Hub weave :www.weave.eu

1

23 novembre 2011

La cartographie des risques: jusqu’où aller?

didier.alleaume@weave.euDidier ALLEAUME, Associé

+33 6 68 08 19 43

WeaveRisk & Compliance

2

Réunion du 26 mai 2011

La cartographie des risques : jusqu’où aller ?La cartographie des risques : jusqu’où aller ?

3

Mais la transformation d’une cartographie en instrument de pilotage des activités par les risques suppose d’avoir une méthodologie et des moyens adaptés à ses ambitions

Mais la transformation d’une cartographie en instrument de pilotage des activités par les risques suppose d’avoir une méthodologie et des moyens adaptés à ses ambitions

La cartographie des risques :de l’outil réglementaire à outil de management

La cartographie des risques est devenue un outil réglementaire de premier plan suite à diverses réglementations bancaires (Bale II, 3ième Directive) ou assurance (Solvency II).

Cet instrument a pour vocation initiale d’intégrer la dimension des risques opérationnels dans l’évaluation des capitaux réglementaires issus du ratio de solvabilité.

A partir de ce socle « calculatoire », le Régulateur a progressivement pris en compte dans ses exigences et recommandations « l’approche par les risques » pour la mise en place de dispositifs de maitrise visant à prévenir les défaillances.

4

La cartographie des risques :de l’outil réglementaire à outil de management

L’évolution des usages de la cartographie implique une attention accrue sur les modalités de collecte et de gestion des données qui la constituent

ProcessusProcessus

Solvabilité Solvabilité

Risque

opérationnel

Risque

opérationnel

Contrôle

des risques

Contrôle

des risques

LAB/FT LAB/FT RisquesRisques

Prévention des

risques

Prévention des

risques

ProcessusProcessus

QualitéQualité

Performance

des

processus

Performance

des

processus

Zone réglementaire Zone réglementaire

5

Les différentes dimensions de la cartographie

MéthodologieMéthodologie

EvaluationEvaluation

PérimètrePérimètre

Les principales questions pour éviter les écueils d’une démarche de cartographie :

Quelle méthodologie retenir ?

Quel périmètre couvrir ?

Comment évaluer les risques ?

CartographieCartographie

6

La méthodologie : modéliser pour évaluer

Méthode bayésienneMéthode bayésienne

Les Score CardsLes Score Cards

Méthode des « scénarios » Méthode des « scénarios »

Processus Sous - ProcessusHistori

queE00

Événement de risque

Catégorie Bâle II

Sous-catégorie Bâle II

Commentaires ImpactFréquence annuelle

Perte brute annuelle Évaluation DMR existant DMR cibleEfficacité DMR

Risque net annuel

Impact PCA(O/N)

Risque d'image / conformit

é

P01Entrée en relation

SP01 - Identification client

E0

7-M

un

iga

rde

E01Diffusion d'informations confidentielles

clients, produits et pratiques

commerciales

conformité, diffusion

d'informations et devoir fiduciaire

Hypothèse

Appel de tiers (membres de la famille, commissaires priseurs) pour recueillir des informations sur le ou les contrats d'un client.Risque : Plainte du client, poursuite pénale pour non respect du devoir de confidentialité

Risque d'image, Risque de non conformité

Impact unitaire: MoyenDommages-intérêts pouvant aller de 1 € symbolique à 25 K€

Fréquence: Non significatifA dire d'expert il n'y a pas d'occurrence connue de diffusion d'informations confidentielles.

25,0 KE 0,10 2,5 KE

Organisation / Procédures- devoir de confidentialité connu par les collaborateurs de Munigarde et rappelé dans le règlement intérieur- refus de divulgation d'information par téléphone- entrée séparée et sécurisée pour les clients Munigarde- organisation systématique de rendez-vous afin d'éviter que les clients se croisent dans les locaux de Munigarde

Contrôle manuel / visuel- .

Contrôle automatique / Outils- .

