Avril Dt Risques Operationnels Vf

download Avril Dt Risques Operationnels Vf

of 12

Transcript of Avril Dt Risques Operationnels Vf

  • Les dossiers techniquesdinformation Optimind

    Avril

    2011

    es risques oprationnels sont considrs comme nouveaux. Pourtant, bien quisols rcemment des autres risques par les rglementations des banques

    et assureurs, ils ont souvent fait la une de la presse la faillite de la Barings en tmoigne. Ainsi, derrire chaque vnement ayant branl fortement des entreprises se cachent des risques oprationnels. Cest dailleurs surtout lorsquils sont associs dautres types de risques quils sont susceptibles de prendre une ampleur significative.

    Cest pour ces raisons que lon cherche, depuis une dizaine dannes, mieux les apprhender et valuer plus finement leurs impacts. En effet, lenvironnement nouveau des entreprises accentue fortement leur exposition aux risques opration-nels avec notamment : une concentration des acteurs qui amne des volumtries et montants en jeu plus importants, une internationalisation des activits avec une multiplication des interconnexions, une sophistication des techniques financires, une sensibilit plus grande aux systmes dinformation, une inventivit des fraudes ou encore une judiciarisation progressive qui conduit de plus en plus les acteurs tre assigns en responsabilit.

    Quels sont les enjeux lis ces risques ? Comment mettre en place les dispositifs permettant dinnerver lorganisation, sensibiliser les acteurs, grer et piloter judi-cieusement ces risques ? Quels sont les leviers notre disposition pour y faire face ? Autant de questions auxquelles ce dossier technique tend apporter un clairage.

    Dan Chelly - Directeur mtier Dossier ralis par Benjamin Nahoumovitch et Fabien Tannhof, consultants, Emmanuel Berthel, Thibaud Hager, Vincent Meister, Gildas Robert et Magali Roujas, actuaires consultants.

    Sommaire

    Introduction . . . . . . . . . . . . . . . . . . . . 1

    Risques oprationnels : dfinition et enjeux . . . . . . . . . . . . . . 2

    Quels dispositifs pour grer les risques oprationnels . . . . . . . . 5

    Quel pilotage mettre en uvre ? . . 10

    Conclusion . . . . . . . . . . . . . . . . . . . . . . 12

    Cette publication est dite par la socit Optimind, 46 rue La Botie, 75008 Paris.

    galement disponible sur :www.optimind.fr Risques

    oprationnels Quelles rponses face un risque difficile apprhender ?

    L

  • Les

    doss

    iers

    tec

    hniq

    ues

    din

    form

    atio

    n Op

    tim

    ind

    2 // Risques oprationnels // avril 2011

    Dfinition du risque oprationnel

    De quoi sagit-il ?Le jeudi 6 mai 2010, les marchs amricains connais-sent quelques minutes dune intense panique, provo-que par la chute brutale de 37 % du cours de laction Procter & Gamble, et celle de lindice Dow Jones, qui perd 9 %. Fort heureusement, lerreur est vite dtecte, et les ordres passs dans lintervalle sont annuls. Quelle a t la cause de cette dfaillance aussi sou-daine que passagre ? Selon certaines rumeurs, il sagirait dun trader ayant malencontreusement confondu milliards et millions. Selon dautres sources, un dysfonctionnement informatique se-rait la cause du problme. Une fraude a galement t voque. Quimporte : dans un cas comme dans lautre, il sagit de la survenance dun risque opra-tionnel dont les impacts, loin dtre ngligeables, peuvent venir branler fortement une entreprise. Les vnements majeurs marquent souvent de ce fait les mmoires et le march sur le long terme. Ainsi, tout le monde a en tte lexemple dune filiale am-ricaine dun important groupe dassurances qui a dtect, en juin 2009, une erreur de programmation dans le calcul des risques associs ses portefeuilles dactifs layant conduit rcemment verser plus de 240 M$ pour solder le litige avec lautorit amri-caine des marchs.

    Ces deux exemples illustrent bien limportance quil faut donner aux risques oprationnels, qui prennent dailleurs toute leur ampleur lorsquils sont associs dautres natures de risques. En effet, parce quils sont diffus et difficiles apprhender leurs impacts tant de natures varies, et souvent tals dans le temps ils sont parfois sous-estims dans le dispo-sitif global de gestion des risques. Mais quentend-on exactement par risque oprationnel ?

    Banque/Assurance : des dfinitions trs prochesLes rglementations de la banque comme de las-surance donnent chacune une dfinition du risque oprationnel :

    Ces deux dfinitions sont trs proches et sont ap-peles confluer du fait des convergences des r-glementations prudentielles de la banque et de las-surance. Elles assignent au risque oprationnel les mmes provenances, rparties en deux catgories : celles qui viennent dlments internes lentre-prise, comme ses procdures, son personnel ou ses systmes ; et celles provenant dlments extrieurs. Sont carts de ces dfinitions, les risques strat-giques puisque par dfinition les risques opra-tionnels sont subis et sans esprance de gain et les risques de rputation qui sont eux difficilement quantifiables et souvent indirects.

    Comment apprhender les risques oprationnels ?

    Les diffrentes approchesDeux approches trs complmentaires pour appr-hender les risques oprationnels peuvent tre dis-tingues : une approche via les processus et une approche davantage causale.

    Approche par les processusLapproche par les processus permet de prendre en compte les spcificits de lentreprise et ses mtiers multiples. On cherche alors rattacher les risques aux processus principaux, sources de valeur ajoute, et permettant de dlivrer au client le produit ou le service correspondant sa sollicitation initiale.

    On distingue habituellement trois catgories de processus :- les processus oprationnels au cur de lactivit,

    vente, souscription, gestion sinistres, etc. ;- les processus de management ou de pilotage, dont

    la finalit est de fixer des orientations, dvaluer la situation et de dcider dactions correctives si ncessaire ;

    - les processus supports au cur de lactivit juri-dique et fiscal, informatique, logistique, etc.

