870_2314_6-michel pozzo di borgo bdf_presentation
TRANSCRIPT
Comité AMARIS du 2 mai 2006
PP
RR
AA
AA
CC
Articulation entre Risk-managementet audit interne : quels apports
pour la cartographie des risques ?
PRMIA – mai 2006
Page 2PRMIA mai 2006
PP
RR
AA
AA
CC
Ordre du jour
! Le Risk-Management à la Banque de France : les fondamentaux
! Audit et risk-management : articulations et synergies
! Quel outil ? à quelles fins ?
Page 3PRMIA mai 2006
PP
RR
AA
AA
CC
Les objectifs stratégiques (2001)
! Renforcer le contrôle interne de la Banque en se dotant d’un cadre commun de maîtrise des risques opérationnels
! Etre exemplaire en cherchant à se situer au niveau des meilleures pratiques préconisées par le Comité de Bâle
Page 4PRMIA mai 2006
PP
RR
AA
AA
CC
Déclinaisons
"""" Aider les Métiers à mieux identifier et surveiller leurs risques et àcontinuer à renforcer et structurer leur contrôle interne
"""" Centraliser et hiérarchiser l’information sur les risques et préparer des synthèses à l’intention des organes dirigeants de la Banque
• en mettant en place un réseau permanent de management des risques
• en établissant un canevas méthodologique d’analyse et de maîtrise des risques commun à l’ensemble des Métiers
• en élaborant une démarche de consolidation globale des risques et de reporting destiné au Gouvernement de la Banque
Page 5PRMIA mai 2006
PP
RR
AA
AA
CC
Quelques orientations importantes
" Démarche de renforcement du contrôle interne
" Fondée sur l’auto-évaluation (des risques, du contrôle interne…)
" Démarche en profondeur : tous les métiers opérationnels, toutes les activités, tous les risques significatifs (bruts et résiduels)
" Démarche complète : cartographie des risques, incidents, consolidations
" Démarche plurielle : bottom-up et top down, qualitative enrichie de quantitatif
" Calage avec normes et standards internationaux (COSO, Bâle 2…)
" Démarche progressive et outillée
Page 6PRMIA mai 2006
PP
RR
AA
AA
CC
Articulation d’ensemble du dispositif de risk-management
3CI
secrétariat
Comité dedirection
PRAAC
RM MéthodeAideConsolidation
Coordination généraleSupervision
Métiers
Comité audit
Page 7PRMIA mai 2006
PP
RR
AA
AA
CC
Le Pôle Risques : un rôle pivot
" unité administrative à part entière, distincte de l’Audit
" 3 missions :
# structurer une démarche commune de maîtrise des risques
# aider les métiers à mettre en œuvre leur dispositif de maîtrise des risques
# concevoir le processus de reporting consolidé
" profil-type : spécialistes du contrôle interne
" membres d’associations professionnelles (IFACI, AMRAE, PRMIA…)
" benchmarking permanent, tenue d’une documentation de référence, participation régulière à des conférences...
Page 8PRMIA mai 2006
PP
RR
AA
AA
CC
Les risk-managers dans les métiers
Les métiers sont responsables de la maîtrise de leurs risques : les RM en constituent les « pivots » au sein du métier.
Ils sont notamment chargés :• de mettre en place le processus de recensement et d’évaluation
des risques opérationnels du métier• d’aider le chef de métier à élaborer et à mettre en œuvre les plans
d’action • de mesurer l’efficacité du dispositif de maîtrise des risques• d’aider à l’élaboration de la cartographie consolidée des risques • de diffuser la culture de maîtrise du risque au sein du métier
Page 9PRMIA mai 2006
PP
RR
AA
AA
CC
Le 3CI (Comité de Coordination du Contrôle Interne) : l’instance plénière
" présidée par le Contrôleur Général
" participants : chefs de métiers et Risk-Managers
" 3 à 4 réunions par an
" définit les orientations stratégiques en matière de management du risque opérationnel
" veille à l ’avancement régulier des travaux
" est informé des choix pris par les métiers
" prépare l ’information du Comité de Direction
Page 10PRMIA mai 2006
PP
RR
AA
AA
CC
Acceptation des risques ouélaboration de plans d’action
Identification et évaluationdes risques inhérents
Reporting et actualisation
Evaluation des risques residuels
Identification et évaluationdu contrôle interne
Identification et descriptiondes processus d’activitéÉtape 1
Étape 2
Étape 3
Étape 4
Étape 5
Étape 6
Démarche de maîtrise des risques (AMARIS) : les étapes
Page 11PRMIA mai 2006
PP
RR
AA
AA
CC
Ordre du jour
! Le Risk-Management à la Banque de France : les fondamentaux
Audit et risk-management : articulations et synergies
! Quel outil ? à quelles fins ?
