AMARIS est progressive, itrative et base sur un dcoupage de l'activit en processus; L'ensemble de la dmarche est en cohrence avec le dcoupage de l'activit.
La dmarche AMARIS ne couvre pas encore le mtier de fabrication de billet (mtier 1), empchant ainsi le ~ traitement des risques oprationnels inhrents cette ! ~ , activit. ~ t
~.
~
)\
.t
Concepts fondamentaux
Source: nous mme
flttouo <I<lgina P.mma fMO'J{flfMPlD, 4m4 promotion au fMastre en CBanque et <Finance, ()FSfl(j
97
ftnaEyse <l'une mardie cfe cartograpliie cfes risques oprationnefs cfans Ce cfomaine 6ancaire: Ce cas cfe anque cie Prance
4.2.2-
Tableau 15 : le bilan de l'enchanement des tapes de la dmarche AMARIS

..
_______Bilan Elments _______
Atouts
Faiblesses Il n'existe pas de rapprochement entre les tapes de mme nature par leur inscription au sein d'une mme phase. Malgr leur mise en uvre effective avant le dploiement de la dmarche AMARIS, les phases de dfmition du cadre de rfrence et de prparation ne sont pas formalises dans le processus AMARIS. L'tape de cartographie des processus n'est donc pas inscrite comme faisant partie de la phase de conception et nous n'avons aucune information sur les processus choisis pour la phase de pr-dploiement. L'tablissement de la matrice des risques n'est pas formalis comme tape part entire. On devrait, pourtant faire la distinction, entre l'tablissement de la carte des risques oprationnels et l'valuation des risques rsiduels. L'tape de dfinition des plans d'action de la dmarche AMARIS combine les phase d'action et d'valuation de notre rfrentiel. Il n'est pourtant pas intressant de combiner les notions de dfinitions et de mise en uvre des plans d'action et celles de contrle de ces plans d'action. Les tapes de dfinition de plans d'action et de reporting consolid sont tablies au mme niveau, alors qu'en principe, le reporting consolid devrait suivre l'tape de mise en uvre des plans d'action. La tolrance aux risques oprationnels de la Banque de France n'a pas t dfmie. Elle est pourtant un dterminant de la spcificit de toute dmarche de cartographie des risques.
Enchainement des tapes
La dmarche AMARIS respecte les tapes gnrales d'un processus de cartographie des risques.
Source: nous mme
flttouo CJ(ioina lEm11l4 9..tOX}lfMPlD, 4hu promotion u 9..tastre en <Banque et Pinance, CPSflq
98
JlnaEyse 'une tfmarclie tEe cart00rapliie ts risques oprationnelS d'ans le tEomaine 6ancaire: le cas t anque t Pranee
4.2.3-
Tableau 16 : le bilan dtaill de chacune des tapes de la dmarche AMARIS

..
________ Bilan . . Elments ________
Atouts Le concept de processus est bien dfmi et dlimit permettant un dcoupage optimal de l'activit de la banque. La combinaison des approches bottom-up et top-down permet une identification exhaustive des processus. La dclinaison claire des processus met en exergue les diffrents niveaux d'analyse. La mise en exergue des processus supports, transversaux et en relation avec les succursales permet d'affmer les analyses de processus. L'utilisation de questionnaires d'identification des processus dtaills, adresss diffrentes catgories d'interlocuteurs au sein du mtier, permet de varier les sources d'informations. La fiche descriptive des processus (annexe 7, page XI) est assez complte mettant en exergue notamment les facteurs cls de succs des processus ainsi que ses indicateurs de performance; l'arborescence des processus volue en fonction de l'volution de l'activit. Il est dtermin un niveau (le niveau 3) partir duquel est dploy tout le processus d'identification des risques oprationnels. Cela permet de garantir une cohrence d'ensemble tout au long du processus de cartographie. L'identification des risques partir d'une base gnrique (niveau 3) est une base l'approche scorecard (couple risque/processus) pour le calcul des fonds propres rglementaires de couverture du risque oprationnel. La dmarche d'identification des risques oprationnels combinant la fois une approche intuitive au travers de la cartographie des processus et une approche systmatique base sur une typologie de risques oprationnels, est assez cohrente. La typologie des risques oprationnels (annexe 9, page XIII) est inspire de celle propose par le Comit de Ble. Chacun des risques oprationnels de chaque mtier est rapproch une nomenclature commune afin de faciliter le reporting consolid. Les risques oprationnels sont analyss afm de mettre en exergue les vnements internes et externes de risque ainsi que leur causes et consquences. Cela permet une bonne comprhension de chacun des risques de la banque;
faiblesses
Cartographie des processus
Il n'y a pas de dfmition de plafond pour l'identification des processus gnriques. Ceci ne permet pas de maintenir la cohrence relativement aux plafonds dfinis pour les processus mga et majeurs. Il peut en dcouler une complexit de l'analyse puisque c'est ce niveau que sont faites toutes les analyses de risques.
Identification des risques oprationnels inhrents
La dfinition donne par la dmarche AMARIS du risque oprationnel est trop restrictive. Elle omet, en effet, l'aspect positif du risque (risque opportunit) qu'il convient pourtant de prendre en compte dans la gestion des risques oprationnels. Le niveau gnrique (niveau 3) est un niveau trop consolid pour permettre une identification prcise de risques oprationnels. En effet, certains risques considrables inhrents certaines activits peuvent tre noys dans une consolidation de niveau gnrique. Les techniques d'identification des risques (atteinte aux objectifs et check-list) sont trop limites, il existe donc un risque de ne pas se rapprocher de l'exhaustivit. La typologie des risques oprationnels (annexe 9, page XIII), bien qu'tant inspire de celle du Comit de Ble, ne lui est pas vraiment conforme. En effet, la source vnements extrieurs est intgre aux risques organisationnels et de traitement. De nombreux risques oprationnels peuvent de se fait tre omis de cette typologie. La typologie des risques est trop consolide (pas assez dtaille) et de ce fait, Trop restrictive.
)lttouo (}ljoina 'Emma :M.O:J{)I:M.'E(]), 4me promotion
au :M.astre en anque et Pinance, CPS)lq
99
)!I.nafyse 'une amarclie dt cartograpliie aes risques oprationnels flans
fe
aomaine 6ancaire :
fe
cas ae <Banque ae (France