    Risques oprationnels : dfinition et enjeux

    Dfinition de larrt du 20 fvrier 2007 [Banque]

    Dfinition de la directive Solvabilit II [Assurance]

    Le risque de pertes rsultant dune inadaptation ou dune dfaillance imputable des procdures, personnels et systmes internes, ou des vne-ments extrieurs, y compris les vnements de faible probabilit doccurrence, mais risque de perte leve.

    Le risque de perte rsultant de procdures in-ternes, de membres du personnel ou de systmes inadquats ou dfaillants, ou dvnements extrieurs.

  • 3 Risques oprationnels // avril 2011 //

    ww

    w.o

    ptim

    ind

    .fr

    Il est souvent omis de complter ce dcoupage par la dfinition de processus transverses et multiactivit. Or, certains risques sattaquent par exemple aux im-meubles, quelles que soient les activits qui y sont loges, alors que les consquences sont justement fortement lies aux activits abrites.

    Approche causaleLapproche causale consiste, quant elle, analyser le risque en lencadrant, dune part de la cause pre-mire qui lui a donn naissance et, dautre part, des consquences et effets quil engendre.

    Cette approche, trs oriente risk management per-met didentifier plus facilement les causes sur les-quelles il faut agir pour en limiter les occurrences et intervenir ainsi sur la frquence et les actions mettre en uvre pour en limiter les effets/cons-quences.

    Les typologies de risques oprationnels

    Les rfrentiels existantsFonds sur les dfinitions rglementaires, des rf-rentiels de typologies de risques oprationnels ont t crs dans les mondes bancaire et de lassurance.

    Le rfrentiel le plus utilis est celui propos par le dispositif prudentiel bancaire de Ble II. Il a contri-bu le premier mieux cerner la notion de risque oprationnel, et sert rgulirement de niveau 1 pour les compagnies dassurance qui souhaitent dfi-nir une arborescence plusieurs niveaux de leurs propres risques oprationnels.

    Le rfrentiel de Ble est prsent selon trois ni-veaux de granularit, dont le premier est constitu des sept familles de risques suivantes :1. fraude interne impliquant au moins un membre de

    lentreprise ;2. fraude externe ;3. insuffisance des pratiques internes concernant

    les ressources humaines et la scurit du lieu de travail ;

    4. clients, produits et pratiques commerciales : man-quement, dlibr ou non, une obligation pro-fessionnelle envers un client, la nature ou aux caractristiques dun produit ;

    5. dommages aux actifs physiques ;6. interruption dactivit et dysfonctionnement des

    systmes ;7. dysfonctionnement des processus de traitement

    excution, passation dordre, livraison, gestion des processus intgrant les relations avec les contreparties commerciales et les fournisseurs.

    Un groupe de travail de lIFACI, Institut Franais dAudit et de Contrle Internes a, quant lui, labor une nomenclature des risques pour les entreprises dassurance. Le rfrentiel propos est constitu de trois niveaux :1. le premier niveau concerne les grandes familles de

    risques, dont le risque oprationnel ;2. le deuxime niveau prcise la catgorie de risque

    dans laquelle on se situe au sein dune mme fa-mille : production, humain, commercial, organisa-tion, systme dinformation, logistique hors SI ou relation avec les tiers ;

    3. le troisime niveau offre un degr de dtail suppl-mentaire au sein de ces catgories.

    Quels que soient les choix en matire de structura-tion du rfrentiel de risques, lobjectif est que ces risques puissent tre clairement dfinis, comprhen-sibles par tous, et dun nombre limit pour viter les redondances et faciliter la classification et lanalyse agrge des pertes.

    Les natures dimpactsDe par leur dfinition, les risques oprationnels sont vus comme entranant uniquement des pertes finan-cires. Nanmoins, sils sont bien rels, les impacts qui dcoulent de la survenance dun risque opra-tionnel ne transparaissent pas toujours dans les comptes. Il sagit notamment de manques gagner :- les cots dopportunit non-placement de sommes

    importantes sur x jours ;- les pertes de revenus non rcuprables fermeture

    dagence suite un sinistre.

    Dautres nont pas deffet ngatif. Ainsi, des vne-ments de risques oprationnels peuvent ne pas cau-ser une perte mais au contraire un gain. Par exemple, une erreur de saisie lors du passage dun ordre sur les marchs financiers est un risque oprationnel qui peut entraner un gain au moment du dbouclage favorable de la position lie lvolution du march.

    Il est galement important de tenir compte des vne-ments qui ont un cot nul pour lentreprise, appels near misses ou quasi-pertes, car mme si dans ce cas, la dfaillance ne produit pas de perte, il est souhaitable de les apprhender pour des questions de gestion des risques. Elles peuvent souligner un rel dysfonctionne-ment, susceptible de se reproduire, avec cette fois un impact financier rel.

    Limpact en termes dimage ou de rputation est lui aussi souvent retenu car limage dune entreprise grand public a une valeur inestimable et une dgra-dation peut occasionner des manques gagner indi-rects et ncessiter des cam-pagnes de communication coteuses pour effacer le pass le Crdit Lyonnais devenu LCL en est un bon exemple.

    Les risques frontires Les risques oprationnels peuvent survenir seuls ou bien tre associs dautres risques. tant donne la nature des risques oprationnels, ces liens sont par-fois difficiles distinguer, ceci pouvant conduire la classification incorrecte dun vnement de perte.

    Certains risques plus complexes ncessitent la dfinition de rgles bien prcises pour les apprhender : les pertes de revenus, les litiges juridiques ou fiscaux, les indisponibilits informatiques, etc.

  • Les

    doss

    iers

    tec

    hniq

    ues

    din

    form

    atio

    n Op

    tim

    ind

    4 // Risques oprationnels // avril 2011

    Il en dcoule que le niveau de fonds propres allous aux risques oprationnels quil ne sagit pas daug-menter pour autant ne reflte pas toujours la ralit des enjeux.

    ce titre, le Comit europen des superviseurs bancaires, CEBS, soulignait en octobre 2010, que certains tablissements se sont concentrs sur les risques de march sans reconnatre suffisamment limportance dune gestion approprie des risques oprationnels or, les vnements passs et plus rcents montrent que [] la svrit des risques op-rationnels associs aux risques de march peut tre trs leve, grevant les profits, lexistence de lignes dactivits ou encore lexistence de lentreprise tout entire.

