Cartographie des risques oprationnels

Atelier

Cartographie des risques : enjeux, dmarche et tat de lart

Dan Chelly, Directeur Associ, Elseware.
Ancien Responsable des risques oprationnels dun grand Groupe bancaire franais

Table ronde AMRIM Dcembre 2008

Ce qui ressort le plus souvent des cartographies

Analyse en scnarios ncessaire Souvent li la continuit dactivit (lien avec le PCA) Souvent li au cur dactivit : ncessit de surveiller le DMR

Impact

Risques majeurs (Souvent externes)

Risques cur dactivit

Frquence

Risques moyens

Risques faibles Niveau de matrise

Volumtri e de la base incident

* Schma volontairement simplifi

Table ronde AMRIM Dcembre 2008 2

Cartographie des risques oprationnels

1. Cartographie : dfinition et enjeux

2. Structuration des rfrentiels

3. Dmarche organisationnelle 4. Mthodologie dvaluation

5. Validation et reportings
Table ronde AMRIM Dcembre 2008 3

La cartographie dans le dispositif

Vulnrabilits (=Risques potentiels)

Zones de fragilits potentielles

Incidents avrs

Cartographies

Indicateurs Prdictifs de risques

Base Incidents

Scnarios de risques majeurs Approche causale

Table ronde AMRIM Dcembre 2008

Politique en matire de cartographie

Les travaux de cartographie des risques oprationnels ont pour objet didentifier, dvaluer, de classer, de comparer et de hirarchiser les risques susceptibles dimpacter une ligne de mtier donne et / ou un tablissement. Des plans dactions sont alors engags partir des risques critiques identifis afin den diminuer lexposition.

Table ronde AMRIM Dcembre 2008

Objectifs de la Cartographie

La cartographie permet de dfinir le rfrentiel des risques et ses volutions voir de dfinir un tronc commun pour le Groupe Cest une tape dacculturation aux RO de lensemble des personnes impliques

Elle doit tre une image fidle bien que mouvante du profil de risque de ltablissement.
Cest avant tout un outil de pilotage : cest lorsque la cartographie est finalise que la gestion des risques prend toute sa place

Table ronde AMRIM Dcembre 2008

Cartographie des risques oprationnels

1. Cartographie : dfinition et enjeux

2. Structuration des rfrentiels

3. Dmarche organisationnelle 4. Mthodologie dvaluation

5. Validation et reportings
Table ronde AMRIM Dcembre 2008 7

Evnement de Risque : dfinition et modlisation

Un Evnement de Risque se dcline en 2 dimensions :

Lactivit, le mtier, le processus, Lvnement de risque lui-mme, cest--dire le risque oprationnel qui se produit dans le cadre du mtier, du processus concern.

Ces 2 dimensions sappellent ( couple PG/ER ER ):

Le Processus Gnrique (PG) LEvnement de Risque (ER).

Elles sont dfinies et sont modlises selon des niveaux spcifiques de hirarchisation des donnes. Approche ncessaire et structurante au niveau dun Groupe
8

Table ronde AMRIM Dcembre 2008

Organisation des donnes et rfrentiels

Risk Event ni 1 Ble II

Risk Event ni 2 Ble II

Processus Majeur

Type de risque Groupe

Processus Gnrique

Risk Event niv 3

Business Line niv 2 Ble II

Business Line niv 1 Ble II Evenement Risque

Module gestion des incidents

Module cartographie des risques

Table ronde AMRIM Dcembre 2008

Les diffrents types dvnements de risques / cotations

Types dER Cotation
ER coter Groupe

ER COMMUNS ( tous les tablissements de mme ple Mtier : CE ..=)

Cotation obligatoire pour tous les tablissements du mme ple mtier Cotation par quelques tablissements dun ple Cotation rendue non obligatoire (ER non pertinent pour ltablissement ..)

ER LOCAUX (spcifiques un tablissement)

ER coter local

ER coter facultatif

Cotation par un tablissement dun ple

Table ronde AMRIM Dcembre 2008

10

Cartographie des risques oprationnels

1. Cartographie : dfinition et enjeux

2. Structuration des rfrentiels

3. Dmarche organisationnelle 4. Mthodologie dvaluation

5. Validation et reportings
Table ronde AMRIM Dcembre 2008 11

Schma gnral du processus de cartographie

Dfinir une organisation / un calendrier Dfinir le primtre dER coter (identifier les vulnrabilits) Identifier les acteurs de lvaluation (validation) et affecter les ER Coter les ER (valuation, validation) Dfinir les nouveaux plans dactions

Former/quiper les Correspondants (processus, mthode, outil) Suivre lactualisation et la fiabilit

(mthodologie, justification ..)