Organisation / Procédures- centraliser les demandes d'information externe auprès du responsable de service

Contrôle manuel / visuel- .

Contrôle automatique / Outils-.

90% 0,3 KE non CI

P01Entrée en relation

SP01 - Identification client

E0

8-M

un

iga

rde

E02Défaut d'identification du client

exécution, livraison et gestion des processus

admission et documentation

clientèle

Hypothèse

Non respect des obligations relatives à la lutte anti-blanchiment.

Les dossiers doivent comprendre les justificatifs client (pièce d'identité, justificatif de domicile, attestation d'assurance, renonciation à recours) et les documents contractuels (bon de prise en charge, contrat, formulaire d'assurance, bons de visite, décharge). Si les dossiers sont incomplets, l'établissement s'expose à une sanction réglementaire.

Risque d'image, Risque de non conformité

Impact unitaire : ÉlevéRisque de sanction réglementaire estimé à 100 K€

Fréquence : Non significatifA dire d'expert, il est réalisé 350 nouveaux contrats par an et toutes les nouvelles entrées en relation sont documentées. Seuls quelques anciens contrats sont en cours de mise à jour.

100,0 KE 0,10 10,0 KE

Organisation / Procédures- demande systématique d'une pièce d'identité en cours de validité pour le titulaire et l'éventuel co-titulaire- demande d'un justificatif de domicile de moins de trois mois (pour les nouveaux clients)- photocopie pièce d'identité et justificatif de domicile ou saisie du numéro de pièce d'identité- demande de l'extrait KBIS pour les personnes morales- consultation éventuelle d'Internet pour réaliser des recherches sur la réputation du client- formation TRACFIN- procédure de remontée d'alerte connue- paiement en espèces interdit si le montant est supérieur à 3.000€

Contrôle manuel / visuel- contrôle de la validité apparente des éléments justificatifs- contrôle de la signature à partir de la pièce d'identité- contrôle mensuel de 10 dossiers, par le Responsable Conformité

Contrôle automatique / Outils- interrogation Safe Watch (édition systématique du bulletin).

Organisation / Procédures- actualiser la procédure d'entrée en relation- exclure le permis de conduire de la liste des pièces d'identité probantes- mettre en place une procédure de revue des dossiers existants- vérifier systématiquement l'adresse donnée par le client- refuser d'établir les contrats s'il manque des pièces

Contrôle manuel / visuel- organiser une revue périodique (annuelle) des dossiers existants

Contrôle automatique / Outils- mettre en place d'une GED permettant de conserver et visualiser à la demande les pièces du dossier

80% 2,0 KE non CI

P01Entrée en relation

SP02 - Caractéristiques objet

E0

9-M

un

iga

rde

E01Non détection d'une opération suspecte

fraude externe vol et fraude

Hypothèse

Non détection des conditions suspectes de dépôt d'un objet.

Si Munigarde se trouve impliqué dans le recel d'objets volés, une sanction réglementaire peut être prononcée à l'encontre du Crédit Municipal. - Exemple : dépôt de 20 bijoux volés provenant de la famille impériale de Russie, valeur déclarée 900.000 $ => Intervention de la Brigade de répression du banditisme. La moitié des objets étaient des faux.

De plus, dans le cas d'une escroquerie, la personne lésée dans la transaction peut se retourner contre le CMP EPA pour obtenir réparation du préjudice.- Exemple : escroquerie d'un acheteur potentiel (en s'abritant derrière la notoriété de Munigarde) par un déposant qui surévalue des objets (valeur déclarée) servant de base à la négociation.

Risque d'image, Risque de non conformité

Impact unitaire: ElevéSanction réglementaire estimée à 100 K€.

Fréquence: Très faibleA dire d'expert, il est réalisé 350 nouveaux contrats par an.La fréquence d'occurence des opérations frauduleuses est estimée à moins d' 1/an.