    En effet, par dfinition, les risques de march corres-pondent lvolution dfavorable de la valeur dun portefeuille ou dune position. Cest pourquoi ils constituent souvent des circonstances aggravantes de risques oprationnels plutt que lorigine pre-mire du dysfonctionnement. On peut ainsi identi-fier les pertes dues :- la dissimulation intentionnelle doprations, rogue

    trading du cas Kerviel ou de la Barings ;- des erreurs oprationnelles telles que lerreur de

    saisie dun ordre ;- une mauvaise slection ou comprhension de mo-

    dle de valorisation du produit et/ou du risque ;- une mauvaise conception, implmentation ou un

    mauvais paramtrage dun modle.

    Le risque de souscription des assureurs qui englobe les risques propres la sinistralit des produits dassu-rance, dcoule rgulirement dun risque oprationnel.

    Cest par exemple le cas si, lors de la tarification dun produit de prvoyance une erreur est commise sur le choix de la table de mortalit ou encore sur la saisie des coefficients de surprime en fonction de ltat de sant. Les pertes financires induites doivent ainsi tre imputes au risque oprationnel si les hypo-thses utilises dans les modles ne correspondent pas aux hypothses valides en raison dune erreur humaine ou informatique.

    Pour sa part, le risque de contrepartie risque quune contrepartie nhonore pas ses engagements finan-ciers est rgulirement associ au risque oprationnel lorsquune opration se constitue sur la base de faux documents, fraude externe, ou lorsquune garantie de-vient inapplicable suite des dysfonctionnements.

    On le voit, seuls ou associs dautres risques, les risques oprationnels peuvent venir impacter lat-teinte des objectifs dune entreprise, voire mettre en question sa survie. Les enjeux lis la matrise des risques oprationnels sont donc bien rels.

    Les enjeux lis aux risques oprationnels Ces enjeux sont de diffrents ordres :- scuriser le compte de rsultat ;- optimiser lallocation des fonds propres, dans le

    cadre de lutilisation dun modle interne ddi ;- scuriser le cours de bourse et la rputation de la

    socit : on observe rgulirement lincidence nga-tive des sinistres majeurs sur les cours de bourse, autant pour des raisons financires que dimage. La fuite sur la plateforme BP au cours de lt 2010 en est une bonne illustration ;

    - amliorer ou conserver le rating fourni par les agences de notation, qui dfinit notamment le cot du refinancement sur les marchs lors dmissions demprunts ;

    - amliorer les organisations et rduire les risques ;- se conformer la rglementation de la profession et

    viter ainsi les sanctions, voire les retraits dagrment ou assimils, tels que celui prononc lencontre dEnnery Belance - Universal Assurances, le 28 fvrier 2011, invoquant linterdiction de pratiquer lactivit dintermdiation dassurance pendant 10 ans.

    Le facteur humain dans la gestion des risques oprationnelsUne tude mene en 2008 par la BRI, Banque de Rglements Internationaux, a rvl que la plupart des cas de ralisation du risque oprationnel sont lis une erreur dexcution et que leurs impacts sont suprieurs ceux du risque de fraude.Dans un monde financier port par linformatique et ltre hu-main, lhomme savre tre facilement le maillon faible expli-quant les dysfonctionnements dune activit. Cela peut paratre vident en matire de dfauts de conseil, fautes, erreurs ou omis-sions mais cest galement le cas en matire de systmes dinfor-mation rgulirement fragiliss par des erreurs humaines. Ce nest pas pour autant une fatalit car un top management et des collaborateurs sensibiliss disposeront des outils de gouvernance appropris et des ncessaires rflexes en matire didentification des risques et de gestion des alertes. En effet, on ne voit souvent que ce que lon a appris voir.

    Source : Optimind

    Risque oprationnel

    Risque de march

    Risque de souscription

    Risque de contrepartie

  • 5 Risques oprationnels // avril 2011 //

    ww

    w.o

    ptim

    ind

    .fr

    La mise en uvre de la gestion des risques opra-tionnels constitue un vritable projet dentreprise et de conduite du changement. Ce projet ncessite le concours de lensemble du personnel et il convient de laccompagner dans le cadre de son dploiement. Des changements sont oprer pour prvoir, dfinir et mettre en uvre une vritable dmarche de pilotage de ces risques.

    Un tel projet poursuit la dmarche suivante : La mise en place dapproches qualitatives diden-

    tification et dvaluation des risques oprationnels, qui permettent simultanment de sensibiliser et de responsabiliser les agents oprationnels sur la ges-tion des risques.

    Llaboration dapproches quantitatives consis-tant :- mettre en vidence le cot des risques oprationnels ;- identifier les expositions aux risques et donc la

    consommation de fonds propres.

    Dans ce cadre, il est ncessaire de combiner la fois lexprience du pass avec une vision prospective du futur proche tout en disposant au quotidien doutils dalertes.

    Apprendre tirer les leons du pass

    Toute organisation se doit dapprendre de ses exp-riences ou incidents passs, afin de capitaliser, vi-ter et mieux grer les incidents.

    Une approche discipline et structure de collecte des incidents contribue ltablissement de la culture du risque dans lentreprise. Cette dmarche joue en effet un rle important au niveau de la vigi-lance des acteurs, de gestion des incidents, du traite-ment des alertes, de la conduite et du suivi des plans dactions.

    Par ailleurs, pour les risques dits de frquence , lanalyse des incidents avrs permet dobjectiver lvaluation des risques potentiels propre la car-tographie.

    Base interne de collecte des incidentsLa mise en uvre dune base incident ncessite de : - organiser la base de collecte des donnes dinci-

    dents en dfinissant les rles et responsabilits dans la dtection et caractrisation des inci-dents ;

    - dfinir le primtre de la notion dincidents seuil de collecte, quasi-pertes, manques ga-gner, etc. ;

    - proposer des mthodes dvaluation des impacts et de prise en compte des incidents complexes .

