Hub weave : 1 23 novembre 2011 La cartographie des risques: jusquoù aller?...
Transcript of Hub weave : 1 23 novembre 2011 La cartographie des risques: jusquoù aller?...
Hub weave :www.weave.eu
1
23 novembre 2011
La cartographie des risques: jusqu’où aller?
[email protected] ALLEAUME, Associé
+33 6 68 08 19 43
WeaveRisk & Compliance
2
Réunion du 26 mai 2011
La cartographie des risques : jusqu’où aller ?La cartographie des risques : jusqu’où aller ?
3
Mais la transformation d’une cartographie en instrument de pilotage des activités par les risques suppose d’avoir une méthodologie et des moyens adaptés à ses ambitions
Mais la transformation d’une cartographie en instrument de pilotage des activités par les risques suppose d’avoir une méthodologie et des moyens adaptés à ses ambitions
La cartographie des risques :de l’outil réglementaire à outil de management
La cartographie des risques est devenue un outil réglementaire de premier plan suite à diverses réglementations bancaires (Bale II, 3ième Directive) ou assurance (Solvency II).
Cet instrument a pour vocation initiale d’intégrer la dimension des risques opérationnels dans l’évaluation des capitaux réglementaires issus du ratio de solvabilité.
A partir de ce socle « calculatoire », le Régulateur a progressivement pris en compte dans ses exigences et recommandations « l’approche par les risques » pour la mise en place de dispositifs de maitrise visant à prévenir les défaillances.
4
La cartographie des risques :de l’outil réglementaire à outil de management
L’évolution des usages de la cartographie implique une attention accrue sur les modalités de collecte et de gestion des données qui la constituent
ProcessusProcessus
Solvabilité Solvabilité
Risque
opérationnel
Risque
opérationnel
Contrôle
des risques
Contrôle
des risques
LAB/FT LAB/FT RisquesRisques
Prévention des
risques
Prévention des
risques
ProcessusProcessus
QualitéQualité
Performance
des
processus
Performance
des
processus
Zone réglementaire Zone réglementaire
5
Les différentes dimensions de la cartographie
MéthodologieMéthodologie
EvaluationEvaluation
PérimètrePérimètre
Les principales questions pour éviter les écueils d’une démarche de cartographie :
Quelle méthodologie retenir ?
Quel périmètre couvrir ?
Comment évaluer les risques ?
CartographieCartographie
6
La méthodologie : modéliser pour évaluer
Méthode bayésienneMéthode bayésienne
Les Score CardsLes Score Cards
Méthode des « scénarios » Méthode des « scénarios »
Processus Sous - ProcessusHistori
queE00
Événement de risque
Catégorie Bâle II
Sous-catégorie Bâle II
Commentaires ImpactFréquence annuelle
Perte brute annuelle Évaluation DMR existant DMR cibleEfficacité DMR
Risque net annuel
Impact PCA(O/N)
Risque d'image / conformit
é
P01Entrée en relation
SP01 - Identification client
E0
7-M
un
iga
rde
E01Diffusion d'informations confidentielles
clients, produits et pratiques
commerciales
conformité, diffusion
d'informations et devoir fiduciaire
Hypothèse
Appel de tiers (membres de la famille, commissaires priseurs) pour recueillir des informations sur le ou les contrats d'un client.Risque : Plainte du client, poursuite pénale pour non respect du devoir de confidentialité
Risque d'image, Risque de non conformité
Impact unitaire: MoyenDommages-intérêts pouvant aller de 1 € symbolique à 25 K€
Fréquence: Non significatifA dire d'expert il n'y a pas d'occurrence connue de diffusion d'informations confidentielles.
25,0 KE 0,10 2,5 KE
Organisation / Procédures- devoir de confidentialité connu par les collaborateurs de Munigarde et rappelé dans le règlement intérieur- refus de divulgation d'information par téléphone- entrée séparée et sécurisée pour les clients Munigarde- organisation systématique de rendez-vous afin d'éviter que les clients se croisent dans les locaux de Munigarde
Contrôle manuel / visuel- .