Page 12PRMIA mai 2006
PP
RR
AA
AA
CC
Organisation : au sein du même métier, deux entités indépendantes
LE CONTRÔLEUR GÉNÉRALConseiller pour la sûreté
DPRDirection de la prévention des risquesInspection générale
Détachements
RSISécurité de l ’information
PRAACPôle risques : assistance à
l ’analyse et à la consolidation
Division desrecherches extérieures
Cabinet del ’Inspection générale
Audit des servicescentraux Audit du réseau
Contrôle sur place des établissements
de crédit
Audit général
SRCCV
Audit informatique
SCCV
Page 13PRMIA mai 2006
PP
RR
AA
AA
CC
Autorités de la Banque
PRAACAUDIT
Appréciation ducontrôle de 1er niveau
Rapportsde missions
Cartographie généraledes risques
Métier 1 Métier 2 Métier 17
MéthodologieAssistance
Reporting Risquespour consolidation
Positionnement du PRAAC
« propriétaires » de leurs risques qu’ils auto-évaluent
Page 14PRMIA mai 2006
PP
RR
AA
AA
CC
NIVEAU 1(ctrl permanenent)
Risqueinhérent
Risquerésiduel
RESPONSABLES
OPERATIONNELS
ASSISTANCE AU CI (Pôle risques)
AUDIT
CAC
C. DESCOMPTES
NIVEAU 2(ctrl périodique)
NIVEAU 3
Degré 2
Degré 1
Risques et contrôle interne
Page 15PRMIA mai 2006
PP
RR
AA
AA
CC
Audit et risk-management : des expressions du risque parfois différentes
! Le risque est exprimé à partir d’un constat factuel et incontestable
! Le constat négatif s’exprime souvent à un niveau très détaillé $$$$ l’expression du risque également
! Difficulté d’utilisation des matrices de cotation globales
! Le risque correspond souvent au meilleur « dire d’expert » àun instant donné
! Le « niveau » d’analyse du risque est variable (progressivité des démarches)
! auto-évaluation $$$$ tendance naturelle à sur / sous-évaluation, subjectivité
Page 16PRMIA mai 2006
PP
RR
AA
AA
CC
Le risk-management : un objet d’audit essentiel
! L’audit apprécie : • la qualité de la cartographie des risques (exhaustivité /
évaluation des risques, appréciation portée sur le contrôle interne, plans d’actions...)