Justifier, documenter les raisons de retenir ou dexclure un ER du primtre de cotation Utiliser : - Les experts (avec / dispatch) - Les anciennes cotations - Les incidents - Les changes avec les homologues - Les benchmarks

Effectuer les contrles de cohrence

Contrler que tous les ER sont valids (aucun en cours ou prim) Valider la cartographie Prsenter la cartographie et les plans dactions en CRO

Actualisation au fil de leau

- Nouvelles activits, fusions .. - Nouveaux risques - Plan dactions mis en uvre

Table ronde AMRIM Dcembre 2008

12

Dfinition dune organisation / dun calendrier

Une organisation doit tre mise en place :

Quelle que soit la situation (volution ou nouvelle cartographie), une organisation doit tre mise en place afin de sassurer de la cotation des vnements de risque. > Cette organisation sappuiera sur un calendrier (X % dER coter dici au ... etc.. / Domaine X coter dici au ...) et / ou sur une mise jour continue suivie au travers de loutil ddi.
>

Le primtre des vnements de risques valuer doit tre prcis :

Les risques du tronc commun. > Les risques locaux (Les tablissements ont toute latitude pour largir ce primtre )
>

Table ronde AMRIM Dcembre 2008

13

Identification des acteurs et affectation des ER

Les vnements de risques doivent tre attribus aux experts mtiers internes les mieux mme de raliser lvaluation et / ou la validation. Si des Responsables Oprationnels, en charge de processus multiples, se trouvent destinataires dun grand nombre dvaluations, il est souhaitable de rpartir les vnements valuer entre des collaborateurs plus spcialiss. Une fois laffectation des vnements de risque ralise, les collaborateurs en charge de 1 N valuations sont individuellement responsables des travaux qui leur ont t confis et du respect des chances fixes.

Table ronde AMRIM Dcembre 2008

14

Formation / Equipement des correspondants

Communiquer sur le processus

> > > >

Dmarche de gestion des Risques Oprationnels Objectifs de la cartographie Rgles gnrales de mise en uvre de la cartographie Calendrier

Transmettre la mthode dvaluation des risques et la connaissance de loutil

>
>

Diffusion de supports aux correspondants Animation de formations

Donner laccs loutil ddi

Table ronde AMRIM Dcembre 2008

15

Cotation des Evnements de Risques

La cotation des Evnements de Risques est effectue par les experts mtiers, selon deux modes dorganisation possibles :
>

>

Le RRO participe la cotation en prsence de lexpert. Le RRO envoie des ER coter lexpert concern, effectue un suivi, analyse la cotation produite.

La cotation dun Evnement de Risque peut tre facilite, par exemple par :
> > >

Lexamen de la cotation de lER dans la cartographie prcdente, La prise en compte des incidents qui se sont produits sur lER concern. La prise en compte dincidents dans la base de pertes externes

Table ronde AMRIM Dcembre 2008

16

Cartographie des risques oprationnels

1. Cartographie : dfinition et enjeux

2. Structuration des rfrentiels

3. Dmarche organisationnelle 4. Mthodologie dvaluation

5. Validation et reportings
Table ronde AMRIM Dcembre 2008 17

Elments de lvaluation

La frquence : c'est le nombre de fois o le risque pourrait se produire sur une priode donne.
LEvnement de risque peut tre estim Courant (il se produit au moins une fois par an), Rare (moins dune fois par an). > On peut aussi estimer quil ne se produit Jamais.
>

Les impacts : ce sont les consquences financires et les effets sur limage de ltablissement ou du Groupe. Les Dispositifs de Matrise de Risques (DMR) : cest lensemble des mesures

existantes qui doivent permettre lentreprise dviter de faire face la ralisation du risque. Exemples de Dispositifs de Matrise des Risques :
> > > >

Contrles a priori, contrles a posteriori, Systme de dlgation, sparation des tches, Scurisation des accs logiques / des accs physiques, systme de surveillance,

Transfert de responsabilit ...