    Dans le cadre dune bonne gouvernance, il est n-cessaire de dfinir une procdure descalade qui per-mette la remonte des alertes pour gestion selon leur criticit.

    Bases externesLes entreprises sont forcment galement exposes des vnements extrmes et particulirement rares. Or, elles ne disposent heureusement pas dans leur base incident de lensemble de ces vnements. Cest pourquoi lutilisation de bases de donnes externes offre une relle valeur ajoute pour apprhender ces risques rares, en sappuyant sur lexprience des autres en-treprises. Aussi, il existe en la matire : - des bases de donnes commer-

    ciales qui utilisent des donnes publiques collectes partir de diffrentes sources issues de la presse, de rgulateurs, ou en-core de rapports annuels ;

    - des consortiums de banques internationales, tel ORX ou dassureurs, tel ORIC, dans lesquels les donnes anonymises sont collectes auprs des membres, selon un processus norm.

    Vivre au prsent : dtecter les sources de dysfonctionnement ou de modification du profil de risque

    Les indicateurs de risque - KRILes indicateurs de risque, ou KRI Key Risk Indicators mettent en vidence lvolution de lex-position dune entreprise un risque. Ils permettent danticiper la ralisation dun risque par le biais du systme dalerte associ. Pouvant tre de deux na-tures, ils offrent une valuation rgulire de lvo-lution du risque lui-mme ou encore de lenviron-nement de prvention et de contrle. Ils permettent ainsi de dtecter une situation anormale avant quun incident ne survienne.

    En assurance, un taux important de rclamations-client peut indiquer une dfaillance au niveau de la gestion des contrats ou un dfaut dans la conception du produit ncessitant une raction rapide de las-sureur via ventuellement une revue des conditions gnrales.

    Des tableaux de bord dindicateurs permettent en-suite lexploitation des rsultats, tant par les acteurs mtier, qui peuvent trouver ainsi un moyen dob-jectiver leurs dcisions, que par le responsable des risques oprationnels.

    Quels dispositifs pour grer les risques oprationnels ?

    La mise en place en mode projet du dispositif rejoint rapidement la gestion au quotidien, lanimation de la filire puis le pilotage global du risque.

  • Les

    doss

    iers

    tec

    hniq

    ues

    din

    form

    atio

    n Op

    tim

    ind

    6 // Risques oprationnels // avril 2011

    Afin de garantir la pertinence et lefficacit de ce type doutil, le responsable des risques oprationnels doit sassurer que :- les indicateurs de risques refltent rellement et

    significativement lexposition au risque des mtiers concerns ;

    - les indicateurs de risques sont fonds sur des donnes fiables ;

    - la frquence de rafrachissement est suffisam-ment leve et adapte pour garantir une informa-tion fluide, permettant de prendre rapidement des dcisions ;

    - les indicateurs sont comprhensibles et pertinents pour ceux qui les exploitent.

    Le dispositif de contrleLe dispositif de contrle est compos de lensemble des oprations de contrle effectues par lentre-prise. Ces oprations sont de diffrentes natures, telles quindiques dans le schma ci-dessous.

    Ainsi, ces contrles remplissent notamment les mis-sions suivantes de scurisation de lactivit : - exercer un rle dalerte en dtectant la survenance

    danomalies un taux anormal, afin denrayer cette sur-venance et diminuer ainsi la frquence des incidents ;

    - garantir lintgrit de lorganisation, en assurant par exemple la sparation des fonctions ;

    - scuriser lactivit ;- mesurer lefficacit du dispositif de matrise du

    risque oprationnel, afin de loptimiser.

    Le dernier objectif joue en quelque sorte un rle de garde-fou, lorsque les indicateurs de risque, qui sont ncessairement en nombre limit, nont pas ou peu jou leur rle dalerte pralable.

    Ces contrles sintgrent dans un processus itratif et dynamique de gestion des risques visant une amliora-tion en continu de lorganisation et sa scurisation.

    Anticiper lavenir : lapproche prospective

    Les seules pertes internes ne suffisent pas parfaite-ment apprhender les risques oprationnels. La car-tographie et les scnarios permettent dapporter une vision complmentaire et prospective sur les risques potentiels auxquels lorganisation est expose.

    La cartographie des risquesLa cartographie des risques constitue un processus vivant didentification, dvaluation et de hirar-chisation des risques oprationnels susceptibles davoir un impact sur un processus ou une ligne mtier. ce titre, cet outil constitue un lment fondamental du dispositif de gestion des risques et de contrle interne de lentreprise. La cartographie contient lensemble des informations ncessaires, permettant de prendre des dcisions en termes dactions correctrices par rapport des expositions aux risques trop importantes ou insuffisamment matrises.

    Lapprciation de lexposition aux risques repose sur lvaluation de la frquence de survenance des risques et de limpact financier au regard du disposi-tif de matrise mis en uvre.

    De ce fait, lvaluation des risques dbute souvent par celle des risques bruts, ou intrinsques, qui sont les risques qui psent sur lactivit, abstraction faite de tout dispositif de matrise existant. La prise en considration des dispositifs de matrise conduit en-suite rvaluer ces risques, que lon appelle alors les risques nets, ou risques rsiduels.

    La priodicit de revue des valuations se fait le plus souvent annuellement. Pour autant, la mise jour de la cartographie des risques peut tre anticipe lors de la survenance dvnements considrs comme remarquables, ds lors quils sont susceptibles de

    Source : Optimind

    Contrlesde 3e

    niveau

    Contrlesde 2e

    niveau

    Contrlesde 1er

    niveau

    AuditInspection

    Contrlepriodique

    Diffrentes natures de contrle

    Contrlepermanent

    Contrles rguliers effectus par des acteurs

    indpendantsFonction contrle interne,

    juridique, RSSI, etc.