• le dispositif de risk-management! Il a accès à la base risques dans le cadre de ses missions! Il utilise le même vocabulaire que les risk-managers
% L’audit confirme / infirme les auto-évaluations réalisées par les métiers, sur la base de constats factuels
% Le risk-management est objet d’audit
Page 17PRMIA mai 2006
PP
RR
AA
AA
CC
Audit et Risk-management : des apports mutuels
! Pour la cartographie : principe de cohérence entre les appréciations exprimées par l’audit dans les FAR (sur les risques, les dci…) et les cartographies établies par les RM :
• systématique pour les Far de niveau élevé
• souhaitée pour les Far de niveau moyen
! Pour la planification des missions : exploitation de la cartographie pour identifier les « zones à risques » de l’entreprise
Page 18PRMIA mai 2006
PP
RR
AA
AA
CC
Audit et Risk-management : une nécessaire collaboration
% Décision du comité de direction : le RM est désormais associé à la validation du niveau de risque défini par l’audit et au suivi des plans d’action conduits sous l’autorité du Directeur• les modalités pratiques d’association du RM aux
responsables opérationnels demeurent « à la main » des métiers
• l’audit souhaite, a minima, rencontrer le RM : & lors de la réunion de lancement& Lors de la restitution des conclusions de l’audit
Page 19PRMIA mai 2006
PP
RR
AA
AA
CC
FAR N°FAR déposée le : « date de dépôt »Constat validé le : « date de validation »
Plan d’action validé par l’Audit le : « date de validation »
Thème :
Typologie du risque Appréciation du risque
10 risques (niveau 2 de Amaris) Fort, moyen ou faible
Contexte
Référentiel
Constat
Risques
Causes
Recommandation n° X
Service responsable de la mise en œuvre : « nom du service »
Autre(s) Service(s) responsable(s) de la validation desconstats :
« nom du(es) service(s) »
Service(s) destinataire(s) pour information : « nom du(es) service(s) »
Réponse du service responsable de la mise en oeuvre
Acceptée :Plan d'action :Responsable :Échéance : mois et annéeDescription des mesures :
Refusée :Motif du refus :
Page 20PRMIA mai 2006
PP
RR
AA
AA
CC
Rôle du risk-manager au regard des rapports d’audit
! RM reçoit tous les rapports d’audit concernant son métier! Il actualise sa cartographie en tenant compte des conclusions de
l’audit :• risques manquants, mal décrits, sous ou sur-évalués..• appréciation du contrôle interne (efficacité, pertinence)• complète les plans d’action• ...
! Actualisation souhaitée « au fil de l’eau », a minima tous les 6 mois (àl’occasion des exercices de consolidation)
% Le RM exploite tous les éléments disponibles pour enrichir la cartographie des risques de son métier (brainstorming, dialogue avec autres RM, incidents internes et externes , audits…)
Page 21PRMIA mai 2006
PP
RR
AA
AA
CC
Rôle du Pôle Risques vis-à-vis des Risk-managers et de l’audit ! Pour les RM :
• conduit des expertises régulières des cartographies (analyse « au fond » et sur la forme)
• restitution formelle• analyse tous les rapports d’audit de tous les métiers, et vérifie
cohérence avec les cartographies! Vis-à-vis de l’audit :
• peut être rencontré par l’audit à tout moment de la mission• peut recevoir des recommandations pour amélioration du
cadre méthodologique• peut être audité
% Le Pôle Risques « challenge « les Métiers pour garantir la qualitéd’ensemble des cartographies des Métiers et, par voie de conséquence, la cartographie globale de la BdF.
Page 22PRMIA mai 2006
PP
RR
AA
AA
CC
Ordre du jour
! Le Risk-Management à la Banque de France : les fondamentaux
! Audit et risk-management : articulations et synergies
Quel outil ? à quelles fins ?
Page 23PRMIA mai 2006
PP
RR
AA
AA
CC
SIRIS / FrontRisk : le logiciel de gestion des risques opérationnels de la Banque de France
Les principales fonctionnalités :
• La description de l’arborescence des processus des Métiers
• La description de l’évaluation des risques, des dispositifs de contrôle interne et des plans d’action
• Le recensement des incidents des Métiers
• L’établissement automatisé de nombreux rapports
• L’émission et la gestion des questionnaires d’autoévaluation
• Enrichissement quantitatif en cours
! Une exploitation totalement automatisée par les centres informatiques
Page 24PRMIA mai 2006
PP
RR
AA
AA
CC
! Logiciel mis en production le 14/10/2005
! Logiciel fonctionnant en mode WEB = Suppression de la contrainte du nombre de licences (550 utilisateurs à ce jour vs 40 licences Orcas)
! Base de données multiutilisateurs, garantissant l’intégrité des données
! Gestion intégrée des flux de déclaration / validation des incidents (« work-flow »), adaptée au contexte des métiers
! Historisation de nombreux champs (piste d’audit)
! Gestion des actions correctives et préventives (cellules qualité)
! cloisonnement des données permettant la gestion de la confidentialitéinter-métiers
! Gestion de profils permettant la spécialisation des utilisateurs SIRIS
SIRIS / FrontRisk : le logiciel de gestion des risques opérationnels de la Banque de France
Page 25PRMIA mai 2006
PP
RR
AA
AA
CC
Un exemple : l’écran des processus
Tableau interactif
Répartition des risques