La cartographie des risques est devenue un outil réglementaire de premier plan suite à diverses
réglementations bancaires (Bale II, 3ième Directive) ou Assurance (Solvency II).
[weave] Risk and Compliace - cartographie des risques
1. Mai 2012
La cartographie des risques :
jusqu’où aller ?
Vos INTERLOCUTEURS
Didier Alleaume Pierre-Antoine Duez
Associé Associé
chaîne TV page weave didier.alleaume@weave.eu Pierre-antoine.duez@weave.eu
@weaveconseil blog.weave.eu +33 (0)6 68 08 19 43 +33 (0)6 07 80 79 29
2. La cartographie des risques
de l’outil réglementaire à outil de management
La cartographie des risques est devenue un outil réglementaire de premier plan suite à diverses
réglementations bancaires (Bale II, 3ième Directive) ou assurance (Solvency II).
Cet instrument a pour vocation initiale d’intégrer la dimension des risques opérationnels dans
l’évaluation des capitaux réglementaires issus du ratio de solvabilité.
A partir de ce socle « calculatoire », le Régulateur a progressivement intégré dans ses exigences et
recommandations « l’approche par les risques » pour la mise en place de dispositifs de maitrise visant à
prévenir les défaillances.
• La transformation d’une cartographie en instrument de pilotage des activités par
• les risques suppose d’avoir une méthodologie et des moyens adaptés à ses ambitions
2
3. La cartographie des risques
de l’outil réglementaire à outil de management
L’évolution des usages de la cartographie impliquent une attention accrue sur les modalités de
collecte et de gestion des données qui la constituent :
Zone réglementaire
Risque Risques Processus
Processus LCB/FT
opérationnel
Contrôle Prévention des
Solvabilité Qualité
des risques risques
Performance
des processus
3
4. Les différentes dimensions de la cartographie
Les trois axes structurants
Méthodologie
• Les principales questions pour éviter les
écueils d’une démarche de cartographie :
Evaluation
Cartographie
Quelle méthodologie retenir ?
Quel périmètre couvrir ?
Comment évaluer les risques ?
Périmètre
4
5. La méthodologie
Modéliser pour évaluer
Il existe de multiples méthodes de représentation des événements de Méthode des « scénarios »
risques avérés ou potentiels.
Elles ont essentiellement pour dénominateur commun de permettre une
évaluation des risques à partir de la collecte d’informations.
Score Cards
Méthode bayésienne
Méthode « DMR »
Risque
Effica Impact
Histori Événement de Catégorie Bâle Sous-catégorie Fréquence Risque net d'image /
Processus Sous - Processus E00 Commentaires Impact Perte brute annuelle Évaluation DMR existant DMR cible cité PCA
que risque II Bâle II annuelle annuel conformit
DMR (O/N)
é
Hypothèse Organisation / Procédures Organisation / Procédures
- devoir de confidentialité connu par les collaborateurs de Munigarde et rappelé dans le - centraliser les demandes d'information externe auprès du responsable de service
Appel de tiers (membres de la famille, commissaires priseurs) pour recueillir des informations sur le ou les contrats règlement intérieur
d'un client. - refus de divulgation d'information par téléphone Contrôle manuel / visuel
Risque : Plainte du client, poursuite pénale pour non respect du devoir de confidentialité - entrée séparée et sécurisée pour les clients Munigarde -.
E07-Munigarde
conformité, - organisation systématique de rendez-vous afin d'éviter que les clients se croisent
P01 Diffusion clients, produits
SP01 - Identification diffusion Risque d'image, Risque de non conformité dans les locaux de Munigarde Contrôle automatique / Outils
Entrée en client
E01 d'informations et pratiques
d'informations et
25,0 KE 0,10 2,5 KE
-.
90% 0,3 KE non CI
relation confidentielles commerciales
devoir fiduciaire Impact unitaire: Moyen Contrôle manuel / visuel
Dommages-intérêts pouvant aller de 1 € symbolique à 25 K€ -.