100,0 KE 0,50 50,0 KE

Organisation / Procédures- analyse de la motivation de l'entrée en relation réalisée au cours d'un entretien avec un collaborateur Munigarde, incluant l'identification des opérations atypiques sur la base de l'expérience dudit collaborateur- identification, tout au long de la relation, de tout comportement atypique par rapport aux objectifs exprimés par le client ou toute dérive de cette relation- formation TRACFIN- procédure de remontée d'alerte connue

Contrôle manuel/visuel- .

Contrôle automatique / Outils- .

Organisation / Procédures- organiser une formation complémentaire à la lutte anti-blanchiment- impliquer la Conformité dans le dispositif

Contrôle manuel/visuel- mettre en place une fiche d'entrée en relation recensant l'identification du client, les diligences réalisées et les échanges avec le collaborateur- mettre en place un contrôle de 2d niveau du responsable LAB sur la correcte identification des opérations atypiques

Contrôle automatique / Outils :- . 60% 20,0 KE non CI

P02Prise en charge

SP01 - Enlèvement / Transport

E0

1-M

un

iga

rde

E01

Dégradation, destruction ou perte des objets au cours du transport

exécution, livraison et gestion des processus

saisie, exécution et suivi des transactions

Hypothèse

Dégradation ou destruction des objets lors de l'enlèvement au domicile du client ou du transport.Agression des agents au cours du transport pour voler les objets.En moyenne, les objets sont assurés pour 100K€. Les clients ont la responsabilité de souscrire une assurance adaptée. Risque de devoir restaurer ou rembourser les objets.

Risque d'image

Impact unitaire: Non significatifUne restauration suite à un sinistre s'élève, à dire d'expert, à 0,35K€ en moyenne.

Fréquence: FaibleA dire d'expert 100 transports sont réalisés chaque année et on dénombre 2 à 3 incidents par an.

0,4 KE 3,00 1,1 KE

Organisation / Procédures- responsabilité des propriétaires jusqu'à la prise en charge (signature du bon de prise en charge par le client)- les magasiniers disposent d'éléments permettant de sécuriser le transport des objets (emballages spécifiques)- entrée/sortie des objets en un seul voyage (pas d'aller-retour).- absence d'arrêt intermédiaire lors du transport- transports réalisés en présence de 3 personnes (2 magasiniers et 1 collaborateur Munigarde)- camionnette banalisée- refus de prise en charge des objets trop fragiles (ex. terres cuites), trop volumineux ou trop lourds- restauration possible des objets- déplacements limités à Paris intra-muros- valeur d'assurance déclarée par le client

Contrôle manuel / visuel- .

Contrôle automatique / Outils- .

Organisation / Procédures- informer les collaborateurs Munigarde sur les assurances relatives au transport- inclure dans la documentation un avertissement relatif aux risques de perte pour le client en cas d'inadéquation de la couverture d'assurance- les magasiniers disposent d'éléments permettant de sécuriser le transport des objets (emballages spécifiques), ces éléments doivent aussi être utilisés en cas de transport au sein de Munigarde- facturer la prestation de transport

Contrôle manuel / visuel- vérifier l'adéquation de la couverture d'assurance du CMP EPA avec les objets transportés- vérifier le respect des procédures relatives au transport

Contrôle automatique / Outils- .

10% 0,9 KE non I

P03Conservation

des objetsSP01 - Alvéoles

E1

7-M

un

iga

rde

E01Risque de vol/dégradation dans les alvéoles

exécution, livraison et gestion des processus

saisie, exécution et suivi des transactions

Hypothèse

Dégradation des objets conservés dans les alvéoles par le personnel Munigarde. L'assurance Munigarde prend en charge ce type d'événements mais ces incidents pourraient entraîner une perte de clients.

Vol des objets : ce risque est porté par le client qui doit s'assurer en fonction de la valeur des objets déposés.