Contrôle automatique / Outils- .
Organisation / Procédures- centraliser les demandes d'information externe auprès du responsable de service
Contrôle manuel / visuel- .
Contrôle automatique / Outils-.
90% 0,3 KE non CI
P01Entrée en relation
SP01 - Identification client
E0
8-M
un
iga
rde
E02Défaut d'identification du client
exécution, livraison et gestion des processus
admission et documentation
clientèle
Hypothèse
Non respect des obligations relatives à la lutte anti-blanchiment.
Les dossiers doivent comprendre les justificatifs client (pièce d'identité, justificatif de domicile, attestation d'assurance, renonciation à recours) et les documents contractuels (bon de prise en charge, contrat, formulaire d'assurance, bons de visite, décharge). Si les dossiers sont incomplets, l'établissement s'expose à une sanction réglementaire.
Risque d'image, Risque de non conformité
Impact unitaire : ÉlevéRisque de sanction réglementaire estimé à 100 K€
Fréquence : Non significatifA dire d'expert, il est réalisé 350 nouveaux contrats par an et toutes les nouvelles entrées en relation sont documentées. Seuls quelques anciens contrats sont en cours de mise à jour.
100,0 KE 0,10 10,0 KE
Organisation / Procédures- demande systématique d'une pièce d'identité en cours de validité pour le titulaire et l'éventuel co-titulaire- demande d'un justificatif de domicile de moins de trois mois (pour les nouveaux clients)- photocopie pièce d'identité et justificatif de domicile ou saisie du numéro de pièce d'identité- demande de l'extrait KBIS pour les personnes morales- consultation éventuelle d'Internet pour réaliser des recherches sur la réputation du client- formation TRACFIN- procédure de remontée d'alerte connue- paiement en espèces interdit si le montant est supérieur à 3.000€
Contrôle manuel / visuel- contrôle de la validité apparente des éléments justificatifs- contrôle de la signature à partir de la pièce d'identité- contrôle mensuel de 10 dossiers, par le Responsable Conformité
Contrôle automatique / Outils- interrogation Safe Watch (édition systématique du bulletin).
Organisation / Procédures- actualiser la procédure d'entrée en relation- exclure le permis de conduire de la liste des pièces d'identité probantes- mettre en place une procédure de revue des dossiers existants- vérifier systématiquement l'adresse donnée par le client- refuser d'établir les contrats s'il manque des pièces
Contrôle manuel / visuel- organiser une revue périodique (annuelle) des dossiers existants
Contrôle automatique / Outils- mettre en place d'une GED permettant de conserver et visualiser à la demande les pièces du dossier
80% 2,0 KE non CI
P01Entrée en relation
SP02 - Caractéristiques objet
E0
9-M
un
iga
rde
E01Non détection d'une opération suspecte
fraude externe vol et fraude
Hypothèse
Non détection des conditions suspectes de dépôt d'un objet.
Si Munigarde se trouve impliqué dans le recel d'objets volés, une sanction réglementaire peut être prononcée à l'encontre du Crédit Municipal. - Exemple : dépôt de 20 bijoux volés provenant de la famille impériale de Russie, valeur déclarée 900.000 $ => Intervention de la Brigade de répression du banditisme. La moitié des objets étaient des faux.
De plus, dans le cas d'une escroquerie, la personne lésée dans la transaction peut se retourner contre le CMP EPA pour obtenir réparation du préjudice.- Exemple : escroquerie d'un acheteur potentiel (en s'abritant derrière la notoriété de Munigarde) par un déposant qui surévalue des objets (valeur déclarée) servant de base à la négociation.
Risque d'image, Risque de non conformité
Impact unitaire: ElevéSanction réglementaire estimée à 100 K€.
Fréquence: Très faibleA dire d'expert, il est réalisé 350 nouveaux contrats par an.La fréquence d'occurence des opérations frauduleuses est estimée à moins d' 1/an.