Fréquence: Non significatif Contrôle automatique / Outils
A dire d'expert il n'y a pas d'occurrence connue de diffusion d'informations confidentielles. -.
Hypothèse Organisation / Procédures Organisation / Procédures
- demande systématique d'une pièce d'identité en cours de validité pour le titulaire et - actualiser la procédure d'entrée en relation
Non respect des obligations relatives à la lutte anti-blanchiment. l'éventuel co-titulaire - exclure le permis de conduire de la liste des pièces d'identité probantes
- demande d'un justificatif de domicile de moins de trois mois (pour les nouveaux - mettre en place une procédure de revue des dossiers existants
Les dossiers doivent comprendre les justificatifs client (pièce d'identité, justificatif de domicile, attestation clients) - vérifier systématiquement l'adresse donnée par le client
d'assurance, renonciation à recours) et les documents contractuels (bon de prise en charge, contrat, formulaire - photocopie pièce d'identité et justificatif de domicile ou saisie du numéro de pièce - refuser d'établir les contrats s'il manque des pièces
d'assurance, bons de visite, décharge). Si les dossiers sont incomplets, l'établissement s'expose à une sanction d'identité
réglementaire. - demande de l'extrait KBIS pour les personnes morales Contrôle manuel / visuel
- consultation éventuelle d'Internet pour réaliser des recherches sur la réputation du - organiser une revue périodique (annuelle) des dossiers existants
E08-Munigarde
P01 exécution, Risque d'image, Risque de non conformité client
Défaut admission et
SP01 - Identification livraison et - formation TRACFIN Contrôle automatique / Outils
Entrée en client
E02 d'identification du
gestion des
documentation 100,0 KE 0,10 10,0 KE 80% 2,0 KE non CI
Impact unitaire : Élevé - procédure de remontée d'alerte connue - mettre en place d'une GED permettant de conserver et visualiser à la demande les
relation client clientèle
processus Risque de sanction réglementaire estimé à 100 K€ - paiement en espèces interdit si le montant est supérieur à 3.000€ pièces du dossier
Fréquence : Non significatif Contrôle manuel / visuel
A dire d'expert, il est réalisé 350 nouveaux contrats par an et toutes les nouvelles entrées en relation sont - contrôle de la validité apparente des éléments justificatifs
documentées. Seuls quelques anciens contrats sont en cours de mise à jour. - contrôle de la signature à partir de la pièce d'identité
- contrôle mensuel de 10 dossiers, par le Responsable Conformité
Contrôle automatique / Outils
- interrogation Safe Watch (édition systématique du bulletin).
Hypothèse Organisation / Procédures Organisation / Procédures
- analyse de la motivation de l'entrée en relation réalisée au cours d'un entretien avec - organiser une formation complémentaire à la lutte anti-blanchiment
Non détection des conditions suspectes de dépôt d'un objet. un collaborateur Munigarde, incluant l'identification des opérations atypiques sur la - impliquer la Conformité dans le dispositif
base de l'expérience dudit collaborateur
Si Munigarde se trouve impliqué dans le recel d'objets volés, une sanction réglementaire peut être prononcée à - identification, tout au long de la relation, de tout comportement atypique par rapport Contrôle manuel/visuel
l'encontre du Crédit Municipal. aux objectifs exprimés par le client ou toute dérive de cette relation - mettre en place une fiche d'entrée en relation recensant l'identification du client, les
- Exemple : dépôt de 20 bijoux volés provenant de la famille impériale de Russie, valeur déclarée 900.000 $ => - formation TRACFIN diligences réalisées et les échanges avec le collaborateur
Intervention de la Brigade de répression du banditisme. La moitié des objets étaient des faux. - procédure de remontée d'alerte connue - mettre en place un contrôle de 2d niveau du responsable LAB sur la correcte
identification des opérations atypiques
E09-Munigarde
De plus, dans le cas d'une escroquerie, la personne lésée dans la transaction peut se retourner contre le CMP EPA Contrôle manuel/visuel
P01 Non détection pour obtenir réparation du préjudice. -. Contrôle automatique / Outils :
SP02 - - Exemple : escroquerie d'un acheteur potentiel (en s'abritant derrière la notoriété de Munigarde) par un déposant -.
