L E S C A H I E R S D E L A R E C H E R C H E
GUIDE D’AUDIT
Cartographiedes risques
Groupe ProfessionnelAssurance
C A R T O G R A P H I E D E S R I S Q U E S
IFACI – Paris – juillet 2006
ISBN : 2-915051-16-X
Toute représentation ou reproduction, intégrale ou partielle, faite sans le consentement de l’auteur, oude ses ayants droits, ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1er de l’article 40). Cettereprésentation ou reproduction, par quelque procédé que ce soit, constituerait une contrefaçon sanc-tionnée par les articles 425 et suivants du Code Pénal.
3G U I D E D ’ A U D I T
C A R T O G R A P H I E D E S R I S Q U E S
REMERCIEMENTS DE L’IFACI
L’IFACI tient tout particulièrement à remercier les participants du groupe Assurance qui ontconçu et rédigé ce cahier :
Marc BARBIER GROUPAMA PARIS VAL DE LOIRE
Philippe BERAUD SCOR
Florence BERGERET IFACI
Marie-Caroline BRASIER FEDERATION CONTINENTALE
Eric BURLOT LA MONDIALE
Franck COISNON OTC CONSEIL
Patrick DUPUIS AZUR GMF
Jean-Marc DEVAUD GAN PREVOYANCE
Nicolas FAQUET AXA
Jacques FASSEL SCOR
Anne FUSS MONDIAL ASSISTANCE
Florence FRADIN IFACI
Dominique GALINIE MACIF
Valérie GHESQUIERE FEDERATION CONTINENTALE
Jean-Marc GUITEAU MMA
Patrick KREPPER MONDIAL ASSISTANCE
Sylvie LEROY GAN PREVOYANCE
Pierre LEVEILLER MMA
Dominique MACE MONDIAL ASSISTANCE
Didier MERCKLING GROUPAMA SA
Pascal MILLARD MACIF
Philippe MOULAY MACIF
Jean-Paul NICOLAÏ OTC CONSEIL
Patrick SAINT MAXENT LA MONDIALE
Philippe SALAUN CNP
Nelly SALUS OTC CONSEIL
Alain SINEAU MMA
Marc TOURTELIER GROUPAMA PARIS VAL DE LOIRE
Serge VALERINO MMA
Christophe de VAUBLANC SWISS LIFE
Louis VAURS, Délégué Général
4 G U I D E D ’ A U D I T
C A R T O G R A P H I E D E S R I S Q U E S
5G U I D E D ’ A U D I T
C A R T O G R A P H I E D E S R I S Q U E S
REMERCIEMENTS DU PRÉSIDENT
DU GROUPE PROFESSIONNEL ASSURANCE DE L’IFACI
La publication de « la cartographie des risques » par le Groupe Professionnel Assurance
de l’IFACI constitue une double source de satisfaction. Il s’agit d’abord d’une démarche
collégiale, engagée fin 2003, par le « Club d’Audit des Assureurs » sous la forme d’un
groupe de travail qui a su, sous l’impulsion de Jean-Marc GUITEAU, Déontologue Groupe
et Responsable du contrôle interne des MMA, fédérer les apports d’une dizaine de contri-
buteurs. Le document de synthèse qui a été produit, au terme de 2 années d’échanges,
forme ensuite un outil, marqué par une connaissance intime des métiers de l’assurance,
qui se révélera extrêmement précieux pour tous ceux qui, dans le cadre de la Loi de
Sécurité Financière, des dispositions Sarbanes-Oxley ou du COSO 2, se préoccupent du
renforcement de leur contrôle interne et de leur maîtrise des risques.
Je tiens à remercier Jean-Marc GUITEAU et l’ensemble des participants aux différentes ses-
sions du groupe de travail pour leur persévérance et la très grande qualité du travail
réalisé. Il nous appartient désormais, dans un environnement d’audit et de contrôle
interne qui ne manque pas de sujets d’actualité, notamment sur le plan réglementaire, de
relever le défi d’une future contribution qui ne pourrait être que tout aussi remarquable.
Jean-Yves PELISSON Président du Groupe Professionnel Assurance de l’IFACI, Directeur de l'Audit Général Groupe AGF
6 G U I D E D ’ A U D I T
C A R T O G R A P H I E D E S R I S Q U E S
TABLE DES MATIÈRES
INTRODUCTION ................................................................................................... 9
PRÉAMBULE ...................................................................................................... 11
I. LA DÉMARCHE .............................................................................................. 131.1 Conditions préalables ..................................................................................................... 13
1.1.1 Volonté forte des dirigeants .................................................................................... 131.1.2 Passage obligé par la cartographie des processus ............................................... 131.1.3 Utilisation de deux approches complémentaires : Top Down et Bottom Up . 141.1.4 Positionnement des opérationnels au cœur du dispositif ................................. 171.1.5 Communication à tous les niveaux ....................................................................... 181.1.6 Actualisation régulière ............................................................................................. 18
1.2 Etapes de la construction d’une cartographie des risques ....................................... 191.2.1 Définir les objectifs ................................................................................................... 191.2.2 Répertorier les processus ........................................................................................ 191.2.3 Identifier les risques ................................................................................................. 191.2.4 Evaluer les risques ................................................................................................... 201.2.5 Eviter les écueils ....................................................................................................... 20
II. LA NOTION DE RISQUE ................................................................................. 212.1 Définition du risque ........................................................................................................ 212.2 Typologie des risques ..................................................................................................... 212.3 Mesure du risque ............................................................................................................ 222.4 Niveau de granularité .................................................................................................... 232.5. Evaluation des risques .................................................................................................. 242.6 Quelques exemples ......................................................................................................... 27
2.6.1 Exemples d’évaluation des risques ....................................................................... 272.6.2 Exemple du processus de souscription de contrat automobile ........................ 27
III. LES MENACES IGNORÉES ............................................................................ 303.1 Risques ignorés ................................................................................................................ 303.2 Méthodologies possibles pour identifier les risques « ignorés » ............................. 31
3.2.1 Exemples de facteurs d’alerte ................................................................................. 313.2.2 Priorisation du traitement des menaces ignorées ............................................... 32
CONCLUSION .................................................................................................... 33
ANNEXES .......................................................................................................... 35ANNEXE 1 : Glossaire ............................................................................................................. 37ANNEXE 2 : Evaluation des risques majeurs ...................................................................... 39ANNEXE 3 : Exemple de restitution de la démarche de cartographie associée au
processus de gestion immobilière .................................................................. 55ANNEXE 4 : Typologie des risques ....................................................................................... 60ANNEXE 5 : Détail des macro processus d’une entreprise d’assurance ......................... 79ANNEXE 6 : Démarche de cartographie : processus de souscription d’un contrat
d’assurance automobile ................................................................................... 81ANNEXE 7 : Tableau des menaces ........................................................................................ 87
7G U I D E D ’ A U D I T
C A R T O G R A P H I E D E S R I S Q U E S
8 G U I D E D ’ A U D I T
C A R T O G R A P H I E D E S R I S Q U E S
INTRODUCTION
Le groupe de travail a fonctionné de façon pragmatique et collégiale. Pragmatique dans lamesure où chacun y a participé sur une base volontaire afin d’y apporter sa propre expé-rience et s’enrichir de celle des autres participants. Collégiale car il s’agissait de définir defaçon consensuelle la position du groupe de travail.
L’objectif du groupe de travail, ou sa lettre de mission, était de mettre à disposition desprofessionnels de l’assurance une méthodologie et une boîte à outils permettant le démar-rage et la conduite d’un projet de cartographie des risques dans les meilleures conditionsde réussite possibles.
Dans ce contexte, la démarche mise en œuvre a consisté à identifier dans un premier tempsles éléments constitutifs d’une cartographie des risques. Ainsi, ont été dissociés les « maté-riaux de base » que sont les processus, les risques définis selon le COSO 21 comme, la« possibilité qu’un évènement se produise et ait une incidence défavorable sur la réalisa-tion des objectifs », les éléments de maîtrise de ces risques et la mesure de leur efficacité.
Ensuite, la solidité et la pertinence de cette réflexion préalable ont été confrontées à laréalité du terrain au travers de tests de cartographies menés par certaines des entreprisesparticipantes. Ce sont ces éléments que nous allons détailler dans le présent document.
Ce cahier de la recherche ne propose ni solution miracle, ni démarche exacte, et d’ailleurscertaines des sociétés participantes au groupe de travail ne l’ont pas appliquée strictement.En effet, toute démarche de cartographie doit tenir compte du contexte dans lequel elle estmise en œuvre, et notamment :• du dispositif de contrôle interne préexistant et de l’organisation dans lesquels la démar-
che est mise en œuvre ;• de la maturité de l’entreprise en matière de gestion des risques et de l’impact de
« Solvabilité II »2 sur son organisation et sa gestion de risques ;• des risques que l’on souhaite effectivement appréhender et piloter au moyen d’une car-
tographie ; s’agit-il principalement des risques les plus graves ou au contraire del’ensemble des risques identifiés ?
Enfin, ce cahier traite de l’identification, de la mesure et du pilotage des risques découlantde la mise en œuvre opérationnelle du métier d’assureur et non des risques acceptés etgarantis dans le cadre de ce même métier.
9G U I D E D ’ A U D I T
C A R T O G R A P H I E D E S R I S Q U E S
1 Ouvrage traduit en français par l’IFACI et PwC en 2005 sous le titre « Le Management des risques del’entreprise » - copyright en français IFACI.2 Tout comme « Bâle II » pour le secteur bancaire, la directive européenne « Solvabilité II » prévue en juillet 2007a pour objectif principal de faire en sorte que les exigences imposées aux entreprises d’assurance reflètent mieuxles risques auxquels celles-ci sont réellement confrontées.
10 G U I D E D ’ A U D I T
C A R T O G R A P H I E D E S R I S Q U E S
PRÉAMBULE
Contexte :
Depuis une vingtaine d'années, des dispositifs plus ou moins complets ont vu le jour auplan international. Les affaires ENRON, WORLDCOM, VIVENDI, pour ne citer que lesplus symptomatiques, ont provoqué une nouvelle prise de conscience. Les différents codesou lois promulgués, que ce soit le TURNBULL GUIDANCE en Angleterre, le SARBANES-OXLEY ACT aux Etats-Unis, ou la Loi de Sécurité Financière plus proche de nous répon-dent à l’objectif principal de donner l’assurance aux administrateurs, aux actionnaires, auxclients, aux partenaires, aux autorités de contrôle, que les activités sont maîtrisées grâce àun contrôle interne efficient.
La loi de sécurité financière publiée en août 2003 et le décret du 3 janvier 2005 pour lesSociétés d’Assurance mutuelles, imposent au Président du Conseil d’Administration oude Surveillance de rendre compte, dans un rapport, des procédures de contrôle internemises en place; ces procédures, pour leur partie relative à l’élaboration et au traitement del’information comptable et financière, devant faire l’objet en outre d’un rapport spécial descommissaires aux comptes.
Même si les rapports portant sur les exercices 2003 et 2004 font état de descriptions dudispositif de contrôle interne et des principaux risques sans appréciation de l’efficacité dudispositif, on peut penser qu’il s’agit d’une première étape.
Cette loi et ce décret incitent à identifier les risques liés aux activités de la société, l’analysedes risques constituant un des points majeurs de tout dispositif de contrôle interne.
Même si les fonctions de contrôle interne sont apparues plus récemment dans le domainede l'Assurance que dans le secteur bancaire, de nombreuses Sociétés d'Assurance n'ontbien sûr pas attendu la promulgation de la LSF pour se préoccuper d'audit et de contrôleinternes, l'évaluation du risque étant, par nature, au cœur du métier d'Assureur.
On peut simplement observer que ce contexte, pour certaines Sociétés d'Assurance, estvenu conforter et légitimer les activités d'audit et de contrôle internes déjà en place et, quepour d'autres , cela a été l'occasion de les organiser.
Mais au-delà du respect de la loi, le renforcement du contrôle interne est source de valeurajoutée et permet notamment de : • favoriser la transparence et la fiabilité des informations financières ;• optimiser l’efficacité de l’organisation et des processus ;• garantir le respect des lois et règlements ;• assurer la qualité de la gouvernance.
La dimension « risque » vient enrichir la vision des dirigeants en complément des axesstratégiques et opérationnels et devient un élément de management à part entière.
11G U I D E D ’ A U D I T
C A R T O G R A P H I E D E S R I S Q U E S
12 G U I D E D ’ A U D I T
C A R T O G R A P H I E D E S R I S Q U E S
I. LA DÉMARCHE
1.1 Conditions préalables
Cette partie aurait pu tout aussi bien s’intituler « Principes à respecter », ou les « Facteursclés de succès », ou plus encore « Nos convictions », dans la mesure où elle regroupe lesprincipales conditions à réunir pour réussir une cartographie des risques. Ces conditionssont au nombre de six.
1.1.1 Volonté forte des dirigeants
Cette volonté doit se trouver à deux niveaux :
• Le Conseil d’Administration ou Conseil de Surveillance tout d’abord, dont lePrésident, il faut le rappeler, se doit de produire le « Rapport du Président » sur les pro-cédures de contrôle interne. Or l’identification et l’évaluation des risques est à la based’un bon dispositif de contrôle interne. Lorsqu’il existe, le Comité d’Audit est le lieuprivilégié où doit se manifester cette volonté.
• La Direction Générale, qui doit donner l’impulsion à l’ensemble du dossier, mais sur-tout créer les conditions et mettre en place les moyens de réaliser cette cartographie desrisques, ce qui passe inévitablement par l’allocation de ressources dédiées. Plus large-ment, le Comité de Direction doit être complètement partie prenante, ne serait-ce queparce que chaque Directeur, qu’il soit opérationnel ou fonctionnel, doit initier cettedémarche dans sa propre Direction.
1.1.2 Passage obligé par la cartographie des processus
Il y a de multiples raisons d’élaborer une cartographie des processus dans une entreprise :simple modélisation des process, migration d’un système d’information vers un autre,harmonisation des process après fusion d’entreprises… Mais il en est au moins une qui larend indispensable : l’élaboration de la cartographie des risques.
D’une façon générale, nous retrouvons trois grandes catégories de processus :• les processus métiers, ou processus opérationnels, ou processus de réalisation : vente,
souscription, production, sinistres… ;• les processus managériaux ou de pilotage : stratégie, plans d’actions, budget… ;• les processus supports : ressources humaines, finances, comptabilité, informatique,
logistique…
13G U I D E D ’ A U D I T
C A R T O G R A P H I E D E S R I S Q U E S
1.1.3 Utilisation de deux approches complémentaires : Top Down etBottom Up
Dans le cadre d’une démarche de cartographie, il est possible de distinguer parmi les nom-breuses méthodes possibles deux grandes approches. La première consiste à partir desprocessus pour identifier les différents risques de l’entreprise, la seconde est basée sur unrecensement des risques par le Comité de Direction. Ces deux possibilités ne s’opposentpas mais se complètent :
Métier
Domaine
Processus
Opérations
Tâches élémentaires
Cette partie reprend les grandes séquences de chaque méthode, discute des avantages etdes inconvénients de chacune et indique les écueils à éviter.
1.1.3.1 L’approche Top Down
Première étape : l’analyse des risques
Dans cette démarche, le risque est appréhendé dans une vision globale de l’entreprise. L’approche consiste à faire identifier les risques majeurs par les membres du Comité deDirection. Ainsi, les dangers sont recensés au regard de la stratégie suivie par l’entreprise.Une autre approche consiste à identifier les risques par parties prenantes (salariés, action-naires, clients, etc.) afin de recenser les menaces qui pèsent sur l’entreprise. Cette dernièreapproche a été testée par le Groupe de travail, mais elle ne s’est toutefois pas avérée opé-rationnelle.
Deuxième étape : le rattachement des risques aux processus
Au cours de cette phase, il s’agit de remplir le double objectif de mise en cohérence desrisques identifiés avec les activités de l’entité et d’exhaustivité de la cartographie.En effet, les risques mis en évidence au niveau de la démarche Top-Down doivent être rat-tachés aux processus de l’activité.Ce rapprochement a également pour effet bénéfique de s’assurer de la complétude del’analyse.
14 G U I D E D ’ A U D I T
C A R T O G R A P H I E D E S R I S Q U E S
Top down
Bottom up
Troisième étape : l’évaluation et la hiérarchisation des risques
Les risques d’une compagnie d’assurance sont analysés en approche « Top-Down » avecla Direction générale, en s’appuyant sur une représentation graphique bidimensionnelle(fréquence/impact) sous forme de matrice de criticité (cf. annexe 2). La finalité d’une telleapproche est de schématiser le profil de risques propre à la compagnie, et de déterminerun ordre de priorité des risques majeurs pour leur traitement.
Les niveaux de criticité en impact (perte potentielle en unités de valeur) pourront cor-respondre à des seuils fixés dans le cadre de la gestion des fonds propres (ceux de lasociété mère et ceux de la filiale concernée) et dans le cadre de la réassurance (réassurancedes événements catastrophiques, réassurance par sinistre).
Les niveaux de criticité en fréquence (nombre de survenances possibles d’un risque en uneannée), pourront être faibles (inférieurs à un seuil très bas pouvant correspondre à celuirecommandé par BALE II), moyens, élevés et certains (c’est à dire avec survenance certaineplusieurs fois dans l’année).
La matrice de criticité pourra enfin être représentée sous trois versions : les risques bruts,les risques résiduels acceptés et les risques résiduels réels.
Enfin une méthodologie peut être développée afin d’appuyer l’évaluation des risquesmajeurs sur le niveau de qualité du contrôle interne et de la maîtrise des risques (voirannexe 2).
1.1.3.2 L’approche Bottom Up
Première étape : l’identification des processus
Le recensement des processus de l’entreprise constitue le point de départ de cette démar-che.Un niveau de détail approprié doit être choisi en fonction des objectifs de la cartographie.Ce niveau doit être suffisamment fin pour identifier de façon pertinente les risques signi-ficatifs mais ne doit pas conduire à lister l’ensemble des sous processus de l’entreprise.Ce choix permet ensuite de déterminer le niveau hiérarchique d’interlocuteur à rencontrerafin de collecter les informations.Une fois le contexte de cette démarche rappelé aux personnes interrogées, l’entretien peutse dérouler de deux manières distinctes. Il peut être basé sur un questionnaire ou se dérou-ler de façon ouverte, permettant ainsi une plus grande liberté dans l’expression de lavision des processus et des risques de la part des opérationnels. Les informations recueillies au cours de cette étape sont ensuite classées afin d’établir unenomenclature des processus majeurs. Ils sont à la base de l’établissement de la cartographie des risques et peuvent être classésen 3 grandes familles. Les processus relatifs à la production quotidienne (processusmétiers), ceux relatifs aux activités permettant le bon fonctionnement de l’entreprise (pro-cessus supports) et ceux concernant les activités de management (processus managériaux).
15G U I D E D ’ A U D I T
C A R T O G R A P H I E D E S R I S Q U E S
Deuxième étape : l’identification des risques
Une première identification des risques est réalisée au cours des entretiens avec les opéra-tionnels. Comme pour le recensement des processus, la description des risques peut sefaire soit sur la base d’un questionnaire soit de manière ouverte, facilitant ainsi l’identifi-cation de risques. Cette première identification est construite conjointement par le management de l’activitéopérationnelle et les équipes en charge de la cartographie. Le recensement des risques étant réalisé à partir de différentes activités prises isolément,il apparaît important d’identifier également les risques liés aux interrelations entre ces acti-vités.Ce n’est qu’une fois cette étape franchie que ces risques pourront être classés. Plusieurspossibilités sont alors offertes. L’entreprise peut faire le choix d’une typologie spécifique àl’entreprise, en fonction du domaine d’activité et des objectifs définis pour la démarche.
Troisième étape : l’évaluation et la hiérarchisation des risques
Avant de se lancer dans cette étape, il convient de définir un certain nombre de principesstructurants tels que les méthodes d’évaluation des risques. Elles sont différentes selonqu’il s’agit de répondre à une question de stratégie ou d’analyse de type rentabilité/risque.Les risques sont évaluables quantitativement par les informations recueillies dans le cadrede l’analyse des processus. Ce sont soit des données déjà existantes : statistiques ettableaux de bord, bases incidents, comptes techniques, … ; soit des données constituéespendant la démarche d’identification des risques : comptage d’opérations et d’anomalies,mise en place de statistiques d’observation, etc. De même que pour la démarche « bottom-up », il est préférable que ce travail soit réalisé avant tout par les opérationnels concernés.
En résumé, l’évaluation pourra être soit qualitative et être établie sur la base de rapportsde l’audit interne ou d’avis d’experts, soit semi-quantitative et basée sur un système denotation du couple fréquence/impact, soit quantitative quand un chiffre de perte proba-ble est associé à un risque
1.1.3.3 La construction de la cartographie
Cette phase est essentielle dans la démarche de cartographie dans la mesure où elle per-met de s’assurer de la meilleure identification des risques de l’entreprise. En effet, l’iden-tification des risques inhérents aux processus opérationnels de l’entreprise ne permet pasde prendre en compte certains dangers dits stratégiques. Par exemple, le risque d’imageou bien le risque légal (responsabilité des dirigeants) pourrait être omis sans la réalisationde cette étape. Pour répondre à ce besoin, ces risques stratégiques doivent être étudiés etrapprochés de la cartographie obtenue par l’analyse des processus.Selon les participants du groupe de travail qui ont entrepris une démarche de cartographieau sein de leur entreprise, la construction s’effectue en référence permanente avec la typo-logie des risques afin de veiller à ne pas oublier certains risques. Ce rapprochement per-met également l’élaboration de tableaux de cartographie, tableaux dont des exemples sontjoints en annexe 3.
16 G U I D E D ’ A U D I T
C A R T O G R A P H I E D E S R I S Q U E S
1.1.3.4 Avantages, inconvénients, écueils à éviter
La méthode Bottom-up présente des avantages à 3 niveaux.• L’approche par les processus permet d’obtenir une bonne connaissance des activités de
l’entreprise et les résultats peuvent ensuite être utilisés à d’autres fins, dans le cadred’une réorganisation ou à l’occasion d’une démarche qualité.
• L’analyse dans le détail des activités permet un recensement exhaustif des risques.• La consultation des opérationnels pour la réalisation de la cartographie permet d’obte-
nir une implication satisfaisante de leur part.
En revanche, c’est une démarche consommatrice de temps dans la mesure où elle requiertla tenue de nombreux entretiens et la collecte d’informations en masse. Par ailleurs, ellepeut s’avérer coûteuse en termes de compétences et de systèmes car la collecte des don-nées nécessite souvent le recours à des outils adaptés.
Quant à l’approche Top-down, elle permet une mise en œuvre plus légère puisque lesentretiens nécessaires sont moins nombreux et ne nécessitent pas une analyse des proces-sus. L’examen des risques stratégiques permet également de s’assurer de la prise encompte plus immédiate des processus transversaux ou managériaux, ce qui peut être plusen adéquation avec les attentes de la Direction générale.Cependant, elle présente l’inconvénient d’être moins précise, tant dans l’identification desrisques que dans leur quantification. Par ailleurs, les opérationnels n’étant pas associés, ilspeuvent avoir du mal à s’approprier la démarche.
Le groupe de travail considère ces deux démarches comme complémentaires et c’est pour-quoi il recommande, dans la mesure du possible, de les combiner en fonction des moyenset des délais accordés.
En effet, ces deux approches, non seulement ne s’opposent pas, mais sont complémentai-res. Elles peuvent être conduites soit de façon successive, soit de façon simultanée, la ques-tion du choix pouvant se poser lors du démarrage d’un projet de cartographie.
L’approche Top Down facilite la fixation de priorités d’actions dans ce qui remonte del’approche Bottom Up, et cette dernière permet de valider et de compléter les éléments res-sortis dans l’approche Top Down.