100,0 KE 0,50 50,0 KE
Organisation / Procédures- analyse de la motivation de l'entrée en relation réalisée au cours d'un entretien avec un collaborateur Munigarde, incluant l'identification des opérations atypiques sur la base de l'expérience dudit collaborateur- identification, tout au long de la relation, de tout comportement atypique par rapport aux objectifs exprimés par le client ou toute dérive de cette relation- formation TRACFIN- procédure de remontée d'alerte connue
Contrôle manuel/visuel- .
Contrôle automatique / Outils- .
Organisation / Procédures- organiser une formation complémentaire à la lutte anti-blanchiment- impliquer la Conformité dans le dispositif
Contrôle manuel/visuel- mettre en place une fiche d'entrée en relation recensant l'identification du client, les diligences réalisées et les échanges avec le collaborateur- mettre en place un contrôle de 2d niveau du responsable LAB sur la correcte identification des opérations atypiques
Contrôle automatique / Outils :- . 60% 20,0 KE non CI
P02Prise en charge
SP01 - Enlèvement / Transport
E0
1-M
un
iga
rde
E01
Dégradation, destruction ou perte des objets au cours du transport
exécution, livraison et gestion des processus
saisie, exécution et suivi des transactions
Hypothèse
Dégradation ou destruction des objets lors de l'enlèvement au domicile du client ou du transport.Agression des agents au cours du transport pour voler les objets.En moyenne, les objets sont assurés pour 100K€. Les clients ont la responsabilité de souscrire une assurance adaptée. Risque de devoir restaurer ou rembourser les objets.
Risque d'image
Impact unitaire: Non significatifUne restauration suite à un sinistre s'élève, à dire d'expert, à 0,35K€ en moyenne.
Fréquence: FaibleA dire d'expert 100 transports sont réalisés chaque année et on dénombre 2 à 3 incidents par an.
0,4 KE 3,00 1,1 KE
Organisation / Procédures- responsabilité des propriétaires jusqu'à la prise en charge (signature du bon de prise en charge par le client)- les magasiniers disposent d'éléments permettant de sécuriser le transport des objets (emballages spécifiques)- entrée/sortie des objets en un seul voyage (pas d'aller-retour).- absence d'arrêt intermédiaire lors du transport- transports réalisés en présence de 3 personnes (2 magasiniers et 1 collaborateur Munigarde)- camionnette banalisée- refus de prise en charge des objets trop fragiles (ex. terres cuites), trop volumineux ou trop lourds- restauration possible des objets- déplacements limités à Paris intra-muros- valeur d'assurance déclarée par le client
Contrôle manuel / visuel- .
Contrôle automatique / Outils- .
Organisation / Procédures- informer les collaborateurs Munigarde sur les assurances relatives au transport- inclure dans la documentation un avertissement relatif aux risques de perte pour le client en cas d'inadéquation de la couverture d'assurance- les magasiniers disposent d'éléments permettant de sécuriser le transport des objets (emballages spécifiques), ces éléments doivent aussi être utilisés en cas de transport au sein de Munigarde- facturer la prestation de transport
Contrôle manuel / visuel- vérifier l'adéquation de la couverture d'assurance du CMP EPA avec les objets transportés- vérifier le respect des procédures relatives au transport
Contrôle automatique / Outils- .
10% 0,9 KE non I
P03Conservation
des objetsSP01 - Alvéoles
E1
7-M
un
iga
rde
E01Risque de vol/dégradation dans les alvéoles
exécution, livraison et gestion des processus
saisie, exécution et suivi des transactions
Hypothèse
Dégradation des objets conservés dans les alvéoles par le personnel Munigarde. L'assurance Munigarde prend en charge ce type d'événements mais ces incidents pourraient entraîner une perte de clients.
Vol des objets : ce risque est porté par le client qui doit s'assurer en fonction de la valeur des objets déposés.