Entrée en Caractéristiques objet
E01 d'une opération fraude externe vol et fraude 100,0 KE 0,50 50,0 KE 60% 20,0 KE non CI
suspecte qui surévalue des objets (valeur déclarée) servant de base à la négociation. Contrôle automatique / Outils
relation
-.
Risque d'image, Risque de non conformité
Impact unitaire: Elevé
Sanction réglementaire estimée à 100 K€.
Fréquence: Très faible
A dire d'expert, il est réalisé 350 nouveaux contrats par an.
La fréquence d'occurence des opérations frauduleuses est estimée à moins d' 1/an.
Hypothèse Organisation / Procédures Organisation / Procédures
- responsabilité des propriétaires jusqu'à la prise en charge (signature du bon de prise - informer les collaborateurs Munigarde sur les assurances relatives au transport
Dégradation ou destruction des objets lors de l'enlèvement au domicile du client ou du transport. en charge par le client) - inclure dans la documentation un avertissement relatif aux risques de perte pour le
Agression des agents au cours du transport pour voler les objets. - les magasiniers disposent d'éléments permettant de sécuriser le transport des objets client en cas d'inadéquation de la couverture d'assurance
En moyenne, les objets sont assurés pour 100K€. Les clients ont la responsabilité de souscrire une assurance (emballages spécifiques) - les magasiniers disposent d'éléments permettant de sécuriser le transport des objets
adaptée. - entrée/sortie des objets en un seul voyage (pas d'aller-retour). (emballages spécifiques), ces éléments doivent aussi être utilisés en cas de transport
Risque de devoir restaurer ou rembourser les objets. - absence d'arrêt intermédiaire lors du transport au sein de Munigarde
- transports réalisés en présence de 3 personnes (2 magasiniers et 1 collaborateur - facturer la prestation de transport
Risque d'image Munigarde)
E01-Munigarde
Dégradation, - camionnette banalisée Contrôle manuel / visuel
exécution,
destruction ou saisie, exécution - refus de prise en charge des objets trop fragiles (ex. terres cuites), trop volumineux ou - vérifier l'adéquation de la couverture d'assurance du CMP EPA avec les objets
P02 SP01 - Enlèvement / livraison et Impact unitaire: Non significatif
E01 perte des objets et suivi des 0,4 KE 3,00 1,1 KE 10% 0,9 KE non I
Prise en charge Transport gestion des Une restauration suite à un sinistre s'élève, à dire d'expert, à 0,35K€ en moyenne. trop lourds transportés
au cours du transactions - restauration possible des objets - vérifier le respect des procédures relatives au transport
processus
transport - déplacements limités à Paris intra-muros
Fréquence: Faible
A dire d'expert 100 transports sont réalisés chaque année et on dénombre 2 à 3 incidents par an. - valeur d'assurance déclarée par le client Contrôle automatique / Outils
-.
Contrôle manuel / visuel
-.
Contrôle automatique / Outils
-.