s ..
La typologie des risques oprationnels est volutive. Elle peut tre affme au fur et mesure du dploiement de la dmarche.
Au niveau des fiches descriptives des risques (annexe 10, page XIV), il n'est pas fait de distinction entre les causes, les manifestations et les consquences des risques. Ces trois concepts sont en effet regroups dans celui d'illustration.
Evaluation des risques oprationnels inhrents
L'approche d'valuation des risques inhrents est assez pertinente car elle est base sur la combinaison d'une approche qualitative et quantitative de la probabilit et de l'impact des risques oprationnels. Cela permet d'objectiver l'valuation des dimensions de chaque risque oprationnel. La distinction entre l'impact financier et l'impact image permet une analyse de l'environnement interne et externe de la Banque de France; L'illustration de chacun des facteurs de vulnrabilit ainsi que des lments entrant en compte pour l'valuation de l'impact image permet une meilleure approche qualitative. La cotation et la hirarchisation des risques oprationnels sont faites par le biais d'chelles de probabilit et d'impact communes tous les mtiers. La prise en compte de l'valuation la plus leve entre les sources d'valuation de la probabilit et de l'impact permet la mise en uvre de plans d'action couvrant une sphre assez large en cas de manifestation effective du risque oprationnel. Les contrles internes sont identifis pour chaque unit d'analyse (processus gnrique). Le concept de contrle interne est largi celui de quasi contrles (plans de formation, par exemple). L'identification des contrles internes est faite par le biais d'outils assez varis (entretiens, manuels de procdures, rapports d'audit); ce qui permet de se rapprocher de l'objectif d'exhaustivit. Une correspondance est faite entre les type de contrles identifis (prventifs, dtectifs et correctifs) et les risques oprationnels identifis lors de la phase prcdente. L'valuation des contrles internes au travers des critres d'efficacit et de pertinence permet un contrle de l'application effective, du fonctionnement correct et permanent du contrle interne. Elle permet galement une analyse du couple cot/utilit engendr par la mise en uvre du contrle interne. Les notions de pertinence et d'efficacit intgrent celles de fiabilit et de qualit de conception et de mise en uvre prnes par d'autres auteurs en matire de gestion des risques; Une chelle commune est dfinie pour l'valuation des critres d'efficacit et pertinence.
L'analyse au travers des facteurs de vulnrabilit, lorsqu'elle est utilise, seule est assez subjective car la pondration des facteurs de vulnrabilit peut facilement varier, d'une priode une autre. L'impact fmancier n'est pas assez dtaill. En effet, il n'est fait aucune distinction entre les cots directs des risques oprationnels (cot de rparation, de remplacement. .. ) et les cots indirects de ces risques (valorisation du nombre de jours/agents de rparation et de maintenance), comme cela est fait dans le cadre de la gestion des incidents. Il n'est fait aucune rfrence au seuil de tolrance dans tout le processus d'valuation des risques oprationnels inhrents ;
Identification des contrles internes existants
Evaluation des contrles internes existants
Il n'y a pas de prise en compte du critre d'efficience mettant en relation les concepts de cot/rendement/dlais de mise en uvre (mme si la notion de dlai de traitement des risques est intgre au critre d'efficacit) pour l'valuation des contrles internes; Il n'y a pas de formalisation de la combinaison de l'valuation des critres d'efficacit et de pertinence aboutissant une valuation globale de contrle interne; Il n'est fait aucun rapprochement entre les chelles dfinies pour l'valuation des critres d'efficacit et de pertinence permettant d'aboutir la dtermination d'une chelle globale d'valuation du
Jfttouo lJ<ioina P.mma :MO:J{Jf:MP.(]), 4me promotion au :Mastre en a"l/ue et Pinance, CPSJffj
100
Jlnafyse une marclie e cartOlJrapliie es risques oprationnefs ans Ce omaine Bancaire: Ce cas e <Banque e Prance
Evaluation des risques rsiduels
L'valuation des risques oprationnels rsiduels est faite selon les mmes principes que celle des risques inhrents pennettant, ainsi, de maintenir la cohrence de la dmarche. Au travers du rapprochement entre le niveau de risque rsiduel et celui de risque cible, et de faon rtroactive, il est possible d'tablir un contrle de l'valuation du contrle interne (en la corroborant ou en la corrigeant).
Matrice des risques oprationnels
La matrice des risques oprationnels est simple, base sur un dcoupage labor en zones de risque et pennet une vision du profil de risque oprationnels de chaque mtier un instant t >l.
Plans d'action
La mise en uvre des plans d'action pennet de ramener le niveau de risque rsiduel un niveau raisonnable. La dfinition des plans d'action est faite en mme temps que celle des indicateurs de perfonnance, pennettant un suivi de ces plans d'action. Cette approche (qui regroupe les phases d'action et d'valuation de notre rfrentiel) pennet galement une gestion efficace des plans d'action.
contrle interne; Les outils d'valuation des contrles ne sont limits qu'aux questionnaires. La fiche de description des contrles internes (annexe 13, page XVII) est incomplte car elle ne met ni en exergue le dpartement en charge de la mise en uvre/suivi du contrle interne, ni les facteurs cls de succs et indicateurs de perfonnances. La dmarche AMARIS ne prvoit pas de fonnalisation de l'effet du contrle interne sur le niveau de risque inhrent aboutissant au niveau de risque rsiduel. Puisque l'valuation du contrle interne est essentiellement dclarative et n'est base sur aucune chelle globale, l'valuation des dimensions des risques rsiduels qui en dcoule, est trop subjective. On ne sait pas vraiment comment est intgre l'apprciation des critres d'efficacit et de pertinence pour aboutir une modification des dimensions du risque brut en risque rsiduel. Il n'est fait aucune mention au seuil de tolrance aux risques oprationnels dans le processus d'valuation des risques rsiduels. De plus, le risque cible n'est dfini qu'au niveau de l'tape d'valuation des risques rsiduels; alors que logiquement les objectifs du mtier, en tenne de niveau de risque, doivent dj tre dfinis en phase de cadre de rfrence. Il n'est fait aucun rapprochement entre les dcisions de gestion (liminer/viter, rduire, transfrer, accepter), les dlais de suivi des risques et les zones de risques dfmies sur la matrice, ce qui ne facilite pas le travail de mise en uvre des plans d'action. Cela a pour consquence qu'on ne voit pas apparatre sur la matrice la zone du risque opportunit )1. il n'existe pas de matrice consolide des risques oprationnels l'chelle de la banque. La notion de date butoir affecte aux plans d'action est trop absolue. Elle ne tient, de ce fait, pas compte du concept de dure de mise en uvre ; Le modle-type de plan d'action ne met pas en exergue les stratgies (action) mettre en uvre pour la gestion du risque alors qu'il s'agit de l'un des lments les plus important du plan d'action. Il n'est en outre fait aucune allusion au cot approximatif du plan d'action, base d'une approche cot/rendement.
)fttouo <Rigina lEmma :MOJ{)f:MPlD, 4me promotion au :Mastre en anque et Pinance, (JES)f(}
101
ftnafyse une amarclie ae cartograpliie aes risques opratwnnefs d'ans Ce aumaine 6ancaire : Ce cas e IBanque ae Pronee
Reporting consolid
Le reporting pennet d'avoir une vision globale et consolide du profil de risques oprationnels de la Banque de France. Il n'exclut pas les autres canaux de remonte d'infonnations au Gouvernement de la banque, variant ainsi les sources d'infonnation des dcideurs en matire de risques. Il pennet la fois une vue d'ensemble au travers d'une analyse globale et une vue dtaille au niveau de chaque mtier, ce qui donne une meilleure orientation des dcisions prendre ; la frquence des reporting est assez importante, ce qui pennet une bonne rotation de l'infonnation sur les risques au Gouvernement de la banque; le reporting est confidentiel. L'actualisation pennet une mise jour de la cartographie afin qu'elle soit perptuellement en cohrence avec le profil de risques oprationnels de la Banque de France; Le suivi pennanent et l'enrichissement des donnes de risques sont des approches qui se compltent. Elles pennettent, en effet, de couvrir une sphre plus large de suivi des risques oprationnels; Le processus d'actualisation est support par un outil de planning d'action tablit au niveau de chaque mtier et qui pennet une rpartition optimale de la charge de travail.
Malgr l'existence au sein du reporting, d'une analyse globale l'chelle de la banque, il n'est pas mis en uvre de matrice consolide des risques oprationnels.
Actualisation
Le suivi pennanent n'est tablit que pour la surveillance des risques critiques.
Source: nous mme
4.2.4-
Tableau 17 : le bilan des supports de la dmarche AMARIS
Atouts La gestion des incidents pennet de favoriser le pilotage et la matrise de l'activit de la banque, par une prise en compte des donnes internes et externes de pertes. Cela permet d'tablir les bases de la mise en uvre d'une dmarche qualit au niveau des mtiers. L'apport quantitatif permet l'amlioration de la cartographie en tenne d'exhaustivit et d'objectivit.
faiblesses
Le systme de gestion des incidents oprationnels
La gestion des incidents ne pennet qu'une approche risques posteriori. L'impact image de l'incident revt les mmes contraintes de subjectivit que celui des risques oprationnels inhrents et rsiduels.
}lttouo CJUoina mma :MO:Jf}l:M(]), 4me promotion du :Mastre en alUJue et Pinance, CPS}lq
102
)lnafyse "une marclie e cartograpliie es risques oprationnelS ans Fe omaine 6ancaire: Fe cas cie <Banque e Prance
Le traitement des donnes incidents permet une meilleure quantification du risques oprationnels au travers d'approches statistiques de donnes de pertes (Loss Database Approach), ce qui permet un calcul ais des fonds propres rglementaires recommands par le Comit de Ble. La distinction entre les incidents et les quasi-incidents permet de prciser le concept tudi. La dfmition d'un seuil de recensement d'incidents assez bas permet la prise en compte de nombreux incidents oprationnels. L'valuation de l'impact fmancier en faisant la distinction entre les cots directs (comptabilit) et les cots indirects (jours/agents) permet une meilleure valuation de l'incident. La fiche d'incident (annexe 16, page XXI) est assez complte car elle prend en compte la fois les lments administratifs, descriptifs, d'impact et les modules de suivi de chaque incident. Le systme d'information couvre la fois la dmarche de cartographie des risques oprationnels et celle des incidents, permettant ainsi une optimisation des prises de dcision. Le systme SIRlS est la fois compos d'un systme de traitement de transactions, d'un tableau de bord de gestion et d'un systme d'information d'aide la dcision. SIRlS est complet en matire de fonctionnalits ncessaires au dploiement de la dmarche AMARIS. SIRlS est dot d'un manuel d'utilisateur trs fourni.
Le systme d'information
Source: nous mme
)lttouo IJUgina t'Emma !MOJ{)l!Mt'E(]), 4me promotion u !Mastre en l'Banque et Pinance, CPS)lq
103
jlnaEyse une marcle e cartograpliie es risques oprationnefs ans l omaine 6ancaire: l cas e a1liJue e {France
Les faiblesses releves lors de l'tablissement du bilan de la dmarche AMARIS, nous amnent entrevoir les possibilits d'amlioration. Ce sera l'objet de la dernire section de ce mmoire.
4.3- Recommandations pour l'enrichissement de la dmarche AMARIS

La dmarche AMARIS est assez complte en matire de cartographie des risques oprationnels. Cependant nous pouvons proposer, conformment notre recherche documentaire et notre rflexion en la matire, quelques amliorations susceptibles de l'enrichir. Cette section se droulera donc en deux tapes :
a les amliorations de formes qui concernent essentiellement l'enchanement des tapes; a et les amliorations de fond qui porteront sur le contenu de chaque tape.
Il s'agit de recommandations. De ce fait, nous ne tiendrons compte que des faiblesses releves lors de notre analyse de la dmarche AMARIS.
4.3.1-
Recommandations sur la forme
Nous pensons qu'il est ncessaire de prsenter la dmarche AMARIS sous un format prenant en compte la fois des phases et des tapes. Ceci permettrait une meilleure prsentation des phases de planification et de prparation qui sont en fait, un regroupement de plusieurs tapes. Nous proposons galement la formalisation des phases de dfinition de cadre de rfrence, de prparation et de vrification de la mise en uvre des plans d'action. Le contenu de ces phases pourrait tre rsum comme suit:
a. Contenu du cadre de rfrence :

ta ta
tI
dfinition du macro et micro environnement, de la Banque de France; dfinition des cibles et objectifs stratgiques de la Banque de France ; dfinition de ses indicateurs de croissance, d'efficacit et d'efficience; dfinition du seuil de tolrance aux risques oprationnels et du risque cible de chaque mtier.
ta
CI} JIttouo ~gina P.mma !M(YJ{)t!M.P.(]), 4
me promotion u
!Mastre en a1UJ.ut et Pinance, OESJIq 104
}lnafyse tfune mmr:ne e cartographie es risques oprationnels dns fe omaine 6ancaire: fe cas Je anque Je IFrance
b. Contenu de la phase de prparation:

Il
pour la conception de la dmarche: collecte de donnes sur les meilleures pratiques en matire de cartographie des risques, dcoupage de l'activit en processus et laboration de la dmarche AMARIS ;
Il
pour la priorisation en tape pilote: dfinition des processus pilotes de chaque mtier, et des modalits de pr-dploiement de la dmarche AMARIS sur ces processus.
c. Contenu de la phase de vrification de la mise en uvre des plans d'action:

Il Il
Contrle de la correcte mise en uvre des plans d'action et de leur tat d'avancement; Premire valuation de la performance des plans d'action au travers des indicateurs de performance.
Nous suggrons, en outre, la prsentation de l'tablissement de la matrice des risques et la gestion des incidents en tant qu'tapes part entire. Enfin, nous pensons qu'il serait prfrable de positionner l'tape de reporting consolid la suite de celle de dfinition des plans d'action. La proposition de format de la dmarche AMARIS avec prise en compte de l'ensemble des modifications de forme est prsente en annexe 17 (page XXII).
4.3.2-
Recommandations concernant le contenu de chaque tape.
Les recommandations que nous allons faire ne concerneront que les tapes du processus de cartographie des risques oprationnels pour lesquelles nous avons constat certaines faiblesses. Les tapes concernes seront donc :
Il Il Il Il Il Il Il Il
la cartographie des processus ; l'identification et l'valuation des risques oprationnels bruts ; l'valuation des contrles internes existants; l'valuation des risques oprationnels rsiduels, la matrice des risques oprationnels ; la dfinition des plans d'action; le reporting consolid; et l'actualisation de la cartographie.
(lI) flttouo (}1jgina mma :M(Y.}{}l9tt(]), 4
w1e
promotion
au :Mastre en anque et Pinance, CPSflq
105
}f.naEyse une Jemardie ae cartograpfiie J'.es risques oprationnelS tians l aomaine 6ancaire: l cas ae (Banque J'e Prance
..
4.3.2.1-
Recommandations pour l'enrichissement de la cartographie des
processus
Nos recommandations pour cette tape porteront essentiellement sur la dtermination des plafonds d'identification au niveau du dcoupage de l'activit en processus. En effet, nous proposons par soucis de cohrence et, compte tenu du fait que les plafonds des mga processus et des processus majeurs sont respectivement 5 et 10 (5 grandes catgories de services/produits et 5 grandes catgories de bnficiaires), une identification maximum de 25 couples de services (ou produits)/bnficiaires. Ces couples principaux pourront par la suite, tre subdiviss en processus lmentaire, activits et tches selon les caractristiques de chaque mtier. Pour ces derniers niveaux d'arborescence, nous ne proposerons donc pas de plafond.
4.3.2.2-
Recommandations
relatives
l'identification
des
risques
oprationnels inhrents
Nous pensons que, pour tenir compte de l'aspect risque opportunit ), il est plus pertinent de dfinir le risque oprationnel comme suit: menace rsultant d'une inadquation ou d'une
dfaillance attribuable des procdures, personnel, systmes internes ou rsultant d'vnements extrieurs; et pouvant reprsenter un niveau cible une occasion de saisie d'opportunit ou de cration de valeur . Sur la base de cette dfinition, nos propositions sont les suivantes:
a. La dfinition des risques oprationnels lis aux vnements extrieurs, comme source de risque
part entire, au niveau de la typologie des risques oprationnels (inscription au niveau 1 de la typologie, annexe 9, page XIII).
b. Nous suggrons en outre, pour plus d'exhaustivit et de prcision, une identification des risques
oprationnels partir des activits de chaque mtier (cinquime niveau de l'arborescence). Cela impliquerait une dclinaison de la typologie des risques oprationnels de la Banque de France jusqu'au cinquime niveau de l'arborescence des processus. Cela entranerait galement un rapprochement de tous les risques oprationnels de la Banque de France au cinquime niveau de l'arborescence au lieu du niveau gnrique.
c. Toujours pour plus d'exhaustivit, nous
suggrons, l'enrichissement des techniques
d'identification des risques oprationnels. A ce niveau nous proposons, en plus de l'approche
)fttouo (JljlJina fEmma !M.OJ{)f!M.fEtD, 4trie promotion
au !M.astre en IBanque et Pinance, CPS)fq
106
)lnafyse tf'une a1'/'Ulrche ae cartOlJmphie aes risques oprationne&
aans t a01'/'Uline 6ancaire : t cas fie anque fie Prance
intuitive et systmique de la dmarche AMARIS, les techniques suivantes, desquelles pourrait s'inspirer le PRAAC :
a une approche quantitative au travers de l'analyse des sources de la catgorie pertes et

profit des comptes de rsultats de la banque sur au moins trois annes conscutives (INSIGHT, 2003 : 2) ;
a une approche prenant en compte les menaces aux actifs crateurs de valeurs (BAPST,
2003 : 2) ;
a une identification des risques oprationnels inhrents, au travers d'une analyse des
menaces l'environnement interne et externe de la Banque de France (MCNAMEE, 1998 : 30) ;
a l'utilisation de scnarios de stress (MCNAMEE, 1998: 30) ; a le Risk Manager pourrait mme utiliser des outils d'audit tels que le tableau des forces
et faiblesses apparentes (TFfa) (LEMANT, 1995 : 64) (cf. tableau 18, page 107).
Tableau 18 : tableau des force et faiblesses apparentes
Opinion Domaine/ Opration Objectifs Risques POCA 1/ Indicateurs et indices F/f consquences dO de confiance Commentaires ou rf
Source: LEMANT (1995: 64)