Ces deux méthodes ont ainsi naturellement vocation à alimenter et faire vivre la carto-graphie.
Enfin, il convient de préciser que, quelles que soient la ou les méthodes utilisées, nous nepouvons jamais être certain de couvrir l'exhaustivité des risques.
1.1.4 Positionnement des opérationnels au cœur du dispositif
On entend ici par opérationnels, l’ensemble des collaborateurs qui agissent dans l’entre-prise : les commerciaux (qu’ils soient salariés ou mandataires), les gestionnaires (tant enproduction qu’en sinistres ou prestations), mais aussi tous les collaborateurs fonctionnels
17G U I D E D ’ A U D I T
C A R T O G R A P H I E D E S R I S Q U E S
d'un Siège : comptables, chargés d’études, gestionnaires paie…. L’encadrement de proxi-mité fait partie intégrante des opérationnels.
Chaque opérationnel, chaque manager de proximité est propriétaire de ses risques.
Ils doivent s’approprier la démarche et être les premiers consultés, quelles que soient lesméthodes mises en œuvre, que celles-ci reposent sur des questionnaires individuels, desateliers ou des interviews.
1.1.5 Communication à tous les niveaux
Si l’impulsion, en terme de communication, doit aussi être donnée par la DirectionGénérale, il appartient à chaque Directeur, cadre supérieur, cadre de proximité de relayercette communication et ce, sur deux registres.
D’abord, par le canal classique hiérarchique, communication :• entre la Direction Générale et les Directeurs ;• entre le Directeur et son encadrement supérieur ;• entre l’encadrement supérieur et l’encadrement de proximité ;• entre l’encadrement de proximité et les opérationnels ;en étant vigilant sur les risques de déperdition d’information entre les différents niveaux.
Mais la communication doit aussi fonctionner de façon transversale :• entre les Directions opérationnelles ;• entre les Directions fonctionnelles ;• entre les Directions opérationnelles et les Directions fonctionnelles;chacune des Directions étant presque toujours intégrée dans un macro-processus, tour àtour client puis fournisseur des autres Directions.
1.1.6 Actualisation régulière
Avoir finalisé la cartographie des risques de son entreprise représente une étape essentielledans la mise en œuvre du dispositif de contrôle interne.
Encore faut-il, ensuite, faire vivre cette cartographie des risques, en l’actualisant régulière-ment. A défaut, et compte tenu de la rapidité de l’évolution de la vie de l’entreprise, cettecartographie deviendrait rapidement inopérante et l’entreprise perdrait le bénéfice del’investissement réalisé au départ. Mais, là aussi, cela nécessite d’allouer un minimum deressources à la maintenance de cet outil.
Par ailleurs, cette actualisation sera facilitée s'il existe notamment :• un Comité des Risques au niveau de l'entreprise ;• un Responsable des Risques au sein de chaque entité opérationnelle.
Enfin, des facteurs tels que les évolutions réglementaires, les nouveaux risques, les incer-titudes croissantes liées à l'environnement, rendent indispensables cette actualisation.
18 G U I D E D ’ A U D I T
C A R T O G R A P H I E D E S R I S Q U E S
Ces six conditions présentées ci-dessus constituent une situation quasi-idéale, dont il fautessayer de se rapprocher. Bien évidemment, le principe de réalité fait que certaines condi-tions seront imparfaitement remplies, ce qui ne doit pas empêcher la production d’une car-tographie des risques.
1.2 Etapes de la construction d’une cartographie des risques
Quelle que soit l’approche utilisée – Top Down ou Bottom Up – la démarche d’élaborationd’une cartographie des risques ne peut réussir que si les cinq étapes ci-dessous sont fran-chies.
1.2.1 Définir les objectifs
Nous sommes, lors de cette première étape, dans l’environnement de contrôle interne. Quels sont les objectifs découlant de la stratégie et ce, pour chaque entité de l’entreprise,en fonction de son organisation : par métier, par zone géographique, par segment de mar-ché… ?Quels résultats en attend l’entreprise : objectifs de chiffre d’affaires, de production, demarge technique, de qualité de service client, de produits financiers, de résultat d’exploi-tation… ?
1.2.2 Répertorier les processus
Quels sont les principaux processus de l’entité concernée ? Permettent-ils l’atteinte desobjectifs ?
Il faut, ici, notamment dans l’approche Bottom Up avec les opérationnels, certes décom-poser les macro-processus en sous-processus (ou processus spécialisés) mais aussi veillerà ne pas descendre à un niveau trop fin (les tâches élémentaires par exemple), ce qui ren-drait la cartographie complexe, voire inopérante. Il convient en effet de rester au niveaudes processus supposés porteurs de risques significatifs.
1.2.3 Identifier les risques
Dans chaque entité, qu’elle soit opérationnelle ou fonctionnelle et processus par processus,il est indispensable de procéder à l’identification des risques, au sens d’événements venantperturber l’atteinte des objectifs, en utilisant pour ce faire, toutes les méthodes appropriées(cf. documents joints en annexe 2). Mais s’arrêter à la seule identification des risques seraitnéanmoins insuffisant.
19G U I D E D ’ A U D I T
C A R T O G R A P H I E D E S R I S Q U E S
1.2.4 Evaluer les risques
Ausitôt après avoir identifié un risque, l’étape suivante consiste à l’évaluer au regard desdeux paramètres fondamentaux en la matière, que sont l’impact (I) et la fréquence (F), làaussi en utilisant les approches méthodologiques les plus adaptées (cf. documents enannexe 2), telles que la matrice de criticité.
Il s’avère utile également de bien préciser que l’on travaille sur le risque brut, le risque rési-duel, résultant de la mise en œuvre des éléments de maîtrise.
1.2.5 Eviter les écueils
Quelle que soit la démarche retenue, les écueils sont nombreux et il convient d’en tenircompte dès le début de la mise en œuvre de la cartographie.
Le recensement des processus et des risques inhérents ne doit pas descendre, en matièrede granularité, à un niveau de finesse excessive. De même, la recherche de l’exhaustivitédes risques peut conduire à un long travail d’identification ; certains de ces risques s’avé-rant in fine non significatifs ou non pertinents.
L’absence d’outils dédiés et le recours à des produits bureautiques divers peut rendre laconsolidation et l’exploitation des informations difficiles.
Par ailleurs, une approche trop dirigiste lors des entretiens peut entraîner une identifica-tion partielle des risques, l’opérationnel rencontré étant cantonné à un cadre délimité pardes questionnaires ou cartographies de référence.De plus, les opérationnels peuvent être réticents à indiquer certains risques du fait d’uneapproche trop inquisitrice, installant de fait un climat moins propice aux échanges et àl’expression spontanée des risques.
Concernant l’évaluation, il s’agit bien de s’assurer de l’adéquation des méthodes utiliséesavec les objectifs assignés à la démarche de cartographie. Une approche quantitative peuten effet s’avérer inappropriée dans certains cas. En revanche, le recours à des méthodespurement qualitatives ne permet pas toujours d’évaluer avec justesse l’importance desmesures de contrôle à mettre en œuvre ; l’entreprise pouvant renoncer à des couverturesjugées trop coûteuses sur la base de risques évalués grâce à une échelle de notation.
20 G U I D E D ’ A U D I T
C A R T O G R A P H I E D E S R I S Q U E S
II. LA NOTION DE RISQUE
2.1 Définition du risque
Un risque est communément défini comme « une menace qu’un événement ou une action seproduise dans le futur et entraîne des effets négatifs pour l’entreprise dans les objectifs qu’elle s’estfixée ».
L’IFACI définit le risque (lexique « Les mots de l’Audit ») comme étant « un ensembled’aléas susceptible d’avoir des conséquences négatives sur une entité et dont le contrôle interne etl’audit ont notamment pour mission d’assurer autant que faire se peut la maîtrise ». Dans une approche plus internationale, la définition du Risque proposée dans le COSO 2est la suivante : « Possibilité qu’un évènement se produise et ait une incidence défavorable sur laréalisation des objectifs ».Cette connotation négative du risque doit se transformer en « une opportunité que l’entre-prise doit anticiper, comprendre et gérer dans le cadre de sa stratégie pour atteindre ses objectifs etcréer de la valeur ». Ceci repose également sur l’élaboration d’une cartographie des risques.
2.2 Typologie des risques
En préalable, il convient de préciser que la typologie des risques telle que l’a abordée legroupe de travail ne porte pas sur les risques acceptés et garantis dans le cadre du métierd’assureur mais sur ceux découlant de la mise en œuvre opérationnelle de ce métier.
Le risque est inhérent à l’activité de l’entreprise. Deux catégories majeures de risques sontalors rencontrées :• les risques endogènes, propres à l’activité de l’entreprise, qui sont liés à ses processus,
son organisation, son système d’information, son management, etc. ;• les risques exogènes dont l’origine provient de l’environnement de l’entreprise : les
clients, les fournisseurs, les sociétaires ou actionnaires, les concurrents, les marchésfinanciers, les catastrophes naturelles ; l’entreprise ayant peu de prise sur cette dernièrecatégorie de risques.
Dans ces deux grandes catégories, les risques se déclinent en :• risques avérés, c’est à dire qui se sont déjà concrétisés dans le passé ;• risques potentiels, c’est à dire qui sont connus mais qui ne se sont pas encore concréti-
sés ;• risques non identifiés ou risques ignorés (cf. partie III).
21G U I D E D ’ A U D I T
C A R T O G R A P H I E D E S R I S Q U E S
Le groupe de travail a élaboré une « Nomenclature des risques d’une entreprise d’assuran-ces » (présentée en annexe 4) permettant de lister et structurer les risques encourus par unecompagnie d’assurance et ainsi avoir un vocabulaire commun. Sans être exhaustive, cettenomenclature descend à un niveau de détail suffisant pour être exploitable, c’est à direpour définir non seulement les risques au niveau de l’entreprise d’assurance, mais aussi auniveau de chaque secteur opérationnel de l’entreprise.
Cette modélisation a conduit à définir trois niveaux de risques complémentaires, permet-tant ainsi un degré de finesse satisfaisant :• le niveau 1, qui concerne les grandes familles de risques (financiers, opérationnels…) ;• le niveau 2, qui permet de mieux cerner dans quelle catégorie de risques on se situe au
sein d’une même famille (exemple pour les risques financiers : liquidité, marchés, cré-dit…) ;
• le niveau 3, qui offre un degré de détail supplémentaire au sein de ces catégories (exem-ple pour le risque financier de crédit : Règlement livraison, défaut émetteur….).
La démarche de modélisation des risques ainsi mise en œuvre a conduit à les désigner parleur cause, c’est à dire l’origine première du phénomène dont il résulte :
Les risques de niveau 1 ont été déclinés en 6 familles1 :• risques financiers : risques de gestion de bilan ou financière ;• risques d’assurance : risques spécifiques aux activités d’assurance ;• risques opérationnels : risques provenant directement de la mise en place et de la mise
en œuvre des moyens et procédures de fonctionnement ;• risques comptables : risques relatifs au domaine comptable ;• risque de pilotage : risques relatifs au management d’entreprise ;• risques externes : risques générés par l’environnement de l’entreprise.
Chacune de ces 6 familles a ensuite été déclinée en risques de niveau 2, au nombre de 31,lesquels ont été à leur tour déclinés en risques de niveau 3, au nombre de 164.
Ainsi, selon le niveau auquel l’entreprise souhaite descendre, elle peut travailler sur unnombre plus ou moins grand de risques, permettant alors un degré de finesse variabledans la vision des risques encourus.
2.3 Mesure du risque
Les composantes du risque sont explicitement définies tant par la définition ISO du risqueque dans le glossaire des Normes professionnelles de l’audit interne, voire dans le cadrede COSO 2 : « la possibilité que se produise un événement qui aura un impact sur la réalisationdes objectifs. Il se mesure en termes de conséquences et de probabilité. »
22 G U I D E D ’ A U D I T
C A R T O G R A P H I E D E S R I S Q U E S
1 Ce découpage est certes différent de celui proposé dans Solvabilité II, mais il semble aux membres du groupe detravail qu’il est plus proche des préoccupations des opérationnels.
aa En terme de conséquences :• Quelle est la conséquence si le risque se concrétise ? Il est toutefois possible qu’elle soit
selon les situations favorable ou défavorable. Il semble de bon sens d’évacuer de ladémarche le fait que la survenance d’un risque soit source de gain et d’opportunitépour l’entreprise.
Les différentes conséquences se déclinent en grandes catégories, à savoir :• perte financière (baisse des revenus ou hausse des coûts), directe ou indirecte, immé-
diate ou à terme ;• responsabilité civile et/ou pénale ;• sanctions légales et/ou professionnelles ;• dégradation de l’image.Plutôt que de conséquences, nous parlerons d’impact.
aa En terme de probabilité :• Quelle est la probabilité de survenance du risque ? C’est la possibilité plus ou moins
forte de subir les conséquences de l’événement considéré, à tout moment ou dans letemps, on parlera alors de fréquence de survenance.
Seule la combinaison de ces deux composantes permet d’estimer raisonnablement leniveau de risque.
Enfin, il faut préciser à quel niveau de risque on se situe, risque brut ou risque résiduel,dans la mesure où il convient de tenir compte de l’existence d’éléments visant justement àréduire les conséquences de sa survenance :• le risque brut mesure le risque sans aucun élément de maîtrise : absence de procédu-
res, absence de contrôle interne, absence de système informatique,…• le risque résiduel ou le risque net mesure le risque après mise en place des éléments de
maîtrise : contrôle interne, couverture financière, transfert du risque…
La liste des risques identifiés et évalués se représente ensuite sous forme d’une « carto-graphie des risques » suivant un axe « fréquence » et un axe « impact potentiel ».
2.4 Niveau de granularité
On entend par granularité le niveau de détail sur lequel peut se construire une cartogra-phie. La définition de la granularité est essentielle car plus le niveau de détail est fin, etplus le travail correspondant d’identification des risques est important. Elle impacte doncl’élaboration de la cartographie et sa maintenance ultérieure. Choisir le bon niveau de gra-nularité est également important afin de calibrer la démarche aux moyens disponibles etau planning souhaité.Ainsi, cinq niveaux complémentaires de granularité, du plus large au plus particulier, ontété identifiés :• le métier : IARD, Vie, Assistance, Réassurance… ;• le domaine : pour le métier IARD : Habitat, Auto, transport aérien… ;• le processus : pour les particuliers : processus souscription, processus sinistres, proces-
sus prestations… ;
23G U I D E D ’ A U D I T
C A R T O G R A P H I E D E S R I S Q U E S
• l’opération : pour le processus prestations : enregistrement, règlement du sinistre… ;• la tâche élémentaire : pour l’opération règlement du sinistre : envoi du chèque.
Ces niveaux sont indépendants de la nature – managériale, métiers, supports – des modesopératoires (cf. annexe 2).
Le groupe de travail s’est accordé pour désigner le niveau médian « processus » comme leniveau pertinent d’une cartographie. En effet, celui-ci constitue d’une part le meilleur com-promis entre le temps passé à l’élaboration de la cartographie et le degré de pertinence dela vision des risques. D’autre part, c’est le niveau d’équilibre permettant de faire conver-ger et de relier les éléments obtenus à partir de chacune des deux principales méthodes (TopDown et Bottom Up).
2.5 Evaluation des risques
La question se pose donc de savoir comment apprécier le risque : par niveaux de fréquence(très probable, probable, peu probable ou très peu probable) ou selon une appréciationfinancière des impacts (quel est le coût estimé de la survenance d’un risque ?). L’évaluationd’un risque consiste à apporter des informations justifiables sur la fréquence et les impactsdu risque.
L’appréciation doit être qualitative avant d’être quantitative. Cependant, cette apprécia-tion est insuffisante en général et doit être complétée par une évaluation de l’impact et dela fréquence de survenance (sa probabilité). En effet, le risque brut peut être résumé selonl’équation suivante :
Risque brut = impact prévisible x fréquence d’occurrence
Le risque brut est rarement celui effectivement supporté par l’organisation, car il suppo-serait une attitude complètement passive de cette dernière. Il s’agit en effet de son impactavant intervention des éléments de protection, éléments qui conduisent à maîtriser totale-ment ou partiellement le risque pour le contenir dans des zones acceptables en terme deconséquences. Ces éléments de maîtrise transforment donc le risque brut en un risque rési-duel.
Il s’avère, de façon couramment admise, que l’appréciation des risques bruts et résiduelsest du ressort des opérationnels, qui en appréhendent plus aisément les impacts. Toutefois,cette estimation doit faire l’objet d’une confrontation avec la ou les personnes en charge dela cartographie afin de « valider » les hypothèses retenues en terme d’impact et de fré-quence. Le cas échéant en cas de divergence de vue, il peut être utile de faire trancher laquestion par un comité ad-hoc. En effet, nous pouvons être confrontés au fait que certains opérationnels ont tendance àminorer les impacts potentiels d’un risque dont ils ont la responsabilité. De plus, il est pos-sible que les opérationnels ne pensent pas aux risques majeurs à fréquence très faible. Entout état de cause, l’entité en charge de l’élaboration de la cartographie des risques doitveiller à la cohérence d’ensemble, notamment pour permettre une consolidation desrisques pertinente.
24 G U I D E D ’ A U D I T
C A R T O G R A P H I E D E S R I S Q U E S
Apprécier les éléments de fréquence constitue également une difficulté pour l’élaborationde la cartographie. Pour y parvenir, il convient de recenser toutes les sources possiblesd’information (discussions avec les opérationnels, les contrôleurs internes, les auditeursinternes et les commissaires aux comptes, lecture des rapports d’audit existants, docu-ments du secteur, bases internes d’incidents, etc.).
L’idée est de nourrir l’argumentation pour confirmer l’appréciation réalisée. Ceci sertensuite de base de discussion avec l’opérationnel afin de recueillir son avis sur cette fré-quence. Dans le cas contraire, il convient de procéder à un arbitrage en vue de s’accordersur une fréquence potentielle.
Cette démarche itérative permet alors d’associer une fréquence à chaque couple proces-sus / risque.
Le groupe de travail recommande l’utilisation d’une échelle de fréquence de 1 à 4, dumoins fréquent au plus fréquent, et de deux niveaux d’appréciation de cette fréquence : entemps (l’événement se produit tous les jours, toutes les semaines, tous les mois, tous les tri-mestres, tous les 1, 5, 7, 20 ou 100 ans) et/ou en volume (l’événement se produit dans 1%des cas, 10 % des cas, 0,1% des cas, etc.).
Le tableau suivant croise ces différents éléments :
L’échelle de temps peut être adaptée bien sûr selon la stratégie de l’entreprise et la naturedes risques qu’elle encourt.
Par convention, il est préférable de retenir que plus le risque est grand, plus le chiffre doitl’être. De plus l’échelle proposée est une échelle paire, ceci afin de « prendre parti » et decatégoriser le risque, ce qui évite les risques « moyens » ne permettant pas une analyse per-tinente.
Ces évaluations se font en deux phases :• risque pris en compte en supposant l’entreprise passive : risque brut ;• risque pris en compte avec les mesures déjà en place : risque résiduel.
Niveau 1 2 3 4
Très peu probable Peu probable Probable Très probable
En temps > 3 ans 1 - 3 ans 6 mois - 1 an < 6 mois
En volume < 1% 1 - 5 % 5 - 10 % >= 10 %
25G U I D E D ’ A U D I T
C A R T O G R A P H I E D E S R I S Q U E S
Le tableau ci après illustre la démarche d’évaluation selon les possibilités de mesure effec-tive du risque.
* - N : espérance, pendant l’horizon de temps (1 an), du nombre d’événements générateursdu risque.- p : probabilité que le risque survienne lors d’un événement.- Dans de nombreux cas, une de ces deux caractéristiques, notamment p, ne sont pas esti-mables, et/ou il est plus simple de faire une estimation directe de la fréquence annuelle.
Enfin, la responsabilité de l’évaluation des risques doit être clairement arrêtée. Bien queles opérationnels soient les seuls propriétaires du risque, la responsabilité de l’évaluationpeut toutefois être partagée. A cette fin, la démarche peut s’appuyer sur des expertisesexternes ou des techniques utilisées au sein des départements de Risk Management,d’audit ou de Contrôle internes.
26 G U I D E D ’ A U D I T
C A R T O G R A P H I E D E S R I S Q U E S
Façon :Estimation de : Qualitative Semi-quantitative Quantitative
la fréquence poten-tielle de la surve-nance du risque (f)
Nul/faible/moyen/fortouéchelle numérique ànombre pair deniveaux
Moyenne attenduedu nb de survenancedans l’horizon detemps choisi(Bâle II : f = N x p) *
l’impact potentiel, entermes de coût finan-cier (« severity »)
Montant sur échellede valeur continue(ex. : millions d’€)
l’impact potentiel entermes d’image, demise en cause desdirigeants, …
Description deseffets, notamment :mise en cause possi-ble des dirigeants
Echelle de gravitéselon critères objec-tifs, avec un nombrepair de niveaux
A définir au cas parcas si possible (sanc-tion pécuniaire : cf.impact financiersupra)
2.6 Quelques exemples
2.6.1 Exemples d’évaluation des risques
Exemple 1 : Risque de marché extrême (gestion actif passif) :
Exemple 2 : Risque sur la demande (Risque Marketing) :
2.6.2 Exemple du processus de souscription de contrat automobile
Le groupe de travail s’est penché sur l’analyse de ce processus afin de confirmer la validitédes outils méthodologiques définis. Ce processus offre un double avantage, celui d’êtrepartagé par le plus grand nombre d’entreprises représentées au sein du groupe de travailet d’être facilement appréhendable par les non spécialistes, ces derniers ayant pour la plu-part des voitures à assurer à titre personnel.
ConséquencesMajoration de la demande, avec des impacts sur la qualité de la presta-tion voire de la solvabilité ; Minoration de la demande, et ses consé-quences en matière d’économies d’échelle,
Effets directsallongement du temps pour atteindre le point d’équilibre financier, voirenon atteinte de ce point d’équilibre, insatisfaction des clients et perted’opportunité (offre couplée par exemple), perte potentielle d’activité,
Coûts liésréalisation d’études Marketing supplémentaires, arrêt de la commercia-lisation du produit, embauche éventuelle de ressources humaines pourétoffer les moyens. Ce risque est cependant quantifiable en coût.
Probabilitéfréquence faible et par ailleurs difficile à estimer car elle implique direc-tement la compétence des collaborateurs !
ConséquencesInadéquation actif / passif, risque de liquidité, risque de crédit (=>risque systémique).
Effets directsPerte de valeur à l’actif, conditions de réalisation d’actif fondamentale-ment modifiées, intervention forcée sur la réallocation de l’actif ou dupassif à un moment inopportun.
Effets indirects
Primes non collectées car entreprises défaillantes (conséquences sur lechiffres d’affaires, donc le compte de résultats, pas sur le bilan), risquesur la demande car il entraîne des conséquences commerciales sur l’acti-vité.
Probabilité fréquence 5/10 ans. Mais par définition, difficile à « programmer » !
27G U I D E D ’ A U D I T
C A R T O G R A P H I E D E S R I S Q U E S
La démarche du groupe s’est réalisée en deux temps, le premier consistant à valider lesniveaux de granularité, puis la typologie des risques.
Le groupe a ainsi retenu une structuration du processus comme suit, selon la nomencla-ture suivante :
- Processus : Niveau 3,- Opération : Niveau 4, - Tâche élémentaire : Niveau 5.
Le processus « Souscription automobile » peut alors être découpé en éléments suivants (lechiffre entre parenthèse correspondant au niveau de granularité) :
1.Vente Contrat Auto (3)- Collecte d’informations (4)
Relevé d’informations (5)- Emission Devis (4)
2. Souscription (3)- Acceptation (4)- Enregistrement (4)- Emission de police (4)
3. Encaissement de la prime (3)- Emission de quittance (4)- Enregistrement (4)- Encaissement (4)
Remise du chèque (5),Virement (5).