Risque d'image
Impact unitaire: FaibleLe risque d'image pourrait se traduire par une perte de clients estimée à 12K€ (100 contrats X 126€)
Fréquence: Très faibleA dire d'expert, aucun incident avéré
12,0 KE 0,10 1,2 KE
Organisation / Procédures- assurance souscrite par les clients- clients avertis par courrier simple que l'absence d'assurance se fait à leurs risques et périls- refus de manipulation des objets par les magasiniers dans les alvéoles- dérogation possible uniquement contre décharge- risques de vol limités par le volume important des objets- présence des clients et d'un collaborateur Munigarde indispensable pour accéder aux alvéoles- présence d'un collaborateur Munigarde pendant le temps où les clients sont dans les alvéoles
Contrôle manuel / visuel- .
Contrôle automatique / Outils- alarme- caméras de surveillance
Organisation / Procédures- faire signer systématiquement une décharge en cas de manipulation d'objets dans les alvéoles
Contrôle manuel / visuel- mettre en place un contrôle de 2d niveau afin de s'assurer de l'adéquation des couvertures assurance au risque encouru- dédier des vigiles à l'activité Munigarde
Contrôle automatique / Outils- .
75% 0,3 KE non I
P03Conservation
des objetsSP02 - Magasins
E2
9-M
un
iga
rde
E01Vol dans les magasins
fraude externe vol et fraude
Hypothèse
Vol d'objets entreposés dans les magasins ou vol avec agression- Exemple : vol avec prise d'otage du personnel, portant sur une fraction du stock (par hypothèse, 1/5 des objets entreposés) entreposée dans la chambre tableaux pour une valeur de 25M€
Risque d'image
Impact unitaire: Très élevé Par hypothèse, 25M€
Fréquence: Très faibleA dire d'expert, aucune occurrence constatée.
25000,0 KE 0,10 2500,0 KE
Organisation / Procédures- difficultés d'accès aux magasins (étages élevés, accès sécurisé, dispositif d'alerte)- impossibilité matérielle de vider l'ensemble des magasins- difficulté à écouler la marchandise (ex. toiles de maîtres)- pose de scellés sur les boîtes- alerte du PC de sécurité
Contrôle manuel/visuel- accès contrôlé aux magasins : accès aux magasins en binôme- 2 clés pour l'accès à l'étage par ascenseur- grille fermée à clé à l'étage- porte blindée
Contrôle automatique / Outils- alarme silencieuse- vidéosurveillance
Organisation / Procédures- .
Contrôle manuel / visuel- dédier des vigiles à l'activité Munigarde- organiser une ronde par des veilleurs de nuit pour vérifier le bon fonctionnement de tous les éléments de la sécurité passive et active- vérifier périodiquement l'efficacité des dispositifs de sécurité
Contrôle automatique / Outils- organiser la traçabilité des déplacements et des accès aux zones sécurisées, par la mise en œuvre de badges- mettre en place un sas d'accès à Munigarde
95% 125,0 KE non I
La méthode « DMR »La méthode « DMR »
Il existe de multiples méthodes de représentation des événements de risques avérés ou potentiels.
Elles ont essentiellement pour dénominateur commun de permettre une évaluation des risques à partir de la collecte
d’informations.
7
La méthodologie : représenter les risques
Une cartographie offre une hiérarchisation des risques. Les représentations graphiques doivent permettre d’identifier les zones à traiter
prioritairement par rapport à l’appétence aux risques des entités
8
Cartographiedes risques
bruts
Cartographiedes risques
brutsIdentifier les défaillancesIdentifier les défaillances
Evaluer les risques brutsEvaluer les
risques brutsIdentifier les
activitésIdentifier les
activités
11 22 33 Cartographiedes risques
nets
Cartographiedes risques
nets
Evaluer le DMR et le risque net
Evaluer le DMR et le risque net
Déterminer le DMR cible Déterminer le DMR cible
44 55
Les processus sont la base
de la cartographie
La méthodologie : la méthode quantitative s’impose
Au-delà de la méthode choisie, des éléments fondamentaux doivent être formalisés dans la cartographie des risques
L’évaluation quantitative (unité monétaire) permet d’effectuer une hiérarchisation objective et contribue à l’évaluation des actions préventives ou correctives
Connaître ses risques
avérés et potentiels
Le risque brut est le risque
hors dispositif de
maitrise
L’intensité du risque
brut détermine
le DMR
L’efficacité du DMR réduit
le risque Brut
Un plan d’actions est élaboré pour minimiser le
coût du risque
Le risque net est
l’indicateur de pilotage vis-à-vis de l’appétence
9
La méthodologie : nos convictions
Avant de choisir une méthodologie d’identification des risques, il convient de définir les différents usages de la cartographie des risques.