1 Pratiques
d'organisation communment Adoptes
Cette liste de techniques d'identification des risques oprationnels n'est bien entendu pas exhaustive.
d. Nous recommandons, en outre, une identification des vnements internes et externes de risques
(analyse des risques oprationnels) aprs avoir identifi de manire plus ou moins exhaustive, les risques oprationnels inhrents. Cela permettrait de ne pas restreindre l'analyse du risque une seule approche (approche intuitive dans le cas d'AMARIS). e. Enfin, au niveau de la fiche descriptive de chaque risque oprationnel, nous proposons, une subdivision des illustrations du risque en causes, manifestation et consquences (cf. annexe 18, page XXIII).
W .ftttouo (}Jjoina 'Emma :MJf.ft:M'E(]),
4- promotion ilu :Mastre en CBanque et Pinance, CPS.ftq
107
)f.nafyse l'une tfmardie e cartograpliie es risques opratronneCs ans te dinnaine 6ancaire : te cas rie <Banque rie Pranee
4.3.2.3inhrents
Recommandations relatives l'valuation des risques oprationnels
A ce niveau, nous avons essentiellement trois propositions faire:
a. La prise en compte du niveau de tolrance dfIni au nIveau du cadre de rfrence pour l'valuation des risques oprationnels inhrents. b. La surveillance des facteurs de vulnrabilit par une rvaluation permanente des taux de pondration en fonction de l'volution de l'activit de la banque. Cela permettrait de rduire la subjectivit de cette approche d'valuation de la probabilit des risques oprationnels, au cas o elle serait utilise seule. c. Un affinement de l'valuation de l'impact financier par la mise en exergue des cots directs (comptabilit) et indirects (nombre de jours/agents de traitement) du risque.
4.3.2.4existants
Recommandations relatives l'valuation des contrles internes
Les recommandations que nous pouvons faire en ce qui concerne l'enrichissement de l'tape d'valuation des contrles internes existants sont les suivantes:
a.Nous suggrons le remplacement du critre de pertinence par celui d'efficience afm de tenir compte du dlai de mise en uvre du contrle interne, qui est un facteur assez important de sa qualit. Cela nous amne dfinir l'chelle d'valuation de l'efficience. Nous proposons donc,une chelle cinq niveaux (cf. tableau 19, page 109).
Q) ){ttouo ~9ina 'Emma :Ma.J{){:M'E(]), 4
me
promotion
au :Mastre en anque et Pinance, (fFS){
108
)lnafyse d'une amarclU ae cartograpfiie aes risques oprationnets aans re aomaine 5ancaire ; re cas ae <Banque ae !France
Tableau 19 : proposition d'chelle pour l'valuation de l'efficience du contrle interne

DescriRtion Efficience . - . . ] Couverture excessive du risgue, pertes d'oEE0rtunits exagre 1 l [CouvertUre approprie du ris9,ue, cot acceptable, diiide mise en ~uvre ass~z court~ Adg,uate ~". Il - d' ] CouvertUre partielle du risque, coQi moyennement acceptable; dlais de mise enl artle ement a equate , uvre m0l:ennement acceptable. Pas de couverture du risque, cont trop lev relativement au risque couvr', dlais 1 Non adquate , de mise en uvre tr0E long. , 1 Non valu" I! Niveau de couverture et/ou cot elou dlai de mise en uvre n'oni pu tre valus
..
r,
"
il
-~
~--,
Source: nous mme partir du guide AMARIS d'valuation des contrles internes existants et de l'approche FONTUGNE (2001 : 12).
NB: il reviendra la Banque de France de dfinir les chelles d'valuation du cot du contrle interne et du dlai de sa mise en uvre.
b.Nous proposons en outre, l'laboration d'une chelle d'valuation globale du contrle interne par combinaison des chelles d'efficience et d'efficacit. Nous suggrons galement la dtermination d'une cte chaque niveau de l'chelle afin de faciliter l'valuation du risque rsiduel. A cet effet nous proposons une chelle cinq niveaux (cf. tableau 20, page 109) :
Tableau 20: proposition d'chelle pour l'valuation globale du contrle interne
Il
!1
i'-' 2'--1'
1
Cte r" Qualit ducontrle ~llterDe_ '~_.. ~escriptioll_~. 5 Appropri, i Efficience adquate et efficacit satisfaisante -------.-----'~-~4... - ,-1 ,Moynnementappropri [Efficinceadguateouef!icacit s~tisfais3.l1te---""-'r-- 3 '------peu appropri Efficience partiellement adquate et/ou efficacit satisfaisante 1 1 avec rserves Non approprle-'- . . ;a~:~i=':onadquate ou exagre et/ou efficacit non
-1
Non valu
jEfficience et/ou efficaciiDonVa.is-----~ . ~--
Source: nous mme
c. Pour l'valuation des contrles internes, nous suggrons l'utilisation d'outils tels que les questionnaires de contrles internes (annexe 3, page N), les jeux d'essai, les progiciels d'audit (CNCC, 1992 : 95), les feuille de rvaluation des risques ... d. Nous proposons enfin, la mise en exergue la personne ou dpartement en charge de la mise en uvre du contrle interne au niveau du modle-type de contrle interne (annexe 19, page XXIV) .
.C[} jlttouo CJ(gina <Emma :MOJ{jl:MP/D, 4
me
promotion u ~astre en anque et Pinance, CPSjlq
109
)lnalyse ({'une amarc/i.e ae cartograpnie aes risques oprationnefs aans Ce aomaine 6ancaire ; Ce cas tfe \Banque tfe Prance
4.3.2.5-
Recommandations pour une meilleure valuation des risques rsiduels
Les recommandations que nous pouvons apporter l'enrichissement du processus d'valuation du risque rsiduel sont les suivantes :
a. Selon nous, la prise en compte de l'valuation du contrle interne dans celle du risque rsiduel
doit tre plus formalise. Nous proposons pour se faire deux approches:
=>
La premire est l'approche qualitative propose par l'IFACI (2003 : 10) selon laquelle
le risque rsiduel est obtenu grce la formule suivante:
Risque rsiduel = probabilit rsiduelle x impact rsiduel = (probabilit inhrente x impact inhrent)/ valuation du contrle interne
L'valuation du contrle interne serait fonction de l'chelle que nous avons dfinie prcdemment (cf. tableau 20, page 109).
Cette formule serait applique en gardant en mmoire que:

1:1 1:1 1:1
les contrles de type prventifs agissent sur la probabilit de survenance du risque; les contrles de type correctifs agissent sur l'impact du risque; les contrles de type dtectifs agissent sur la probabilit et/ou l'impact du risque.
L'exploitation du taux de dfaillance peut tre, lorsqu'il existe dj un historique des d'incidents oprationnels au niveau du mtier, un excellent moyen de corroborer l'valuation de la probabilit rsiduelle.
=>
La seconde approche est galement qualitative. Il s'agit de l'adaptation de la matrice
d'analyse des lacunes (BELLUZ, 2002 : 6) propose dans notre rfrentiel, au contexte de la Banque de France (cf. figure 8, page 111). Cette matrice tient de ce fait, compte du dcoupage labor de la matrice des risques rsiduels de la Banque de France (niveaux extrme, modr et faible) et de l'chelle d'valuation globale du contrle interne, que nous avons dfini au niveau du tableau 20 (page 109). La place du risque rsiduel sur la matrice dterminera son valuation et l'action mettre en uvre pour sa gestion.
jlttouo CJ<igina c.Emma ::Ma.J{jI::Mc.ECD, 4 promotion u ::Mastre en a1UJ.ue et Pinance, ()FSjlfj
110
)lnafyse tf'une rImarche rie cartographie ries risques oprationnefs rIans le dmaine 6ancaire : le cas rie a1UJ.ue rie Prance
Figure 8: proposition de matrice d'analyse des lacunes adapte

au contexte de la Banque de France
NE
i .1
"CI
NA PA
MA
3
4 5
:1
1 li!
liII
Faible
Modr
Fort
Extrme
~_ _ : _ :_~_au_.~_ue_ _ _~
1 NE
: non valu, NA : non appropri, PA : peu appropri, MA : moyennement appropri, A : appropri
Source: nous mme partir de BELLUZ (2002 : 6)
b. Nous proposons galement la prise en compte du seuil de tolrance du risque oprationnel pour l'valuation du risque rsiduel.
4.3.2.6-
Recommandations relatives la matrice des risques
Afin de faciliter l'exploitation de la matrice des risques, nous proposons un rapprochement entre le dcoupage en zones de risques et les quatre dcisions cls de gestion des risques (viter/liminer, rduire, transfrer/partager, accepter). Nous suggrons donc un affinement du dcoupage de la matrice des risques. Cela quivaudrait une matrice en quatre zones de risques au lieu de trois. Nous proposons galement une convention de couleur voluant avec le niveau de risque. L'ensemble de nos propositions est formalis au niveau de la figure 9 (page 112) :
flttouo <1lJoi na <Emma fM(Y.J{)lfM<E>, 4me promotion
au fMastre en anque et Pinance, CPSflq
111
)f.nafyse d'une amarclie ae cartograpliie aes risques oprationnefs tians Ce dOmaine 6ancaire: Ce cas tfe anque ae Prance
Figure 9 : proposition de modification de la matrice en zone de risques
Probabilit
1
Impact
1
2
Extrme Fort
Modr
"
Faible
5
"
NB: Nous tenons prciser que nous avons dj pris en compte les modifications de la matrice des risques, au niveau de notre proposition de matrice d'analyse des lacunes.
Source: nous mme partir de la matrice des risques du guide AMARlS
4.3.2.7-
Recommandations relatives aux plans d'action
Nous suggrons les modifications suivantes en ce qui concerne les plans d'action mettre en uvre:
a. une prise en compte de la notion de chrono gramme d'excution en remplacement de celle de date butoir qui est trop absolue; b. la mise en exergue de la stratgie de couverture du risque ; c. le calcul du cot approximatif de mise en uvre de chaque plan d'action. A ce niveau, l'utilisation de la dmarche de comptabilit analytique de la Banque de France (CANA) pourrait tre trs utile; d. et une modification du modle-type de plans d'action (cf. tableau 21, page 113).
(lI} )lttouo ~8ina P.mma :M(Y}{Jf!MP.(/), 4
rae
promotion du :Mastre en anque et Pinance, CPS)fq
112
flnafyse ({'une dmarcfte de cartograpliie des risques oprationnels J4ns fe domaine 6ancaire: fe cas d'e anque d'e Prance
Tableau 21 : proposition de fiche descriptive du plan d'action modifie
PLAN D'ACTION Processus majeur: Risque identifi ACTIONS A MENER N Objectif Stratgie Ressources 1 ACTIVITE RESPONSABLE
1
1
Processus
DELAISI PERIODE
AVANCEMENT Etat rdesuivi . Indicateu