28 G U I D E D ’ A U D I T
C A R T O G R A P H I E D E S R I S Q U E S
La pertinence de la typologie a été appréciée au travers du processus de développementd’une offre produit en assurance automobile. Le numéro indiqué entre parenthèse est lerisque correspondant de la typologie de risques jointe en annexe 4.
Processus Opérations Risques associés
Marketing Contenu de l’offre, GarantiesMauvaise définition du produit(20201)
Positionnement de l’offre par rap-port à la concurrence et aux atten-tes du marché
Mauvaise analyse du marché(20101),
TarificationMauvaise tarification (20202),concurrence (60201)
Aspects relatifs à la marque, auxnoms commerciaux (propriété)
Image (60403)
Juridique Offre non conforme à la réglemen-tation
Non respect de la réglementation(20801, 60101)
Organisation &Gestion
Cahier des charges, spécificationsdétaillées
Non respect des procédures(30202),
Paramétrages systèmes d’informa-tion
Risques de modèle, de données, detraitements et de délais (30101 à30104)
Formation des collaborateurs etréseaux commerciaux
Formation inadaptée (30207)
Retours d’expérience, traitementdes anomalies
Inadéquation des processus(30402)
Distribution Canaux de distributionNon conformité aux règles de dis-tribution (30301 à 30304)
RémunérationCommissionnement inadapté(30306)
Publicité Erreur de communication (20102)
29G U I D E D ’ A U D I T
C A R T O G R A P H I E D E S R I S Q U E S
III. LES MENACES IGNORÉES
3.1 Risques ignorés
Les assureurs sont des gestionnaires des risques, c’est leur spécialité, leur métier. Pourtantdans certaines circonstances des risques réputés identifiés, connus et maîtrisés peuventprendre des proportions imprévues lorsqu’ils se combinent ou lorsque qu’un évènementfrappe simultanément plusieurs organes de la société tels que :• les fonctions de management ;• le financier : actif / passif (réserves), Cash-Flow, réassurance ... ;• les fonctions opérationnelles de souscription et de gestion de sinistres ;• les fonctions support telles que l’informatique et les ressources humaines.
Il suffit alors que des facteurs aggravants extérieurs interviennent pour que ces évène-ments deviennent de véritables menaces pour les sociétés les plus solides. Ces facteursaggravants extérieurs peuvent provenir des médias, de l’intervention des pouvoirs poli-tiques ou juridiques, des régulateurs, du pouvoir législatif…
A ces menaces sur des risques identifiés s’ajoutent celles sur les risques dits « ignorés »c'est à dire soit totalement inconnus, soit connus seulement par des experts ou des per-sonnes averties mais qui ne sont pas pris en compte par les compagnies d’assurance, fauted'information, de sensibilisation ou de prise de conscience, voire d'« impasse stratégique ».
Définition des « Risques ignorés » par Jean-Yves COMBY, Responsable Pollution à laDirection technique de SCOR :
« Risques nouveaux, nés de l'évolution technique, économique et humaine, qui ne sont pasencore perçus ni gérés par les professionnels du risque. Ils se situent à la jonction de latechnique et de l'homme dans toutes ses dimensions: santé, culture, mode de vie, droit, éco-nomie, politique... et peuvent conduire à des sinistres catastrophiques pour le secteur del'assurance.Il ne s’agit donc pas de risques de développement, risques que l’état de la Science ne per-met pas de détecter au moment de la souscription et dont l’assureur peut tenter de se pro-téger par des exclusions mais de risques latents non pris en compte par le souscripteur.(SCOR sept. 2002) ».
Si cette définition s’applique plus volontiers à des risques assurés, la problématique estidentique pour les risques opérationnels.
Le groupe de travail a ainsi recensé six types de menaces, dont le détail est joint en annexe8 :• évènements Naturels : Tsunami par exemple ;• nouveaux Produits / Nouvelles technologies : OGM, virus informatiques… ;• santé : manipulations génétiques, aléa thérapeutique … ;• sociétés / Politique : terrorisme, guerre… ;
30 G U I D E D ’ A U D I T
C A R T O G R A P H I E D E S R I S Q U E S
• économie / Finance : modifications structurelles des grands équilibres financiers mon-diaux… ;
• comportements managériaux : conflit social, fraude…
Les risques identifiés dans chaque type de menace sont mis en correspondance avec lesrisques identifiés dans la nomenclature des risques.
3.2 Méthodologies possibles pour identifier les risques« ignorés »
Il est possible d’identifier ce type de risques, en mettant en œuvre certains dispositifs, àsavoir :• veille sur les grands sinistres de marché ;• veille sur les évolutions sociologiques, réglementaires et techniques ;• cartographie pour chaque menace des organes potentiellement touchés et des facteurs
aggravants extérieurs ;• intelligence économique et analyse des faillites et difficultés rencontrées par la concur-
rence.
3.2.1 Exemples de facteurs d’alerte
Le tableau intitulé « Menaces ignorées, exemples de facteurs d’alerte » joint en annexe 8présente l’exposition des macro-processus d’une entreprise à chaque type de menace, entenant compte de l’impact éventuel de facteurs aggravants, d’origine extérieure.
Cette analyse est de nature qualitative. En effet, il n’existe pas d’éléments probants pourobtenir une évaluation quantitative des risques ignorés. En outre, ces risques sont suppo-sés avoir des impacts extrêmes, susceptibles de faire disparaître l’entreprise.
Les données recueillies par l’analyse aboutissent à une représentation graphique sousforme de radar, représentant les 6 axes (un par type de menace), du profil d’exposition del’entreprise à ces risques.
A titre d’illustration, pour les risques d’événements naturels et liés aux nouvelles techno-logies :
31G U I D E D ’ A U D I T
C A R T O G R A P H I E D E S R I S Q U E S
Cela permet de mesurer l’exposition aux risques ignorés en fonction du domaineconcerné : la sensibilité de l’entreprise à de tels risques dépend de la robustesse des macro-processus mis en cause dans chaque domaine. Cette sensibilité peut donc être évaluée defaçon qualitative en fonction de la résistance dont ces macro-processus ont fait preuve lorsd’événements antérieurement survenus. Ceci conduit naturellement à la mise en place demesures d’amélioration des macro-processus et de renforcement du contrôle interne asso-cié.
Plus généralement, des scénarios de risques peuvent être modélisés afin de tester la résis-tance de l’entreprise, avec l’objectif d’accroître la flexibilité et la réactivité du système degestion des risques et du dispositif de contrôle interne.
3.2.2 Priorisation du traitement des menaces ignorées
La mesure de l’exposition aux risques d’un domaine donné pourrait être représentée parl’aire de la surface étoilée, ce qui permettrait de définir des priorités de traitement desrisques relatifs aux menaces ignorées.
En outre, plus la surface étoilée est allongée vers le haut, plus l’impact des facteurs aggra-vants d’origine extérieure est important, et plus il sera difficile à l’entreprise de faire faceaux risques relevant de ce domaine. Il convient alors en toute première priorité de limiterl’exposition à de tels risques notamment par des mesures de veille préventive.
Cette méthode, présentée ici succinctement dans ses grands principes, nécessite un appro-fondissement méthodologique et une adaptation spécifique à chaque entreprise.
32 G U I D E D ’ A U D I T
C A R T O G R A P H I E D E S R I S Q U E S
CONCLUSION
Dans un monde de plus en plus complexe et imprévisible, les Dirigeants des sociétésd’Assurance ont bien compris que la gestion des risques garantissait des informations éco-nomiques, stratégiques, structurelles ou encore opérationnelles, plus fiables et demeilleure qualité.
Même si les responsables des organisations ont une vision et une approche globale desrisques inhérents à leurs activités, construire une cartographie des risques ne peut que leurapporter de nouveaux éléments d’observation destinés à mieux maîtriser et orienter leursobjectifs.C’est pour cette raison que les Dirigeants doivent être convaincus de l’intérêt d’une carto-graphie des risques, encourager et participer activement à sa mise en place.
Les applications d’une cartographie des risques sont nombreuses et conduisent les utilisa-teurs à privilégier tel ou tel aspect des résultats obtenus afin de redéfinir leurs priorités.Du Conseil d’Administration à la Direction Générale, en passant par les responsables opé-rationnels, les gestionnaires de risques, les contrôleurs internes et les auditeurs internes,chacun pourra utiliser la cartographie comme support à des actions propres à leur organi-sation.
Toute cartographie des risques ne doit pas être une fin en soi mais un point de départ àl’action.
Simple dans son principe mais complexe à élaborer, une cartographie doit, tout d’abord,recevoir l’approbation et l’adhésion de tous les participants afin que les résultats reflètentla réalité de l’organisation et de ses risques.Pendant et après sa réalisation, les opérationnels doivent s’approprier la cartographie enprenant conscience des risques importants et essentiels, entreprendre une démarchevolontariste d’analyse de ces risques pour, enfin, définir un plan d’actions destiné àréduire l’exposition aux risques identifiés.
Le succès d’une cartographie des risques réside dans son utilisation future, dans la capa-cité des utilisateurs à la faire vivre dans le temps. C’est dans ce sens que le référentiel commun qui vous a été présenté a été construit.
33G U I D E D ’ A U D I T
C A R T O G R A P H I E D E S R I S Q U E S
34 G U I D E D ’ A U D I T
C A R T O G R A P H I E D E S R I S Q U E S
ANNEXES
Annexe 1 : Glossaire
Annexe 2 : Evaluation des risques majeurs
Annexe 3 : Exemple de restitution de la démarche de cartographie associée auprocessus de gestion immobilière
Annexe 4 : Typologie des risques
Annexe 5 : Détail des macro processus d’une entreprise d’assurance
Annexe 6 : Exemple de cartographie : processus de souscription d’un contratd’assurance automobile
Annexe 7 : Tableau des menaces
35
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
36
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
ANNEXE 1 : GLOSSAIRE
RISQUE« Le risque est la possibilité qu’un évènement se produise et ait une incidence défa-vorable sur la réalisation des objectifs ».(COSO 2)
Le risque est la possibilité que se produise un événement ou une action ayant deseffets négatifs sur la réalisation des objectifs de l'Entreprise.
* * *
RISQUE BRUT (ou RISQUE INHÉRENT)Risque existant en l'absence de mise en œuvre par le management de tout élément demaîtrise.
RISQUE RÉSIDUEL (ou RISQUE NET)Risque existant encore, après que le management ait mis en place des mesures pourle maîtriser : description de procédures, dispositifs de contrôle interne, assurances…
* * *
RISQUE ENDOGÈNE (ou risque INTERNE)Risque propre à l'activité de l'Entreprise.
RISQUE EXOGÈNE (ou risque EXTERNE)Risque dont l'origine se situe dans l'environnement de l'Entreprise : les fournisseurs,les clients, les concurrents…
* * *
RISQUE AVÉRÉRisque qui s'est déjà réalisé dans le passé, dans l'Entreprise (ou dans une autreEntreprise similaire).
RISQUE POTENTIELRisque identifié, et donc connu, mais qui ne s'est pas encore produit dans l'Entreprise.
* * *
RISQUES IGNORÉS« Risques nouveaux, nés de l'évolution technique, économique et humaine, qui nesont pas encore perçus ni gérés par les professionnels du risque. Ils se situent à lajonction de la technique et de l'homme dans toutes ses dimensions : santé, culture,mode de vie, droit, économie, politique… et peuvent conduire à des sinistres catas-trophiques pour le secteur de l'assurance.
37
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
Il ne s'agit donc pas de risques de développement, risques que l'état de la Science nepermet pas de détecter au moment de la souscription et dont l'assureur peut tenterde se protéger par des exclusions mais de risques latents non pris en compte par lesouscripteur ».(Jean-Yves COMBY – SCOR – septembre 2002)
* * *
PROPRIÉTAIRE DE RISQUEPersonne chargée de s'assurer que les risques liés aux activités dont elle est respon-sable sont correctement traités. En général l’opérationnel.
* * *
COMITÉ DES RISQUESInstance interne à l'Entreprise, chargée de piloter la politique et le management desrisques.
* * *
38
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
ANNEXE 2 : EVALUATION DES RISQUES MAJEURS
I. Introduction
1.1 Rappel de la démarche de gestion des risques
39
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
Définir les objectifs
Résultats visés par les activités de l’entreprise selon la stratégie
Etape 1
Répertorier les processus
Ensembles organisés de traitements permettant l’atteinte des objectifs
Etape 2
Identifier les risques
Événements perturbant l’atteinte des objectifs
Etape 3
Evaluer les risques
Brut/résiduel, fréquence/impact
Etape 4
Définir des réponses en évaluant Coût/Efficacité
Efficacité : risque résiduel obtenu par rapport au risque brut
Etape 5
NomenclatureIFACI
Objet de laprésentation
1.2 Définition : qu’est-ce qu’évaluer un risque ?
Apporter des informations justifiables sur la fréquence et les impacts du risque :
* - N : espérance, pendant l’horizon de temps (1 an), du nombre d’événements généra-teurs du risque.- p : probabilité que le risque survienne lors d’un événement.- Dans de nombreux cas, une de ces deux caractéristiques, notamment p, ne sont pasestimables, et/ou il est plus simple de faire une estimation directe de la fréquenceannuelle.
Ces évaluations se font en deux phases :• risque pris en compte en supposant l’entreprise passive : risque brut ;• risque pris en compte avec les mesures déjà en place : risque résiduel.
40
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
Façon :Estimation de : Qualitative Semi-quantitative Quantitative
la fréquence poten-tielle de la surve-nance du risque (f)
Nul/faible/moyen/fortouéchelle numérique ànombre pair deniveaux
Moyenne attenduedu nb de survenancedans l’horizon detemps choisi(Bâle II : f = N x p) *
l’impact potentiel, entermes de coût finan-cier (« severity »)
Montant sur échellede valeur continue(ex. : millions d’€)
l’impact potentiel entermes d’image, demise en cause desdirigeants, …
Description deseffets, notamment :mise en cause possi-ble des dirigeants
Echelle de gravitéselon critères objec-tifs, avec un nombrepair de niveaux
A définir au cas parcas si possible (sanc-tion pécuniaire : cf.impact financiersupra)
1.3 Organisation de la démarche d’évaluation
Qui évalue les risques ?1/ Ceux qui les identifient : acteurs de l’entreprise jouant un rôle dans la gestion des
risques 2/ Auditeurs internes et externes, experts
Pour quoi faire ?1/ Pour adapter la stratégie, valider/redéfinir les objectifs2/ Pour les gérer => adapter les processus et l’organisation
Comment ?1/ Qualitatif : description des effets
De pair souvent avec l’identification des risquesAttention : les risques de gravité maximale (paralysie d’un centre de gestion, panne informatique générale, …) doivent être traités en 1ère priorité sans néces-siter d’évaluation supplémentaire.
2/ Semi-quantitatif : impact/fréquence, par des méthodes d’auto-évaluation et/ou de représentation des risques dans des échelles de valeurs discrètes.Exemple : matrice de criticité : approche manageriale pour une présentation synthétique du profil de risques et la priorisation de leur traitement.
3/ Quantitatif : impact/fréquence, par des méthodes techniques
II. Evaluations qualitatives
En général ces évaluations sont intégrées dans le reporting :• état des activités et écarts par rapport aux objectifs qualitatifs,• rapports de management (entretiens d’évaluation),• rapports d’audit (évaluations qualitatives et évaluations quantitatives),• …
Elles peuvent être faites pour des risques difficiles à appréhender ou à quantifier :• risques stratégiques audités par un cabinet,• risques informatiques inventoriés dans le cadre d’une enquête MEHARI,• risques RH analysés par un sondage du personnel,• …
41
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
III. Evaluations semi-quantitatives : la matrice de criticité
3.1 Principe général
• 2 types de matrice : risques bruts / risques résiduels• Forme :
3.2 Priorisation des risques et échelles de la matrice
aa Sur la base de la stratégie du Groupe et de l’entité en matière de conservation durisque, fixation de :
• la perte financière maximale acceptable50 M€, 100 M€, 250 M€, … ?
• définie en fonction :- des fonds propres,- du volume d’activité,- du savoir-faire dans la maîtrise des risques,- de la réglementation.
Cette perte financière maximale acceptable est le niveau « critique » de l’impactpotentiel dans la matrice (niveau servant d’étalon pour les risques résiduels, alorsque les risques bruts pourront largement le dépasser).
42
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
PRIORITÉ 2 PRIORITÉ 1
PRIORITÉ 3ZONE DE SURVEILLANCE
(RISQUES RÉSIDUELS)
Extrême
Critique
Moyen
Faible
IMPACT POTENTIEL *
FRÉQUENCE POTENTIELLE *
<--------------------------- Faible ------------------------> < Moyenne > < Elevée > < Certaine >
-> PRIORISATION DELA GESTION DES RISQUES
* échelles logarithmiques
aa L’échelle de l’impact potentiel découle de la valeur de la perte financière maximaleacceptable, fixée pour la priorisation.
La fréquence potentielle est exprimée en probabilité de survenance d’un risque en 1an :[< faible >< moyenne >< élevée >< certaine >]O% 0,1% 5% 50% 100% plusieurs fois dans l’année
La perte financière maximale acceptable doit ne pouvoir survenir qu’avec une trèsfaible probabilité (proposée ici à 0,1%), correspondant au seuil de tolérance. Parexemple une chute de météorite, un tremblement de terre dans une zone sans activitésismique, etc., ne nécessitent pas de mesure de gestion spécifique.Au-delà de cette fréquence, le risque maximum résiduel doit baisser (traitement desrisques de priorité 3).
3.3 Alimentation de la matrice de criticité
Pour chaque risque identifié :aa la fréquence potentielle d’un risque est évaluable sur la base :• du nombre de réalisations d’une procédure et du nombre d’incidents observés
(ex. : nombre annuel de règlements par chèque et d’incidents)• de statistiques internes (exemple : fréquence des sinistres auto corporels)• de l’exposition de l’objet du risque à un phénomène (exemple : situation d’un bâti-
ment dans une zone inondable, selon les cartes MRN)• d’informations de marché (exemple : statistiques FFSA pour un type d’événement)• d’une enquête auprès des collaborateurs concernés (questionnaire de risque, inter-
view)aa l’impact financier potentiel d’un risque est évaluable sur la base :• de montants comptabilisés (exemple : prestations payées par chèque) • de statistiques internes (exemple : moyenne des sinistres auto corporels)• de montants prédéfinis (garanties prévues par une police MRH)• d’une expertise (valeur d’un bâtiment, maximum d’une perte d’exploitation, …)• d’informations de marché (exemple : statistiques FFSA pour un type d’événement)• d’une enquête auprès des collaborateurs concernés (questionnaire de risque, inter-
view)
3.4 Méthode pour une compagnie d’assurance
aa Préliminaires• Nous prenons l’exemple d’une compagnie IARD, en faisant une analyse des
risques considérés comme majeurs, hors risques financiers. Les évaluations pré-sentées ne sont pas propres à une compagnie particulière.
• Nous préconisons que cette méthode soit mise en œuvre avec des remises à jourrégulières par un même service de l’entreprise (service de gestion des risques,audit interne, …).
43
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
• Cette méthode doit permettre une représentation commune des risques d’uneentreprise d’assurance quelle que soit la nature de ces risques. Notamment, lesseuils utilisés dans la gestion « cœur de métier » de l’assureur sont intégrés dansles échelles utilisées, permettant un étalonnage homogène et cohérent des niveauxde risque (rétentions des risques par événement ou par sinistre individuel prisesen compte dans les programmes de réassurance).
aa Echelles :
• Intensité potentielle (montant en Mios €)4 : extrêmes et illimités (dans le cas d'une filiale, cela mettrait en danger la situa-
tion financière de la maison-mère). Un seuil peut être défini, en fonction desfonds propres et de la solvabilité du groupe concerné.
3 : entre un seuil critique (montant monétaire ou sinistre d'image susceptibled'entraîner la faillite de l'entreprise) jusqu'aux abords du niveau 4. Ce seuil estpropre à chaque entreprise d‘assurance.
2 : entre seuil moyen et seuil critique. Le seuil moyen correspond à la rétentionmaximale prise en compte dans les programmes de réassurance par événe-ment, c'est à dire un seuil supportable mais qui ne doit se réaliser que rarementsoit une fois tous les 10, 20 ans voire plus, ceci en liaison avec la borne supé-rieure du niveau 2 de la fréquence (ici, cette borne, égale à 5%, correspond àdes événements de coût égal au seuil moyen survenant environ tous les 20ans).
1 : inférieur au seuil moyen. A un niveau intermédiaire entre le seuil moyen et lenégligeable, se situe le maximum de rétention fixé par la compagnie pour laconservation au net de réassurance des sinistres individuels.
• Fréquence potentielle (nombre de survenances du risque par an)4 : se réalisant une fois ou plus chaque année.3 : pouvant se réaliser 1 fois dans une année avec une probabilité élevée, entraî-
nant une fréquence > 5 %.2 : pouvant se réaliser 1 fois dans une année de façon rare (entre le seuil de tolé-
rance ci-dessous et 5%).1 : en-deçà d'un seuil de tolérance.
aa Base d'identification des risques : risques majeurs sélectionnés dans la nomen-clature IFACI
aa Matrice n°1 : représentation des risques bruts, évalués selon une démarche Top-Down
aa Matrice n° 2 : passage du brut au résiduel souhaité (cible)L'effet optimal des mesures de gestion des risques et de contrôle interne sur laréduction des risques est évalué séparément sur l'intensité et sur la fréquence.Ceci sur la base :- d'une évaluation, risque par risque, de l'impact optimal du système de gestion
des risques et du dispositif de contrôle interne sur la réduction de l'intensité
44
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
d'une part (effet de protection) et sur la fréquence d'autre part (effet de préven-tion). On évalue ainsi la performance de la gestion du risque, sur une échelle de1 (moindre performance) à 4 (performance maximale).
- pour chaque risque, en fonction de son intensité potentielle brute [ou de sa fré-quence potentielle brute] et de la performance optimale de sa gestion, d'un pas-sage du risque brut au risque résiduel selon la table suivante :
aa Matrice n° 3 : passage du brut au résiduel atteint (se situant quelque part entrele résiduel souhaité et le brut)L'effet optimal des mesures de gestion des risques et de contrôle interne pris encompte précédemment est, en réalité, plus ou moins atténué, en fonction de la qua-lité du dispositif de contrôle interne. L'hypothèse faite de façon uniforme est celled'un contrôle interne de qualité bonne mais pas optimale (note 2 sur une échellede 0 à 3), pour tous les risques considérés.La performance réelle de la gestion de chaque risque est alors évaluée en utilisantla table suivante :
Puis, le risque résiduel est évalué en croisant le risque brut avec la performanceréelle.
45
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
Performance /risque brut
4 3 2 1
4 1 2 3 4
3 1 1 2 3
2 1 1 1 2
1 1 1 1 1
Qualité du CI /performance cible
4 3 2 1
4 1 2 3 4
3 1 1 2 3
2 1 1 1 2
1 1 1 1 1
aa Les résultats sont présentés dans trois matrices distinctes :• MATRICE N°1 : MATRICE DE CRITICITE D'ORIGINE : RISQUES BRUTS
(Hypothèse : aucune réaction de l'entreprise)
• MATRICE N°2 : MATRICE DE CRITICITE CIBLE : RISQUES RESIDUELS POSSI-BLES ET SOUHAITES(Hypothèse : bon système de gestion des risques et contrôle interne optimal)
• MATRICE N°3 : MATRICE DE CRITICITE EN COURS : RISQUES RESIDUELSATTEINTS(Hypothèse : bon système de gestion des risques et bon niveau de contrôle interne)
Remarque :Cette présentation comporte beaucoup d'hypothèses. La mise en œuvre de cetteméthode doit s'accompagner d'une adaptation au cas spécifique d'une entreprisedonnée, et d'évaluations consistantes sur :- les risques bruts ;- les impacts attendus du système de gestion des risques sur leur réduction
(risques résiduels cibles) ;- la qualité des procédures de contrôle interne en place.