Risque d'image

Impact unitaire: FaibleLe risque d'image pourrait se traduire par une perte de clients estimée à 12K€ (100 contrats X 126€)

Fréquence: Très faibleA dire d'expert, aucun incident avéré

12,0 KE 0,10 1,2 KE

Organisation / Procédures- assurance souscrite par les clients- clients avertis par courrier simple que l'absence d'assurance se fait à leurs risques et périls- refus de manipulation des objets par les magasiniers dans les alvéoles- dérogation possible uniquement contre décharge- risques de vol limités par le volume important des objets- présence des clients et d'un collaborateur Munigarde indispensable pour accéder aux alvéoles- présence d'un collaborateur Munigarde pendant le temps où les clients sont dans les alvéoles

Contrôle manuel / visuel- .

Contrôle automatique / Outils- alarme- caméras de surveillance

Organisation / Procédures- faire signer systématiquement une décharge en cas de manipulation d'objets dans les alvéoles

Contrôle manuel / visuel- mettre en place un contrôle de 2d niveau afin de s'assurer de l'adéquation des couvertures assurance au risque encouru- dédier des vigiles à l'activité Munigarde

Contrôle automatique / Outils- .

75% 0,3 KE non I

P03Conservation

des objetsSP02 - Magasins

E2

9-M

un

iga

rde

E01Vol dans les magasins

fraude externe vol et fraude

Hypothèse

Vol d'objets entreposés dans les magasins ou vol avec agression- Exemple : vol avec prise d'otage du personnel, portant sur une fraction du stock (par hypothèse, 1/5 des objets entreposés) entreposée dans la chambre tableaux pour une valeur de 25M€

Risque d'image

Impact unitaire: Très élevé Par hypothèse, 25M€

Fréquence: Très faibleA dire d'expert, aucune occurrence constatée.

25000,0 KE 0,10 2500,0 KE

Organisation / Procédures- difficultés d'accès aux magasins (étages élevés, accès sécurisé, dispositif d'alerte)- impossibilité matérielle de vider l'ensemble des magasins- difficulté à écouler la marchandise (ex. toiles de maîtres)- pose de scellés sur les boîtes- alerte du PC de sécurité

Contrôle manuel/visuel- accès contrôlé aux magasins : accès aux magasins en binôme- 2 clés pour l'accès à l'étage par ascenseur- grille fermée à clé à l'étage- porte blindée

Contrôle automatique / Outils- alarme silencieuse- vidéosurveillance

Organisation / Procédures- .

Contrôle manuel / visuel- dédier des vigiles à l'activité Munigarde- organiser une ronde par des veilleurs de nuit pour vérifier le bon fonctionnement de tous les éléments de la sécurité passive et active- vérifier périodiquement l'efficacité des dispositifs de sécurité

Contrôle automatique / Outils- organiser la traçabilité des déplacements et des accès aux zones sécurisées, par la mise en œuvre de badges- mettre en place un sas d'accès à Munigarde

95% 125,0 KE non I

La méthode « DMR »La méthode « DMR »

Il existe de multiples méthodes de représentation des événements de risques avérés ou potentiels.

Elles ont essentiellement pour dénominateur commun de permettre une évaluation des risques à partir de la collecte

d’informations.

7

La méthodologie : représenter les risques

Une cartographie offre une hiérarchisation des risques. Les représentations graphiques doivent permettre d’identifier les zones à traiter

prioritairement par rapport à l’appétence aux risques des entités

8

Cartographiedes risques

bruts

Cartographiedes risques

brutsIdentifier les défaillancesIdentifier les défaillances

Evaluer les risques brutsEvaluer les

risques brutsIdentifier les

activitésIdentifier les

activités

11 22 33 Cartographiedes risques

nets

Cartographiedes risques

nets

Evaluer le DMR et le risque net

Evaluer le DMR et le risque net

Déterminer le DMR cible Déterminer le DMR cible

44 55

Les processus sont la base

de la cartographie

La méthodologie : la méthode quantitative s’impose

Au-delà de la méthode choisie, des éléments fondamentaux doivent être formalisés dans la cartographie des risques

L’évaluation quantitative (unité monétaire) permet d’effectuer une hiérarchisation objective et contribue à l’évaluation des actions préventives ou correctives

Connaître ses risques

avérés et potentiels

Le risque brut est le risque

hors dispositif de

maitrise

L’intensité du risque

brut détermine

le DMR

L’efficacité du DMR réduit

le risque Brut

Un plan d’actions est élaboré pour minimiser le

coût du risque

Le risque net est

l’indicateur de pilotage vis-à-vis de l’appétence

9

La méthodologie : nos convictions

Avant de choisir une méthodologie d’identification des risques, il convient de définir les différents usages de la cartographie des risques.