    Contrles intgrs aux processus, effectus par la hirarchie

    ou les oprationnels, manuels ou automatiques

  • Source : Optimind

    7 Risques oprationnels // avril 2011 //

    ww

    w.o

    ptim

    ind

    .fr

    modifier le profil de risque de lentreprise. Parmi ces vnements, on peut citer lvolution substantielle de la lgislation applicable lentreprise intgra-tion en France par exemple de class actions ou la modification du fonctionnement interne de lentre-prise telle que lautomatisation dun processus laide dun systme dinformation.

    Les axes danalyse des rsultats issus de la cartogra-phie des risques conduisent notamment tudier au cas par cas si le risque rsiduel qui subsiste est acceptable ou non. Les approches de classification des risques alors mises en uvre, permettent de d-terminer les priorits afin damliorer le dispositif existant via llaboration de plans dactions.La cartographie, schma A, fait ressortir majoritai-rement :- les risques exognes, rares et fort impact pour

    lesquels lentreprise na pas la matrise sur loccur-

    rence de lvnement mais peut en limiter limpact avec notamment un plan de continuit de lactivit, PCA ;

    - les risques au cur de lactivit dont limpact peut tre fort et pour lesquels une bonne matrise est ncessaire au quotidien. Il sagit alors, avec la mise en place dindicateurs dalerte, de sassurer que ce dispositif reste tout moment oprationnel et sans dfaillance.

    Il est noter que certaines dmarches de restitution introduisent des biais danalyse non ngligeables sappuyant sur des matrices dites de chaleur mal conues et aboutissant une analyse errone des risques, matrice 4 par 4 de frquences et svrits, scores issus de formules non justifies, etc. La ma-trice ci-dessous, schma B, est lexemple mme de ce quil vaut mieux viter de raliser.

    Source : Optimind

    Efficacit du Dispositif des Risques - DMR

    Risque brut, inhrent lactivitRisque faible modr moyen svre critique

    Zone sensible surveiller 10%

    Zone damlioration 20%

    Zone daction prioritaire 10%

    % E

    ffic

    acit

    du

    DM

    R

    9%de risques de niveau lev et

    dont la matrise est renforcer

    53%de risques

    soit faibles, soit bien

    matriss

    100%

    90%

    80%

    70%

    60%

    50%

    40%

    30%

    20%

    10%

    0%0 5 10 15 20 25 30 35 40 45 50

    38%

    Risque critique

    Mineure

    Fai

    ble

    Mod

    re

    le

    ve

    Tr

    s l

    eve

    Pro

    babi

    lit

    Svrit

    Modre Majeure Svre

    3x1=3

    Priorit 2

    Priorit 1Priorit 3

    Zone de surveillance

    1x3=3 Lgende

    Risque lev

    Risque modr

    Risque mineur

    Schma a

    Schma B

  • Les

    doss

    iers

    tec

    hniq

    ues

    din

    form

    atio

    n Op

    tim

    ind

    8 // Risques oprationnels // avril 2011

    Les analyses de scnarios sur les risques significatifs :Comme lindique la pyramide inverse ci-aprs, lanalyse de scnarios constitue le filtre ultime dapprofondissement des risques identifis par lentreprise.

    Les analyses de scnarios sur les risques signifi-catifs sinscrivent donc dans la finalit de cette dmarche itrative de risk management. Elles doi-

    vent permettre didentifier les cheminements possibles du risque, les facteurs damplifi-cation ventuels et ainsi opti-miser les leviers de rduction.

    Dans leur mise en uvre, les analyses de scnarios impli-quent donc de forts niveaux dexpertises ncessitant, comme dans lanalyse de tout systme complexe, lassociation de com-ptences internes voire ex-ternes trs diffrentes dans le cadre dateliers bien structurs.

    Les scnarios sont souvent as-socis au modle interne sur les risques forfaitaires oprationnels. Or, complter une dmarche par lutili-sation de scnarios, savre tre rellement pertinent.

    Quelle mesure/quantification du risque oprationnel ?

    Les difficults dvaluation du risque oprationnelEn termes dvaluation des risques oprationnels, deux catgories de risques peuvent tre distingues :

    - les risques oprationnels rcurrents frquents peuvent tre valus par une approche frquence cot classique en assurance, ralise sur la base incidents et les historiques. Cette approche ncessite daccorder une importance particulire la profondeur de lhistorique, la survenance dun incident devant alors tre trace et qualifie conve-nablement ;

    - les risques extrmes constituent la deuxime ca-tgorie. Ils prennent une part essentielle lorsque lon sintresse la solvabilit. Il sagit des risques majeurs comme par exemple les catastrophes natu-relles, les risques industriels, les fraudes de grande ampleur, les indisponibilits majeures et durables du systme dinformation ou encore les risques frontires. Pour ces risques, trs peu dhistoriques sont disponibles. Il est donc indispensable de recou-rir des expertises ou des modles trs complexes qui ncessitent, de plus, de disposer dune trs bonne visibilit sur son exposition.

    Dans tous les cas, le caractre diffus des risques oprationnels, li leur nature en lien troit avec lorganisation de la socit, aura des consquences fortes sur les modles dvaluation. Les difficults didentification de lensemble des cots les rendent galement complexes apprhender : les impacts peuvent tre tals dans le temps, en cas de conten-tieux client par exemple, limpact financier peut survenir longtemps aprs le fait gnrateur. Enfin, les ncessaires approches par auto-dclaration et au-to-valuation sont susceptibles dtre lorigine de biais dans les valuations, mme si des dmarches existent pour les fiabiliser au mieux.

    Les modles dvaluation Lapproche LDA Loss Distribution Approach est lapproche statistique la plus frquemment utili-se pour lagrgation de distributions de pertes. Concernant les risques oprationnels, elle sappuie sur la base incidents contenant les donnes des pertes collectes au sein de lentreprise.

    Lapproche consiste tablir, pour chaque ligne mtier et chaque type dvnement de pertes, la courbe de distribution des montants de pertes et la courbe de distribution des frquences sur un in-tervalle de temps donn. Les modlisateurs cher-chent ensuite ajuster une loi de probabilit sur chaque distribution obtenue en utilisant des tests dadquation statistique. Ces deux distributions sont ensuite combines grce un algorithme nu-mrique tel que les simulations de Monte-Carlo, lapproche rcursive de Panjer ou encore en inver-sant la fonction caractristique, car il nexiste en gnral pas dexpression analytique de la distribu-tion compose.