1
Source: nous mme partir du guide AMARlS sur les plans d'action et de YAZI (2006: 1)
4.3.2.8-
Recommandations pour l'amlioration du reporting consolid
Nos recommandations l'enrichissement du reporting consolid sont les suivantes:
a. Afm de nous conformer nos recommandations sur l'tape d'identification des risques inhrents, nous proposons de faire une analyse par type de risque partir du cinquime niveau de l'arborescence des processus (activit). b. Nous proposons galement la mise en uvre d'une matrice consolide des risques oprationnels les plus critiques au niveau global de la Banque de France. Cette matrice prsenterait les cinq risques oprationnels principaux de chaque mtier, avec les commentaires synthtiques affrents. Le rapprochement entre les risques oprationnels les plus critiques de la Banque de France, pourrait en effet, tre enrichissant pour la prise de dcision en matire de politique risques.
4.3.2.9-
Recommandations relatives la phase d'actualisation.
Pour une optimisation du suivi permanent et de l'enrichissement des donnes de risques, nous proposons l'utilisation du tableau 22 (page 114), support d'une stratgie de gestion continu du risque.
W )lttouo lJ{ioina ~mma 9d0J{)l9d~(]), 4- promotion du 9dastre en <Banque et Pinance, CPS)lq
113
JlnaEyse une amarclie ae cartograpliie aes risques oprationnelS tians Ce aomaine 6ancaire : Ce cas ae anque ae !France
Tableau 22 : stratgie de gestion continue du risque

Risques cls/ Autres risques Niveau de risque/ priorit d'action Indicateurs de risques Mesure du risque
1
Source de mtbode de collecte
: donnes!
Responsabilit de la surveiUance
Frquence de la surveillance Cot
Source: SeT (1993: 7)
Il conviendra au PRAAC d'adapter ce tableau sa convenance.
Il est important de prciser que, en plus des recommandations dj faites relatives la forme et au fond de la dmarche, la Banque de France devrait mettre tout en uvre pour que la dmarche AMARIS couvre le mtier de fabrication de billet dans de brefs dlais. Cela est en effet, la condition essentielle de l'tablissement d'un reporting consolid caractristique des activits de la Banque de France et permettant une meilleure orientation des prises de dcisions.
(lI) )lttouo ~gina CEmma !M.aJ{)I!M.CE(]), 4
me
promotion u !M.astre en anque et Pinance, CPS)lq
114
)1.nafyse une amardie ae cartograpliie aes risques oprationnelS clans f aomaine 6ancaire : f cas ae anque ae 'France
Conclusion
La seconde partie de ce travail de recherche, nous a pennis de faire une analyse critique de la dmarche de cartographie des risques oprationnels de la Banque de France. Nous avons, en premier lieu, fait une description de l'existant afin de faire ressortir les tapes essentielles de la dmarche AMARIS. En second lieu, nous avons rapproch ces tapes notre modle d'analyse. Cela nous a pennis de dresser un bilan en forces et faiblesses de cette dmarche.
Les recommandations que nous avons proposes concernaient la fois le processus de cartographie en lui mme et le contenu de chacune des tapes qui le composent.
Il appartiendra la Banque de France et plus prcisment au PRAAC, de les utiliser bon escient afm d'enrichir la dmarche AMARIS et d'aboutir, ainsi, un pilotage optimal des risques oprationnels de cette banque.
Jlttouo If<iaina 'Emma !MOJ{fl!M'E(]), 4rrre promotion u !Mastre en (Banque et Pinance, CPSJlq
115
jtnafy,se tf'une d"marcle Ife cartoerapliit ds risques opratJnnefs aans k .romaine 6ancaire : fe cas Ife anque Ife Prance
CESAG
~.~~
CONCLUSION GENERALE
.ftttouo (jIJ{jina P.1II111a !M(Y.){)f!MP.V, 4"" promotion du !Mastre en <Banque et <Finance, cPS.ftj
;4nafyse {{'une dmarclie de cartOfJrapliie ds risques oprationnefs dans Ce domaine 6ancaire: Ce cas de anque de Prance
La banque est une machine risques . Le management de ces risques doit pouvoir se prsenter comme une rponse aux pressions conomiques, organisationnelles et rglementaires accrues, engageant ainsi, la responsabilit globale de l'organisation et celle de ses dcideurs. Il doit pour se faire, tre orient sur l'atteinte des objectifs, la protection des actifs, un arbitrage cot/opportunits, une rpartition optimale des tches et un pilotage managrial.
La cartographie des risques, s'imposant comme outil indispensable de matrise du prsent et d'anticipation du futur, est un pralable en matire d'ERM ne pas ngliger. Il permet, en effet, audel de la gestion des risques et des plans d'action qui lui est sont communment attribus, une gestion dcisionnelle de la banque.
Il est donc, aujourd'hui, assez simpliste de parler de matrise des risques, sans rattacher ce concept celui de cartographie des risques de l'organisation.
La gestion des risques oprationnels, au-del des problmatiques actuelles d'allocation de fonds propres, qui sont la mode, permet de fdrer les projets d'amlioration des processus et de la qualit (NICOLET, 2000 : 46).
La Banque de France a bien compris toutes ces tendances. La dmarche AMARIS qu'elle a mis en uvre pour la cartographie de ses risques oprationnels, a t tablit dans cet esprit. Malgr les difficults rencontres (adaptation la culture et aux objectifs de la BDF, difficults d'acceptation du Contrle Interne, contraintes budgtaires, multiplicit des approches prexistantes, difficults de l'exercice d'auto-valuation ... ), les acquis en matire de gestion des risques oprationnels, par le biais d'AMARIS sont assez palpables. On peut, entre autres, citer:
Il
l'identification de plus de 3400 risques oprationnels et la mise en uvre de plus de 1500 plans d'action;
Il
une vision la fois consolide et plurielle des risques oprationnels de la Banque de France;
Il
une dmarche d'ensemble de renforcement en profondeur du Contrle Interne; un dispositif de gestion des incidents oprationnel dynamique; une communaut vivante de Risk Manager, facilitant l'approche de gestion des risques oprationnels;
Il Il
)lttouo tRiaina m1lUt :MOJ{)l:M(]), ~ promotion
au :Mastre en anque et Pinance, CPS)lq
117
flnafyse "une amarclie tfe cartoorapliie tfes risques oprationnefs tians t aomaine 6ancaire: t cas tfe anque tfe Prance
&1
des Directions Gnrales s'appropriant la dmarche et l'intgrant leur dispositif de pilotage de gestion
L'outil de cartographie des risques oprationnels a, en outre, suscit le passage d'une perception diffuse des expositions leur connaissance rationnelle. Il a en effet, permis:
a la mise en uvre d'un dispositif d'analyse, de comparaison et de gestion cohrente des

risques oprationnels de la Banque de France;
&1 &1
la promotion d'un langage commun en terme de normes et de mthodes; le dveloppement de la communication interne entre les hommes de la banque (Risk Manager et leurs quipes, PRAAC et dcideurs) ;
&1
le dploiement au niveau de chaque mtier d'un processus permanent et ractif de gestion des risques oprationnels, pilot par le Management de la banque;
a et l'exploitation des incidents survenus, ayant donns ou non, lieu des pertes
financires ou des atteintes l'image de marque.
La Banque de France a donc dsormais pos les bases du dveloppement d'un dispositif interne de mesure du risque oprationnel. Elle est donc rsolument tourne vers l'utilisation de l'approche des mesures avances (AMA) pour le calcul de ses fonds propres rglementaires de couverture du risque oprationneL Mais au-del de ce fait, ses mtiers sont en marche vers un processus de qualit tout point de vue.
L'objectif de ce travail de recherche tait de faire une analyse de la dmarche de cartographie des risques oprationnels de la Banque de France. Nous avons donc, dans la premire partie, fait une prsentation gnrale du concept de risque oprationnel. Nous avons, en effet, explor, les stratgies de gestion de ce risque et plus particulirement, les approches de sa cartographie. Cela nous a permis la mise en uvre d'une dmarche rfrentielle de cartographie des risques oprationnels adapte toute banque. Sur la base de ce modle, nous avons fait l'analyse de la dmarche AMARIS, en avons dress un bilan et fait des suggestions son enrichissement.
Ce travail a t complexe du fait que la dmarche AMARIS est en elle-mme assez complte. De plus, aurait-il t vraiment ais de critiquer la dmarche de cartographie des risques oprationnels
(;JI)
)fttouo ~gina 'Emma 9dOlfjl!M'Ec]), 4me promotJn
au 9dastTe en a~ue et Pinance, CPS)f
118
JfnaJyse tf'une amarcfie ae cartograpfiie aes risques oprationnels tians Ce aomaine 6ancaire : {e cas ae anque ae Prance
d'une institution comme la Banque de France, qui se doit d'tre implique dans toutes les mutations mthodologiques en terme de gestion des risques?
Nous pensons que non, cependant, notre objectif a t globalement atteint. Nous estimons, en effet, que nos recommandations seront utiles l'enrichissement de la dmarche AMARIS, qui se veut rsolument prospective.
Il appartiendra donc au PRAAC, de s'inspirer de nos suggestions et de les modeler en fonction des spcificits des mtiers de la Banque de France, afin d'enrichir la dmarche.
Cela permettrait d'enraciner l'approche AMARIS dans la cohrence et la prennit.
Comme l'a dit Napolon, Les trois quart des hommes ne s'occupent des choses ncessaires que
lorsqu'ils en sentent le besoin, mais,justement, alors il n'est plus temps . Faisons donc partie du
quart qui fait la diffrence.
ClI)
)f.ttouo ~8ina l'Emma !MJ),H)f.!Ml'EV, 4me promotion u !Mastre en \Banque et Pinance, C!FS)f.j 119
rANNEXES
Annexe 1Annexe 2Annexe 3Annexe 4Constellation du risque bancaire. Exemple de ventilation du risque oprationnel et niveaux de risques. Exemple de questionnaires de contrles internes. Organigramme de la Banque de France. Arborescence des processus. Questionnaire pour l'identification des processus. Modle-type de fiche descriptive de processus. Questionnaire d'identification des risques oprationnels inhrents par l'approche intuitive.
Annexe 5Annexe 6-
Annexe 7Annexe 8-
Annexe 9Annexe 10Annexe 11Annexe 12Annexe 13Annexe 14Annexe 15Annexe 16Annexe 17Annexe 18Annexe 19-
Typologie gnrale des risques oprationnels de la Banque de France. Exemple de fiche descriptive des risques oprationnels. Les facteurs de vulnrabilit du processus. Modle-type de fiche d'valuation de la vulnrabilit. Modle-type de fiche descriptive des contrles internes. Fiche descriptive de la cotation du risque rsiduel. Exemple de fiche de prparation de la phase d'actualisation Fiche descriptive d'incident. Forme amliore de la dmarche AMARIS. Proposition de modification de la fiche descriptive des risques. Proposition de modification de la fiche descriptive des contrle internes.
ANNEXE 1: LA CONSTELLATION DU RISQUE BANCAIRE
Risque de management
(quipe diJ'i~ca l1tc mal illfonllee ou dfaillante, actiotU1.1irc,> divise..,
organi,>atioll in'iuffi\aUlc... )
RISQUES PO LITIQUES
Risques de stratgie
S1atl\":li~ orientation D\ cquilibrc moyens filL1lite n:mabilirc li\que
Risques thiques ~oure\pcCl c:ks rgles :
rglementaire.., fiscales .
dontologique ..
Risques extrieurs
Polilique. '>OI:inl. hmnall
Systmique
Inmg:c.
Risque. conomique.
EITelU'\ de pr\'isioll
Absence de rentabilit
Risques oprationnels
Risque.. techuique.. Teclmologique... lwidique... Admni"hatif... (JeiotOII interne
Risques de contrepartlo SignAture. crdit. dfnillancc