Hypothèse Organisation / Procédures Organisation / Procédures
- assurance souscrite par les clients - faire signer systématiquement une décharge en cas de manipulation d'objets dans
Dégradation des objets conservés dans les alvéoles par le personnel Munigarde. L'assurance Munigarde prend en - clients avertis par courrier simple que l'absence d'assurance se fait à leurs risques et les alvéoles
charge ce type d'événements mais ces incidents pourraient entraîner une perte de clients. périls
- refus de manipulation des objets par les magasiniers dans les alvéoles Contrôle manuel / visuel
Vol des objets : ce risque est porté par le client qui doit s'assurer en fonction de la valeur des objets déposés. - dérogation possible uniquement contre décharge - mettre en place un contrôle de 2d niveau afin de s'assurer de l'adéquation des
- risques de vol limités par le volume important des objets couvertures assurance au risque encouru
E17-Munigarde
Risque d'image - présence des clients et d'un collaborateur Munigarde indispensable pour accéder aux - dédier des vigiles à l'activité Munigarde
P03 exécution,
Risque de saisie, exécution alvéoles
livraison et
Conservation SP01 - Alvéoles E01 vol/dégradation
gestion des
et suivi des Impact unitaire: Faible 12,0 KE 0,10 1,2 KE - présence d'un collaborateur Munigarde pendant le temps où les clients sont dans les Contrôle automatique / Outils 75% 0,3 KE non I
des objets dans les alvéoles transactions Le risque d'image pourrait se traduire par une perte de clients estimée à 12K€ (100 contrats X 126€) alvéoles -.
processus
Fréquence: Très faible Contrôle manuel / visuel
A dire d'expert, aucun incident avéré -.
Contrôle automatique / Outils
- alarme
- caméras de surveillance
Hypothèse Organisation / Procédures Organisation / Procédures
- difficultés d'accès aux magasins (étages élevés, accès sécurisé, dispositif d'alerte) -.
Vol d'objets entreposés dans les magasins ou vol avec agression - impossibilité matérielle de vider l'ensemble des magasins
- Exemple : vol avec prise d'otage du personnel, portant sur une fraction du stock (par hypothèse, 1/5 des objets - difficulté à écouler la marchandise (ex. toiles de maîtres) Contrôle manuel / visuel
entreposés) entreposée dans la chambre tableaux pour une valeur de 25M€ - pose de scellés sur les boîtes - dédier des vigiles à l'activité Munigarde
- alerte du PC de sécurité - organiser une ronde par des veilleurs de nuit pour vérifier le bon fonctionnement de
Risque d'image
E29-Munigarde
tous les éléments de la sécurité passive et active
P03 Contrôle manuel/visuel - vérifier périodiquement l'efficacité des dispositifs de sécurité
Vol dans les Impact unitaire: Très élevé - accès contrôlé aux magasins : accès aux magasins en binôme
Conservation SP02 - Magasins E01
magasins
fraude externe vol et fraude 25000,0 KE 0,10 2500,0 KE 95% 125,0 KE non I
Par hypothèse, 25M€ - 2 clés pour l'accès à l'étage par ascenseur Contrôle automatique / Outils
des objets - grille fermée à clé à l'étage - organiser la traçabilité des déplacements et des accès aux zones sécurisées, par la
Fréquence: Très faible - porte blindée mise en œuvre de badges
A dire d'expert, aucune occurrence constatée. - mettre en place un sas d'accès à Munigarde
Contrôle automatique / Outils
- alarme silencieuse
- vidéosurveillance
5
6. La méthodologie
Représenter les risques pour communiquer
Une cartographie offre une hiérarchisation des risques.
Les représentations graphiques doivent permettre d’identifier les zones à traiter prioritairement par rapport à
l’appétence aux risques des entités.
Quelques exemples de représentations
6
7. La méthodologie
La méthode quantitative s’impose
Au-delà de la méthode choisie, des éléments fondamentaux doivent être formalisés dans la cartographie
des risques, tels que le référentiel organisationnel ou les dispositifs de maitrise.
L’évaluation quantitative (unité monétaire) permet d’effectuer une hiérarchisation objective et contribue à
l’évaluation des actions préventives ou correctives à mettre en œuvre sur la base de l’efficacité
économique.
2 3 4 5
1 Cartographie
Evaluer le
Cartographie
Identifier les Identifier les Evaluer les des risques Déterminer le des risques
DMR et le nets
activités défaillances risques bruts bruts DMR cible
risque net
Un plan
Le risque brut
Les processus Connaître ses d’actions est Le risque net
est le risque L’efficacité du
sont la base risques L’intensité du élaboré pour est
hors DMR réduit
de la avérés et risque brut minimiser le l’indicateur
dispositif de le risque Brut
cartographie potentiels détermine le coût du de pilotage
maitrise
DMR risque vis-à-vis de
l’appétence
7
8. La méthodologie
Nos convictions
Avant de choisir une méthodologie d’identification des risques, il convient de définir les différents usages
de la cartographie des risques.