    Le montant des fonds propres recherch corres-pond alors la Value at Risk un quantile donn VaR99,5 % pour lassurance, VaR99,9 % pour la banque sur un horizon dun an.

    Ensemble des risques thoriquesCouples risques x processus> 2 000

    Base dincidents600 couples envisageables

    Cartographie200 couplessignificatifs

    Scnario15

    Pertes externes

    Pyramide inverse : identification des risques significatifs

    Le risk manager se doit de rester vigilant et de ragir

    face lvolution ou lmergence de risques

    oprationnels. Ces lments nouveaux sont

    voquer en Comit RO.

    Source : Optimind

  • 9 Risques oprationnels // avril 2011 //

    ww

    w.o

    ptim

    ind

    .fr

    Bien quelle soit la mthode la plus communment utili-se par les tablissements bancaires et les organismes assureurs pour modliser les risques oprationnels, cette approche renferme plusieurs inconvnients :- lhypothse de pertes indpendantes et identique-

    ment distribues, impose par cette mthode im-plique que la VaR soit calcule sur un primtre reprsent par lintersection dune ligne mtier et dun type de risque ;

    - en considrant les incidents comme compltement indpendants, on ne tient pas compte des ventuelles corrlations ou liens de cause effet qui pourraient entraner un effet cumulatif ou attnuateur ;

    - ces calculs sont raliss sur des donnes histo-riques qui non seulement sont des donnes dchan-tillonnage et peuvent tre rares, disperses et sou-mises nombre dapprciations subjectives mais de plus, ces donnes historiques ne permettent pas dintgrer les changements dans le profil de risque de lentreprise suite la survenance dun incident.

    Pour pallier certains de ces inconvnients, lap-proche LDA sur les pertes internes est souvent com-bine des modles quantifis de scnarios. Une autre alternative est la mthode des scorecards qui sappuie non pas sur des donnes de pertes effec-tivement constates, mais sur des indicateurs de

    risque, qui incorporent donc une vision a priori des risques oprationnels.

    Dans tous les cas, les modles dvaluation des risques oprationnels intgreront toujours des limites, quil faut garder lesprit.

    En premier lieu, les modles utilisant des lois statis-tiques prsupposent indirectement que les vne-ments et comportements futurs peuvent tre globa-lement dduits des vnements et comportements passs. Bien sr, une utilisation de choc, y compris fic-tif, permet de limiter cette insuffisance conceptuelle.Toutefois, le modle se trouve limit la seule vision de son crateur.

    Dautre part, quels que soient les lments modliss, il convient de se placer un niveau de granularit et de sophistication adapts. En effet, la sophistication excessive dun modle engendre gnralement un besoin important en termes dhypothses associ naturellement un manque de robustesse poten-tiel du modle. Il est donc important de se baser au niveau de granularit suffisant permettant une mo-dlisation fiable et raliste de lactivit et de tester la capacit prdictive du modle, ou mieux, de ses diff-rentes composantes.

    Donnes

    Frquence

    - pertes internes- scnarios

    Svrit

    - pertes internes- scnarios

    Calibration

    SimulationsMonte Carlo

    Distributionde frquence

    Distributionde pertes agrges

    Distributionde svrit

    quivalent Fonds propres

    Probabilit

    Probabilit

    Probabilit

    VaR 99,5%

    Effectif

    Montant

    Montant

    Source : daprs Risques oprationnels De la mise en place du dispositif son audit, C. Jimenez, P. Merlier et D. Chelly, 2008.

    Le choix entre la formule standard et le modle interne en assuranceDans Solvabilit II, les assureurs ont le choix entre la formule standard et le modle interne pour calculer leur capital rglementaire. Lapproche modle interne comporte linconvnient majeur dtre beaucoup plus coteuse : dune part la formule standard devra gale-ment tre mise en uvre, mais dautre part le modle interne comporte des exigences de validation et de maintenance trs fortes.Toutefois, sur les risques oprationnels, la formule standard a retenu ce stade une approche trs forfaitaire loigne de la ralit des risques sous-jacents : des facteurs par secteur dactivit sont appliqus aux encours et aux primes. Lapproche par modle interne permettra alors : - dconomiser des capitaux rglementaires : cet intrt nest bien entendu pas acquis car il dpend des risques rels de lassureur et

    dans tous les cas ne peut pas constituer lunique argument pour un assureur.- damliorer la connaissance des risques, et donc de permettre le lancement de plans dactions en vue de la rduction et de la matrise

    des risques oprationnels. Cet avantage apparat la fois sur les risques frquents de faible impact, par exemple par la modification des processus ou la mise en place de contrles adapts. Il sinscrit galement sur les risques extrmes du fait de lanalyse pousse qui en est faite lors de la construction du modle.

    - de bnficier davantages concurrentiels, notamment en termes de communication sur le march. En particulier, les modles internes sont pris en compte par les agences de notation.

  • Les

    doss

    iers

    tec

    hniq

    ues

    din

    form

    atio

    n Op

    tim

    ind

    10 // Risques oprationnels // avril 2011

    Linsertion oprationnelle

    Le day to day managementLoin de ntre quune exigence rglementaire, la ges-tion des risques oprationnels peut constituer un v-ritable levier de management. Cest tout lenjeu dun pilotage quotidien de la gestion des risques opration-nels, qui doit sinsrer de faon harmonieuse dans les activits oprationnelles. On parle alors de mode de management par les risques, cest--dire intgrant ce prisme dans les prises de dcision importantes.