46
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
47
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
extr
ême
/ illi
mit
é
4*
cat n
at*
sini
stre
tech
nolo
giqu
e*
cum
ul d
e si
nist
res*
judi
ciai
res
seu
il cr
itiq
ue
3*
cum
ul d
e so
uscr
iptio
n*
dévi
atio
n de
la s
inis
tral
ité*
fréq
uenc
e de
s si
nist
res
de p
oint
e* m
alve
illan
ce d
e tie
rs*
conc
urre
nce*
cyc
les
tarif
aire
s
* ta
rific
atio
n* n
on-c
onfo
rmité
des
sou
scrip
tions
* no
rmes
de
calc
ul d
es P
M*
suffi
sanc
e de
s P
SA
P*
régl
emen
tatio
n du
tr
avai
l* d
iffus
ion
de l'
info
rmat
ion*
non
-con
form
ité d
es
opér
atio
ns d
e di
strib
utio
n au
x ré
glem
enta
tions
en
vigu
eur*
IT
* ju
ridiq
ues*
pro
tect
ion
des
donn
ées
sur
les
pers
onne
s*
pilo
tage
inte
rne*
com
mun
icat
ion
exte
rne
seu
il m
oye
n
2*
défa
illan
ce d
'un
cour
tier*
imm
eubl
es
d'ex
ploi
tatio
n*
com
ptab
ilité
gén
éral
e* F
isca
l
* hy
gièn
e* n
on-r
espe
ct d
e la
con
fiden
tialit
é*
déto
urne
men
t fon
ds d
e cl
ient
s* b
lanc
him
ent*
in
terf
aces
inte
r-se
rvic
es*
four
niss
eurs
de
serv
ices
nég
ligea
ble
1*
cons
erva
tion
des
docu
men
ts
12
34
< s
euil
de
tolé
ran
cese
uil
de
tolé
ran
ce -
5 %
5 %
- 1
00 %
> 1
00 %
MA
TR
ICE
DE
CR
ITIC
ITE
D'O
RIG
INE
: R
ISQ
UE
S B
RU
TS
(H
ypot
hès
e : a
ucu
ne
réac
tion
de
l'en
trep
rise
)
I n t e n s i t é p o t e n t i e l l e
Fréq
uenc
e po
tent
ielle
48
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
extr
ême
/ illi
mit
é
4
seu
il cr
itiq
ue
3
seu
il m
oye
n
2*
judi
ciai
res
nég
ligea
ble
1
* cu
mul
de
sous
crip
tion*
dév
iatio
n de
la
sini
stra
lité*
nor
mes
de
calc
ul d
es P
M*
suffi
sanc
e de
s P
SA
P*
régl
emen
tatio
n du
trav
ail*
di
ffusi
on d
e l'i
nfor
mat
ion*
hyg
iène
* no
n-re
spec
t de
la c
onfid
entia
lité*
dét
ourn
emen
t fon
ds d
e cl
ient
s* b
lanc
him
ent*
non
-con
form
ité d
es
opér
atio
ns d
e di
strib
utio
n au
x ré
glem
enta
tions
en
vig
ueur
* dé
faill
ance
d'u
n co
urtie
r* in
terf
aces
in
ter-
serv
ices
* IT
* im
meu
bles
d'e
xplo
itatio
n*
cons
erva
tion
des
docu
men
ts*
prot
ectio
n de
s do
nnée
s su
r le
s pe
rson
nes*
four
niss
eurs
de
serv
ices
* co
mpt
abili
té g
énér
ale*
Fis
cal
* ta
rific
atio
n* n
on-c
onfo
rmité
des
sou
scrip
tions
* fr
éque
nce
des
sini
stre
s de
poi
nte*
sin
istr
e te
chno
logi
que*
jurid
ique
s* m
alve
illan
ce d
e tie
rs*
pilo
tage
inte
rne*
com
mun
icat
ion
exte
rne*
co
ncur
renc
e
* cu
mul
de
sini
stre
s* c
at n
at*
cycl
es ta
rifai
res
12
34
< s
euil
de
tolé
ran
cese
uil
de
tolé
ran
ce -
5 %
5 %
- 1
00 %
> 1
00 %
MA
TR
ICE
DE
CR
ITIC
ITE
CIB
LE
: R
ISQ
UE
S R
ES
IDU
EL
S P
OS
SIB
LE
S
(H
ypot
hès
e : b
on s
ystè
me
de
gest
ion
des
ris
qu
es e
t con
trôl
e in
tern
e op
tim
al)
I n t e n s i t é p o t e n t i e l l e
Fréq
uenc
e po
tent
ielle
Lim
ite
de s
olva
bilit
é de
l'en
trep
rise
Lim
ite
de r
éten
tion
par
coû
t in
divi
duel
ou
sini
stre
apr
ès r
éass
uran
ce
Déc
rois
sanc
e du
seu
il d'
inte
nsit
é su
ppor
tabl
e co
rrél
ativ
emen
t av
ec
l'aug
men
tati
on d
e la
fr
éque
nce
Att
eint
e de
s fo
nds
prop
res
de la
m
aiso
n m
ère
49
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
extr
ême
/ illi
mit
é
4
seu
il cr
itiq
ue
3*
judi
ciai
res
seu
il m
oye
n
2*
dévi
atio
n de
la s
inis
tral
ité*
prot
ectio
n de
s do
nnée
s su
r le
s pe
rson
nes
* ta
rific
atio
n* n
on-c
onfo
rmité
des
sou
scrip
tions
* fr
éque
nce
des
sini
stre
s de
poi
nte*
cat
nat
* si
nist
re te
chno
logi
que*
jurid
ique
s* m
alve
illan
ce
de ti
ers*
pilo
tage
inte
rne*
com
mun
icat
ion
exte
rne*
con
curr
ence
* cy
cles
tarif
aire
s
* cu
mul
de
sini
stre
s
nég
ligea
ble
1*
cum
ul d
e so
uscr
iptio
n* im
meu
bles
d'
expl
oita
tion*
con
serv
atio
n de
s do
cum
ents
* co
mpt
abili
té g
énér
ale*
Fis
cal
* no
rmes
de
calc
ul d
es P
M*
suffi
sanc
e de
s P
SA
P*
régl
emen
tatio
n du
trav
ail*
diff
usio
n de
l'i
nfor
mat
ion*
hyg
iène
* no
n-re
spec
t de
la
conf
iden
tialit
é* d
étou
rnem
ent f
onds
de
clie
nts*
bl
anch
imen
t* n
on-c
onfo
rmité
des
opé
ratio
ns d
e di
strib
utio
n au
x ré
glem
enta
tions
en
vigu
eur*
in
terf
aces
inte
r-se
rvic
es*
IT*
four
niss
eurs
de
serv
ices
12
34
< s
euil
de
tolé
ran
cese
uil
de
tolé
ran
ce -
5 %
5 %
- 1
00 %
> 1
00 %
I n t e n s i t é p o t e n t i e l l e
Fréq
uenc
e po
tent
ielle
MA
TR
ICE
DE
CR
ITIC
ITE
EN
CO
UR
S :
RIS
QU
ES
RE
SID
UE
LS
AT
TE
INT
S
(H
ypot
hès
e : b
on s
ystè
me
de
gest
ion
des
ris
qu
es e
t bon
niv
eau
de
con
trôl
e in
tern
e)
IV. Evaluations quantitatives
4.1 Généralités
En général ces évaluations font partie des procédures de gestion du risque :• estimation de biens et de pertes d’exploitation pour les couvrir en assurance• engagements d’assurance à couvrir en réassurance• risques liés à une répartition des actifs non conformes aux objectifs de gestion
financière• risques liés à la non-atteinte des objectifs d’activité quantifiables (indicateurs de
performance)• …
Elles peuvent être nécessaires pour des risques quantifiables pas encore gérés ou pasmesurés assez précisément pour une gestion efficace. L’estimation doit en généralêtre confiée à un expert :• exposition tempête estimée par un courtier en réassurance avec un logiciel de
simulation• risques financiers de nature juridique ou fiscale évalués par des spécialistes• …
Les méthodes peuvent être inventoriées dans 3 grands domaines distincts :• domaine financier• domaine assuranciel• domaine général
Une méthode appliquée dans un domaine donné peut se voir appliquée dans unautre domaine en fonction de sa pertinence par rapport au contexte. Par exemple, la« value at risk » peut avoir des applications dans le domaine général (adaptation auxrisques opérationnels).
50
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
4.2 Domaine financier
Cette liste n’est pas exhaustive et nécessite d’être complétée.
51
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
Nom de laméthode
Objet typeévalué ouexemple
Description Profil del’évaluateur
Value at risk(VaR) etméthodesdérivées
Risques de taux
Quantile au seuild’aversion du risque de ladistribution supposée durisque
Analystefinancier
Cash flow at risk,Earnings at risk
Besoins detrésorerie
Risk basedCapital
Besoins en fondspropres(réglementationUS)
Pourcentage de donnéescomptables indicatrices del’importance du risque
Comptable
Expertisefinancière
Bien, fonds decommerce,entreprise
Valorisation des biensmatériels et immatérielsaux prix de marché entenant compte desengagements ou passifs
Expert spécialisé
SimulationRésultatsprévisionnelsActif net
Modélisation comptable,technique et financière
Analystefinancier, expertcomptable,actuaire
Analysefinancière
Vie et santé desentreprises
Processus de notationincluant l’analyse desbilans
Analystefinancier,économiste(agences)
4.3 Domaine assuranciel
Cette liste n’est pas exhaustive et nécessite d’être complétée.
52
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
Nom de laméthode
Objet typeévalué ouexemple
Description Profil del’évaluateur
Mesure desengagements
Contratsd’assurance,traités deréassurance
Inventaire desengagements d’unportefeuille
Souscripteur,responsableréassurance deprotection
Simulation deportefeuille IARD
Portefeuilledommage
Simulation d’un risque(tempêtes, …) sur un por-tefeuille d'assurances dom-mages de répartitiongéographique connue pourévaluer l'exposition totale
Responsable réas-surance de pro-tection, courtieren réassurance
Simulation ducompte derésultat vie
Portefeuille vie
Evaluations actuariellesdes impacts d’un risquesur l'embedded value d'unportefeuille d'assurance vie
Actuaire
Simulation ducompte derésultat non-vie
Portefeuille non-vie
Evaluations actuarielles oustatistiques des impactsd’un risque sur unportefeuille d'assurancenon-vie
Actuaire oustatisticien
4.4 Domaine général
Cette liste n’est pas exhaustive et nécessite d’être complétée.
53
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
Nom de laméthode
Objet typeévalué ouexemple
Description Profil del’évaluateur
Benchmarking Ratio S/PComparaison avec descompagnies concurrentes
Marketing, expertdans le domaineconcerné
Evaluationcomptable
Poste comptableRapprochementrisques/comptes etmesures de sensibilité
Comptable
Méthodesd’analysestatistique
Phénomènerécurrent :attaque de virus,dégât des eaux,panned’électricité,temps deréalisation d’uneprocéduredonnée, etc.
Exploitation de sériesstatistiques pour lamodélisation d'un risque,sa simulation etl'évaluation de son impact(exemple : utilisation d'unebase incidentsinformatiques avecimpacts subis pourl'évaluation du coûtmaximum possible)
Statisticien
Simulation AccidentSimulation d'un accidentpour en évaluer lesimpacts potentiels
Scientifique
Visite de risque
Ex. exposition debâtiments à desrisques desinistres
(Ex.) relevé descaractéristiques physiquesd’un ensemble debâtiments,des accidentssurvenus
Expert, auditeur
Expertise sinistreEvaluation d’unsinistre
Expertise des dommagessubis par l’assuré, ...
Expert sinistresou inspecteur
54
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
ANNEXE 3 : EXEMPLE DE RESTITUTION DE LA DÉMARCHE
DE CARTOGRAPHIE ASSOCIÉE AU PROCESSUS
DE GESTION IMMOBILIÈRE
55
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
56
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
OBJECTIFS : Proposer et mettre en œuvre des opérations d'achat et de vented'immeubles dans le cadre de la politique globale de gestion des actifs du Groupe. Macro-Processus : GESTION FINANCIERE
Responsable :Direction ou Service : Immobilier
N° Processus clésRef risque IFACI
Gravité Eléments de maîtrise Evaluation par le responsable
1 Investissement et Désinvestissement
11 Politique de gestion immobilière 1 Risques financiersDéfinition de la politique et détention d'actifs immobiliers 112 Risques relatifs aux fonds propres Risque d'allocation 4 Politique définie en Comité de direction opérationnel et présentée au conseil d'administration Satisfaisant
122 Risques d'adéquation actif passif Non diversification 4 Comité actif passif134 Risques de liquidité Non diversification 3 Gestion prévisionnelle trésorerie, gestion actif/passif144 Risques de marché Risques immobiliers et fonciers 3 Part de l'immobilier dans les actifs définie en Comité financier / Benchmarcking IPD. 16 Risques d'évaluation des actifs 3 Expertises annuelles des biens immobiliers8 Risques générés par l'environnement externe81 Risques légaux, réglementaires et fiscaux 3 Veille, compétence collaborateurs, formation, expertise interne et externe.891 Autres risques systémiques et exogènes Risque de catastrophe naturelle 3 Assurance des biens détenus
Autres risques techniques (ex: amiante) 3 Veille, compétence collaborateurs, formation, expertise interne et externe.
12 Recherche de biens immobiliers (investissement) 3 Risques opérationnelsRecherche d'acquéreurs (désinvestissement) 315 Risques de production Délais 1 Expérience collaborateurs, prestataires externes Satisfaisant
322 Risques humains Non respect des procédures 2 Formation collaborateurs, existence de procédures Manque de procédures324 Perte de capital humain 3 Management des collaborateurs, dossiers formalisés331 Risques d'organisation Inadéquation de l'organisation 1 Processus identifiés, délégations de pouvoir.
Sélection d'intermédiaires 3 Risques opérationnels314 Risques de production Risque de collusion 4 Sélection des intermédiaires / Volume d'activité Acceptable391 Risques prestataires et fournisseurs Risques fournisseurs de service 3 Appels d'offres, Contrat de prestations4 Risques para opérationnels
41 Risque d'image Image véhiculée par l'intermédiaire 3 Contrat de prestations, sélection des intermédiaires Acceptable
442 Risques légaux et fiscaux Mauvaise application lois et règlements 2 Veille, compétence collaborateurs, formation, expertise interne et externe. Contrôles à renforcer
465 Risques relatifs à la déontologie Déontologie vis à vis des intermédiaires 2 Règles de bonne conduite
8 Risques générés par l'environnement externe852 Risques Prestataires Risques fournisseurs 2 Savoir faire interne
13 Analyse des dossiers 1 Risques financiers Satisfaisant16 Risque d'évaluation des actifs 33 Risques opérationnels311 Risques de production Risque de modèle 1 Compétence collaborateurs312 Risque de données 2 Compétence collaborateurs, diversité des sources d'informations321 Risques humains Risque d'erreur 2 Existence de procédures, visites in situ, analyse contradictoire des dossiers. 324 Perte de capital humain 3 Management des collaborateurs, GPEC
14 Décision d'investissement ou de désinvestissement 1 Risques financiers Satisfaisant145 Risques de marchés Non diversification 3 Comité de pilotage immobilier6 Risques de pilotage61 Risques sur la mise en œuvre de la stratégie 2 Comité de pilotage immobilier / Détermination d'objectifs annuels
15 Acquisitions / Cessions 1 Risques financiers SatisfaisantMise en œuvre de la décision 131 Risques de liquidité Risque de trésorerie 2 Gestion prévisionnelle trésorerie, gestion actif/passif
132 Risque de financement 2 Gestion prévisionnelle trésorerie, gestion actif/passif3 Risques opérationnels313 Risques de production Risque de traitement 2 Existence de procédures, gestion des incidents. 315 Risque de délai 1 Expérience collaborateurs, procédures.321 Risques humains Risque d'erreur 2 Existence de procédures, gestion des incidents. 376 Risques logistiques Conservation des documents 3 Gestion de la documentation et des actes de ventes4 Risques para opérationnels442 Risques légaux et fiscaux Mauvaise application lois et règlements 2 Veille, compétence collaborateurs, formation, expertise interne et externe.45 Risque de fraude 3 Expertise des immeubles, supervision des opérations
Sélection des intervenants (notaires, bureaux d'étude, géomètres) 3 Risques opérationnels314 Risques de production Risque de collusion 4391 Risques prestataires et fournisseurs Risques fournisseurs de service 2 Surveillance des prestations4 Risques para opérationnels41 Risque d'image Image véhiculée par l'intermédiaire 3 Contrat de prestations442 Risques légaux et fiscaux Mauvaise application lois et règlements 3 Veille, compétence collaborateurs, formation, expertise interne et externe.465 Risques relatifs à la déontologie Déontologie vis à vis des intermédiaires 2 Règles de bonne conduite8 Risques générés par l'environnement externe852 Risques Prestataires Risques fournisseurs 2 Savoir faire interne, assurance.
Risques associés
CARTOGRAPHIE DES RISQUES
Identification des risques et des éléments de maîtrise existants
57
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
OBJECTIFS :
Macro-Processus : GESTION FINANCIEREResponsable :Direction ou Service : Immobilier
N° Processus clés Gravité Eléments de maîtrise Evaluation par le responsable
1 Investissement et Désinvestissement
11 Politique de gestion immobilière 1 Risques financiersDéfinition de la politique et détention d'actifs immobiliers 112 Risques relatifs aux fonds propres Risque d'allocation 4 Politique définie en Comité de direction opérationnel et présentée au conseil d'administration Satisfaisant
122 Risques d'adéquation actif passif Non diversification 4 Comité actif passif134 Risques de liquidité Non diversification 3 Gestion prévisionnelle trésorerie, gestion actif/passif144 Risques de marché Risques immobiliers et fonciers 3 Part de l'immobilier dans les actifs définie en Comité financier / Benchmarcking IPD. 16 Risques d'évaluation des actifs 3 Expertises annuelles des biens immobiliers8 Risques générés par l'environnement externe81 Risques légaux, réglementaires et fiscaux 3 Veille, compétence collaborateurs, formation, expertise interne et externe.891 Autres risques systémiques et exogènes Risque de catastrophe naturelle 3 Assurance des biens détenus
Autres risques techniques (ex: amiante) 3 Veille, compétence collaborateurs, formation, expertise interne et externe.
12 Recherche de biens immobiliers (investissement) 3 Risques opérationnelsRecherche d'acquéreurs (désinvestissement) 315 Risques de production Délais 1 Expérience collaborateurs, prestataires externes Satisfaisant
322 Risques humains Non respect des procédures 2 Formation collaborateurs, existence de procédures Manque de procédures324 Perte de capital humain 3 Management des collaborateurs, dossiers formalisés331 Risques d'organisation Inadéquation de l'organisation 1 Processus identifiés, délégations de pouvoir.
Sélection d'intermédiaires 3 Risques opérationnels314 Risques de production Risque de collusion 4 Sélection des intermédiaires / Volume d'activité Acceptable391 Risques prestataires et fournisseurs Risques fournisseurs de service 3 Appels d'offres, Contrat de prestations4 Risques para opérationnels
41 Risque d'image Image véhiculée par l'intermédiaire 3 Contrat de prestations, sélection des intermédiaires Acceptable
442 Risques légaux et fiscaux Mauvaise application lois et règlements 2 Veille, compétence collaborateurs, formation, expertise interne et externe. Contrôles à renforcer
465 Risques relatifs à la déontologie Déontologie vis à vis des intermédiaires 2 Règles de bonne conduite
8 Risques générés par l'environnement externe852 Risques Prestataires Risques fournisseurs 2 Savoir faire interne
13 Analyse des dossiers 1 Risques financiers Satisfaisant16 Risque d'évaluation des actifs 33 Risques opérationnels311 Risques de production Risque de modèle 1 Compétence collaborateurs312 Risque de données 2 Compétence collaborateurs, diversité des sources d'informations321 Risques humains Risque d'erreur 2 Existence de procédures, visites in situ, analyse contradictoire des dossiers. 324 Perte de capital humain 3 Management des collaborateurs, GPEC
14 Décision d'investissement ou de désinvestissement 1 Risques financiers Satisfaisant145 Risques de marchés Non diversification 3 Comité de pilotage immobilier6 Risques de pilotage61 Risques sur la mise en œuvre de la stratégie 2 Comité de pilotage immobilier / Détermination d'objectifs annuels
15 Acquisitions / Cessions 1 Risques financiers SatisfaisantMise en œuvre de la décision 131 Risques de liquidité Risque de trésorerie 2 Gestion prévisionnelle trésorerie, gestion actif/passif
132 Risque de financement 2 Gestion prévisionnelle trésorerie, gestion actif/passif3 Risques opérationnels313 Risques de production Risque de traitement 2 Existence de procédures, gestion des incidents. 315 Risque de délai 1 Expérience collaborateurs, procédures.321 Risques humains Risque d'erreur 2 Existence de procédures, gestion des incidents. 376 Risques logistiques Conservation des documents 3 Gestion de la documentation et des actes de ventes4 Risques para opérationnels442 Risques légaux et fiscaux Mauvaise application lois et règlements 2 Veille, compétence collaborateurs, formation, expertise interne et externe.45 Risque de fraude 3 Expertise des immeubles, supervision des opérations
Sélection des intervenants (notaires, bureaux d'étude, géomètres) 3 Risques opérationnels314 Risques de production Risque de collusion 4391 Risques prestataires et fournisseurs Risques fournisseurs de service 2 Surveillance des prestations4 Risques para opérationnels41 Risque d'image Image véhiculée par l'intermédiaire 3 Contrat de prestations442 Risques légaux et fiscaux Mauvaise application lois et règlements 3 Veille, compétence collaborateurs, formation, expertise interne et externe.465 Risques relatifs à la déontologie Déontologie vis à vis des intermédiaires 2 Règles de bonne conduite8 Risques générés par l'environnement externe852 Risques Prestataires Risques fournisseurs 2 Savoir faire interne, assurance.