La cartographie des risques est à la fois un outil réglementaire et de management des activités.
L’objectif premier est de pouvoir hiérarchiser les risques afin de favoriser le pilotage.
Une démarche d’autoévaluation des risques et des contrôles (RCSA) par les opérationnels permet
au management d’avoir une meilleure connaissance des risques clés et de définir des préconisations
d’améliorations
Un lien dynamique doit exister entre Processus – Risques – Contrôles – Plan d’actions.
Il est essentiel d’avoir un outil « communiquant » et qui soit facilement appropriable par les
collaborateurs et le management opérationnel, au-delà de la seule filière Risques.
8
9. Nos convictions
Le lien entre les risques et les contrôles est fondamental
Résultats Evolutions règlementaires
Indicateurs Audits
3
Reporting
Réalisation des contrôles Nouvelles activités
5 Incident(s)
6
Actualisation
Actualisation
2
Gestion
des risques Plan de
4 Actualisation contrôle
Organes de permanent 7
direction
Actualisation
Cartographie
des risques
1
Bonnes Contrôles Contrôles
Audits
pratiques réglementaires spécifiques
9
10. Le périmètre
Quel champ couvrir ?
Le périmètre couvert par la cartographie des risques tend à s’élargir graduellement
A l’origine centrée sur les risques
opérationnels, la cartographie tend à La cartographie des risques
couvrir l’ensemble des risques
auxquels est exposée une entité. Risques « métiers »
Les effets induits sont :
- La création d’un langage commun
entre plusieurs fonctions Risques de non qualité
- Un décloisonnement de la
cartographie Risques juridiques
- Une vision globale des risques
Risques de non conformité
Toutefois, il faut être vigilant sur :
- La capacité à maintenir une
méthodologie homogène Risques LAB/FT
- Le partage des rôles entre
gouvernance de la cartographie et
Risques opérationnels
gestion des risques spécifiques
10
11. Le périmètre
Le risque de l’exhaustivité ?
L’ergonomie d’une cartographie dépend de la méthodologie
retenue et de la granularité d’identification des risques.
Il convient de ne pas négliger le « risque » d’exhaustivité
dans la démarche de cartographie des risques.
Cette volumétrie est liée :
- A la démarche de collecte des risques opérationnels qui
peut aboutir à des nomenclatures de plus de 2 000
événements !!
- l’ajout de risques additionnels qui viennent compléter les
risques opérationnels (LAB/FT, non conformité, métiers,
qualité…)
Un nombre important de risques à gérer peut :
- Nuire à la qualité de l’information collectée avec une charge importante de mise à jour des
données au dépend de leur analyse, sans compter l’effort de collecte des incidents avérés
- Affecter la capacité à prioriser les risques à piloter en priorité
- Saturer les capacités de gestion des outils dédiés à la gestion de la cartographie des risques
11
12. Le périmètre
Favoriser les interactions
•Indicateurs de pilotage Risques
•Vulnérabilités des processus •Modélisation des activités
•Incidents et pertes •Objectifs des processus
• Taux de conformité des
Management des processus Management des
Processus •Risques à couvrir
Risques
•Incidents et pertes
• Objectifs Qualité
• Indicateurs de • Défaillances des
pilotage Dispositif de contrôle processus
Qualité
permanent •Efficacité du DMR
• Défaillances
des processus •Modélisation des activités
•Taux de conformité
des processus
•Points de
contrôle Qualité
•Modélisation des activités
Management de la •Risques de non qualité
•Objectifs des processus
Qualité •Incidents et pertes
12
13. Le périmètre
Nos convictions
La cartographie des risques doit intégrer l’ensemble des dimensions des risques affectant une entité.