La cartographie des risques est à la fois un outil réglementaire et de management des activités.

L’objectif premier est de pouvoir hiérarchiser les risques afin de favoriser le pilotage.

Un lien dynamique doit exister entre Processus – Risques – Contrôles – Plan d’actions.

Il est essentiel d’avoir un outil « communiquant » et qui soit facilement appropriable par les collaborateurs et le management de l’entité, au-delà de la filière « Risques ».

10

REPO

RTIN

G

Plan de contrôle permanent

Plan de contrôle permanent ACTUALISATION

AuditsContrôles issus de la

règlementationContrôles

spécifiques

Incident(s)Incident(s)

Evolutions règlementairesEvolutions règlementaires

Audits internes/ externesAudits internes/ externes

Nouveaux Produits/ ActivitésNouveaux Produits/ Activités

Bonnespratiques

Résultats de contrôleRésultats de contrôle

Taux de réalisation des contrôlesTaux de réalisation des contrôles

Gestion des risques

Organes de management

3

1

2

4

Indicateurs de risquesIndicateurs de risques

ACTU

ALIS

ATIO

N

5

Cartographie des risques

Cartographie des risques

ACTU

ALIS

ATIO

N

ACTUALISATION

6

7

Nos convictions : le lien dynamique entre risques et contrôles

11

Le périmètre : quel champ couvrir ?

Le périmètre couvert par la cartographie des risque tend à s’élargir graduellement

Risques opérationnelsRisques opérationnels

Risques LAB/FTRisques LAB/FT

Risques de non conformitéRisques de non conformité

Risques juridiquesRisques juridiques

Risques de non qualitéRisques de non qualité

Risques « métiers »Risques « métiers »

La cartographie des RisquesLa cartographie des Risques

A l’origine centrée sur les risques opérationnels, la cartographie tend à couvrir l’ensemble des risques auxquels est exposée une entité.

Les effets induits sont : - la création d’un langage commun entre plusieurs fonctions- un décloisonnement de la cartographie- une vision globale des risques

Toutefois, il faut être vigilant sur :- la capacité à maintenir une méthodologie homogène- le partage des rôles entre gouvernance de la cartographie et gestion des risques spécifiques

12

Le périmètre : le risque de l’exhaustivité ?

L’ergonomie d’une cartographie dépend de la méthodologie retenue et de la granularité

d’identification des risques. Il convient de ne pas négliger le « risque » d’exhaustivité dans la démarche de cartographie des risques.

Cette volumétrie est liée : - à la démarche de collecte des risques opérationnels qui

peut aboutir à des nomenclatures de plus de 2 000 événements !!

- à l’ajout de risques additionnels qui viennent compléter les risques opérationnels (LAB/FT, non conformité, métiers, qualité…)

Un nombre important de risques à gérer peut :- nuire à la qualité de l’information collectée avec une charge importante de mise à jour des données au dépend de leur analyse, sans compter l’effort de collecte des incidents avérés - affecter la capacité à prioriser les risques à piloter - saturer les capacités de gestion des outils dédiés à la gestion de la cartographie des risques

13

• Modélisation des activités

Dispositif de contrôle permanent

Dispositif de contrôle permanent

Management des Processus

Management des Processus

Management des Risques

Management des Risques

Management de la Qualité

Management de la Qualité

• Indicateurs de pilotage Risques• Vulnérabilités des processus• Incidents et pertes

• Modélisation des activités• Objectifs des processus

• Modélisation des activités

• Objectifs des processus

• Indicateurs de pilotage Qualité

• Défaillances des processus

• Objectifs Qualité• Défaillances des

processus

• Risques de non qualité• Incidents et pertes

• Taux de conformité des processus

• Risques à couvrir• Incidents et pertes

• Efficacité du DMR

• Points de contrôle Qualité

• Taux de conformité des processus

Le périmètre : intégrer les interactions entre Risques et les autres dimensions du management des entités

14

Le périmètre : nos convictions

La cartographie des risques doit intégrer l’ensemble des dimensions des risques affectant une entité.