Risque ,>cctoriel ou ~ographique (ri ..quc.. pays. di\'i"lon de.. risque..)
Risques environnementaux Risques sur systime d'Informetlon

(Di..ponibilite. intgrite. confidcnli.."\ltt. preu\-e) Catn ..troph..ique. Dcttlillnnce. p:UUle Fraude. dtournement. :Mauvai ..e or~aLl."3Iion. JDla~e de marque. etc.
Risques de marchs
Liquidit. Tran..fonuarion . Solvabilit
Rentabilit. Taux. Chan2c. dc'V'ic,>

Dc SUpp01t . Rglcmcllt li\'rai...o11. Clc.
Risques sur autres activits (ri..quc:s non bancairc,
Risques divers
[1
ANNEXE 2 :
EXEMPLE DE VENTILATION DU RISQUE
OPERATIONNEL ET NIVEAUX DE RISQUE
- VENTILATION
Table de donnes
1
2 J
Fraude interne. Fraude externe. Relation
6
S
4
avec
le
personnel,
::::::J
1 1 1
relations sociales.
laSriet l
Relation
cl ientle,
produits,
3 2
t
pratiques commerci ales
5
6
20%
30%
Dommages aux actifs corporels.

Dysfonctionnement de l'activit et des systmes.
0%
10%
40%
Ex cution, livraison et geslion des

traitements.
Source: Christi an COUCHOUD (2004 : 60)
-NIVEAU DE RISQUE
RISQUE
RESIDUEL
M..ares et contrle opratioanell..
III
ANNEXE 3 : EXEMPLE DE QUESTIONNAIRE DE CONTROLE INTERNE

Objectif de contle : s'assurer que les ventes sont saisies et enregistres
QUESTIONS REF OUIINON OU NIA COMMENTAIRES REFERENCE PROGRAMME DE TRAVAIL
_.
1. L'accs aux zones de stockage et d'expdition est-il suffisamment protg pour viter: a) les expditions sans bons de livraison; b) les retours sans bons de retours. .. Les bons de livraisons sont-ils: a)tablis sur des formulaires standards; b) pr nurnrots Le service de facturation vrifie-t-illa squence numrique: a) des bons de livraison; b) des bons de retour. Pour s'assurer qu'Hies reoit tous
Source: CNCC (1992.' 97)
IV
ANNEXE 4 : ORGANIGRAMME DE LA BANQUE DE FRANCE
Secrtariat Gnral de la Commission Bancaire Secrtariat Gnral du Conseil national du Crdit et du Titre Secrtariat Gnral du Comit de rglementation Bancaire et Financire et du Comit des tablissements de crdit et des entreprises d'investissement Comit de la mdiation bancaire Observatoire de la scurit des cartes de paiement
Gouverneur Sous-Gouverneur 2 Sous-Gouverneur

ad
.u
............................................... :........, ..... 1

~
L -_ _ _ _ _ _ _ _----l
Cabinet du Gouverneur
........:
Conseil Gnral
t .
.....:
Quatre membres du Conseil de la Politique Montaire Conseiller Gnral Reprsentant du personnel Censeur supplant
.....:
.
:
~....
Conseil de la Politique Montaire
Conseiller du Gouverneur ~ .. .....1 : L -_ _ _ _ _ _ _ _ _ _---'
tu ... "',,--_R_el_a_ti_on_s_a_v_e_c_le_P_ar_le_m_e_n_t--'
~ ........,'---_ _c_o_n_t_r_le_ur_G_'_n__ra_I_ _-'
........: ..... "': ........:
.....
10
f....... I'--__D__le_'g_U__d_e_d_o_n_t_ol_o_g_ie_--,
: ....... . Direction de la Communication
:....... .
Direction des Services Juridiques Mdiateur de la Banque de France
:.................................:................................:.....................................;...................................:...................................:
Secrtariat Gnral Caisse Gnrale Direction Gnrale des Oprations Direction Gnrale des Etudes et des Relations Internationales Direction Gnrale de la fabrication de billet Direction Gnrale des Ressources Humaines
ANNEXE 5: ARBORESCENCE DES PROCESSUS
Niveau 1
--! -\-------------!
Mega processus
Processus majeurs Processus majeurs Processus majeurs Processus gnriques
Mega processus
-~
--------tProcessus gnriques
Mega processus
Niveau 2
------------------------------------Niveau 3
Processus majeurs
Processus majeurs
Processus majeurs
Processus majeurs
Niveau 4
Processus lmentaires
---~------ ----~------I----------------------Niveau 5
Activits
Activits
Activits
Activits
Activits
--l------~----------l------l------~--
NIveau 6
Tches
Tches
Tches
Tches
Tches
VI
ANNEXE 6: QUESTIONNAIRE POUR L'IDENTIFICATION DES PROCESSUS

1- Approche Top-down
A qui s'adresser i Recommandations/ de prfrence? 1 Commentaires __ '--' Etape 1: les CJ.lJestions J~Q~r pour identifier les mega processus et les processus majeurs 1 Quels sont les objectifs du mtier? (vers quoi tend-il? quelle Ch f d M'f i Les questIOn 1 3 est sa vision 5 ou 10 ans ?) . . e e e ~ permettent de dfinir les ~~eUes sont les missions du mtier? . ___ Chef de Mti~ principales missions du , d ' 1 b' 'f 1 Mtier, Sauf exception, leur 3 Quelle est la fima lIt u mtier? (que est son 0 ~ectl' Ch f d M '1' 1 b d 't 'fi" e e e 1er n0m rMet?l etre meneur stratgique 3,5 ou 10 ans ?) 1 5 ..p::_=ar:. . : .c: :.:. :.:I=-=ecr..'-;:---::---::---;:-, . . : S'assurer que les principales miSSions des Directions Quelles sont les missions des directions qui composent le Directeurs 1 mtier? quels sont leurs objectifs? sont reprises dans les . missions du Mtier, 1 Quelles sont les catgories de clients du Mtier externes Directeurs 1 Les rponse-s-a-ux-q-u-e-stt-::-'o-n-s-l 5 . 5-6-7 doivent conduirent la BdF? r --+-'-Quelles sont les catg()ries de clientS du Mtier internes 1 Directeurs ou Chef environs 5 catgories de 6 la BdF et externes au Mtier? . __.:...::-.::...::.::....:..::c'-'de service _ _-I bnficiaires, .__. .__ __ __-+
r-_____--=-__c_~_Questions
1
1
'_m
---:-i.
Quelles sont les catgories de clients interne au Mtier?
Quelles sont les grandes catgories de services (ou produits) dlivrs par le Mtier? Quelle est la valeur ajoue que le mtier apporte ses partenaires ?
Toutes les catgories de services/produits ont-elles un bnficiaire (et vice versa) ?
Si seules des catgories de clients internes au mtier Directeurs ou Chef ont t recenses, cela peut signifier dans certains cas de service une insuffisante des identification ! destinataires finaux, Sauf exception, le nombre Directeurs ou Chef de de catgories de service services/produits doit tre infrieur 5 ---~~~~~~~------I Les processus majeurs contribuent la ralisation d'une mission d'un mtier et se caractrisent par un couple (catgorie de Directeurs ou Chef services/produits x catgorie de service de bnficiaires).
.
10
Sauf exception, leur nombre i ne doit tre suprieur 5 par 1 i . mega E!Qcessus, La rponse cette question Ch f permet de s'assurer que les Les catgories de services/produits et les catgories de D' t bnficiaires ont-elles des bases homognes pour chacun des. rrec eurs ~u e niveaux 1 et 2 sont de service . 1 et 2 1 ' d 'e '1 ements ' nIveau composes . homo nes.
'-';!1'-"---"-- ,
VII
Question
A qui s'adresser de prfrence?
1
!
Recommandation/ Commentaire
Il
12
13
14
~
1
...
16
17 18
19
Quels sont les grands groupes de tches ncessaires pour Directeurs ou La rponse aux questions Il fournir le service/produit? quelles entits (groupes de Chefs de services et 12 pennet d'identifier personnes) interviennent dans la ralisation de ces groupes de . les grandes tapes de la tches? production du d ds i Chefs de service ou Quelle est la frquence d'enchanement e ces gran i service/produit identifi. 1 Responsables . groupes de tches ? 1 oErationnels Etape 2 : les questions ser EOur identifier les Erocessus gnrigues,lmentaires et leurs cOrnEosantes . Quels sot tous les bnficiaires appartenant la catgorie de 1 i Chefs de service ou bnficiaires identifis pour le processus majeur ? La question est poser pour Responsables Quels sont tous le services rendus (ou produits dlivrs) 1 chaque processus majeur. oprationnels appartenant la catgorie de services (ou produits) du Erocessus m a j e u r ? . Chefs de service ou 1 Il faut dtenniner ceux qi~ Quels sont les couples (services/produits x bnficiaires n'ont pas de sens pour l Responsables cohrents) pour le mtier? oprationnels ' mtier. Les enchanements ., d'activits associes aux Quelles sont les actvits pennettant d'adresser le services (ou Chefs de service ou couples (services/produits x les produits) aux bnficiaires identifis dans les couples Responsables . bnficiaires) dtenninent prcdents ? oprationnels les processus au niveau le ~us fin . . La question poser pour La catgorie de bnficiaires observe constitue-t-elle un Chefs de service ou chaque processus identifi segment d'une catgorie de bnficiaires Elus large? Responsables l'issue de la question 17. Le service/produit d'un processus est-il un sous-produit ou oprationnels un produit intenndiaire d'un autre produit? La rponse cette question pennet de s'assurer que les 3-4-5 sont niveaux Les catgories de services/produits et les catgories de Directeurs ou composs d'lments bnficiaires ont-elles des bases homognes pour chacun des Chefs de services nivaux 3-4-5 ? homognes. Sinon, il faut effectuer les reclassements qui conviennent.
1 1 1
~.-
VIII
2- Approche Bottom-up
A qui s'adresser de Recommandations/commentaire rfrenee? . Etape 1 : les q~sc:::ti:.::o.:::n=-s.:::..J:-;:=::....Lo=-u=r=-=-re:.:c,ec:.=Ds=-:e'-r...:;l..:::es~pr'-o"-'e;..:.e.;;.;ss'-'.u"'"s'-._ _-:--_ _~--=-_~. Quelles SQnt les activits La rpQnse aux questiQns 1 3 pennet 1 ralises au sein du Mtier? d'identifier des processus indpendamment de I----r-Quels sont les pnncipaux leur niveau dans l'arborescence. Chefs de service et 2 enchainements entre les activits resPQnsables QpratiQnnels identifies en uestiQn 1 ? Quels sont les bnficiaires et les services/prQduits dlivrs par ! ces enchanements ? . . . _.La rpQnse cette questiQn pennet de reprer Existe-t-i1 des bnficiaires QU . t d'ventuels grQupes de tches qui n'auraient des services/produits PQur , Chef:s de servIce e lesquels des enchanements 4 '1" Qnnes 1 ! pas et recenss. r esponsables Qpera 1 n'Qnt d'activits pas t i identifis. i La rponse aux questiQns 5 7 pennet de Quelles sont les missiQns du ! Chefs de Mtier 5 s'assurer qu'aucun grand dO'maine d'activit du i Mtier? Mtier n'a t O'mis. Les prQcessus identifis ciQuels SQnt les Qbjectifs du Chefs de Mtier 6 dessus dQivent pouvQir tre rattachs la Mtier? ~ ralisatiQn de l'une QU l'autre des missiQns du Quelles SQnt les missiQns des 1 Mtier. 7 1 DirectiQns qui cQmposent le i Directeurs Mtier? ,......-. Etape 2 : les questions poser pour rezrouper !hirarchiser les rocessus. Quels SQnt les services/prQduits Les processus identifis prcdemment SQnt 8 de mme nature? regrO'ups SQit par catgQrie de service/produits , (questiO'ns 8 et 9), SQit par catgO'rie de! bnficiaires). On chO'isit de regrQuper/hirarchiser par Chefs de service et catgO'rie de services/prO'duits si c'est le critre Quels services/prO'duits sO'nt des resPO'nsables O'pratiO'nnels le plus diffrenciant (sinO'n O'n travaille sur les 9 sO'us-prQduits d'un autre? catgO'ries de bnficiaires). Question
1
! ! Quels SQnt les bnficiaires qui O'nt des attentes cQmparables en 10 1 tenne de type de service/prQduit, de_~lit, de dlais et de cots ? Quels bnficiaires constituent Il un SQUs-grQupe d'une catgQrie plus large?
! Les questiQns 8 et 9 pennettent de regrQuper les . services/produits en grO'upes de niveaux hO'mO'gnes. Il s'agit ici de regrQuper les bnficiaires en grQupes de niveaux hQmQgnes. Chefs de service et resPQnsables QpratiO'nnels
1
IX
Question
A qui s'adresser de _I!rfrenee ?
Recommandations/Commentaires
12
13
14
1
15
16
Il s'agit ici de regrouper les bnficiaires Quelles sont les catgories de groupes de niveaux homognes. bnficiaires de nature comparable? Chefs de services et (Populations d'ampleur Responsables oprationnels comparable mais prsentant des ' caractristiques distinctives) La rponse cette question permet de s'assurer Les catgories de services/produits et les catgories D' Ch fi d que le niveau est compos d'lments rrecteurs ou e s eh ' S' , omogenes. mon,]') faut effiectuer 1 es de bnficiaires ont-elles des .. servlces 1 rec assements qUI conviennent. bases homognes pour chacun : des niveaux? Au niveau 1, les processus 1 Directeurs ou Chefs de Sauf exception, leur nombre doit tre infrieur 1 correspondent-ils aux services 5 par Mtier. principales missions du Mtier? : Au niveau 2, les processus sont- 1 ils caractriss par des couples catgories de (services/produits x Sauf exception, leur nombre doit tre infrieur Directeurs ou Chefs de bnficiaires) et contribuent-ils 5 par processus de niveau l, services directement la ralisation de la mission laquelle ils se rattachent ? --, Les processus de niveaux i Chefs de services et infrieurs sont-ils tous rattachs Responsables opratIOnnels : un rocessusmajeur? ,_ Les principales activits sont- 1 --C-h-efi-s-d-e-services et elles toutes rattaches un' Responsables oprationnels 1
1
1 1
=-t
1
,------,-~
-----"--1
ANNEXE 7: MODELE-TYPE DE FICHE DESCRIPTIVE DES PROCESSUS
DESCRIPTION DES PROCESSUS