La cartographie des risques est à la fois un outil réglementaire et de management des activités.
L’objectif premier est de pouvoir hiérarchiser les risques afin de favoriser le pilotage.
Un lien dynamique doit exister entre Processus – Risques – Contrôles – Plan d’actions.
Il est essentiel d’avoir un outil « communiquant » et qui soit facilement appropriable par les collaborateurs et le management de l’entité, au-delà de la filière « Risques ».
10
REPO
RTIN
G
Plan de contrôle permanent
Plan de contrôle permanent ACTUALISATION
AuditsContrôles issus de la
règlementationContrôles
spécifiques
Incident(s)Incident(s)
Evolutions règlementairesEvolutions règlementaires
Audits internes/ externesAudits internes/ externes
Nouveaux Produits/ ActivitésNouveaux Produits/ Activités
Bonnespratiques
Résultats de contrôleRésultats de contrôle
Taux de réalisation des contrôlesTaux de réalisation des contrôles
Gestion des risques
Organes de management
3
1
2
4
Indicateurs de risquesIndicateurs de risques
ACTU
ALIS
ATIO
N
5
Cartographie des risques
Cartographie des risques
ACTU
ALIS
ATIO
N
ACTUALISATION
6
7
Nos convictions : le lien dynamique entre risques et contrôles
11
Le périmètre : quel champ couvrir ?
Le périmètre couvert par la cartographie des risque tend à s’élargir graduellement
Risques opérationnelsRisques opérationnels
Risques LAB/FTRisques LAB/FT
Risques de non conformitéRisques de non conformité
Risques juridiquesRisques juridiques
Risques de non qualitéRisques de non qualité
Risques « métiers »Risques « métiers »
La cartographie des RisquesLa cartographie des Risques
A l’origine centrée sur les risques opérationnels, la cartographie tend à couvrir l’ensemble des risques auxquels est exposée une entité.
Les effets induits sont : - la création d’un langage commun entre plusieurs fonctions- un décloisonnement de la cartographie- une vision globale des risques
Toutefois, il faut être vigilant sur :- la capacité à maintenir une méthodologie homogène- le partage des rôles entre gouvernance de la cartographie et gestion des risques spécifiques
12
Le périmètre : le risque de l’exhaustivité ?
L’ergonomie d’une cartographie dépend de la méthodologie retenue et de la granularité
d’identification des risques. Il convient de ne pas négliger le « risque » d’exhaustivité dans la démarche de cartographie des risques.
Cette volumétrie est liée : - à la démarche de collecte des risques opérationnels qui
peut aboutir à des nomenclatures de plus de 2 000 événements !!
- à l’ajout de risques additionnels qui viennent compléter les risques opérationnels (LAB/FT, non conformité, métiers, qualité…)
Un nombre important de risques à gérer peut :- nuire à la qualité de l’information collectée avec une charge importante de mise à jour des données au dépend de leur analyse, sans compter l’effort de collecte des incidents avérés - affecter la capacité à prioriser les risques à piloter - saturer les capacités de gestion des outils dédiés à la gestion de la cartographie des risques
13
• Modélisation des activités
Dispositif de contrôle permanent
Dispositif de contrôle permanent
Management des Processus
Management des Processus
Management des Risques
Management des Risques
Management de la Qualité
Management de la Qualité
• Indicateurs de pilotage Risques• Vulnérabilités des processus• Incidents et pertes
• Modélisation des activités• Objectifs des processus
• Modélisation des activités
• Objectifs des processus
• Indicateurs de pilotage Qualité
• Défaillances des processus
• Objectifs Qualité• Défaillances des
processus
• Risques de non qualité• Incidents et pertes
• Taux de conformité des processus
• Risques à couvrir• Incidents et pertes
• Efficacité du DMR
• Points de contrôle Qualité
• Taux de conformité des processus
Le périmètre : intégrer les interactions entre Risques et les autres dimensions du management des entités
14
Le périmètre : nos convictions
La cartographie des risques doit intégrer l’ensemble des dimensions des risques affectant une entité.