Risques associés
DES RISQUES
éléments de maîtrise existants
58
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
OBJECTIFS :
Gérer les actifs immobiliers du Groupe, qu'ils soient détenus à des fins de placement ou d'exploitation, selon un objectif de valorisation et de rentabilité. Macro-Processus : GESTION FINANCIERE
Responsable :Direction ou Service : Immobilier
N° Processus clésRef risque IFACI
Gravité Eléments de maîtrise Evaluation par le responsable
2 Gestion immobilière Satisfaisant
21 Relations avec les locatairesEntrée et gestion interne de la relation 1 Risques financiers
152 Risques de crédit 3 Etudes de solvabilité pour baux commerciaux3 Risques opérationnels313 Risques de production Risque de traitement 2 Contrôle des saisies informatiques sauf sur nouveaux baux314 Risque de collusion 4 Locations aux salariés encadrées322 Risques humains Non respect des procédures 2 Formation collaborateurs, existence de procédures
324 Perte de capital humain 2 Délégation de l'activité en externe
331 Risques d'organisation Inadéquation de l'organisation 1 Système d'information adapté (Estia)4 Risques para opérationnels41 Risque d'image 3 Critères de sélection clairs et objectifs442 Risques légaux et fiscaux Mauvaise application lois et règlements 2 Contrats de location validés juridiquement461 Risques relatifs à la déontologie Risque loi informatique et libertés 38 Risques générés par l'environnement externe87 Risques économiques 3 Diversification du patrimoine (géographie, Bureaux/habitation/commercial)
Délégation de la gestion 3 Risques opérationnels314 Risques de production Risque de collusion 4 Audits réguliers des gérants391 Risques prestataires et fournisseurs Risques fournisseurs de service 3 Audits réguliers des gérants
4 Risques para opérationnels41 Risque d'image Image véhiculée par l'intermédiaire 3 Contrats de prestations, sélection des intermédiaires
442 Risques légaux et fiscaux Mauvaise application lois et règlements 3 Contrats de prestation validés juridiquement465 Risques relatifs à la déontologie Déontologie vis à vis des intermédiaires 4 Règles de bonne conduite
8 Risques générés par l'environnement externe852 Risques Prestataires Risques fournisseurs 2 Profondeur du marché
22 Quittancement / Recouvrement 3 Risques opérationnels Satisfaisant(activité déléguée sauf locaux d'exploitation) 312 Risques de production Risque de données 2 Contrôle des documents fournis Back up prestataires à regarder
313 Risque de traitement 3314 Risque de collusion 4315 Risque de délai 2 Ordonnancement des traitements332 Risques d'organisation Inadéquation des processus 1 Système informatique intégré (liens baux, quittancement)382 Risques informatiques Perennité de l'outil 2 Offres concurrentes, délégation de l'activité383 Risque de données 2 Contrôle de la saisie des baux 384 Risque d'administration 2 Dispositif de contrôle interne, formation des collaborateurs, gestion des incidents387 Risque de plan de continuité 3 Sauvegardes quotidiennes4 Risques para opérationnels41 Risque d'image 3 Service de recouvrement dédié442 Risques légaux et fiscaux Mauvaise application lois et règlements 3 Recouvrement assuré par un juriste45 Risques de fraude 4 Encaissements centralisés à la trésorerie, rapprochements Quittancement/encaissement461 Risques relatifs à la déontologie Risque de blanchiment 4 Pas d'encaissement des loyers en espèces8 Risques générés par l'environnement externe81 Risques légaux, réglementaires et fiscaux 2 Veille juridique
23 Entretien / Travaux 3 Risques opérationnels Satisfaisant312 Risques de production Risque de données 2 Expertise collaborateurs, informations sur coût des travaux314 Risque de collusion 4 Procédure d'appels d'offres315 Risque de délai 2 Paiements en fin de travaux321 Risques humains Risque d'erreur 2 Sollicitation d'architectes…324 Perte de capital humain 2 Expertise externe, possibilité de délégation391 Risques prestataires et fournisseurs Fournisseurs de services 3393 Maintenance 4 Contrats de maintenace, sélection des fournisseurs394 Surcoût 1 Appels d'offres4 Risques para opérationnels41 Risque d'image 3 Politique d'entretien des immeubles, sélection des fournisseurs432 Risques de sécurité du personnel Risques d'accident 4 Politique de prévention442 Risques légaux et fiscaux Mauvaise application lois et règlements 3 Veille juridique45 Risques de fraude 4 Revue des immeubles, contrôle des travaux et factures465 Risques relatifs à la déontologie Déontologie vis à vis des intermédiaires 3 Règles de bonne conduite 6 Risques de pilotage61 Risques sur mise en œuvre de la stratégie 3 Plan pluriannuel de travaux
62 Risques de planification 2 Plan pluriannuel de travaux
8 Risques générés par l'environnement externe81 Risques légaux, réglementaires et fiscaux 282 Risques judiciaires 4 Assurance RC852 Risques Prestataires Risques fournisseurs 2
24 Locaux d'exploitation 1 Risques financiers Satisfaisant134 Risques de liquidité Non diversification 2 Locaux à usage d'exploitation144 Risques de marché Risques immobiliers et fonciers 216 Risques d'évaluation des actifs 3 Expertise annuelle des biens immobiliers
Locaux commerciaux 3 Risques opérationnelsPolitique d'implantation 371 Risques logistiques Immeubles d'exploitation 2
Quittancement/recouvrement (voir ci dessus) 391 Risques prestataires et fournisseurs Risques fournisseurs de service 3 Surveillance des prestationsMise en place et maintenance signalétique 4 Risques para opérationnels
41 Risque d'image 3 Entretiens des immeubles, signalétique adaptéeLocaux de bureaux 431 Risques de sécurité du personnel Risque d'hygiène 4 Comité CHSCT
Recherche et prospection 432 Risque d'accident 4 PréventionLocaux en propriété 442 Risques légaux et fiscaux Mauvaise application lois et règlements 3 Veille, compétence collaborateurs, formation, expertise interne et externe.
Locaux loués 465 Risques relatifs à la déontologie Déontologie vis à vis des intermédiaires 3 Règles de bonne conduite 6 Risques de pilotage61 Risques sur mise en œuvre de la stratégie 4 Disponibilité de locaux commerciaux8 Risques générés par l'environnement externe852 Risques Prestataires Risques fournisseurs 2 Profondeur du marché.883 Risques politiques Attentats et terrorisme 1 gestion des accès, implantations réparties.891 Autres risques systémiques et exogènes Catastrophe naturelle 1 Assurance des biens détenus.
Risques associés
CARTOGRAPHIE DES RISQUES
Identification des risques et des éléments de maîtrise existants
59
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
OBJECTIFS :
Macro-Processus : GESTION FINANCIEREResponsable :Direction ou Service : Immobilier
N° Processus clés Gravité Eléments de maîtrise Evaluation par le responsable
2 Gestion immobilière Satisfaisant
21 Relations avec les locatairesEntrée et gestion interne de la relation 1 Risques financiers
152 Risques de crédit 3 Etudes de solvabilité pour baux commerciaux3 Risques opérationnels313 Risques de production Risque de traitement 2 Contrôle des saisies informatiques sauf sur nouveaux baux314 Risque de collusion 4 Locations aux salariés encadrées322 Risques humains Non respect des procédures 2 Formation collaborateurs, existence de procédures
324 Perte de capital humain 2 Délégation de l'activité en externe
331 Risques d'organisation Inadéquation de l'organisation 1 Système d'information adapté (Estia)4 Risques para opérationnels41 Risque d'image 3 Critères de sélection clairs et objectifs442 Risques légaux et fiscaux Mauvaise application lois et règlements 2 Contrats de location validés juridiquement461 Risques relatifs à la déontologie Risque loi informatique et libertés 38 Risques générés par l'environnement externe87 Risques économiques 3 Diversification du patrimoine (géographie, Bureaux/habitation/commercial)
Délégation de la gestion 3 Risques opérationnels314 Risques de production Risque de collusion 4 Audits réguliers des gérants391 Risques prestataires et fournisseurs Risques fournisseurs de service 3 Audits réguliers des gérants
4 Risques para opérationnels41 Risque d'image Image véhiculée par l'intermédiaire 3 Contrats de prestations, sélection des intermédiaires
442 Risques légaux et fiscaux Mauvaise application lois et règlements 3 Contrats de prestation validés juridiquement465 Risques relatifs à la déontologie Déontologie vis à vis des intermédiaires 4 Règles de bonne conduite
8 Risques générés par l'environnement externe852 Risques Prestataires Risques fournisseurs 2 Profondeur du marché
22 Quittancement / Recouvrement 3 Risques opérationnels Satisfaisant(activité déléguée sauf locaux d'exploitation) 312 Risques de production Risque de données 2 Contrôle des documents fournis Back up prestataires à regarder
313 Risque de traitement 3314 Risque de collusion 4315 Risque de délai 2 Ordonnancement des traitements332 Risques d'organisation Inadéquation des processus 1 Système informatique intégré (liens baux, quittancement)382 Risques informatiques Perennité de l'outil 2 Offres concurrentes, délégation de l'activité383 Risque de données 2 Contrôle de la saisie des baux 384 Risque d'administration 2 Dispositif de contrôle interne, formation des collaborateurs, gestion des incidents387 Risque de plan de continuité 3 Sauvegardes quotidiennes4 Risques para opérationnels41 Risque d'image 3 Service de recouvrement dédié442 Risques légaux et fiscaux Mauvaise application lois et règlements 3 Recouvrement assuré par un juriste45 Risques de fraude 4 Encaissements centralisés à la trésorerie, rapprochements Quittancement/encaissement461 Risques relatifs à la déontologie Risque de blanchiment 4 Pas d'encaissement des loyers en espèces8 Risques générés par l'environnement externe81 Risques légaux, réglementaires et fiscaux 2 Veille juridique
23 Entretien / Travaux 3 Risques opérationnels Satisfaisant312 Risques de production Risque de données 2 Expertise collaborateurs, informations sur coût des travaux314 Risque de collusion 4 Procédure d'appels d'offres315 Risque de délai 2 Paiements en fin de travaux321 Risques humains Risque d'erreur 2 Sollicitation d'architectes…324 Perte de capital humain 2 Expertise externe, possibilité de délégation391 Risques prestataires et fournisseurs Fournisseurs de services 3393 Maintenance 4 Contrats de maintenace, sélection des fournisseurs394 Surcoût 1 Appels d'offres4 Risques para opérationnels41 Risque d'image 3 Politique d'entretien des immeubles, sélection des fournisseurs432 Risques de sécurité du personnel Risques d'accident 4 Politique de prévention442 Risques légaux et fiscaux Mauvaise application lois et règlements 3 Veille juridique45 Risques de fraude 4 Revue des immeubles, contrôle des travaux et factures465 Risques relatifs à la déontologie Déontologie vis à vis des intermédiaires 3 Règles de bonne conduite 6 Risques de pilotage61 Risques sur mise en œuvre de la stratégie 3 Plan pluriannuel de travaux
62 Risques de planification 2 Plan pluriannuel de travaux
8 Risques générés par l'environnement externe81 Risques légaux, réglementaires et fiscaux 282 Risques judiciaires 4 Assurance RC852 Risques Prestataires Risques fournisseurs 2
24 Locaux d'exploitation 1 Risques financiers Satisfaisant134 Risques de liquidité Non diversification 2 Locaux à usage d'exploitation144 Risques de marché Risques immobiliers et fonciers 216 Risques d'évaluation des actifs 3 Expertise annuelle des biens immobiliers
Locaux commerciaux 3 Risques opérationnelsPolitique d'implantation 371 Risques logistiques Immeubles d'exploitation 2
Quittancement/recouvrement (voir ci dessus) 391 Risques prestataires et fournisseurs Risques fournisseurs de service 3 Surveillance des prestationsMise en place et maintenance signalétique 4 Risques para opérationnels
41 Risque d'image 3 Entretiens des immeubles, signalétique adaptéeLocaux de bureaux 431 Risques de sécurité du personnel Risque d'hygiène 4 Comité CHSCT
Recherche et prospection 432 Risque d'accident 4 PréventionLocaux en propriété 442 Risques légaux et fiscaux Mauvaise application lois et règlements 3 Veille, compétence collaborateurs, formation, expertise interne et externe.
Locaux loués 465 Risques relatifs à la déontologie Déontologie vis à vis des intermédiaires 3 Règles de bonne conduite 6 Risques de pilotage61 Risques sur mise en œuvre de la stratégie 4 Disponibilité de locaux commerciaux8 Risques générés par l'environnement externe852 Risques Prestataires Risques fournisseurs 2 Profondeur du marché.883 Risques politiques Attentats et terrorisme 1 gestion des accès, implantations réparties.891 Autres risques systémiques et exogènes Catastrophe naturelle 1 Assurance des biens détenus.
Risques associés
DES RISQUES
éléments de maîtrise existants
ANNEXE 4 : TYPOLOGIE DES RISQUES
60
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
61
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
Niv
eau
1F
amill
e d
e ri
squ
esR
isq
ues
niv
eau
1N
ivea
u 2
Ris
qu
es n
ivea
u 2
Nb
ris
qu
es
niv
eau
3
R1
Fin
anci
ers
Ris
qu
es d
e g
esti
on
de
bila
n o
u f
inan
cièr
e
R10
1S
olva
bilit
é3
R10
2A
déqu
atio
n A
ctif/
Pas
sif
8
R10
3G
estio
n d'
actif
s17
R10
4E
ndet
tem
ent
2
R10
5E
ngag
emen
ts h
ors
bila
n3 33
R2
Ass
ura
nce
Ris
qu
es s
péc
ifiq
ues
au
x ac
tivi
tés
d'a
ssu
ran
ce
R20
1M
arke
ting
assu
ranc
e2
R20
2Te
chni
que
3
R20
3S
ousc
riptio
n8
R20
4S
inis
tral
ité n
on-v
ie /
Pre
stat
ions
vie
5
R20
5P
rovi
sion
nem
ent
3
R20
6P
artic
ipat
ions
aux
bén
éfic
es2
R20
7R
éass
uran
ce d
e pr
otec
tion
3
R20
8Lé
gisl
atif
et r
égle
men
taire
5 31
So
us-
Tota
l du
no
mb
re d
e ri
squ
es e
n n
ivea
u 3
So
us-
Tota
l du
no
mb
re d
e ri
squ
es e
n n
ivea
u 3
Nom
encl
atur
e d
es r
isqu
es I
FAC
IAss
uran
ce 2
006
62
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
Niv
eau
1F
amill
e d
e ri
squ
esR
isq
ues
niv
eau
1N
ivea
u 2
Ris
qu
es n
ivea
u 2
Nb
ris
qu
es
niv
eau
3
R3
Op
érat
ion
nel
sR
isq
ues
pro
ven
ant
dir
ecte
men
t d
e la
mis
e en
pla
ce
et d
e la
mis
e en
œu
vre
des
mo
yen
s et
pro
céd
ure
s d
e fo
nct
ion
nem
ent
R30
1P
rodu
ctio
n4
R30
2H
umai
n24
R30
3C
omm
erci
al7
R30
4O
rgan
isat
ion
6
R30
5S
ystè
mes
d'in
form
atio
n10
R30
6Lo
gist
ique
hor
s S
I7
R30
7R
elat
ions
ave
c le
s tie
rs9 67
R4
Co
mp
tab
les
Ris
qu
es r
elat
ifs
au d
om
ain
e co
mp
tab
le
R40
1O
péra
tions
de
com
ptab
ilisa
tion
4
R40
2F
isca
lité
5
R40
3E
tats
rég
lem
enta
ires
1 10
So
us-
Tota
l du
no
mb
re d
e ri
squ
es e
n n
ivea
u 3
So
us-
Tota
l du
no
mb
re d
e ri
squ
es e
n n
ivea
u 3
Nom
encl
atur
e d
es r
isqu
es I
FAC
IAss
uran
ce 2
006
63
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
Niv
eau
1F
amill
e d
e ri
squ
esR
isq
ues
niv
eau
1N
ivea
u 2
Ris
qu
es n
ivea
u 2
Nb
ris
qu
es
niv
eau
3
R5
Pilo
tag
eR
isq
ues
rel
atif
s au
man
agem
ent
d'e
ntr
epri
se
R50
1S
trat
égie
2
R50
2C
ontr
ôle
de g
estio
n2
R50
3A
utre
s ris
ques
de
pilo
tage
inte
rne
1
R50
4R
isqu
es g
énér
és p
ar la
com
mun
icat
ion
exte
rne
1 6
R6
Ext
ern
esR
isq
ues
gén
érés
par
l'en
viro
nn
emen
t d
e l'e
ntr
epri
se
R60
1Lé
gisl
atifs
, rég
lem
enta
ires
et ju
dici
aire
s2
R60
2S
ecte
ur d
e l'a
ssur
ance
4
R60
3P
rest
atai
res,
par
tena
ires
2
R60
4D
éont
olog
ie, c
onfo
rmité
, im
age
3
R60
5A
utre
s ris
ques
sys
tém
ique
s et
exo
gène
s6 17 164
So
us-
Tota
l du
no
mb
re d
e ri
squ
es e
n n
ivea
u 3
So
us-
Tota
l du
no
mb
re d
e ri
squ
es e
n n
ivea
u 3
Tota
l du
no
mb
re d
e ri
squ
es e
n n
ivea
u 3
Nom
encl
atur
e d
es r
isqu
es I
FAC
IAss
uran
ce 2
006
64
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
Niveau 1 Famille Définition Risques Niveau 1Niveau
2Risques Niveau 2 Définition Risques Niveau 2 Risques Niveau 3 Définition Risques Niveau 3
R1 Financiers Risques de gestion de bilan ou financière R101 Risques de solvabilité Risques résultant d'un niveau des fonds propres et quasi-fonds propres inférieur au minimum réglementaire
R10101 Risques de solvabilité réglementaire en social
R1 Financiers Risques de gestion de bilan ou financière R101 Risques de solvabilité Risques résultant d'un niveau des fonds propres et quasi-fonds propres inférieur au minimum réglementaire
R10102
R1 Financiers Risques de gestion de bilan ou financière R101 Risques de solvabilité Risques résultant d'un niveau des fonds propres et quasi-fonds propres inférieur au minimum réglementaire
R10103 Risques de solvabilité de marché
R1 Financiers Risques de gestion de bilan ou financière R102 Adéquation Actif/Passif Risques résultant d'une inadéquation, en montant ou en structure, entre le passif correspondant aux engagements pris envers les clients et l'actif mis en représentation
R10201 Risques de liquidité
R1 Financiers Risques de gestion de bilan ou financière R102 Adéquation Actif/Passif Risques résultant d'une inadéquation, en montant ou en structure, entre le passif correspondant aux engagements pris envers les clients et l'actif mis en représentation
R10202
R1 Financiers Risques de gestion de bilan ou financière R102 Adéquation Actif/Passif Risques résultant d'une inadéquation, en montant ou en structure, entre le passif correspondant aux engagements pris envers les clients et l'actif mis en représentation
R10203 Risques de disparités de lignes de passifs
R1 Financiers Risques de gestion de bilan ou financière R102 Adéquation Actif/Passif Risques résultant d'une inadéquation, en montant ou en structure, entre le passif correspondant aux engagements pris envers les clients et l'actif mis en représentation
R10204 Risques de couverture imparfaite
R1 Financiers Risques de gestion de bilan ou financière R102 Adéquation Actif/Passif Risques résultant d'une inadéquation, en montant ou en structure, entre le passif correspondant aux engagements pris envers les clients et l'actif mis en représentation
R10205 Risques de taux Risques d'inadéquation actif/passif provenant du comportement des marchés de taux
R1 Financiers Risques de gestion de bilan ou financière R102 Adéquation Actif/Passif Risques résultant d'une inadéquation, en montant ou en structure, entre le passif correspondant aux engagements pris envers les clients et l'actif mis en représentation
R10206 Risques actions Risques d'inadéquation actif/passif provenant du comportement des marchés d'actions
R1 Financiers Risques de gestion de bilan ou financière R102 Adéquation Actif/Passif Risques résultant d'une inadéquation, en montant ou en structure, entre le passif correspondant aux engagements pris envers les clients et l'actif mis en représentation
R10207 Risques de change Risques d'inadéquation actif/passif provenant du comportement des marchés de devises
R1 Financiers Risques de gestion de bilan ou financière R102 Adéquation Actif/Passif Risques résultant d'une inadéquation, en montant ou en structure, entre le passif correspondant aux engagements pris envers les clients et l'actif mis en représentation
R10208 Risques immobiliers Risques d'inadéquation actif/passif provenant du comportement des marchés immobiliers
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10301 Risques de trésorerie
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10302 Risques de refinancement
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10304 Risques de non-diversification
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10305 Risques de taux Conséquence d'une évolution des taux d'intérêt sur la valeur des actifs obligataires
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10306 Risques de change
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10307 Risques actions
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10308 Risques immobiliers et fonciers
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10309 Risques de règlement livraison
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10310 Risques de contre-partie
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10311 Risques émetteur
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10312 Risques crédit
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10313 Risques d'évaluation d'actifs
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10314
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10315
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10316 Risques de non-disponibilité des informations nécessaires à la gestion des actifs
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10317 Risques crédit réassureurs Risque de défaillance d'un réassureur réduisant ses capacités à remplir ses engagements
Typologie des risques 2006
65
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
Niveau 1 Famille Définition Risques Niveau 1Niveau
2Risques Niveau 2 Définition Risques Niveau 2
Niveau 3
Risques Niveau 3 Définition Risques Niveau 3
R1 Financiers Risques de gestion de bilan ou financière R101 Risques de solvabilité R10101 Risques de solvabilité réglementaire en social Risques résultant d'un niveau des fonds propres et quasi-fonds propres inférieur au minimum réglementaire en social pour chaque entité
R1 Financiers Risques de gestion de bilan ou financière R101 Risques de solvabilité R10102 Risques de solvabilité réglementaire en consolidé
Risques résultant d'un niveau des fonds propres et quasi-fonds propres inférieur au minimum réglementaire dans les comptes consolidés (solvabilité ajustée)
R1 Financiers Risques de gestion de bilan ou financière R101 Risques de solvabilité R10103 Risques de solvabilité de marché Risques résultant d'un niveau des fonds propres et quasi-fonds propres inférieur au montant estimé par les analystes ou les marchés financiers entraînant un seuil de déclenchement de "triggers"
R1 Financiers Risques de gestion de bilan ou financière R102 Adéquation Actif/Passif R10201 Risques de liquidité Correspond à une évolution du passif à court terme engendrant des insuffisance d'actifs réalisables
R1 Financiers Risques de gestion de bilan ou financière R102 Adéquation Actif/Passif R10202 Risques de limitation par catégorie d'actif ou de passif
Correspond à un manque de diversification, tant à l'actif qu'au passif, qui conduit à une exposition trop forte sur un risque particulier (type de risque assuré, risque de taux, risque actions, …)
R1 Financiers Risques de gestion de bilan ou financière R102 Adéquation Actif/Passif R10203 Risques de disparités de lignes de passifs Correspond à une structure de passif éclatée et difficile à mettre en adéquation avec des actifs
R1 Financiers Risques de gestion de bilan ou financière R102 Adéquation Actif/Passif R10204 Risques de couverture imparfaite Se matérialise par une inadaptation ou une insuffisance de la structure des actifs au regard de celle des passifs
R1 Financiers Risques de gestion de bilan ou financière R102 Adéquation Actif/Passif R10205 Risques de taux Risques d'inadéquation actif/passif provenant du comportement des marchés de taux
R1 Financiers Risques de gestion de bilan ou financière R102 Adéquation Actif/Passif R10206 Risques actions Risques d'inadéquation actif/passif provenant du comportement des marchés d'actions
R1 Financiers Risques de gestion de bilan ou financière R102 Adéquation Actif/Passif R10207 Risques de change Risques d'inadéquation actif/passif provenant du comportement des marchés de devises
R1 Financiers Risques de gestion de bilan ou financière R102 Adéquation Actif/Passif R10208 Risques immobiliers Risques d'inadéquation actif/passif provenant du comportement des marchés immobiliers
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10301 Risques de trésorerie Résulte d'un manque de liquidités disponibles à court terme pour faire face aux obligations de règlement
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10302 Risques de refinancement Est la conséquence d'une inadéquation ou d'un défaut de financement permettant d'obtenir les liquidités suffisantes pour faire face aux obligations de règlement
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10304 Risques de non-diversification Correspond à un manque de diversification dans le placement des actifs qui conduit à une exposition trop forte sur un risque particulier (actions, taux, crédit)
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10305 Risques de taux Conséquence d'une évolution des taux d'intérêt sur la valeur des actifs obligataires
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10306 Risques de change Est lié à la variation de valeur d'une devise par rapport à l'euro, et à l'impact de cette variation sur la valeur des actifs en devises
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10307 Risques actions Conséquence d'une évolution des marchés actions, ou d'une trop forte dépendance vis à vis de ce type d'actif
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10308 Risques immobiliers et fonciers Conséquence d'une évolution des marchés immobiliers et fonciers, ou d'une trop forte dépendance vis à vis de ce type d'actif
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10309 Risques de règlement livraison Découle de la séparation des circuits de transfert des biens échangés lors d'une opération sur titres ou devises, pouvant conduire à la livraison du premier bien sans réception effective de l'autre, ou bien avec un dénouement tardif
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10310 Risques de contre-partie Découle du défaut de la contrepartie à une opération, au moment où elle doit remplir ses obligations (absence de paiement à l'échéance, …)
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10311 Risques émetteur Lié au défaut de l'émetteur préalablement à la réalisation de ses obligations (remboursement d'un emprunt à l'échéance, …)
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10312 Risques crédit Correspond à la variation de la qualité de crédit d'un émetteur conduisant à l'augmentation de la prime de risque attendue par ses créanciers
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10313 Risques d'évaluation d'actifs Risques résultant de la surestimation d'un élément d'actif, pouvant entraîner notamment une constatation de moins-value en cas de cession ou d'ouverture de capital, ou un provisionnement suite à révision
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10314 Risques de gestion des participations en titres cotés
Risques résultant de carences dans le suivi et la gestion des participations : franchissement involontaire de seuil de détention, …
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10315 Risques de rentabilité insuffisante des participations et filiales
Risques résultant d'un niveau de rentabilité annuelle insuffisant pour amortir les coûts d'acquisition
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10316 Risques relatifs aux informations disponibles sur le marché
Risques de non-disponibilité des informations nécessaires à la gestion des actifs
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs R10317 Risques crédit réassureurs Risque de défaillance d'un réassureur réduisant ses capacités à remplir ses engagements
66
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
Niveau 1 Famille Définition Risques Niveau 1Niveau
2Risques Niveau 2 Définition Risques Niveau 2 Risques Niveau 3 Définition Risques Niveau 3
R1 Financiers Risques de gestion de bilan ou financière R104 Endettement Risques résultant d'un endettement trop important eu égard aux charges de remboursement ou aux taux des emprunts en cours
R10401 Risques d'endettement inadéquat
R1 Financiers Risques de gestion de bilan ou financière R104 Endettement Risques résultant d'un endettement trop important eu égard aux charges de remboursement ou aux taux des emprunts en cours
R10402 Risques de surendettement
R1 Financiers Risques de gestion de bilan ou financière R105 Engagements hors bilan Risques résultant de garanties accordées de façon contractuelle à des tiers, et non représentées au bilan
R10501
R1 Financiers Risques de gestion de bilan ou financière R105 Engagements hors bilan Risques résultant de garanties accordées de façon contractuelle à des tiers, et non représentées au bilan
R10502
R1 Financiers Risques de gestion de bilan ou financière R105 Engagements hors bilan Risques résultant de garanties accordées de façon contractuelle à des tiers, et non représentées au bilan