Mtier Processus majeurs
Dbut/fin
1
Date
1
Rdacteur Processus
Dbut,' quelle est la premire tche du pro cess ? Fin: quelle est la dernire tche du pro cess ? Quelles sont les activits du pro cess ? Entres: quelles sont les informations dont vous avez besoin? et de qui les recevez vous? Entres/sorties Sorties,' quelle sont les informations que vous transmettrez et qui les transmettrez-vous? quels rapports et informations sont publis ou transmis un autre service (entit, ...) ? Quelle sont les objectifs gnriques affects ce process )} sauvegarde du patrimoine) Objectifs Quels sont les objectifs spcifiques assigns ce process ? Facteurs cls de succs Au regard des moyens humains, financiers et techniques dont vous disposez, quels sont, votre avis, le facteurs qui vous permettront d'atteindre vos objectifs ? De quelle manire sont identifis les erreurs/dysfonctionnements/succs (tableau de performance) ? Indicateurs De quelle faon dterminer vous que vous avez atteint vos objectifs ?
?
Activits
(qualit de l'information, respect des rgles, lois et procdures, rentabilit,
XI
ANNEXES: QUESTIONNAIRE D'IDENTIFICATION DES RISQUES OPERATIONNELS INHERENTS PAR L'APPROCHE INTUITIVE
Micro-objectifs de la dmarche intuitive Il s'agit de l'identification de ce qui pourrait empcher la ralisation des objectifs du Questions poser
Lister les objectifs et critres de performance
Quels sont les objectifs du processus? Quels sont les facteurs cls de succs? Quels sont les critres de performance attendue du processus?
Identification des risques lis aux lments intrinsques du processus Quelles sont les phases critiques du processus? Qu'est ce qui pourrait les faire chouer? Qu'est ce imprativement fonctionner correctement? Quels sont les maillons faibles du processus? (organisation complique, systmes d'informations complexes ou instables, personnel nouveau ou inadapt, activits sans valeur ajoute ... ) Quelles ont les ressources cls protger? Quels sont les types de risques existant dans les processus? Quels sont les erreurs, omissions, actions ou incidents qui peuvent avoir un impact significatif sur la performance du
Recenser les causes possibles de non ralisation des objectifs.
Il s'agit de l'imagination ou du recensement des vnements, actions ou qui pourraient situation empcher la ralisation des objectifs du processus. De ce fait, on s'intresse aux risques lis aux vnements intrinsques et du environnementaux processus.
~<." P~~~!~~~~~~"N"
Identification des risques provenant des facteurs externes du processus
En quoi les autres processus peuvent-ils interfrer ngativement sur la performance du processus? En d'autres termes, la performance du processus dpend-t-elle des autres processus de la banque avec lesquels il fonctionne? Quels sont les points de dpendance les plus critiques? (systmes d'information instables, mauvaise qualit des informations). En quoi l'environnement actuel peut-il empcher la ralisation des objectifs du processus? En quoi une volution de l'environnement peut-elle empcher la ralisation des objectifs du processus? En d'autres termes, quelles sont les causes externes rendant le processus plus vulnrable? (volution de l'environnement lgal ou rglementaire, concurrentiel, technologique ... ).
XII
ANNEXE 9: TYPOLOGIE GENERALE DES RISQUES OPERATIONNELS DE LA BANQUE DE FRANCE
1o~o~:?12i~p~~!l>~I!!~~t:!~!!!s!I!!~~~~!!l~l~~~!e~!m.iqlle.s
L~:?"~~~.lI!'!!~~~.~~_~.~~t!f.~~~~~\l~t~
'.c'
'0'"
'"
r-:~O::-=
2.2,4 Maintenance inadquate des quipements et des ,( locaux "-:-_-:-_'_"_ '. _ _ _ _ _ _ _ . ",' 0' '0 0',0" ,,0' "0"0 ',0 ,0 _,' .
c,""
; 2.3 Risque de management
' [~'~}cg~~!!?!l:itI~.~.~51~,~!~~~~.l}di~g;~tpl~iIl~
o
12.3:.~.9t!.~g~E, !!l!!:1~'lu~!~.d.e~c!st!
',"0"
'. , . "
"
_ ","
'0_."",
.,_,
,'.
,.",I~~~_~~;_~;;:~~_;~~~s=u~, I~ S~~:-~itan~ ~t
2.~:.~~l~\lt!, ,!~!1.~!~&I~t!n!tt!r.e .. .1~:~:~0~.J_'Et!.~2~!!:!.~!.!!,~! .. _'0'.,
[ ,
o.
2.4 Risque lgal, rglementaire et
'" ,. contractue!. ' c . . . ...... - . 2.5 Risques lis aux menaces externes ; 1 2.5.1 Blanchiment des capitaux et financement 't d'activits iIlicites
:1'~~J:i~;~;~;;~~.~~_~~~.~~_~."":~'._"
'0''',' 00.'" '" ,
,..
O",
. 0 . . _ _ _
.:
1 i~~~~~~~~~~~~~~~~;~~:~SSYst~::
}}.I..~a..li!~5E..!'!,nformll!io.Il!Il~llf!is!lll!e
....,'
3.2 Risques lis la gestion de l'information
i [
XIII
ANNEXE 10: EXEMPLE DE FICHE DESCRIPTIVE DES RISQUES OPERATIONNELS

1.1.1 1.1 1.
Df"mition Inadquation qualitative des ressources humaines Risque de gestion des comptences et des carrires Risque humain C'est le risque li une inadquation des ressources humaines aux besoins des Mtiers, en tenne de comptence humaine disponible Illustrations niveau d'expertise technique inadquat ou insuffisant; faible matrise des outils logiciels (bureautique, applicatifs ddis) ncessaires la gestion des activits ; matrise insuffisante des langues trangres ; insuffisance de connaissances des mthodologies (conduite des projets, de planification ... ) ; polyvalence insuffisante. identification des postes possibles ncessitant des comptences particulires; surveillance du turn over, notamment sur les postes sensibles; prparation d'un dispositif de remplacement en cas d'absence; fonnalisation de l'activit pour faciliter un remplacement; plan de fonnation ; possibilit de recours des ATE ; possibilit de recrutement des cadres latraux ; organisation d'un transfert des comptences des agents les plus expriments vers les plus nouveaux compagnonnage ) ; organisation de travaux en binmes.
Exemples de dispositifs de contrle internes
commentaires
XN
ANNEXE Il: LES FACTEURS DE VULNERABILITE DES PROCESSUS