    Pour autant, la complte inser-tion de la gestion des risques oprationnels dans lactivit quotidienne ne doit pas devenir une routine, ou encore donner un sentiment de fausse scurit, au point de faire oublier dexer-cer une vigilance accrue dans les situations qui le ncessitent.Il ne suffit pas en effet de sap-puyer sur le dispositif existant, mais ladapter aux volutions de lentreprise. Cest pourquoi il convient dintgrer laspect risque oprationnel dans les

    prises de dcision porteuses de risques telles que le lancement dun nouveau pro-duit, la cration dune nouvelle activit ou encore lautomatisation dun processus. Le risk manager exerce alors un rle de conseil en analysant les risques avant la prise de dcision, afin de garantir, non pas la suppression totale du risque, mais liden-tification et la prise en compte de ces risques dans les arbitrages qui sont oprs.

    Lintrt de loutil GRC pour piloter au quotidienPour garantir la fluidit du dispositif de gestion et de pi-lotage du risque oprationnel, un systme dinformation spcifique savre souvent indispensable. Un systme dinformation efficace permet de structurer et dagrger aisment les donnes pour analyser les informations sous diffrents angles. Or, depuis plusieurs annes, de nombreux diteurs proposent des systmes dinforma-tion de gestion des risques SIGR plus couramment appels outils GRC gouvernance, risques et contrles. Ils permettent, comme indiqu sur le schma C ci-des-sous, de dployer et de piloter lensemble du dispositif de gestion des risques oprationnels et de contrle interne.

    Le pilotage

    Les tableaux de bordLes tableaux de bord constituent des outils indis-pensables au suivi des risques. En fournissant une vision globale, synthtique et agrge, ils permettent au top management dassurer des prises de dcision adaptes dans une logique de bonne gouvernance des risques.

    La dfinition et la slection des informations et in-dicateurs constituent les phases critiques de rali-sation de ces tableaux de bord : ils doivent la fois correspondre aux besoins de lorgane dirigeant qui devra se les approprier parfaitement, et tre suffi-samment pragmatique afin que leur alimentation puisse tre ralise de manire rcurrente sans impacter trop fortement lactivit oprationnelle. Enfin, ils doivent possder une certaine souplesse pour sadapter au caractre changeant du risque et permettre didentifier les risques mergents.

    Ils peuvent galement avoir vocation tre transmis en externe, au rgulateur et aux auditeurs, notam-ment afin de justifier de lexistence des processus de suivi des risques, conformment lORSA dans le cadre de Solvabilit II.

    Ils doivent sappuyer sur une dfinition de seuils de significativit adapts aux enjeux, cest--dire la taille et la complexit de lentreprise.

    Le suivi des plans dactionsChaque lment du dispositif peut souligner des points amliorer et donc amener proposer des plans dactions. Cela peut intervenir la suite :- dun risque majeur rsiduel issu de la cartographie ;- dun incident avr susceptible de se rpter ;- de la dgradation soudaine dun indicateur de risque ;- de la dcouverte dune mauvaise adquation de

    certains contrles.

    Un comit risques oprationnels doit alors assurer notamment un suivi de ces plans dactions et obser-ver lvolution des risques lis.

    Quel pilotage mettre en uvre ?

    Modlisation des

    processus

    Audit Cartographiedesrisques

    Suivi des indicateurs de risques

    Gestiondes

    incidents

    Gestion desplans de

    continuit dactivit

    Gestion des plans

    de contrle

    Gestion des plans dactions

    et des dispositifs de matrise

    Gestion des habilitationsGestion des rfrentiels

    dition de reportings

    OUTILS GRC, GOUVERNANCE,

    RISQUES, CONTRLES

    Source : Optimind

    Le paramtrage et le dploiement dune solution

    GRC qui vient innerver lorganisation doivent

    saccompagner dune relle gestion du changement :

    communication, formation, etc.

    Schma C

  • 11 Risques oprationnels // avril 2011 //

    ww

    w.o

    ptim

    ind

    .fr

    Source : Optimind

    Les leviers complmentaires face aux risques oprationnels

    LEnterprise Risk Management Le risque oprationnel tant aux confins dautres risques, il sinscrit idalement dans une d-marche plus globale dite dERM, Enterprise Risk Management. Cette dmarche consiste en un en-semble de processus conduisant identifier, quan-tifier et grer les risques auxquels est expose len-treprise, qui peuvent mettre en pril latteinte de ses objectifs stratgiques. Il sagit alors de construire une vritable politique de gestion des risques sur tous les risques significatifs. Lobjectif de lERM nest pas forcment de rduire le risque au minimum mais de le contenir au mieux afin doptimiser le cot du risque, et ce, toujours en lien avec la stratgie de lentreprise qui oblige prendre en compte, certes les pertes, mais galement le cot des mesures de pr-vention, de protection et de financement du risque.

    La liste des risques entrant dans le primtre du risk management nest videmment jamais ferme. Une bonne dmarche ERM doit aussi et surtout dter-miner le plus tt possible tous les nouveaux risques pouvant influencer, plus ou moins long terme, latteinte des objectifs stratgiques.

    Lajustement du dispositif de contrleParmi les diffrents moyens de matrise disposi-tion des risk managers, il faut citer la mise en place de points de contrle complmentaires ou rajusts. Ainsi, en rponse certains risques, il est possible de dcider dassurer :- la validation systmatique par le dpartement ju-

    ridique de la plaquette commerciale dun nouveau produit avant son lancement ;

    - le blocage automatique de la saisie sur le systme dinformation pour viter le dpassement dun seuil de montant pour une transaction.

    Le processus de mise en place des points de contrle est un processus itratif damlioration.

    Le Plan de Continuit dActivit, PCALes entreprises ne peuvent empcher la survenance de certains risques exognes, tels que la crue dun fleuve, mais elles peuvent dfaut en limiter les im-pacts. Cest alors quintervient notamment le plan de continuit dactivit. En effet, quels que soient les vnements et leurs niveaux de gravit, lentreprise doit tre en mesure dassurer au mieux les prestations de services attendus par les acteurs du march, que ce soient ces clients, actionnaires, investisseurs ou encore les autorits de tutelle. Dans le cas particulier des banquiers et assureurs, il est impratif dassurer tout moment le maintien en condi-tion oprationnelle, via des tests, de la continuit des activits dites cri-tiques . Ces dernires devront tre pr-alablement identifies, pour dfinir les besoins de continuit et les ressources ncessaires leur fonctionnement.