Il est semble indispensable de se concentrer sur les risques « majeurs » selon l’appétence au risque de
l’entité. Une cartographie d’environ 200 risques avec une sélection de 20 à 30 risques à piloter en
priorité semble un objectif raisonnable.
Il convient d’organiser la gouvernance de la filière en identifiant les rôles de pilote du dispositif (normes
et méthodes) et de management des risques (filière de risque)
La complexité croissante de la cartographie des risques implique le recourt à un dispositif outillé afin
de collecter, traiter et distribuer l’information.
13
14. L’évaluation
La quantification des risques
Une cartographie permet d’identifier et de hiérarchiser les risques avérés ou potentiels.
La quantification « monétaire » est l’approche la plus efficace pour le dispositif de pilotage.
Approche qualitative Approche quantitative
Cette approche permet de :
- Prioriser de façon précise et objective les risques
- Faire un lien avec la collecte des incidents avérés
- Mesurer le respect de l’appétence au risque et réaliser des stress tests
- Dimensionner le coût du dispositif de contrôle et des plans d’actions
- Réaliser des calculs de réévaluation des risques et de produire des indicateurs
14
15. L’évaluation
Les limites de la quantification
Toutes les natures de risques ne permettent pas une quantification monétaire faute de données
d’impact identifiables ou de possibilité de hiérarchiser les événements au sein d’un impact commun.
Cette limite implique le maintien d’un référentiel de cotation qualitatif/ quantitatif et l’introduction de la
notion de « vulnérabilité » pour les risques de non-conformité et LCB/FT.
Evaluation « qualitative » Evaluation « quantitative » Evaluation « iso quantitative »
Risques d’image Risques « métiers »
Risques de non
Risques stratégiques Risques juridiques
conformité
Risques de non qualité Risques opérationnels Risques LCB/FT
15
16. L’évaluation
Nos convictions
L’évaluation des risques doit tendre vers la méthode quantitative.
La diversité croissante des natures de risques présentes au sein de la cartographie des risques induit
d’adapter l’échelle de cotation pour avoir obtenir une hiérarchisation globale.
L’évaluation quantitative offre la possibilité d’une approche « économique » du dispositif de gestion
des risques via la mesure de la rationalité des actions.
Elle apporte permet également d’introduire des notions d’appétence aux risques, de réévaluation
automatique des risques et d’indicateurs prédictifs.
La cartographie des risques peut devenir ainsi un outil de management des entités.
16
17. En conclusion….
La cartographie des risques est un outil en évolution constante, tant sur ses usages, la méthodologie
que sur son spectre de couverture fonctionnelle.
Il s’agit dès lors d’avoir une vision précise de l’utilisation de la cartographie afin de dimensionner le
dispositif de structuration et de gestion des données.
L’efficacité du dispositif dépend également des moyens techniques mis en œuvre et de son intégration
dans les activités opérationnelles et de management.
• Jusqu’où aller ? Le plus loin possible, à votre rythme…
17
18. Le Groupe Weave
Un groupe de conseil multi-spécialiste à taille humaine
• Un acteur significatif du conseil en France :
o Créé en 2001 Une culture de l’excellence alliant un savoir faire issu
o 240 consultants fin 2011 des grands cabinets à une capacité à construire
o Bureaux à Paris et Bruxelles des interventions sur-mesure
• Un cabinet de conseil dynamique en forte croissance :
o 1er cabinet de conseil français diplômé EFQM en 2011, en obtenant l’une des meilleures notes de ce modèle
o Prix gazelle 2005 du Ministère des PME récompensant les entreprises à forte croissance
o Capacité d’accompagnement à l’international
• 2 métiers complémentaires :
o Le conseil en stratégie opérationnelle
o Le conseil en management des systèmes d’information
• Des compétences multisectorielles :
o Banque,
o Assurance,
o Gestion d’actifs,
o Utilities,
o Energie,
o Agroalimentaire,
o Distribution,
o Secteur Public.
18