Table ronde AMRIM Dcembre 2008

18

Schma gnral du processus dvaluation

CONSERVATION DES ELEMENTS - PISTE DAUDIT
Qualifier la frquence de lEvnement de Risque

Jamais

Courant (au moins une fois par an)

Dterminer la frquence - Moyenne - Maximum

Rare (moins dune fois par an)

Dterminer la frquence (une seule frquence pour les ER rares)

Dterminer lImpact financier - Moyen - Maximum

Situation plausible, courante Maximum mais plausible (pas de scnario catastrophe impossible)

Dterminer lImpact financier - Moyen - Maximum

Dcrire / coter les DMR* Prvention / Protection (exprims en % defficacit)

Dcrire / coter les DMR* Prvention / Protection (exprims en % defficacit)

Dterminer lImpact image

Dterminer lImpact image

Schma gnral du processus de cotation

* DMR = Dispositifs de Matrise des Risques
Table ronde AMRIM Dcembre 2008 19

Dynamique de lvaluation de limpact financier

En ralit, pour valuer limpact financier dun ER, on va du net vers le brut Concernant lvaluation de limpact financier, la mthode propose de commencer par lvaluation du risque net , c'est--dire le risque rsiduel, qui tient compte de lexistant, c'est--dire des effets du dispositif de matrise des risques en place, puis les DMR, et lon obtient le risque brut. Risque net : le risque net valorise les impacts que ltablissement pourrait effectivement subir en termes financiers et dimpact, en intgrant les dispositifs de prvention et de dtection existants. Efficacit des DMR : mesure en pourcentage, lefficacit des DMR rduit dune part les impacts et dautre part la frquence doccurrence de lvnement de risque.

Risque brut : cest la valorisation du risque en termes de frquence et dimpacts, en faisant abstraction des dispositifs de matrise des risques existants.
Table ronde AMRIM Dcembre 2008

Lvaluation du risque brut est dduite automatiquement.

20

Evaluation de limpact image

Lvaluation de limpact image est dcline selon les parties prenantes de lactivit pouvant tre affectes par la survenance de lEvnement de Risque :
la clientle, > le personnel, > les fournisseurs, >
>

Pour chacune de ces catgories on se rfre une cotation qualitative :

>
> > >

Fort, Moyen/fort, Moyen/faible, Faible.

Table ronde AMRIM Dcembre 2008

21

Cartographie des risques oprationnels

1. Cartographie : dfinition et enjeux

2. Structuration des rfrentiels

3. Dmarche organisationnelle 4. Mthodologie dvaluation

5. Validation et reportings
Table ronde AMRIM Dcembre 2008 22

Contrle de la fiabilit des cotations

Ce contrle consiste vrifier :

> >

Le respect de la mthodologie dvaluation des risques, La pertinence de lvaluation :

Prise en compte des bons facteurs dimpact, Chiffrage correct de chaque facteur dimpact concern.

>

La justification des valuations produites et la bonne conservation de ces justifications :

Formalisation du dtail des calculs, Prsence de documents explicatifs (statistiques ...).

Table ronde AMRIM Dcembre 2008

23

Contrle de la cohrence de la cartographie

Cest un pralable la prsentation de la cartographie au Comit Risques oprationnels. Ce contrle vise sassurer de la cohrence des cotations dvnements de risques :

Dune version de cotation la suivante, > Entre ER de mme nature ou proches (nature du risque, impacts, frquences), > Vis--vis des tablissements de mme nature.
>

Ce contrle permet :
De reprer les valuations qui devront tre expliques, > De corriger les ventuelles erreurs dvaluation (ou de saisie, puisque ces actions seffectuent via loutil ddi).
>

Table ronde AMRIM Dcembre 2008

24

Prsentation de la cartographie et des propositions de plans dactions en Comit Risques Oprationnels

Lidentification des plans dactions mettre en uvre doit tre ralise au cours du processus de mise jour de la cartographie. La cartographie actualise, et les plans dactions qui en sont issus, font lobjet dune prsentation dtaille au Comit Risques Oprationnels dans lobjectif dune validation par chaque tablissement. Les plans dactions en cours et les rsultats des plans dactions clos issus de la cartographie prcdente font galement partie des points prsents au Comit Risques Oprationnels. La validation du Comit Risques Oprationnels constitue la validation officielle de la cartographie. Les risques majeur de niveau Groupe sont grs au niveau de lquipe nationale en collaboration avec les tablissements concerns

Table ronde AMRIM Dcembre 2008

25

FIN
Merci de votre attention

Table ronde AMRIM Dcembre 2008

26