Facteurs de vulnrabilit illustrations Insuffisance structurelle des mtbodes et procdures - Concentration des responsabilits sur le nombre restreint d'employs; Description des fonctions (domaines, limites, ... ) absentes ou non jour ; Formalisation des procdures absentes, inadaptes, non actualises ou connues des excutants ; - Absence structurelle de principes de sparation de tches; Absence de principes ou modalits de dlgations de pouvoir ; Politique et/ou rglement interne absent et non actualis ; Sensibilisation insuffisante aux proccupations de scurit logiques et physiques;
Environnement organisationnel (il s'agit de l'apprciation de la qualit globale de l'organisation des activits et non pas des dispositifs de contrles internes)
Insufrtsance de la culture de contrle et de supervision - Mauvaise qualit des dispositifs de reporting ; - Absence de suivi des actions correctives ; - Peu de sensibilit du management du contrle interne ;
Complexit
Complexit de l'organisation (procdures, relations interpersonnelles, relations entre mtiers, services ... ); Complexit des contrats ; Complexit des oprations traites; Complexit des produits traits Complexit de l'environnement infonnatique ; Dispersion gographique ;
Cbangement Nouveaut
Nouveaux systmes informatiques ; NouveUes tecbnologies ; Nouvelles applications; Nouvelles macbines ; Cbangement organisationnel. - Nouvelle activit ; - Nouveau produit; - Rorganisation du personnel; - Nouvelle procdure ; - Nouveau mode opratoire; - Nouveau mode de fonctionnement; Changement de politique de la Direction; - Augmentation des oprations manuelles; - Modification des lignes de reporting (Management) ; - Gestion du changement par le Management inefficiente.
Environnement externe
Forte exposition des risques naturels; Forte exposition des menaces externes (banditisme, terrorisme, sabotage, vandalisme ... ) ; Environnement du Systme Europen des Banques Centrales (SEBC) trs contraignant ; Environnement politiquellgallrglementaire complexe et/ou trs contraignant.
xv
ANNEXE 12: MODELE-TYPE DE FICHE D'EVALUATION DE LA VULNERABILITE

EVALUATION DES FACTEURS DE VULNERABILITE
Processus majeur : Risque identifi: Evaluation des facteurs de vulnrabilit
1
Processus :
ENVIRONNEMENT ORGANISATIONNEL Pondration: 40%
COMPLEXITE Pondration: 20%
CHANGEMENT et/ou NOUVEAUTE Pondration: 20%
ENVIRONNEMNT EXTERNE Pondration: 20 %
5
4
3 2 1
XVI
ANNEXE 13: MODELE-TYPE DE FICHE DESCRIPTIVE DES CONTROLES INTERNES
DESRPTION DU DISPOSITIF DE CONTROLE INTERNE

Processus majeur: Risque identifi:
_
..
Processus :
_
_M-
..
_--~~
...
~-~-
-~
...
Description du dispositif de contrle interne
+
i
1
Type
Pertinence
Efficacit
Evaluation du contrle interne
1
1
1
XVII
ANNEXE 14: FICHE DESCRIPTIVE DE LA COTATION DU RISQUE RESIDUEL
DESCRIPTION DU RISQUE ET COTATION DU RISQUE RESIDUEL

Processus Mga : Rfrence du risque Processus Pre: Impact financier (al) Processus: Impact image (al) Niveau de risque rsiduel C=Max (al al)*b Niveau de risque acceptable
Description du risque
Probabilit (b)
XVIII
ANNEXE 15: EXEMPLE DE FICHE DE PREPARATION D'UNE PHASE D'ACTUALISATION

Introduction
Le planning global est fonnalis par un tableau prsentant les mois de l'anne et les processus revoir. Pour chaque sous processus, la priode consacre l'actualisation est matrialise par une flche. Le planning dtaill est quant lui, fonnalis par un tableau rcapitulatif des diffrentes dates retenues pour chaque partie de 1; actualisation.
=> Le planning global
Arborescence du mtier M Processus Pl Sous processus PlI Sous processus PI2 Sous processus P 13 Processus P2 Sous processus P2I Sous processus P22 Processus P3 Sous processus P3I Sous processus P32 Sous processus P33 Processus P4 Sous processus P41 Sous processus P42 Sous processus P43 Sous processus P44 01 02 03 04
OS
06
07
08
09
10
11
12
XIX
=> Le planning dtaill 2002
Processus Pl
dmarrage
Rendez-vous prvoir SDFR :M.D SGCF :MmeB RSO :MmeB CC :M.R STI: M. L DTL: M. L
Saisie SIRIS
Envoi au PRAAC
Sous processus PlI

r
Sem 01
Sem 08
Sem 10
Sous processus PI2
Sem 06
Sem 12
Sem 14
Sous processus Pl3
Sem 07
Sem 10
Sem 12
xx
ANNEXE 16: MODELE TYPE DE FICHE D'INCIDENT

Rfrence de l'incident
Libell de l'incident
Rdig le Rdacteur
Valid le Valideur
Date de l'incident
Description de l'incident
Risque concern Application informatique Processus concern
Typologie concentre menu aroumnt
menu aroumnt
Rf.ticket ROCCI
menu arouli:tnt
Impact constat (ou potentiel en l'absence d'impact avr)
Cot financier direct Cot fmancier indirect Impact image
.......
.......
Gravit
menu arouli:tnt
Corrections
f Statut
menu arouCimt
Responsable Date et actions engages
XXI
ANNEXE 17: PROPOSITION DE FORME AMELIOREE DE LA DEMARCHE AMARIS
Dfinition du cadre de rfrence
Collecte de donnes
"
Phase de prparation
Cartographie des processus
:;
l
/
~
Conception de la dmarche Identification et valuation des risques oprationnels inhrents
Phase de planification
/
Identification et valuation des contrles internes existants Evaluation des risques onrationnels rsiduels Etablissement de la matrice des risques oprationnels
Actualisation
Phase Action: dfinition et mise eD uvre des plaDS d'action
Reportiog consolid initial
~/--------------~/
Evaluation de la mise en uvre effective des plans d'action
____________~v
Gestion des incidents
Source: nous mme
XXII
ANNEXE 18: PROPOSITION DE MODIFICATION DE LA FICHE DESCRIPTIVE DES RISQUES

1.1.1
1.1 1.
Dfinition Causes Manifestations
Inadquation qualitative des ressources humaines Risque de gestion des comptences et des carrires : Risque humain C'est le risque li une inadquation des ressources humaines aux besoins des Mtiers, en tenne de comptence humaine disponible Mauvais processus de recrutement. Inadaptation qualitative des Ressources Humaines au travail qui leur est confi. ~
i
Consquences
insuffisance de connaissances des mthodologies (conduite des projets, de planification ... ) ; matrise insuffisante des langues trangres ; niveau d'expertise technique inadquat ou insuffisant; faible matrise des outils logiciels (bureautique, applicatifs ddis) ncessaires la gestion des activits; polyvalence insuffisante. identification des postes possibles ncessitant des comptences particulires ; surveillance du turn over, notamment sur les postes sensibles; prparation d'un dispositif de remplacement en cas d'absence; formalisation de l'activit pour faciliter un remplacement; plan de fonnation ; possibilit de recours des ATE ; possibilit de recrutement des cadres latraux ; organisation d'un transfert des comptences des agents les plus expriments vers les plus nouveaux (<< compagnonnage) ; organisation de travaux en binmes.
Exemples de dispositifs de contrle internes

~
commentaires
:XXIII
ANNEXE 19: PROPOSITION DE MODIFICATION DE LA FICHE DESCRIPTIVE DES " CONTROLES INTERNES
DESRPTION DU DISPOSITIF DE CONTROLE INTERNE

Processus majeur: Risque identifi: Description du dispositif de contrle interne Type Dpartement du suivi/mise en uvre
.....
_~
Processus:
Pertinence
Efficacit
Evaluation du contrle interne

:
Indicateur de suivi et de perforlllance
...
.....
r-----
XXIV
rBIBLIOGRAPHIE
1- Ouvrages et Articles
1. Bapst, Pierre-Alexandre & Bergeret, Florence (2002), Pour un management des
risques orient vers la protection de l'entreprise et la cration des valeurs, Revue

Franaise d'Audit Interne, nO 161, P.1O-12.
2. Bapst, Pierre-Alexandre & Bergeret, Florence (2002), Pour un management des
risques orient vers la protection de l'entreprise et la cration des valeurs, Revue

Franaise d'Audit Interne, nO 162, P.31-33.
3. Barbier, Etienne, (1996), L'audit interne, permanence et actualit, Edition

d'Organisation, Paris, P .211.
4. Baron, Franck (2001), Toutes les volutions actuelles impliquent une nouvelle vision
des risques et de leur matrise, Revue Franaise d'Audit Interne, nO 157, P.8-9.
5. Bec, Marie-France (2001), De l'outsourcing au coaching, les meilleures formes
d'extemalisation de l'audit interne dans le secteur financier, Revue Franaise d'Audit

Interne, n0157, P.24-25.
6. Bessac, Annie (2000), Audit interne et risk management, deux activits spcifiques
mais complmentaires, Revue Franaise d'Audit Interne, n0150, P.lO-ll.
7. Bessis, Jol (1995), Gestion des risques et Gestion Actif-passif des banques, Editions
Dalloz, Paris, P. 574.
8. Bilodeau, Yves (2001), Pour contribuer l'tablissement d'une liste relative aux
risques d'affaires, Revue Franaise d'Audit Interne, n 157, P.ll-13.
xxv
9. Briaud, Marie; Fremont, Jean-paul & Pillot, Jean-pierre (2003), Le blanchiment d'argent ou l'conomie criminelle mondiale, Revue Franaise d'Audit Interne, n0164, P.27-29.
10. CNCC (1992), Apprciation du contrle interne, Paris, P .180.
11. Comit de Ble sur le Contrle Bancaire (1992), Principes pour la gestion du risque
de taux d'intrt, P.36.
12. Coopers & Lybrand (2000), La nouvelle pratique du contrle interne, Edition d'organisation, Paris, P.378.
13. Couchoud, Christian (2004), Risques oprationnels, chronique d'une mise en commun d'intrts, Horizons bancaires, n0321, P.49-60.
14. De Mareschal, Gilbert (2003), la cartographie des risques, Edition AFNOR, Paris, P.50.
15. Fautrat, Michel (2000), De l'audit interne ... au management de la matrise des risques, Revue Franaise d'Audit Interne, n0148, P.24-27.
16. Flouzat, Denise (1999), Le concept de Banque Centrale, Bulletin de la Banque de

France, nO 70, P.97.
17. Hillion, Jean-claude (2002), Internet, ou la ncessit renforce d'une relle matrise du risque li aux systmes d'infonnation dans les tablissements de crdit, Revue Franaise d'Audit Interne, n0158, P.22-23.
18. IFACI (2003), Matrise des risques de l'organisation, Sminaire de fonnation, France,
P.53.
19. Jolain, Pierre (2000), Le donto1ogue exerce une fonction nouvelle: dfinition avec prcision et impliquant la mise en place d'un dispositif efficace, Revue Franaise d'Audit Interne, n0152, P.16-21.
XXVI
20. Jouffroy, Marc (2001), L'autovaluation, du chemin au boulevard, Revue Franaise

d'Audit Interne, n0155, P.29-33.
21. Leclerc, Hlne; D'Albrand, Guy; Potvin, Kim-andre & Ricardo, Alexandre (2003), Le risk assessment : quelques bonnes pratiques, Revue Franaise d'Audit
Interne, nO 163, P.6-9.
22. Matte, Paul-Henri, Un outil de gestion: la cartographie des risques de la rgie des
ventes du Qubec, Revue Franaise d'Audit Interne, nO 167, P. 39-40.
23. McNamee, David (1998), Business risk assessment, The Institute of InternaI
Auditors, Altamonte Spring, P.I07.
24. Mikol, Alain (1999), Les audits financiers: comprendre les mcanismes du contrle
lgal, 1re dition, Editions d'Organisation, Paris, P.198.
25. Moreau, Franck (2002), Comprendre et grer les risques, Editions d'Organisation,
Paris, P.222.
26. Nicolet, Marie-agns (2000), Risques oprationnels: de la dfinition la gestion,

BanqueMagazine, n 615, P. 44-46.
27. Papaevangelou, Vicky (2000), Le risque oprationnel sur le devant de la scne,