    LassuranceLa souscription de polices dassurance permet dassu-rer le financement dune perte par un tiers assureur. Elle constitue donc galement un levier de matrise du risque oprationnel avec notamment lutilisation de polices dassurance responsabilits civiles profes-sionnelle, exploitation ou mandataires sociaux, fraude, perte dexploitation ou de revenu, et dommages aux biens et personnes.

    La plupart de ces polices dassurance couvrent des risques oprationnels purs ou lis dautres risques. Tous les risques ne sont cependant pas assurables, ils doivent vrifier les conditions classiques des risques dassurance, savoir, tre issus dvnements ala-toires, futurs, licites et dont la survenance est in-dpendante de la volont de lassur. noter que le fait dassurer un risque ne ddouane pas lentreprise de mettre en uvre une gestion des risques et un contrle interne efficients permettant de prvenir la survenance du risque oprationnel.

    Enfin, les risques doivent tre raisonnablement assurables compte tenu de la prime et de la franchise eu gard au niveau de couverture. Ainsi, chaque exercice, lentreprise value son apptence au risque et peut envisager un transfert des risques quelle ne parvient pas elle-mme mutualiser ou dont la sur-venance aurait des consquences trop importantes sur son rsultat ou sa solvabilit. Elle considre alors le profil de chacun des risques afin de dfinir une li-mite de risque acceptable. Dans le cadre des banques en approche avance AMA , il est possible de diminuer les fonds propres rglementaires allous au titre des risques opration-nels hauteur de 20 %, si les polices rpondent des critres dligibilit, notamment le rating de lassu-reur. En effet, externalis via une police dassurance, le financement dun risque oprationnel transforme une grande part de ce risque en risque de contrepartie, dfaillance de lassureur, refus dindemnisation, etc.

    Une direction gnrale doit pouvoir rapidement visualiser les risques significatifs susceptibles dbranler lentreprise et prendre les dcisions qui simposent, y compris daccepter le risque en ltat.

    Identification et valuation des risques

    volution du profil de risque

    de lentrepriseContrle de 1er et de 2e niveau

    Dtection des anomalies

    Mesures correctrices

    et plans dactions

    Identification des sources de

    dysfonctionnement

  • Optimind46 rue La Botie75008 ParisT / 01.48.01.91.66F / 01.48.01.08.82

    www.optimind.fr

    Actuar iat , R isk Management , Conformit & Pro je ts

    Les

    Dos

    sier

    s Te

    chn

    ique

    s O

    ptim

    ind

    sont

    pro

    duit

    s se

    lon

    des

    pro

    cess

    us

    resp

    ectu

    eux

    de

    len

    viro

    nn

    emen

    t. I

    ls s

    ont

    impr

    ims

    su

    r de

    s pa

    pier

    s ce

    rtifi

    s p

    ar d

    es la

    bels

    de

    qual

    it

    en

    viro

    nn

    emen

    tau

    x et

    son

    t im

    prim

    s p

    ar u

    n p

    rest

    atai

    re c

    erti

    fi

    Impr

    imV

    ert.

    Les

    doss

    iers

    tec

    hniq

    ues

    din

    form

    atio

    n Op

    tim

    ind

    12 // Risques oprationnels // avril 2011

    Les risques oprationnels peuvent la fois survenir au quotidien dans le cadre dune activit commune mais galement intervenir trs ponctuellement et de faon dvastatrice dans des cas extrmes. Face cette diversit de manifestation du risque opra-tionnel, les dispositifs prsents dans ce dossier technique offrent un panorama complet permettant de les apprhender et de les rduire.

    Pour pouvoir les apprcier finement, il est absolu-ment ncessaire den comprendre les contours et donc de disposer de formation ou de sensibilisation cible cest--dire adapte aux mtiers concerns. Bien sr, ces dispositifs, bien que rglementaires, dpassent largement les seuls objectifs de confor-mit ou de calcul des fonds propres et sinscrivent davantage dans une relle dynamique de scuri-sation de lactivit. Cest l, tout lenjeu dune d-marche de gestion et de pilotage des risques oprationnels.

    Dans le monde des assurances, la directive Solvabilit II nest pas encore trs prcise sur ces attentes en matire de risque oprationnel. Les me-sures dexcution de niveau 2 et 3 devraient y rem-dier. Dans cette attente, la majorit des organismes assureurs se sont appuys sur les textes et les exp-riences de leurs homologues bancaires pour mettre en place les diffrentes approches et dployer leurs dispositifs. Le monde bancaire continue dailleurs lui-mme ajuster ses attentes au regard des an-nes dexprience. Les consultative papers trs riches et prcis publis par le Comit de Ble en d-cembre 2010 le confirment. Les dmarches risques oprationnels mrissent et voluent donc au fil du temps. Les assureurs, de plus en plus actifs, sins-crivent en ordre de marche pour relever ce nouveau dfi. En effet, 2013 nest quun premier jalon pour une dmarche prenne qui va bien au-del du projet Solvabilit II.

    Conclusion

    Socit de conseil en actuariat et gestion des risques, OPTIMIND est un interlocuteur de rfrence pour les assureurs, mutuelles, banques et grandes entreprises qui souhaitent un partenaire mtier les accompagnant dans leurs projets.thique, dontologie, expertise, mthode, pragmatisme et investissement sont les valeurs clefs qui animent les soixante-quinze consultants, actuaires et experts mtier dOPTIMIND. Nos clients bnficient ainsi dune prestationde qualit associe la signature dune socit de conseil reconnue.

    OPTIMIND sorganise autour des mtiers suivants :> Actuariat Conseil > Actuariat Entreprise > Projets & Matrise dOuvrage > Risk Management> Audit & Contrle interne

    Qui sommes-nous ?

    Ra

    lisa

    tion

    :

    Cr

    dit

    phot

    os :

    Sh

    utt

    erst

    ock

    .