Il semble indispensable de se concentrer sur les risques « majeurs » selon l’appétence au risque de l’entité. Une cartographie d’environ 200 risques avec une sélection de 20 à 30 risques à piloter en priorité semble un objectif raisonnable.

Il convient d’organiser la gouvernance de la filière en identifiant les rôles de pilote du dispositif (normes et méthodes) et de management des risques (filière de risque)

La complexité croissante de la cartographie des risques implique le recours à un dispositif outillé afin de collecter, traiter et distribuer l’information.

15

L’évaluation : la quantification des risques

Une cartographie permet d’identifier et de hiérarchiser les risques avérés ou potentiels

La quantification « monétaire » est l’approche la plus efficace pour le dispositif de pilotage

Approche qualitativeApproche qualitative Approche quantitativeApproche quantitative

Cette approche permet de :

- prioriser de façon précise et objective les risques

- faire un lien avec la collecte des incidents avérés

- mesurer le respect de l’appétence au risque et réaliser des stress tests

- dimensionner le coût du dispositif de contrôle et des plans d’actions

- réaliser des calculs de réévaluation des risques et de produire des indicateurs

16

L’évaluation : les limites de la quantification

Toutes les natures de risques ne permettent pas une quantification monétaire faute de données d’impact identifiables ou de possibilité de hiérarchiser les événement

au sein d’un impact commun.

Cette limite implique le maintien d’un référentiel de cotation qualitatif / quantitatif et l’introduction de la notion de « vulnérabilité » pour les risques de non-conformité et

LAB/FT

Risques opérationnelsRisques opérationnels

Risques LAB/FTRisques LAB/FT

Risques de non conformitéRisques de non conformité

Risques juridiquesRisques juridiques

Risques de non qualitéRisques de non qualité

Risques « métiers »Risques « métiers »

Risques d’imageRisques d’image

Risques stratégiquesRisques stratégiques

Evaluation qualitativeEvaluation qualitative Evaluation quantitativeEvaluation quantitative Evaluation iso quantitativeEvaluation iso quantitative

17

L’évaluation : nos convictions

L’évaluation des risques doit tendre vers la méthode quantitative.

La diversité croissante des natures de risques présentes au sein de la cartographie des risques induit d’adapter l’échelle de cotation pour obtenir une hiérarchisation globale.

L’évaluation quantitative offre la possibilité d’une approche « économique » du dispositif de gestion des risques via la mesure de la rationalité des actions.

Elle permet également d’introduire des notions d’appétence au risque, de réévaluation automatique des risques et d’indicateurs prédictifs.

La cartographie des risques peut devenir ainsi un outil de management des entités.

18

Jusqu'où aller ? Le plus loin possible … à votre rythme !

Jusqu'où aller ? Le plus loin possible … à votre rythme !

En conclusion….

La cartographie des risques est un outil en continuelle évolution, tant sur la méthodologie mise en œuvre que sur les usages ou sur le spectre de couverture fonctionnelle.

Il s’agit dès lors d’avoir une vision précise de l’utilisation de la cartographie afin de dimensionner en conséquence le dispositif de structuration et de gestion des données.

L’efficacité du dispositif dépend également des moyens techniques mis en œuvre.

19

« la quête de l’utopie d’un environnement totalement sûr et calculable

a paradoxalement engendré un sentiment d’insécurité radicale » 

Dead Cities and other tales, Mike Davis 2003