BanqueMagazine, n0614, P.47-49.
28. Perde du Sert, Anne-Marie (1999), Risque et contrle du risque, 1re Edition,
Economica, Paris, P.133.
29. Pouliot, Daniel & Bilodeau, Yves (2002), Mesurer les risques en vue de les contrler
et de les grer: l'approche par la frquence annuelle et par la perte moyenne, Revue
Franaise d'Audit Interne, nO 160, P.35-37.
XXVII
30. Pouliot, Daniel & Bilodeau, Yves (2002), Mesurer les risques en vue de les contrler
et de les grer: L'approche matricielle des pertes, Revue Franaise d'Audit Interne, nO 161, P.36-37.
31. Qumard, Jean-lue & Golintin, Valrie (2005), Le risque de taux d'intrt dans le
systme bancaire franais, Revue de Stabilit Financire, nO 6, P.87-100.
32. Renard, Jacques (2003), L'audit interne ce qui fait dbat, Editions MAXIMA, Paris,
P.267.
33. Renard, Jacques (2004), Thorie et pratique de l'audit interne, 5me Edition, Editions
d'Organisation, Paris, P. 462.
34. Rouff, Jean-Loup (2001), Des moyens traditionnels toujours d'actualit, Revue
Franaise d'Audit interne, nO 154, P.l4-15.
35. Rouff, Jean-loup (2003), Les fraudes, causes, consquences et remdes, Revue
Franaise d'Audit Interne, n0164, P.10-1 L
36. Trichet, Jean-claude (2000), Le mtier de Banque Centrale, Bulletin de la Banque de

France, nO 79, P.56.
37. Vincenti, Dominique (1999), Dresser une cartographie des risques, Revue Franaise
d'Audit Interne, n 144, P.26-27.
11- Sources Internet

1. AMD
(2005),
Le
nsque
oprationnel,
http://www.marche-
fmanciers.netlpages/risgueoperationnel.htm.
2. APTBEF
(2005),
Risques
bancaires
et
environnement
international,
www.aptbf.org.tn.
XXVIII
3. Bapst,
Pierre-Alexandre
(2003),
Qu'est
ce
que
le
risk
management?
www.acors.org/ARLES%2003/actriskmanquestce.htm# 1.
4. Bir, Julius (2005), La gestion des risques: dfis et enjeux de la place financire
suisse, http://ch.sun.comJflsunnews/events/2005/sunbanking/pdflpm.pdf.
5. Barroin, Laurence & Ben Salem, Mourad (2002), Vers un risque oprationnel
mieux grer et mieux contrl, www.lgb-fmance.comJimages/artic1e/2002/barroin01 02.pdf
6. BeDuz,
Diana
Del
Bel
(2002),
Gestion
moderne
des
risques,
www.camagazine.comJindex.cfmlci-id/10738/a-id/2.htm.
7. Bloodworth, Jane & Walker, kelsey (2003), Risk mappmg - Dilemmas and
solutions, www.monitoringgroup.co.uk/ .. ./research%20material/charity%20and20%voluntary%20sector/risk map ping.pdf.
8. Bouquin, Henri (2003), Le risk-management : tout le monde en parle, mais que faiton? www.crefige.dauphine.fr/recherche/risk/pres-bou.rtf.
9. Bodine, Stephen, Pugliese, Anthony & Walker, Paul (2001), A road map to risk
management, file:/IE:\recherches\ARoadMaptoRiskManagement.htrn.
10. Business & decision (2004), Vers des systmes intgrs de gestion des risques dans
les banques, http://www.businessdecision.comJ66-gestion-des-risques-dans-les-
bangues-raroc.htrn.
11. Capital
Ideas
Online
(2005),
Risk
Mapping,
file:/IE\recherches\CapitalldeasOnlineRiskmapping.htm.
XXIX
12. Cerns, Jolle (2004), Le nouveau management des risques bancaires, www.pgsmgroup.com/pdf/cahierderecherche-g. pdf.
13.CGAP
(2001),
Gestion
des
nsques
oprationnels,
www.capaf.org/pages/Gestion des risques.htlm.
14. Chambault, Marc (2003), La mise en place de la fonction risk management dans une
grande entreprise comme France Tlcom; les tapes, www.crefige.daufine.fr/recherche/risk/pres-cha.rtf.
15. Comission bancaire (1997), Livre blanc sur la scurit des systmes d'infonnation
dans les tablissements de crdit, www.banque-
france.fr./fr/superviltelechar/supervi bancllivblan2.pdf.
16. Demeestre, Ren & Lorino, Philippe (2000), Gestion des risques et processus
stratgique, www.afc-cca.com/docs-congres/congres2000/AngerslFichiersIDEMEEST.pdf.
17. Fontugne, Muriel (2001), Cartographie des risques: quelle valeur ajoute? quel
processus.www.amrae.asso.fr/les rencontresILille2002/actes/p 1O/p 1O.Fontugne.pdf.
18. IFACI (2003), Les nonnes d'audit interne, www.lfac.com. 19. Ingram, David & Headey, Paul (2004), Best practices for the risk mapping process,
www.milliman.com/pubs/risk mapping.pdf.
20.INSIGHT (2003), Numro spcial Ble II, la lettre SIA conseils, www.marchefinanciers.netidocuments/insight-BII-usage200553.pdf+INSIGHT+la+gestion+du+risgue+op%C3%operationnel&hl=en&ct=clnk &cd=l.
21. Manivit, Benjamen (2002), Approche des risques oprationnels la banque OBC,
www.lgb-finance.com/images/conferences/conf-du-031202/slides-OBC.pdf.
xxx
22. Moulton, Bruce (2005), Ble II: risques oprationnels et scurit des infonnations, http://infonnation-intgrity.symantec.fr/article.cfm?articleid=270.
23. Riskpartner (2002), Le nsque oprationnel tel que dfinit par Ble II, www.riskpartner.lu.
24. SCT (1993), Etude de cas: Horizon le monde, www.tbs-sct.gc.caleval/toolsoutilslRBM GAR courlBaslmodule 03/cs f.asp.
25. Sonigo, Pierre; Fontugne, Muriel & Bapst, Pierre-A1exandre (2001), Rencontre de l'AMRAE, cartographie des risques, www.amrae.asso.fr/lesrencontres/toulouse200ACTESTOULOUSEIA7/A7bapst2.pdf.
26. Utelli, Christophe & Mertenat, Sacha (2001), Dfis et enjeu du risk management dans les secteurs industriels et de services, www.aso-organisation.ch/rdviuinOllutelli mertena defis enjeux final.ppt.
27. Universit de Kentucky, www.wk.edu/dept.support.finadminlRISK/20%MAPPING. 28. Wootton, Ann (2006), Bringing a risk management strategy and control framework to life, file:/IE\recherches\risk management strategy.htm
XXXI

ANALYSE D'UNE Démarche de Cartographie Du Risque

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

ANALYSE D'UNE Démarche de Cartographie Du Risque

Enviado por

Direitos autorais:

Formatos disponíveis

CE SAG

t:t:."'ITREAFR I CAIN l)'ETUDt:.'S SUPERIEU RES .:/'1'

t:T ..1NM~n; M,\ ...-n:H I ~ '''' 'K ING ,\ '\Il F''''IANn:

1....\ BANQUt; ln; nt"Nn~

4me PROMOTION: 20042005

MEMOIRE DE fiN DE CYClE

Attouo Rgina Emma MOHAMED

Avec la collaboration de:

:Nous aions Ce prsent mmoire d fin d cycCe :

nous awns toujours o6tenu, toute grce et tout

Jl nos amis, fltlianase, rice, fandine et Serge-)tutf'rey

tJ!E)I, nous vous portons

Le chemin de fa russite, c'est nous de fe constntire, nous construirons, 6ien entenau,

CI) )fttouo qqOftullEmma :M01f)f!MlE(]), 4

u :Mastre en <Banque et Pitulnce, (JES)f

BCN: BDF: BIA; CNCC: COCO: COSO: ERM: GCAP: IFACI:

QCI: RM: SEBC: SI RIS : STC: TFfa: TSA:

~8ina 'Emma :MCY.J{}I.:M'ECD, 41ste promotion du :Mastre en anque et Pinance, (YES}I.(]

Liste des tableaux:

109 109 113 114

Liste des figures

(lI) )f.ttouo ~9ina P.mma :MOJf}I!Mp'(j), 4

au :Mastre en attlJUe et Pina1la, (!ES)f.(}

La notion de risque bancaire

La taxinomie des risques majeurs de l'activit bancaire

Les spcificits du risque oprationnel bancaire 1.3.1- Le risque oprationnel et Ble II

Q) )fttouo CRigitul 'Emma ~aJ{}1!M'Eq), 4

au ~astre en anque et Pitulnce, (!FS)f]

~9ina P.mma fMQJ{)lfMP.(]), 4rrte promotion du fMastre en anque et Pinance, (]FS)l

)I~se (['une tflmardie d

104 104 105

CONCLUSION GENERALE ANNEXES BIBLIOGRAPHIE

)lttouo tJ(iglll P,mma 'M()'}{)J!MP,(]), 4* promotion u 'Mastre en anque et Piru:mce, CPS)l

document est totalement inscrite dans cette note.

(lI) Jf,ttouo 'RiOina CEmnut :MO'J{Jf,:MPlD, 4

au :Mastre en <Banque et Pi1l4nce, (JESJf,(j

marcli, qu'e{fe soit e anque ou d'entreprise, ra gestion et ra matrise des risques

flprs avoir acliev notre fonnation tliorique au !M.(BP en option

gestion 6ancaire et matrise es risques,

CI} Jfttouo <J<jgina mma 5M(Y.}{Jf5M<D, 4

tEu 5Mastre en anliuc et Pinance, CFSJffj

risques oprationnels dans le domaine bancaire: le cas de la Banque de France .

Comment donc, dfinir le risque oprationnel?

Cf} )fttouo 'RigiTUl fEmma ~()'J{)t~fE(]), 4

du ~astre en <Banque et PiTUlnce,

Qu'entend t-on par cartographie des risques?

identification et analyse des risques inhrents;

a valuation et hirarchisation des risques inhrents ;

g. Une phase de gestion des incidents. h. Et une phase d'actualisation.

Jfttouo 'ii1Jina 'Emma :MO'Hjf!M'E(]), P

promotion au :Mastre en tBanque et Pinance, crFSJfq

La dfinition des plans d'actions

(lI) )lttouo C}ljaitul 'Emma :M.O'Jf)l:M.'E(/), 4

promotion au :Mastre en CBanque et Pitulnce, (!ES)lj

b. En phase de planification, nos recommandations ont t les suivantes:

~8ina P.mma :MJYJl)f!MP'V, 4ru promotion au :Mastre en a~ et Pinance, CESflfj ~

c. En phase d'action, nous avons suggr:

Dow, thus, to derme the operational risk?

How to understand the concept of risk mapping?

c. A phase of planning, made up of the following steps:

a inherent risks assessment and prioritization;

a and risks matrix plotting.

(;j) )IttOUD (jlJoina <Emma !MOJ{)I!MP'V, 4

riisqu;"de ma~;;-ge;ti;';' d~'p;;;;~~: risqu~'d~'p~rte;-d~;~ ' des-;~t;-;;;;o7r;;~;~- 1; lgi;iati;~ ~~;;-~;tis';;latTv";;;'i;~;pl~i,"j; s~t

Le risque juridique: risque de tout litige -a~;;' ~ .ntt.parti;;;;sul";':'la-;;";,: i;;uffh~; d~ ~;;;;;q"i~