R10503 Risques de caution ou assimilés
R2 Assurance Risques spécifiques aux activités d'assurance R201 Marketing Risques résultant d'une mauvaise démarche marketing assurance
R20101
R2 Assurance Risques spécifiques aux activités d'assurance R201 Marketing Risques résultant d'une mauvaise démarche marketing assurance
R20102 Risques d'erreur de communication marketing
R2 Assurance Risques spécifiques aux activités d'assurance R202 Technique Risques résultant de caractéristiques des produits nuisant à leur rentabilité (provenant ou non de la réalisation de risques production ou marketing)
R20201
R2 Assurance Risques spécifiques aux activités d'assurance R202 Technique Risques résultant de caractéristiques des produits nuisant à leur rentabilité (provenant ou non de la réalisation de risques production ou marketing)
R20202
R2 Assurance Risques spécifiques aux activités d'assurance R202 Technique Risques résultant de caractéristiques des produits nuisant à leur rentabilité (provenant ou non de la réalisation de risques production ou marketing)
R20203 Risques de non-rentabilité à moyen ou long terme
R2 Assurance Risques spécifiques aux activités d'assurance R203 Souscription Risques relatifs à la souscription de contrats d'assurance, ou à l'acceptation de traités ou facultatives de réassurance, hors sinistralité et prestations
R20301 Risques provenant du non-respect des règles et guides de souscription
R2 Assurance Risques spécifiques aux activités d'assurance R203 Souscription Risques relatifs à la souscription de contrats d'assurance, ou à l'acceptation de traités ou facultatives de réassurance, hors sinistralité et prestations
R20302
R2 Assurance Risques spécifiques aux activités d'assurance R203 Souscription Risques relatifs à la souscription de contrats d'assurance, ou à l'acceptation de traités ou facultatives de réassurance, hors sinistralité et prestations
R20303 Risques de cumul de souscription
R2 Assurance Risques spécifiques aux activités d'assurance R203 Souscription Risques relatifs à la souscription de contrats d'assurance, ou à l'acceptation de traités ou facultatives de réassurance, hors sinistralité et prestations
R20304 Risques de cumul souscription/actif
R2 Assurance Risques spécifiques aux activités d'assurance R203 Souscription Risques relatifs à la souscription de contrats d'assurance, ou à l'acceptation de traités ou facultatives de réassurance, hors sinistralité et prestations
R20305 Risques d'apérition Risques relatifs à la gestion des coassurances ou des coréassurances
R2 Assurance Risques spécifiques aux activités d'assurance R203 Souscription Risques relatifs à la souscription de contrats d'assurance, ou à l'acceptation de traités ou facultatives de réassurance, hors sinistralité et prestations
R20306
R2 Assurance Risques spécifiques aux activités d'assurance R203 Souscription Risques relatifs à la souscription de contrats d'assurance, ou à l'acceptation de traités ou facultatives de réassurance, hors sinistralité et prestations
R20307 Risques de recouvrement des primes Risques de non-paiement ou de retard de règlement de sa prime par le contractant
R2 Assurance Risques spécifiques aux activités d'assurance R203 Souscription Risques relatifs à la souscription de contrats d'assurance, ou à l'acceptation de traités ou facultatives de réassurance, hors sinistralité et prestations
R20308 Fréquence élevée de chute ou de réductions de contrats (arrêt du paiement des primes)
R2 Assurance Risques spécifiques aux activités d'assurance R204 Sinistralité non-vie / Prestations vie
Risques résultant d'une déviation de la charge sinistres ou prestations compromettant l'équilibre attendu entre primes et charges techniques des portefeuilles
R20401 Risques de déviation de la sinistralité
R2 Assurance Risques spécifiques aux activités d'assurance R204 Sinistralité non-vie / Prestations vie
Risques résultant d'une déviation de la charge sinistres ou prestations compromettant l'équilibre attendu entre primes et charges techniques des portefeuilles
R20402 Risques de fréquence des sinistres de pointe Survenance plus fréquente qu'attendu, de sinistres de montant élevé
R2 Assurance Risques spécifiques aux activités d'assurance R204 Sinistralité non-vie / Prestations vie
Risques résultant d'une déviation de la charge sinistres ou prestations compromettant l'équilibre attendu entre primes et charges techniques des portefeuilles
R20403 Risques de cumul de sinistres
R2 Assurance Risques spécifiques aux activités d'assurance R204 Sinistralité non-vie / Prestations vie
Risques résultant d'une déviation de la charge sinistres ou prestations compromettant l'équilibre attendu entre primes et charges techniques des portefeuilles
R20404 Risques de rachat (vie) Fréquence élevée de rachats de contrats "épargne"
R2 Assurance Risques spécifiques aux activités d'assurance R204 Sinistralité non-vie / Prestations vie
Risques résultant d'une déviation de la charge sinistres ou prestations compromettant l'équilibre attendu entre primes et charges techniques des portefeuilles
R20405 Risques de longévité (rentes viagères)
Typologie des risques 2006
67
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
Niveau 1 Famille Définition Risques Niveau 1Niveau
2Risques Niveau 2 Définition Risques Niveau 2
Niveau 3
Risques Niveau 3 Définition Risques Niveau 3
R1 Financiers Risques de gestion de bilan ou financière R104 Endettement R10401 Risques d'endettement inadéquat Niveau d'endettement du Groupe inexistant, l'empêchant d'optimiser ses ressources ou sa rentabilité
R1 Financiers Risques de gestion de bilan ou financière R104 Endettement R10402 Risques de surendettement Niveau d'endettement du Groupe trop élevé, pouvant entraîner une crise de liquidité ou rendre impossible le financement de la croissance du Groupe
R1 Financiers Risques de gestion de bilan ou financière R105 Engagements hors bilan R10501 Risques d'engagements sur valorisation d'actifs
Risques que certains engagements reçus sur actifs soient surévalués ou ne puissent être recouvrés
R1 Financiers Risques de gestion de bilan ou financière R105 Engagements hors bilan R10502 Risques d'engagements sur valorisation de passifs
Risques que certains engagements donnés sur passifs soient insuffisamment estimés ou non recensés au bilan
R1 Financiers Risques de gestion de bilan ou financière R105 Engagements hors bilan R10503 Risques de caution ou assimilés Risques que les garanties, avals ou cautions ne soient pas suffisamment évalués ou recensés dans les comptes
R2 Assurance Risques spécifiques aux activités d'assurance R201 Marketing R20101 Risques de mauvaise analyse des marchés cibles
Risques provenant d'une mauvaise identification des besoins, d'une mauvaise segmentation clientèle, …, conduisant à l'élaboration de produits inadaptés
R2 Assurance Risques spécifiques aux activités d'assurance R201 Marketing R20102 Risques d'erreur de communication marketing Décalage entre le contenu d'un message et sa compréhension, ou sa prise en compte, par le destinaire de l'information, et risques de publicité trompeuse
R2 Assurance Risques spécifiques aux activités d'assurance R202 Technique R20201 Risques de définition produit (contrat d'assurance ou traité de réassurance en acceptation)
Risques provenant d'une définition des conditions d'assurance ou de réassurance impropres à une viabilité économique (quelle que soit la tarification)
R2 Assurance Risques spécifiques aux activités d'assurance R202 Technique R20202 Risques de tarification (assurance ou réassurance acceptée)
Risques issus de tarifs soit insuffisants par rapport au coût réel des garanties et frais de gestion, soit trop élevés et générateurs d'anti-sélection
R2 Assurance Risques spécifiques aux activités d'assurance R202 Technique R20203 Risques de non-rentabilité des produits d'assurance ou des traités de réassurance acceptés
Risques de non-rentabilité à moyen ou long terme
R2 Assurance Risques spécifiques aux activités d'assurance R203 Souscription R20301 Risques de non-conformité aux normes de souscription
Risques provenant du non-respect des règles et guides de souscription
R2 Assurance Risques spécifiques aux activités d'assurance R203 Souscription R20302 Risques de qualité insuffisante de l'objet du risque
Souscriptions de mauvaise qualité, quant aux risques soucrits, malgré leur conformité aux règles
R2 Assurance Risques spécifiques aux activités d'assurance R203 Souscription R20303 Risques de cumul de souscription Dépassement des engagements acceptables sur un même site, un même client, ou un même risque d'assurance
R2 Assurance Risques spécifiques aux activités d'assurance R203 Souscription R20304 Risques de cumul souscription/actif Effets cumulatifs dus à la dépendance ou la corrélation entre des risques de souscription et des risques sur les actifs
R2 Assurance Risques spécifiques aux activités d'assurance R203 Souscription R20305 Risques d'apérition Risques relatifs à la gestion des coassurances ou des coréassurances
R2 Assurance Risques spécifiques aux activités d'assurance R203 Souscription R20306 Risques de coassurance non apéritrice ou de coréassurance suiveuse
Risques de mauvaise gestion ou d'informations insuffisantes émanant de l'apériteur ou du coréassureur leader
R2 Assurance Risques spécifiques aux activités d'assurance R203 Souscription R20307 Risques de recouvrement des primes Risques de non-paiement ou de retard de règlement de sa prime par le contractant
R2 Assurance Risques spécifiques aux activités d'assurance R203 Souscription R20308 Risques d'annulation, de résiliation, de réduction
Fréquence élevée de chute ou de réductions de contrats (arrêt du paiement des primes)
R2 Assurance Risques spécifiques aux activités d'assurance R204 R20401 Risques de déviation de la sinistralité Evolution défavorable de la charge sinistre dans une ou plusieurs catégories d'assurance, d'une façon plus ou moins rapide (augmentation de fréquence ou d'intensité)
R2 Assurance Risques spécifiques aux activités d'assurance R204 R20402 Risques de fréquence des sinistres de pointe Survenance plus fréquente qu'attendu, de sinistres de montant élevé
R2 Assurance Risques spécifiques aux activités d'assurance R204 R20403 Risques de cumul de sinistres Survenance d'un sinistre catastrophique, d'un cumul RC ou sériel, ou d'un cumul de sinistres entre plusieurs branches
R2 Assurance Risques spécifiques aux activités d'assurance R204 R20404 Risques de rachat (vie) Fréquence élevée de rachats de contrats "épargne"
R2 Assurance Risques spécifiques aux activités d'assurance R204 R20405 Risques de longévité (rentes viagères) Durée de survie des rentiers supérieure à ce qui avait été pris en compte dans les tarifs de rentes
68
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
Niveau 1 Famille Définition Risques Niveau 1Niveau
2Risques Niveau 2 Définition Risques Niveau 2 Risques Niveau 3 Définition Risques Niveau 3
R2 Assurance Risques spécifiques aux activités d'assurance R205 Provisionnement Risques résultant d'un provisionnement inadapté à l'évolution de la charge sinistres et prestations en cours ou à venir
R20501 Risques résultant de provisions insuffisantes devant la charge sinistres à venir
R2 Assurance Risques spécifiques aux activités d'assurance R205 Provisionnement Risques résultant d'un provisionnement inadapté à l'évolution de la charge sinistres et prestations en cours ou à venir
R20502
R2 Assurance Risques spécifiques aux activités d'assurance R205 Provisionnement Risques résultant d'un provisionnement inadapté à l'évolution de la charge sinistres et prestations en cours ou à venir
R20503
R2 Assurance Risques spécifiques aux activités d'assurance R206 Participations aux bénéfices Risques relatifs aux participations aux bénéfices attribuées aux assurés vie
R20601
R2 Assurance Risques spécifiques aux activités d'assurance R206 Participations aux bénéfices Risques relatifs aux participations aux bénéfices attribuées aux assurés vie
R20602 Risques relatifs au niveau de PB
R2 Assurance Risques spécifiques aux activités d'assurance R207 Réassurance de protection Risques résultant des conditions négociées avec les réassureurs
R20701
R2 Assurance Risques spécifiques aux activités d'assurance R207 Réassurance de protection Risques résultant des conditions négociées avec les réassureurs
R20702 Risques de surcoût de la réassurance Traités de réassurance tarifés trop cher
R2 Assurance Risques spécifiques aux activités d'assurance R207 Réassurance de protection Risques résultant des conditions négociées avec les réassureurs
R20703 Risques de litige avec les réassureurs Risques de contestation de garantie par un réassureur
R2 Assurance Risques spécifiques aux activités d'assurance R208 Législatif et réglementaire assurances
Risques résultant d'une mauvaise application du code des assurances dans le domaine technique et produits
R20801
R2 Assurance Risques spécifiques aux activités d'assurance R208 Législatif et réglementaire assurances
Risques résultant d'une mauvaise application du code des assurances dans le domaine technique et produits
R20802
R2 Assurance Risques spécifiques aux activités d'assurance R208 Législatif et réglementaire assurances
Risques résultant d'une mauvaise application du code des assurances dans le domaine technique et produits
R20803
R2 Assurance Risques spécifiques aux activités d'assurance R208 Législatif et réglementaire assurances
Risques résultant d'une mauvaise application du code des assurances dans le domaine technique et produits
R20804
R2 Assurance Risques spécifiques aux activités d'assurance R208 Législatif et réglementaire assurances
Risques résultant d'une mauvaise application du code des assurances dans le domaine technique et produits
R20805
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R301 Production Risques résultant de défauts dans la chaîne de réalisation, de vente, ou de gestion d'un produit commercial ou administratif
R30101 Risques de modèle
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R301 Production Risques résultant de défauts dans la chaîne de réalisation, de vente, ou de gestion d'un produit commercial ou administratif
R30102 Risques de données
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R301 Production Risques résultant de défauts dans la chaîne de réalisation, de vente, ou de gestion d'un produit commercial ou administratif
R30103 Risques de traitement
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R301 Production Risques résultant de défauts dans la chaîne de réalisation, de vente, ou de gestion d'un produit commercial ou administratif
R30104 Risques de délai
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R302 Humain Risques résultant de l'intervention humaine dans les activités
R30201 Risques d'erreur Risques d'erreurs humaines dans la réalisation des opérations, quelles qu'elles soient
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R302 Humain Risques résultant de l'intervention humaine dans les activités
R30202 Risques de non-respect des procédures
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R302 Humain Risques résultant de l'intervention humaine dans les activités
R30203 Risques de recrutement inadéquat Risques générés par des "erreurs d'embauche"
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R302 Humain Risques résultant de l'intervention humaine dans les activités
R30204 Risques d'instabilité de performance Risques de dégradation de la performance individuelle
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R302 Humain Risques résultant de l'intervention humaine dans les activités
R30205 Risques de perte de capital humain
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R302 Humain Risques résultant de l'intervention humaine dans les activités
R30206 Risques relatifs aux coûts salariaux
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R302 Humain Risques résultant de l'intervention humaine dans les activités
R30207
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R302 Humain Risques résultant de l'intervention humaine dans les activités
R30208
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R302 Humain Risques résultant de l'intervention humaine dans les activités
R30209
Typologie des risques 2006
69
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
Niveau 1 Famille Définition Risques Niveau 1Niveau
2Risques Niveau 2 Définition Risques Niveau 2
Niveau 3
Risques Niveau 3 Définition Risques Niveau 3
R2 Assurance Risques spécifiques aux activités d'assurance R205 Provisionnement R20501 Risques relatifs aux montants de provisions de primes (hors PM)
Risques résultant de provisions insuffisantes devant la charge sinistres à venir
R2 Assurance Risques spécifiques aux activités d'assurance R205 Provisionnement R20502 Risques relatifs aux montants de provisions mathématiques (PM)
Risques résultant de provisions mathématiques (vie et rentes auto) insuffisantes face aux prestations à régler
R2 Assurance Risques spécifiques aux activités d'assurance R205 Provisionnement R20503 Risques relatifs aux montants de provisions pour sinistres
Risques résultant de provisions pour sinistres insuffisantes devant la charge en sinistres survenus
R2 Assurance Risques spécifiques aux activités d'assurance R206 Participations aux bénéfices R20601 Risques relatifs à l'application des clauses de PB
Risques résultant d'attributions de PB aux assurés non conformes aux clauses des contrats
R2 Assurance Risques spécifiques aux activités d'assurance R206 Participations aux bénéfices R20602 Risques relatifs au niveau de PB Risques résultant d'un niveau insuffisant des attributions de PB aux assurés (au vu de la concurrence, des caractéristiques du produit, des attentes des assurés)
R2 Assurance Risques spécifiques aux activités d'assurance R207 Réassurance de protection R20701 Risques d'inadéquation des couvertures de réassurance
Programme de réassurance insuffisant pour protéger correctement un portefeuille, compte tenu de la rétention supportable par l'entreprise
R2 Assurance Risques spécifiques aux activités d'assurance R207 Réassurance de protection R20702 Risques de surcoût de la réassurance Traités de réassurance tarifés trop cher
R2 Assurance Risques spécifiques aux activités d'assurance R207 Réassurance de protection R20703 Risques de litige avec les réassureurs Risques de contestation de garantie par un réassureur
R2 Assurance Risques spécifiques aux activités d'assurance R208 R20801 Risques relatifs au non-respect d'obligations réglementaires sur les produits
R2 Assurance Risques spécifiques aux activités d'assurance R208 R20802 Risques relatifs au non-respect d'obligations réglementaires sur les tarifs
R2 Assurance Risques spécifiques aux activités d'assurance R208 R20803 Risques relatifs au non-respect d'obligations réglementaires sur le calcul des provisions techniques
R2 Assurance Risques spécifiques aux activités d'assurance R208 R20804 Risques relatifs au non-respect d'obligations réglementaires sur la participation aux bénéfices
R2 Assurance Risques spécifiques aux activités d'assurance R208 R20805 Risques relatifs au non-respect d'autres obligations réglementaires dans le domaine technique
R3 Opérationnels R301 Production R30101 Risques de modèle Non-adéquation (par rapport à la problématique, au contenu ou à la structure des données, aux moyens disponibles) d’un modèle de référence pour la conception d'un processus, d'une procédure, d'une organisation physique, fonctionnelle ou autre, d'une action
R3 Opérationnels R301 Production R30102 Risques de données Données (comptables ou financières, statistiques ou techniques, de pilotage ou de reporting, …) internes ou externes à la compagnie, utilisées dans un processus interne, dont le caractère erroné, incomplet, non homogène, ou de non-conformité d’unité, va à l’encontre de l’objectif de leur usage
R3 Opérationnels R301 Production R30103 Risques de traitement Réalisation d’un traitement (informatique ou manuel) dans des conditions non conformes à l’objectif auquel ce traitement a été conçu
R3 Opérationnels R301 Production R30104 Risques de délai Temps de réalisation d'un processus opérationnel ou fonctionnel non conforme à celui qui était assigné au processus pour l’atteinte de son objectif
R3 Opérationnels R302 Humain R30201 Risques d'erreur Risques d'erreurs humaines dans la réalisation des opérations, quelles qu'elles soient
R3 Opérationnels R302 Humain R30202 Risques de non-respect des procédures Risques que des procédures soient dénaturées, contournées, mal appliquées, inappliquées ou annulées
R3 Opérationnels R302 Humain R30203 Risques de recrutement inadéquat Risques générés par des "erreurs d'embauche"
R3 Opérationnels R302 Humain R30204 Risques d'instabilité de performance Risques de dégradation de la performance individuelle
R3 Opérationnels R302 Humain R30205 Risques de perte de capital humain Risques de gestion prévisionnelle de l'emploi insuffisante, de perte d'"homme clé", de débauchage de personnel
R3 Opérationnels R302 Humain R30206 Risques relatifs aux coûts salariaux Risques d'un niveau de salaire globalement plus élevé que ce qu'il ne devrait être compte tenu de l'état du marché du travail, conduisant à des surcoûts portant préjudice à la compétitivité de l'entreprise
R3 Opérationnels R302 Humain R30207 Risques d'inadéquation de la formation du personnel
Risques d'insuffisance du niveau de formation/qualification par rapport aux tâches à accomplir
R3 Opérationnels R302 Humain R30208 Risques de mauvaise application de la réglementation du travail
R3 Opérationnels R302 Humain R30209 Risques de non-adéquation de la politique de gestion RH avec la stratégie
Mauvaise prise en compte des besoins à court, moyen et long terme en compétences compte tenu des axes de développement privilégiés par le plan stratégique
70
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
Niveau 1 Famille Définition Risques Niveau 1Niveau
2Risques Niveau 2 Définition Risques Niveau 2 Risques Niveau 3 Définition Risques Niveau 3
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R302 Humain Risques résultant de l'intervention humaine dans les activités
R30210
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R302 Humain Risques résultant de l'intervention humaine dans les activités
R30211
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R302 Humain Risques résultant de l'intervention humaine dans les activités
R30212 Risques conventionnels ou contractuels Risques générés par les conditions de collaboration contractualisées
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R302 Humain Risques résultant de l'intervention humaine dans les activités
R30213 Risques sociaux Risques de conflits sociaux
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R302 Humain Risques résultant de l'intervention humaine dans les activités
R30214 Risques d'hygiène et de santé mentale
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R302 Humain Risques résultant de l'intervention humaine dans les activités
R30215 Risques d'accident
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R302 Humain Risques résultant de l'intervention humaine dans les activités
R30216
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R302 Humain Risques résultant de l'intervention humaine dans les activités
R30217 Risques de non-respect de la confidentialité
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R302 Humain Risques résultant de l'intervention humaine dans les activités
R30218 Risques de détournement de fonds de clients
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R302 Humain Risques résultant de l'intervention humaine dans les activités
R30219 Risques de fraude à l'assurance, de collusion
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R302 Humain Risques résultant de l'intervention humaine dans les activités
R30220 Risques de blanchiment
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R302 Humain Risques résultant de l'intervention humaine dans les activités
R30221
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R302 Humain Risques résultant de l'intervention humaine dans les activités
R30222 Défaut d'application de la loi informatique et libertés
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R302 Humain Risques résultant de l'intervention humaine dans les activités
R30223 Non-respect de la déontologie des relations avec un réseau d'apporteurs
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R302 Humain Risques résultant de l'intervention humaine dans les activités
R30224 Risques de corruption
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R303 Commercial Risques résultant de défauts dans les réseaux ou les forces de vente
R30301
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R303 Commercial Risques résultant de défauts dans les réseaux ou les forces de vente
R30302
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R303 Commercial Risques résultant de défauts dans les réseaux ou les forces de vente
R30303 Risques de réseau insuffisant Nombre insuffisant de vendeurs pour atteindre les objectifs de vente
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R303 Commercial Risques résultant de défauts dans les réseaux ou les forces de vente
R30304 Risques d'impréparation du réseau
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R303 Commercial Risques résultant de défauts dans les réseaux ou les forces de vente
R30305
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R303 Commercial Risques résultant de défauts dans les réseaux ou les forces de vente
R30306 Risques de commissionnement inadapté
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R303 Commercial Risques résultant de défauts dans les réseaux ou les forces de vente
R30307 Risques de défaillance d'un courtier Risques générés par la faillite d'un courtier
Typologie des risques 2006
71
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
Niveau 1 Famille Définition Risques Niveau 1Niveau
2Risques Niveau 2 Définition Risques Niveau 2
Niveau 3
Risques Niveau 3 Définition Risques Niveau 3
R3 Opérationnels R302 Humain R30210 Risques relatifs à la diffusion de l'information et des données en interne
Risques de carences ou maladresses dans la diffusion des messages et des données en interne (hors logistique courrier interne)
R3 Opérationnels R302 Humain R30211 Risques de rémunération inadaptée (entraînant des réactions individuelles)
Risques générés par une rémunération des salariés non commerciaux inadéquate avec les profils et postes occupés
R3 Opérationnels R302 Humain R30212 Risques conventionnels ou contractuels Risques générés par les conditions de collaboration contractualisées
R3 Opérationnels R302 Humain R30213 Risques sociaux Risques de conflits sociaux
R3 Opérationnels R302 Humain R30214 Risques d'hygiène et de santé mentale Risques de maladie due à un défaut d'hygiène ou à des conditions d'emploi génératrices de troubles physiques ou mentaux
R3 Opérationnels R302 Humain R30215 Risques d'accident Risques d'accident subi par les dirigeants, commerciaux et salariés dans le cadre du travail dans les bureaux ou durant les déplacements professionnels
R3 Opérationnels R302 Humain R30216 Risques de détournement de fonds ou de biens matériels de l'entreprise
Risques de détournement de fonds ou de biens matériels de la compagnie par un membre du personnel, un mandataire, un courtier, …
R3 Opérationnels R302 Humain R30217 Risques de non-respect de la confidentialité Risques de divulgation à des tiers d'informations stratégiques de la compagnie par un membre du personnel
R3 Opérationnels R302 Humain R30218 Risques de détournement de fonds de clients Risques de détournement de fonds appartenant à un client de la compagnie, par un intermédiaire ou un membre du personnel
R3 Opérationnels R302 Humain R30219 Risques de fraude à l'assurance, de collusion Fraude de la part d'un assuré ou bénéficaire; entente préjudiciable aux intérêts de la compagnie entre :- un tiers à la compagnie et un employé ou un intermédiaire ;- un employé et un intermédiaire ;- deux ou plusieurs intermédiaires ;- deux ou plusieurs employés.