Il semble indispensable de se concentrer sur les risques « majeurs » selon l’appétence au risque de l’entité. Une cartographie d’environ 200 risques avec une sélection de 20 à 30 risques à piloter en priorité semble un objectif raisonnable.
Il convient d’organiser la gouvernance de la filière en identifiant les rôles de pilote du dispositif (normes et méthodes) et de management des risques (filière de risque)
La complexité croissante de la cartographie des risques implique le recours à un dispositif outillé afin de collecter, traiter et distribuer l’information.
15
L’évaluation : la quantification des risques
Une cartographie permet d’identifier et de hiérarchiser les risques avérés ou potentiels
La quantification « monétaire » est l’approche la plus efficace pour le dispositif de pilotage
Approche qualitativeApproche qualitative Approche quantitativeApproche quantitative
Cette approche permet de :
- prioriser de façon précise et objective les risques
- faire un lien avec la collecte des incidents avérés
- mesurer le respect de l’appétence au risque et réaliser des stress tests
- dimensionner le coût du dispositif de contrôle et des plans d’actions
- réaliser des calculs de réévaluation des risques et de produire des indicateurs
16
L’évaluation : les limites de la quantification
Toutes les natures de risques ne permettent pas une quantification monétaire faute de données d’impact identifiables ou de possibilité de hiérarchiser les événement
au sein d’un impact commun.
Cette limite implique le maintien d’un référentiel de cotation qualitatif / quantitatif et l’introduction de la notion de « vulnérabilité » pour les risques de non-conformité et
LAB/FT
Risques opérationnelsRisques opérationnels
Risques LAB/FTRisques LAB/FT
Risques de non conformitéRisques de non conformité
Risques juridiquesRisques juridiques
Risques de non qualitéRisques de non qualité
Risques « métiers »Risques « métiers »
Risques d’imageRisques d’image
Risques stratégiquesRisques stratégiques
Evaluation qualitativeEvaluation qualitative Evaluation quantitativeEvaluation quantitative Evaluation iso quantitativeEvaluation iso quantitative
17
L’évaluation : nos convictions
L’évaluation des risques doit tendre vers la méthode quantitative.
La diversité croissante des natures de risques présentes au sein de la cartographie des risques induit d’adapter l’échelle de cotation pour obtenir une hiérarchisation globale.
L’évaluation quantitative offre la possibilité d’une approche « économique » du dispositif de gestion des risques via la mesure de la rationalité des actions.
Elle permet également d’introduire des notions d’appétence au risque, de réévaluation automatique des risques et d’indicateurs prédictifs.
La cartographie des risques peut devenir ainsi un outil de management des entités.
18
Jusqu'où aller ? Le plus loin possible … à votre rythme !
Jusqu'où aller ? Le plus loin possible … à votre rythme !
En conclusion….
La cartographie des risques est un outil en continuelle évolution, tant sur la méthodologie mise en œuvre que sur les usages ou sur le spectre de couverture fonctionnelle.
Il s’agit dès lors d’avoir une vision précise de l’utilisation de la cartographie afin de dimensionner en conséquence le dispositif de structuration et de gestion des données.
L’efficacité du dispositif dépend également des moyens techniques mis en œuvre.
19
« la quête de l’utopie d’un environnement totalement sûr et calculable
a paradoxalement engendré un sentiment d’insécurité radicale »
Dead Cities and other tales, Mike Davis 2003