R3 Opérationnels R302 Humain R30220 Risques de blanchiment Fait "d'apporter un concours à une option de placement, de dissimulation ou de conversion du produit direct ou indirect d'un crime ou d'un délit" (cf. Code Pénal art 324-1)
R3 Opérationnels R302 Humain R30221 Risques relatifs aux règles de déontologie financière
Non-respect par un membre du personnel des règles régissant la profession en matière d'éthique
R3 Opérationnels R302 Humain R30222 Risques relatifs au respect de la loi informatique et libertés
Défaut d'application de la loi informatique et libertés
R3 Opérationnels R302 Humain R30223 Risques relatifs à la déontologie commerciale vis à vis des intermédiaires
Non-respect de la déontologie des relations avec un réseau d'apporteurs
R3 Opérationnels R302 Humain R30224 Risques de corruption Risques de corruption active ou passive de membres du personnel, de commerciaux mandataires, salariés ou indépendants (courtiers)
R3 Opérationnels R303 Commercial R30301 Risques de non-conformité des opérations de distribution aux réglementations en vigueur
Non-respect de la déontologie en matière de conseil au client, actes commerciaux non conformes au droit de la concurrence et de la consommation (vente liée, …) ou aux règles de démarchage, …
R3 Opérationnels R303 Commercial R30302 Autres risques de mauvaise appréciation/prise en compte de la situation/des besoins d'un client
Mauvaise appréciation et prise en compte des véritables besoins du client, de sa situation fiscale, familiale ou professionnelle avec un impact négatif sur le choix du contrat, le mode de règlement, etc..
R3 Opérationnels R303 Commercial R30303 Risques de réseau insuffisant Nombre insuffisant de vendeurs pour atteindre les objectifs de vente
R3 Opérationnels R303 Commercial R30304 Risques d'impréparation du réseau Risques d'insuffisance de préparation par la formation, l'information, et la non-communication des objectifs
R3 Opérationnels R303 Commercial R30305 Risques de non-respect des limites de délégation commerciale
Abus ou non-respect de pouvoir de délégation de la part d'un délégataire commercial ou mandataire
R3 Opérationnels R303 Commercial R30306 Risques de commissionnement inadapté Risques générés par un système ou une grille de commissionnement des intermédiaires non conforme avec les objectifs de vente ou de rentabilité
R3 Opérationnels R303 Commercial R30307 Risques de défaillance d'un courtier Risques générés par la faillite d'un courtier
72
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
Niveau 1 Famille Définition Risques Niveau 1Niveau
2Risques Niveau 2 Définition Risques Niveau 2 Risques Niveau 3 Définition Risques Niveau 3
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R304 Organisation Risques résultant de défauts dans l'organisation de l'entreprise et de ses procédures
R30401
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R304 Organisation Risques résultant de défauts dans l'organisation de l'entreprise et de ses procédures
R30402
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R304 Organisation Risques résultant de défauts dans l'organisation de l'entreprise et de ses procédures
R30403 Risques d'interface inter-services
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R304 Organisation Risques résultant de défauts dans l'organisation de l'entreprise et de ses procédures
R30404 Risques de surcoût Organisation entraînant des coûts de fontionnement trop élevés
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R304 Organisation Risques résultant de défauts dans l'organisation de l'entreprise et de ses procédures
R30405 Risques de délégation de pouvoir
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R304 Organisation Risques résultant de défauts dans l'organisation de l'entreprise et de ses procédures
R30406 Risques d'ordonnancement
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R305 Systèmes d'information Risques résultant de défauts, défaillances ou dysfonctionnements de l'outil informatique (matériels et logiciels)
R30501 Risques de stabilité de l'outil informatique
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R305 Systèmes d'information Risques résultant de défauts, défaillances ou dysfonctionnements de l'outil informatique (matériels et logiciels)
R30502 Risques de pérennité de l'outil informatique Correspond à un outil informatique pour lequel la durée de vie est incertaine
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R305 Systèmes d'information Risques résultant de défauts, défaillances ou dysfonctionnements de l'outil informatique (matériels et logiciels)
R30503 Risques de données informatiques Données informatiques erronées, non conformes aux attentes
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R305 Systèmes d'information Risques résultant de défauts, défaillances ou dysfonctionnements de l'outil informatique (matériels et logiciels)
R30504 Risques d'administration informatique
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R305 Systèmes d'information Risques résultant de défauts, défaillances ou dysfonctionnements de l'outil informatique (matériels et logiciels)
R30505 Risques de paramétrage informatique
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R305 Systèmes d'information Risques résultant de défauts, défaillances ou dysfonctionnements de l'outil informatique (matériels et logiciels)
R30506 Risques de réseau informatique
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R305 Systèmes d'information Risques résultant de défauts, défaillances ou dysfonctionnements de l'outil informatique (matériels et logiciels)
R30507 Risques de plan de continuité informatique
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R305 Systèmes d'information Risques résultant de défauts, défaillances ou dysfonctionnements de l'outil informatique (matériels et logiciels)
R30508 Risques de recette
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R305 Systèmes d'information Risques résultant de défauts, défaillances ou dysfonctionnements de l'outil informatique (matériels et logiciels)
R30509 Risques de panne informatique
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R305 Systèmes d'information Risques résultant de défauts, défaillances ou dysfonctionnements de l'outil informatique (matériels et logiciels)
R30510 Risques de contrefaçons de logiciels Actes de piratage de logiciels informatiques
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R306 Logistique hors SI Risques résultant de défauts dans un processus support hors SI et RH
R30601
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R306 Logistique hors SI Risques résultant de défauts dans un processus support hors SI et RH
R30602 Risques relatifs au matériel Risques relatifs à la gestion du matériel, hors immeubles et informatique
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R306 Logistique hors SI Risques résultant de défauts dans un processus support hors SI et RH
R30603 Risques d'accueil Risques relatifs à la qualité de l'accueil assumé par les hôtesses et les standardistes
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R306 Logistique hors SI Risques résultant de défauts dans un processus support hors SI et RH
R30604 Risques de transport
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R306 Logistique hors SI Risques résultant de défauts dans un processus support hors SI et RH
R30605 Risques de courrier
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R306 Logistique hors SI Risques résultant de défauts dans un processus support hors SI et RH
R30606
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R306 Logistique hors SI Risques résultant de défauts dans un processus support hors SI et RH
R30607 Risques de surcoût Risques de payer des produits ou des services plus cher que le marché
Typologie des risques 2006
73
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
Niveau 1 Famille Définition Risques Niveau 1Niveau
2Risques Niveau 2 Définition Risques Niveau 2
Niveau 3
Risques Niveau 3 Définition Risques Niveau 3
R3 Opérationnels R304 Organisation R30401 Risques d'inadéquation de l'organisation fonctionnelle
Risques d'inadéquation de l'organisation fonctionnelle aux activités, à la mise en œuvre de la stratégie, au profil des compétences disponibles, à la gestion des relations avec les intermédiaires et avec les clients, …
R3 Opérationnels R304 Organisation R30402 Risques d'inadéquation de l'organisation des processus et procédures
Risques d'inadéquation des processus et procédures aux objectifs stratégiques ou aux risques
R3 Opérationnels R304 Organisation R30403 Risques d'interface inter-services Risques de dysfonctionnement des interfaces entre plusieurs fonctions, qu'elles s'appuient sur des moyens humains, de connectique, informatiques ou autres moyens logistiques
R3 Opérationnels R304 Organisation R30404 Risques de surcoût Organisation entraînant des coûts de fontionnement trop élevés
R3 Opérationnels R304 Organisation R30405 Risques de délégation de pouvoir Mauvaise attribution de pouvoir de délégation (défaut de compétence, incohérence avec l'organisation, …)
R3 Opérationnels R304 Organisation R30406 Risques d'ordonnancement Mauvaise attribution de pouvoir d'ordonnancement (défaut de compétence, incohérence avec l'organisation, …)
R3 Opérationnels R305 Systèmes d'information R30501 Risques de stabilité de l'outil informatique Correspond à un outil informatique qui ne garantit pas de façon certaine les objectifs auxquels il est assigné
R3 Opérationnels R305 Systèmes d'information R30502 Risques de pérennité de l'outil informatique Correspond à un outil informatique pour lequel la durée de vie est incertaine
R3 Opérationnels R305 Systèmes d'information R30503 Risques de données informatiques Données informatiques erronées, non conformes aux attentes
R3 Opérationnels R305 Systèmes d'information R30504 Risques d'administration informatique Correspond à la défaillance des activités dévolues à la surveillance et aux contrôles d'un réseau informatique, des données introduites dans un système, du parc informatique, du bon déroulement des traitements
R3 Opérationnels R305 Systèmes d'information R30505 Risques de paramétrage informatique Correspond à une erreur dans le paramètrage des systèmes informatiques ou une non-mise à jour des paramètres (règles de gestion ou données paramètres erronnées), pouvant notamment être à l'origine de dysfonctionnements d'interfaces
R3 Opérationnels R305 Systèmes d'information R30506 Risques de réseau informatique Correspond à un réseau informatique non conforme aux objectifs qui lui sont assignés : sécurisé, stable, sans perte de données, maintien du débit normalement attendu, …
R3 Opérationnels R305 Systèmes d'information R30507 Risques de plan de continuité informatique Non-continuité de l'exploitation par absence de procédures de secours en cas de difficultés graves dans le fonctionnement des systèmes informatiques
R3 Opérationnels R305 Systèmes d'information R30508 Risques de recette Correspond à des tests, jeux d'essais incomplets qui peuvent induire des erreurs plus ou moins graves en production
R3 Opérationnels R305 Systèmes d'information R30509 Risques de panne informatique Arrêt de fonctionnement du système soit en laison avec un risque précédent soit du fait d'un événement extérieur
R3 Opérationnels R305 Systèmes d'information R30510 Risques de contrefaçons de logiciels Actes de piratage de logiciels informatiques
R3 Opérationnels R306 Logistique hors SI R30601 Risques générés par les immeubles d'exploitation (en propriété ou en location)
Risques de sinistre (incendie, dommages à des tiers, …), risques relatifs à la continuité des opérations, risques relatifs à la gestion des immeubles (hors sécurité du personnel)
R3 Opérationnels R306 Logistique hors SI R30602 Risques relatifs au matériel Risques relatifs à la gestion du matériel, hors immeubles et informatique
R3 Opérationnels R306 Logistique hors SI R30603 Risques d'accueil Risques relatifs à la qualité de l'accueil assumé par les hôtesses et les standardistes
R3 Opérationnels R306 Logistique hors SI R30604 Risques de transport Risques générés par les déplacements des commefciaux, du personnel et des dirigeants, les transports d'objets et les déménagements
R3 Opérationnels R306 Logistique hors SI R30605 Risques de courrier Risques logistiques générés par la réception et la communication en interne du courrier externe et du courrier interne
R3 Opérationnels R306 Logistique hors SI R30606 Risques relatifs à la conservation des documents
Défaut de mode de classement ou de manipulation des documents (rangement, transfert, archivage)
R3 Opérationnels R306 Logistique hors SI R30607 Risques de surcoût Risques de payer des produits ou des services plus cher que le marché
74
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
Niveau 1 Famille Définition Risques Niveau 1Niveau
2Risques Niveau 2 Définition Risques Niveau 2 Risques Niveau 3 Définition Risques Niveau 3
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R307 Relations avec les tiers Risques résultant de défaillance de qualité dans les relations avec les tiers
R30701 Risques de notation Risques de mauvaise notation par une agence spécialisée
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R307 Relations avec les tiers Risques résultant de défaillance de qualité dans les relations avec les tiers
R30702 Risques juridiques et de mise en cause
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R307 Relations avec les tiers Risques résultant de défaillance de qualité dans les relations avec les tiers
R30703 Risques de contractualisation insuffisante
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R307 Relations avec les tiers Risques résultant de défaillance de qualité dans les relations avec les tiers
R30704
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R307 Relations avec les tiers Risques résultant de défaillance de qualité dans les relations avec les tiers
R30705
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R307 Relations avec les tiers Risques résultant de défaillance de qualité dans les relations avec les tiers
R30706 Risques fournisseurs de matériels
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R307 Relations avec les tiers Risques résultant de défaillance de qualité dans les relations avec les tiers
R30707 Risques de maintenance
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R307 Relations avec les tiers Risques résultant de défaillance de qualité dans les relations avec les tiers
R30708 Risques sur la gestion de situation de crise
R3 Opérationnels Risques provenant directement de la mise en place et de la mise en œuvre des moyens et procédures de fonctionnement
R307 Relations avec les tiers Risques résultant de défaillance de qualité dans les relations avec les tiers
R30709 Risques de malveillance
R4 Comptables Risques relatifs au domaine comptable R401 Opérations de comptabilisation
Risques de traitements comptables inexacts, non justifiés ou non traçables
R40101 Comptabilité générale entité sociale
R4 Comptables Risques relatifs au domaine comptable R401 Opérations de comptabilisation
Risques de traitements comptables inexacts, non justifiés ou non traçables
R40102 Comptabilité générale de consolidation
R4 Comptables Risques relatifs au domaine comptable R401 Opérations de comptabilisation
Risques de traitements comptables inexacts, non justifiés ou non traçables
R40103 Risques de non-traçabilité
R4 Comptables Risques relatifs au domaine comptable R401 Opérations de comptabilisation
Risques de traitements comptables inexacts, non justifiés ou non traçables
R40104 Justification des écritures Risques liés à la perte ou l'inexistence de pièces justificatives d'écritures comptables
R4 Comptables Risques relatifs au domaine comptable R402 Fiscalité Risques de manquement aux obligations fiscales R40201 Risques relatifs au résultat fiscal (IS)R4 Comptables Risques relatifs au domaine comptable R402 Fiscalité Risques de manquement aux obligations fiscales R40202
R4 Comptables Risques relatifs au domaine comptable R402 Fiscalité Risques de manquement aux obligations fiscales R40203 Risques relatifs à la taxation des contratsR4 Comptables Risques relatifs au domaine comptable R402 Fiscalité Risques de manquement aux obligations fiscales R40204 Risques relatifs aux procédures CFCIR4 Comptables Risques relatifs au domaine comptable R402 Fiscalité Risques de manquement aux obligations fiscales R40205 Autres risques fiscauxR4 Comptables Risques relatifs au domaine comptable R403 Etats réglementaires Risques de la production d'états inexacts R40301 Etats réglementaires
R5 PilotageRisques relatifs au management d'entreprise
R501 Stratégie Risques de choix stratégiques, de moyens associés ou de pilotage de la mise en œuvre inadéquats
R50101 Risques sur la mise en œuvre de la stratégie
R5 PilotageRisques relatifs au management d'entreprise
R501 Stratégie Risques de choix stratégiques, de moyens associés ou de pilotage de la mise en œuvre inadéquats
R50102 Risques provenant de déficiences du pilotage
R5 PilotageRisques relatifs au management d'entreprise
R502 Contrôle de gestion Risques provenant d'une mauvaise interprétation ou utilisation des données utilisées par le contrôle de gestion
R50201 Risques de planification
R5 PilotageRisques relatifs au management d'entreprise
R502 Contrôle de gestion Risques provenant d'une mauvaise interprétation ou utilisation des données utilisées par le contrôle de gestion
R50202 Risques de non-contrôle budgétaire Risques d'absence de contrôle budgétaire efficient
R5 Pilotage
Risques relatifs au management d'entreprise
R503 Autres risques de pilotage interne
Risques provenant d'une mauvaise interprétation ou utilisation des données utilisées par le pilotage du contrôle interne, le pilotage des opérations commerciales, …
R50301 Autres risques de pilotage interne
R5 Pilotage
Risques relatifs au management d'entreprise
R504 Risques générés par la communication externe
Politique de communication sur l'identité de l'entreprise inadéquate au marché, aux intermédiaires, aux interlocuteurs financiers ou institutionnels, …
R50401 Risques de communication externe
R6 Externes Risques générés par l'environnement de l'entreprise
R601 Législatifs, réglementaires et judiciaires
Risques liés à l'apparition de nouvelles lois ou réglements, et à leur application
R60101 Risques législatifs et réglementaires Risques liés à l'apparition de nouvelles lois ou réglements, et à leur application
R6 Externes Risques générés par l'environnement de l'entreprise
R601 Législatifs, réglementaires et judiciaires
Risques liés à l'apparition de nouvelles lois ou réglements, et à leur application
R60102 Risques judiciaires Risques liés à l'évolution du droit et aux décisions des tribunaux
Typologie des risques 2006
75
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
Niveau 1 Famille Définition Risques Niveau 1Niveau
2Risques Niveau 2 Définition Risques Niveau 2
Niveau 3
Risques Niveau 3 Définition Risques Niveau 3
R3 Opérationnels R307 Relations avec les tiers R30701 Risques de notation Risques de mauvaise notation par une agence spécialisée
R3 Opérationnels R307 Relations avec les tiers R30702 Risques juridiques et de mise en cause Risques de mise en cause judiciaire ou non, par une association de consommateurs, par la presse, ou par un client important, de litige sur l'application d'un contrat
R3 Opérationnels R307 Relations avec les tiers R30703 Risques de contractualisation insuffisante Risques d'absence de formalisation des rapports avec un tiers ou de contractualisation insuffisante
R3 Opérationnels R307 Relations avec les tiers R30704 Risques relatifs à la protection des données sur les personnes
Risques de non-respect de la confidentialité des données personnelles, notamment concernant les obligations de la loi Belorgey
R3 Opérationnels R307 Relations avec les tiers R30705 Risques fournisseurs de services (y compris délégataires de gestion externes)
Risques de non-respect par un fournisseur de son contrat de prestation, risque de mauvaise qualité des services, risque de grève
R3 Opérationnels R307 Relations avec les tiers R30706 Risques fournisseurs de matériels Risques de non-respect par un fournisseur de son contrat de prestation, risque de mauvaise qualité des produits
R3 Opérationnels R307 Relations avec les tiers R30707 Risques de maintenance Risques de défaillance dans le service de maintenance, de grève, de pérennité du fournisseur et de non-respect de la confidentialité
R3 Opérationnels R307 Relations avec les tiers R30708 Risques sur la gestion de situation de crise Messages ou annonces ne montrant pas une maîtrise des risques suffisante, en situation de crise
R3 Opérationnels R307 Relations avec les tiers R30709 Risques de malveillance Risques d'actes de malveillance de la part de tiers : vol, dégradations, attaques diverses dont hacking et virus informatique, intrusions ou destruction de données informatiques, diffusion de fausses nouvelles et dénigrement
R4 Comptables Risques relatifs au domaine comptable R401 R40101 Comptabilité générale entité sociale Risques liés à la présentation de données sociales comptables inexactes et ne reflétant pas l'image fidèle de l'entreprise
R4 Comptables Risques relatifs au domaine comptable R401 R40102 Comptabilité générale de consolidation Risques liés à l'enregistrement de retraitements de consolidation inexacts et ne permettant pas la constitution d'une image fidèle du Groupe
R4 Comptables Risques relatifs au domaine comptable R401 R40103 Risques de non-traçabilité Risques liés à la perte de traçabilité d'opérations comptables, entre les écritures d'origine (comptabilisation technique ou divisionnaire) et la comptabilité générale
R4 Comptables Risques relatifs au domaine comptable R401 R40104 Justification des écritures Risques liés à la perte ou l'inexistence de pièces justificatives d'écritures comptables
R4 Comptables Risques relatifs au domaine comptable R402 Fiscalité Risques de manquement aux obligations fiscales R40201 Risques relatifs au résultat fiscal (IS)R4 Comptables Risques relatifs au domaine comptable R402 Fiscalité Risques de manquement aux obligations fiscales R40202 Risques relatifs au régime de TVA et à la
facturationR4 Comptables Risques relatifs au domaine comptable R402 Fiscalité Risques de manquement aux obligations fiscales R40203 Risques relatifs à la taxation des contratsR4 Comptables Risques relatifs au domaine comptable R402 Fiscalité Risques de manquement aux obligations fiscales R40204 Risques relatifs aux procédures CFCIR4 Comptables Risques relatifs au domaine comptable R402 Fiscalité Risques de manquement aux obligations fiscales R40205 Autres risques fiscauxR4 Comptables Risques relatifs au domaine comptable R403 Etats réglementaires Risques de la production d'états inexacts R40301 Etats réglementaires Risques liés à la présentation d'états réglementaires inexacts ou à la non-présentation
d'états réglementairesR5 Pilotage
Risques relatifs au management d'entrepriseR501 Stratégie R50101 Risques sur la mise en œuvre de la stratégie Décalage entre la stratégie définie et sa mise en œuvre, du fait d'erreurs d'appréciation
ou de non-adéquation des moyens
R5 PilotageRisques relatifs au management d'entreprise
R501 Stratégie R50102 Risques relatifs au pilotage stratégique des activités et des filiales
Risques provenant de déficiences du pilotage
R5 PilotageRisques relatifs au management d'entreprise
R502 Contrôle de gestion R50201 Risques de planification Prise en compte insuffisante ou erronée dans les procédures de planification et de suivi des objectifs des services
R5 PilotageRisques relatifs au management d'entreprise
R502 Contrôle de gestion R50202 Risques de non-contrôle budgétaire Risques d'absence de contrôle budgétaire efficient
R5 Pilotage
Risques relatifs au management d'entreprise
R503 R50301 Autres risques de pilotage interne Risques provenant d'une mauvaise interprétation ou utilisation des données utilisées par le pilotage du contrôle interne, le pilotage des opérations commerciales, …
R5 Pilotage
Risques relatifs au management d'entreprise
R504 R50401 Risques de communication externe Politique de communication sur l'identité de l'entreprise inadéquate au marché, aux intermédiaires, aux interlocuteurs financiers ou institutionnels, …
R6 Externes R601 R60101 Risques législatifs et réglementaires Risques liés à l'apparition de nouvelles lois ou réglements, et à leur application
R6 Externes R601 R60102 Risques judiciaires Risques liés à l'évolution du droit et aux décisions des tribunaux
76
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
Niveau 1 Famille Définition Risques Niveau 1Niveau
2Risques Niveau 2 Définition Risques Niveau 2 Risques Niveau 3 Définition Risques Niveau 3
R6 Externes Risques générés par l'environnement de l'entreprise
R602 Secteur de l'assurance Risques résultant du comportement des acteurs du marché de l'assurance
R60201 Risques de concurrence Risques résultant de l'exercice d'activités similaires par d'autres entreprises
R6 Externes Risques générés par l'environnement de l'entreprise
R602 Secteur de l'assurance Risques résultant du comportement des acteurs du marché
R60202 Risques relatifs aux cycles tarifaires
R6 Externes Risques générés par l'environnement de l'entreprise
R602 Secteur de l'assurance Risques résultant du comportement des acteurs du marché de l'assurance
R60203 Risques d'image du secteur de l'assurance
R6 Externes Risques générés par l'environnement de l'entreprise
R602 Secteur de l'assurance Risques résultant du comportement des acteurs du marché
R60204 Risques d'entente entre entreprises
R6 Externes Risques générés par l'environnement de l'entreprise
R603 Prestataires, partenaires Risques d'évolution défavorable d'un marché prestataire
R60301 Risques réassureurs Risques d'évolution défavorable du marché de la réassurance
R6 Externes Risques générés par l'environnement de l'entreprise
R603 Prestataires, partenaires Risques d'évolution défavorable d'un marché prestataire
R60302 Risques fournisseurs
R6 Externes Risques générés par l'environnement de l'entreprise
R604Déontologie, conformité, image
Risques provenannt d'un manquement aux règles de bonne conduite, aux normes professionnelles ou aux valeurs de la société
R60401 Risques déontologiques Risques découlant d'un manquement aux règles de bonne conduite,
R6 Externes Risques générés par l'environnement de l'entreprise
R604Déontologie, conformité, image
Risques provenannt d'un manquement aux règles de bonne conduite, aux normes professionnelles ou aux valeurs de la société
R60402 Risques de non conformité Risques liés à l'absence de respect des lois, réglementations, normes professionnelles
R6 Externes Risques générés par l'environnement de l'entreprise
R604Déontologie, conformité, image
Risques provenannt d'un manquement aux règles de bonne conduite, aux normes professionnelles ou aux valeurs de la société
R60403 Risques d'image Risques liés à une perception négative de l'entreprise
R6 Externes Risques générés par l'environnement de l'entreprise
R605 Autres risques systémiques et exogènes
Autres risques provenant de l'environnement externe de l'entreprise
R60501 Risques économiques Risques d'inflation, de dépression, d'évolution de la demande
R6 Externes Risques générés par l'environnement de l'entreprise
R605 Autres risques systémiques et exogènes
Autres risques provenant de l'environnement externe de l'entreprise
R60502 Risques politiques Risques de guerre civile, d'émeutes, de guerre étrangère, d'attentats et de terrorisme
R6 Externes Risques générés par l'environnement de l'entreprise
R605 Autres risques systémiques et exogènes
Autres risques provenant de l'environnement externe de l'entreprise
R60503 Risques climatiques, de catastrophe naturelle Sinistres causés par les forces de la nature
R6 Externes Risques générés par l'environnement de l'entreprise
R605 Autres risques systémiques et exogènes
Autres risques provenant de l'environnement externe de l'entreprise
R60504 Risques de pandémie Epidémie mortelle touchant tout le pays
R6 Externes Risques générés par l'environnement de l'entreprise
R605 Autres risques systémiques et exogènes
Autres risques provenant de l'environnement externe de l'entreprise
R60505 Risques de sinistre technologique
R6 Externes Risques générés par l'environnement de l'entreprise
R605 Autres risques systémiques et exogènes
Autres risques provenant de l'environnement externe de l'entreprise
R60506 Autres risques technologiques
Typologie des risques 2006
77
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
Niveau 1 Famille Définition Risques Niveau 1Niveau
2Risques Niveau 2 Définition Risques Niveau 2
Niveau 3
Risques Niveau 3 Définition Risques Niveau 3
R6 Externes R602 Secteur de l'assurance R60201 Risques de concurrence Risques résultant de l'exercice d'activités similaires par d'autres entreprises
R6 Externes R602 Secteur de l'assurance R60202 Risques relatifs aux cycles tarifaires Risques résultant de la pression du marché à pratiquer des taux tarifaires bas (cyclique en général)
R6 Externes R602 Secteur de l'assurance R60203 Risques d'image du secteur de l'assurance Risques résultant de la mise en cause publique de pratiques particulières d'une ou plusieurs compagnies (hors entente), ou d'erreurs de communication publique
R6 Externes R602 Secteur de l'assurance R60204 Risques d'entente entre entreprisesRisques résultant d'ententes tarifaires entre plusieurs compagnies significatives du marché, entraînant une intervention des autorités politiques
R6 Externes R603 Prestataires, partenaires R60301 Risques réassureurs Risques d'évolution défavorable du marché de la réassurance
R6 Externes R603 Prestataires, partenaires R60302 Risques fournisseurs Risques d'évolution défavorable d'un marché (disparition des fournisseurs, accroissement des prix)
R6 Externes R604 R60401 Risques déontologiques Risques découlant d'un manquement aux règles de bonne conduite,
R6 Externes R604 R60402 Risques de non conformité Risques liés à l'absence de respect des lois, réglementations, normes professionnelles
R6 Externes R604 R60403 Risques d'image Risques liés à une perception négative de l'entreprise
R6 Externes R605 R60501 Risques économiques Risques d'inflation, de dépression, d'évolution de la demande
R6 Externes R605 R60502 Risques politiques Risques de guerre civile, d'émeutes, de guerre étrangère, d'attentats et de terrorisme
R6 Externes R605 R60503 Risques climatiques, de catastrophe naturelle Sinistres causés par les forces de la nature
R6 Externes R605 R60504 Risques de pandémie Epidémie mortelle touchant tout le pays
R6 Externes R605 R60505 Risques de sinistre technologique Sinistres dus à des substances, matières, ondes ou radiations issues de la technologie humaine
R6 Externes R605 R60506 Autres risques technologiques Risques d'obsolescence de l'outil de travail, d'espionnage par les nouvelles voies de la communication, …
78
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
79
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
ANNEXE 5 : DÉTAIL DES MACRO PROCESSUS
D’UNE ENTREPRISE D’ASSURANCE
80
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
Porcessus généraux
• Organisation générale • Relations sociales • Gestion
actionnaire
• Stratégie • Affaires publiques • Audit interne
Processus
centraux
Processus
commer-
ciaux
• Marketing • Commercial
Processus
opération-
nels
• Gestion de sinistres • Recouvrement primes • Réassurance
coassurance
Processus
technolo-
giques
• Technique produits
Processus support
• Gestion des risques • Déontologie
• Contrôle de gestion • Social et fiscal • Achats
• Trésorerie • Gestion investissement • RH
• Comptabilité • IT • Services généraux
(sécurité)
Business model assurances
81
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
ANNEXE 6 : DÉMARCHE DE CARTOGRAPHIE :PROCESSUS DE SOUSCRIPTION D’UN CONTRAT
D’ASSURANCE AUTOMOBILE
I. Méthodologie de renforcement du contrôle interne
Aspects généraux
82
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S Inventaire des processus/procédures, desrisques associés et des contrôles
Tests de l’efficacité des contrôles‡ points d’amélioration du CI
Par entité :
• Analyse “Bottom-Up”• Jonction avec la cartographie
• Analyse des contrôles chap. III
Cartographie des risques(Top-Down/IFACI)
Elaboration de référentielscommunautairesLes outils
Lesméthodes
Référentiel macro-processus
Référentiel mesures de contrôles
Evaluation des risques (impact/fréquence)
Mise en œuvre des points d’amélioration ducontrôle interne
chap. II
Détail de la méthodologie d’analyse des risques etdes contrôles applicable par entité
83
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
Séle
ctio
n d
an
s la
cart
og
rap
hie
des
risq
ues
(réfé
ren
tiel
com
mu
nau
tair
e)
To
p-D
ow
n
Inven
tair
e d
es
risq
ues
(an
aly
se «
terr
ain
»)
Bo
tto
m-U
p
Inte
rvie
w d
es
op
éra
tio
nn
els
con
cern
és
Lis
te p
rocé
du
res-
risq
ues
ass
oci
és/
mo
yen
s d
e c
on
trô
le
Réfé
ren
tiel m
esu
res
de c
on
trô
le
Jon
ctio
n
* R
isq
ues
no
n id
en
tifi
és
en
To
p-D
ow
n
* R
isq
ues
no
n d
éte
ctés
en
Bo
tto
m-U
p
Mis
e à
jo
ur
Véri
fica
tio
nFin
de l
’in
ven
tair
e
Evalu
ati
on
des
risq
ues
ap
rès
con
trô
le
Eta
pe 1
par
ent
ité
Eta
pe 2
par
ent
ité
(ité
rati
ve)
Eta
pe 3
par
ent
ité
II. Analyse des risques, exemple : processus de souscriptionassurance auto
Sélection dans la cartographie des risques concernés par leprocessus vente-souscription :(selon terminologie de la cartographie, risques dénommés parleur cause)
Résultats d’une analyse « Bottom-Up » dans une Agence :
84
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
Niveau 1
RISQUES FINANCIERS
RISQUES ASSURANCES
RISQUESOPERATIONNELS
RISQUES COMPTABLES
RISQUES DE PILOTAGE
RISQUES EXTERNES
Niveau 2
•Aucun
•Risques de souscription
•Production•Humain
•Commercial
•Logistique•Relations avec les tiers
•Aucun
•Aucun
•Concurrence
Niveau 3
¸Non-conformité aux normes¸Qualité insuffisante de l’objet du risque¸Annulation de souscription¸Cumul de souscription¸Non-recouvrement des cotisations
¸Non-respect des délais, traitements non conformes,…¸Non-respect de procédures, détournement de fonds, fraude à l’assurance, …¸Mauvaise identification des besoins, non-respect de la déontologie commerciale, …¸Mauvais accueil, perte de documents, …¸Litige avec un tiers, …
¸Concurrence (pas de niveau 3 spécifique)
ACTIVITE
VENDRE UNCONTRAT
SOUSCRIREUN CONTRAT
ENCAISSERUNE
COTISATION
PROCEDURES
•Identifier le client•Découvrir ses besoins•Proposer un contrat
•Etablir un devis
•Contrôler les pièces
•Délivrer un contrat
•Proposer une formule de paiement•Encaisser une cotisation
RISQUES
¸Client testant les zones de délégation tarifaire, VIP, …¸Démarche non adaptée, identification erronée ou incomplète, …¸Contrat/garanties choisis inappropriés, risques hors champ d’acceptation, …¸Erreurs de tarification, sur l’objet du risque (choix véhiculeerroné), …
¸Erreur de relevé d’infos (ex. : non-prise en compte d’informations particulières, pièce non valide, pièce falsifiée, …)¸Attestation hors champ d'application, délivrance à tort d'un certificat d'assurance définitif, non-respect des consignes de souscription, …
¸Client non solvable, formule de paiement inadaptée
¸Détournement d'un acompte versé, moyen de paiement frauduleux, …
Jonction « Bottom-Up » avec « Top-Down » :
85
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
Chaque risque « Bottom-Up » doit être associé à un risque générique « Top-Down ».
Risques « Top-Down » non identifiés en « Bottom-Up » :
• Risques mineurs, non pris en compte dans l’analyse mais bien traités dans la réalité(risques d’accueil, de transport, …)
• Risques de délai=> analyse complémentaire et ajoût
• Risques gérés globalement (qualité des services et prestations) sans prise en comptespécifique : risques de mise en cause par des tiers
• Risques non traités/non gérés au niveau de l’Agence : risques de concurrence, devantêtre pris en compte dans la démarche marketing définie par le service Marketing de laCompagnie
Risques « Bottom-Up » non identifiés par « Top-Down » :
• Mauvaise appréciation et prise en compte des véritables besoins du client=> ajoût à la cartographie (en cours de constitution)
86
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
87
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
ANNEXE 7 : TABLEAU DES MENACES
88
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
nomenclature E1 E2 E3 E4 M1 M2 M3 M4 F1 F2 F3 F4 S1 S2 S3 S4
R60403 Événements naturels 5 3 4 3 0 2 0 0 2 4 3 3 4 0 3 0Tempêtes/Grêle/Neige oui Lothar 1999 110 6.4 Md€ 1 1 1 1 1 1 1 1 1 1 1Inondations oui Europe Est 2002 38 3.1 Md$ 1 1 1 1 1 1 1 1 1Tremblement de Terre Northridge 94 60 17.3 M$ 1 1 1 1 1 1 1Tsunami Indonésie 2004 290 000 4 Md$ 1Volcans Krakatoa 1883 40 000 1Sécheresse / vague de froid oui Canicule France 2003 15 000 1 Md€ 1 1 1 1 1 1 1Chutes de météorite
Nouveaux Produits / Nouvelles technologies 2 7 6 2 0 1 1 1 0 2 1 1 2 0 0 1R60406 OGM oui cf. avis FFSA 1 1 1R60405 Champs électromagnétiques oui Antenne UMTS 1 1 1R60405 Produits chimiques Solvants 1 1 1R60405 Produits pharmaceutiques Lipobay/Baycol 3.4 Md$ 1 1R60405 Matériaux construction / Industriel oui Amiante 70 Md$ 1 1 1 1 1 1R30709 Virus informatiques oui Y2K n/c 1 1 1 1 1 1R60405 Nucléaire Tchernobyl 1996 n/c 1 1 1 1
Santé 2 6 6 0 0 1 0 0 0 0 1 0 0 1 1 0R30702 Conséquences judiciaires des nouvelles maladies Sang contaminé 1 1 1R60406 Aléa Thérapeutique oui Infection nosocomiale 1R60404 Épidémie SRAS - Chine 1 1 1R60401 Dérive des coûts médicaux 1 1 1 1R30702 Tabac / Alcool / Drogue oui procès US anti-tabac 1 1 1R60406 Biologie/Clonage 1 1R60406 Manipulation génétique 1 1
Sociétés / Politique 3 6 5 2 1 7 3 1 2 0 4 4 2 2 0 1R60402 Terrorisme / Attentats WTC 2001 3 025 21 Md$ 1 1 1 1 1 1 1 1 1 1R60402 Grève/émeute/Mouvements populaires / Guerre 1 1 1 1R60405 Accidents Technologiques ou aériens AZF 2001 30 1.5 Md€ 1 1 1 1 1R60102 Histoire Esclavage/Holocauste 1 1 1 1 1R30702 Harcèlement racisme sexisme oui 1 1 1 1 1 1R60405 Pollution de l'environnement 1 1 1 1 1 1R30601 Pollution des locaux oui Moisissures 1 1 1 1 1 1 1
Économie Finance 0 3 1 1 3 3 1 7 3 3 1 0 0 7 5 0R10307 Chute de la Bourse 1929/1987/2000 1 1 1 1 1R10306 Variations des taux de change oui 1 1 1 1 1 1 1 1R10305 Fluctuation des taux d'intérêt oui 1 1 1 1 1R60401 Chute de la Croissance - Déflation 1 1R60101 Changements réglementaires sur les ratios 1 1 1 1 1 1R60101 Changements sur les régimes des taxes 1 1 1 1 1 1R30701 Perte d'agrèment / Dégradation agences de notation 1 1 1 1 1 1
R501 Comportements Managériaux 0 3 5 4 2 5 3 4 2 3 3 0 0 4 5 1Rupture de contact avec l'entreprise 1 1 1 1Volonté de croissance démesurée 1 1 1 1 1 1Lancement d'un nouveau produit hors stratégie 1 1 1 1 1Stratégie décalée par rapport au cycle 1 1 1 1 1 1Harcèlement moral / Conflit social 1 1 1 1 1 1 1Éthique Affaire Spitzer oct. 2004 1 1 1 1 1 1Manipulation comptable / Fraude Enron 1 1 1 1 1 1 1 3 3
CatastropheExemple d'événements catastrophiques
Exogènes
Type de Menaces
Impacts sur des fonctions internes à l'entreprise
Facteurs aggravants Management
89
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
nomenclature E1 E2 E3 E4 M1 M2 M3 M4 F1 F2 F3 F4 S1 S2 S3 S4
R60403 Événements naturels 5 3 4 3 0 2 0 0 2 4 3 3 4 0 3 0Tempêtes/Grêle/Neige oui Lothar 1999 110 6.4 Md€ 1 1 1 1 1 1 1 1 1 1 1Inondations oui Europe Est 2002 38 3.1 Md$ 1 1 1 1 1 1 1 1 1Tremblement de Terre Northridge 94 60 17.3 M$ 1 1 1 1 1 1 1Tsunami Indonésie 2004 290 000 4 Md$ 1Volcans Krakatoa 1883 40 000 1Sécheresse / vague de froid oui Canicule France 2003 15 000 1 Md€ 1 1 1 1 1 1 1Chutes de météorite
Nouveaux Produits / Nouvelles technologies 2 7 6 2 0 1 1 1 0 2 1 1 2 0 0 1R60406 OGM oui cf. avis FFSA 1 1 1R60405 Champs électromagnétiques oui Antenne UMTS 1 1 1R60405 Produits chimiques Solvants 1 1 1R60405 Produits pharmaceutiques Lipobay/Baycol 3.4 Md$ 1 1R60405 Matériaux construction / Industriel oui Amiante 70 Md$ 1 1 1 1 1 1R30709 Virus informatiques oui Y2K n/c 1 1 1 1 1 1R60405 Nucléaire Tchernobyl 1996 n/c 1 1 1 1
Santé 2 6 6 0 0 1 0 0 0 0 1 0 0 1 1 0R30702 Conséquences judiciaires des nouvelles maladies Sang contaminé 1 1 1R60406 Aléa Thérapeutique oui Infection nosocomiale 1R60404 Épidémie SRAS - Chine 1 1 1R60401 Dérive des coûts médicaux 1 1 1 1R30702 Tabac / Alcool / Drogue oui procès US anti-tabac 1 1 1R60406 Biologie/Clonage 1 1R60406 Manipulation génétique 1 1
Sociétés / Politique 3 6 5 2 1 7 3 1 2 0 4 4 2 2 0 1R60402 Terrorisme / Attentats WTC 2001 3 025 21 Md$ 1 1 1 1 1 1 1 1 1 1R60402 Grève/émeute/Mouvements populaires / Guerre 1 1 1 1R60405 Accidents Technologiques ou aériens AZF 2001 30 1.5 Md€ 1 1 1 1 1R60102 Histoire Esclavage/Holocauste 1 1 1 1 1R30702 Harcèlement racisme sexisme oui 1 1 1 1 1 1R60405 Pollution de l'environnement 1 1 1 1 1 1R30601 Pollution des locaux oui Moisissures 1 1 1 1 1 1 1
Économie Finance 0 3 1 1 3 3 1 7 3 3 1 0 0 7 5 0R10307 Chute de la Bourse 1929/1987/2000 1 1 1 1 1R10306 Variations des taux de change oui 1 1 1 1 1 1 1 1R10305 Fluctuation des taux d'intérêt oui 1 1 1 1 1R60401 Chute de la Croissance - Déflation 1 1R60101 Changements réglementaires sur les ratios 1 1 1 1 1 1R60101 Changements sur les régimes des taxes 1 1 1 1 1 1R30701 Perte d'agrèment / Dégradation agences de notation 1 1 1 1 1 1
R501 Comportements Managériaux 0 3 5 4 2 5 3 4 2 3 3 0 0 4 5 1Rupture de contact avec l'entreprise 1 1 1 1Volonté de croissance démesurée 1 1 1 1 1 1Lancement d'un nouveau produit hors stratégie 1 1 1 1 1Stratégie décalée par rapport au cycle 1 1 1 1 1 1Harcèlement moral / Conflit social 1 1 1 1 1 1 1Éthique Affaire Spitzer oct. 2004 1 1 1 1 1 1Manipulation comptable / Fraude Enron 1 1 1 1 1 1 1 3 3
Support
1
RC
1
Dommages
Exogènes
Vie R. Spéciaux
Impacts sur des fonctions internes à l'entreprise
Opérationnel souscription/sinistres
111
0 2 3
Facteurs aggravants Management
O1 O2 O3 O4
7
Financier
11
1 1
1 11
1
2 7 4 1111 1 11 1
1 1 11
1 1 1
0 7 7 11 1 11 11 11 11 11 11 1
4 5 2 31 1 1
1
1 11 1 1 1
1
1 1 1
111
1 1
1 2 6 011
1 1
1 6 4 1
1 11 1 1
1 1 11
1 1
Menaces ignorées
Exemple de facteurs d’alerte
90
C A R T O G R A P H I E D E S R I S Q U E S
G U I D E D ’ A U D I T
AN
NE
XE
S
Évé
nem
ents
nat
ure
ls
051015F
acte
urs
aggr
avan
ts
Man
agem
ent
Fin
anci
erO
péra
tionn
el a
ssur
ance
Sup
port
No
uve
aux
Pro
du
its
/ No
uve
lles
tech
no
log
ies
05101520F
acte
urs
aggr
avan
ts
Man
agem
ent
Fin
anci
erO
péra
tionn
el a
ssur
ance
Sup
port
San
té
051015F
acte
urs
aggr
avan
ts
Man
agem
ent
Fin
anci
erO
péra
tionn
el a
ssur
ance
Sup
port
So
ciét
és /
Po
litiq
ue
05101520F
acte
urs
aggr
avan
ts
Man
agem
ent
Fin
anci
erO
péra
tionn
el a
ssur
ance
Sup
port
Éco
no
mie
Fin
ance
05
1015F
acte
urs
aggr
avan
ts
Man
agem
ent
Fin
anci
erO
péra
tionn
el a
ssur
ance
Sup
port
Co
mp
ort
emen
ts M
anag
éria
ux
05
1015F
acte
urs
aggr
avan
ts
Man
agem
ent
Fin
anci
erO
péra
tionn
el a
ssur
ance
Sup
port
91G U I D E D ’ A U D I T
C A R T O G R A P H I E D E S R I S Q U E S
Réalisation : Ebzone Communication ([email protected])Impression : Compédit Beauregard S.A. - 61600 La Ferté-Macé
N° d’imprimeur : 4475
Top Related