Modélisa)on  des  risques  opéra)onnels  dans  le  cadre  de  Solvency  II  

Ins)tut  des  Actuaires  &  S.A.C.E.I  Le  18  Septembre  2009  

2  

1.  Objectifs de la quantification des risques opérationnels

2.  Définition du capital réglementaire selon Solvency II

3.  Les deux approches de quantification des risques opérationnels

4.  Limites et solution

5.  Evaluation des risques à dire d’experts: une démarche pas à pas –  Profil de risque opérationnel d’une compagnie d’Assurance –  Deux types de risque opérationnels –  Etapes de l’analyse en scénarios –  Etapes de l’analyse des défaillances de processus –  Livrables de l’évaluation des risques à dire d’experts

6.  Etude comparative des résultats en fonds propres

7.  Approche statistique et approches mixtes

8.  Exemples de situations de risque –  Pandémie –  Attaque virale –  Blanchiment d’argent

9.  La gestion des risques opérationnels au sein du Groupe AXA

10.  Le développement de modèles internes d’allocation de fonds propres au risque opérationnel au sein du Groupe AXA

11.  Conclusion

Contenu

July  2008  -­‐  Group  Risk  Management  3   July  2008  -­‐  Group  Risk  Management  3  

  Objectifs de Solvency II / Bâle II: protéger les institutions financières et le système financier dans son ensemble contre des événements de risque catastrophiques, au travers:

–  d’une identification et un suivi des risques les plus critiques –  de la mise en œuvre de dispositif de prévention et de protection –  d’une allocation de capital dédiée au risque opérationnel

  L’exercice d’évaluation du risque opérationnel est donc une mesure de la résilience de l’organisation face à la survenance de risques catastrophiques et permet de :

–  connaître les risques auxquels elle est exposée –  définir le niveau de tolérance par rapport au risque en fonction des perspectives de croissance et de

rentabilité des activités –  améliorer les dispositifs de maîtrise des risques –  ajuster le périmètre du transfert de risques

  L’évaluation des fonds propres peut se faire: –  selon une approche forfaitaire, –  à partir de modèles internes

Objectifs de la quantification des risques opérationnels

4  

  Selon Solvency II le capital réglementaire représente la perte maximale générée par le risque opérationnel à l’horizon d’un an avec un niveau de confiance de 99,5%

  Elle est évaluée au niveau de l’évènement unitaire au travers d’une composition de deux distributions:

–  une distribution de fréquences –  une distribution d’impacts

  Quantile à 99.5 % de la distribution globale - médiane = montant de fonds propres réglementaires à allouer à un risque opérationnel au niveau unitaire:

–  les fonds propres représentent une réserve spécifique destinée à couvrir des pertes inattendues

–  la médiane correspond à la perte attendue peut être déduite de la perte inattendue pour calculer les fonds propres

  L’agrégation de l’ensemble des calculs de fonds propres au niveau unitaire représente la charge en capital global

  Cette agrégation peut tenir compte d’un effet de diversification

Défini&on  du  capital  réglementaire

selon  Solvency  II  

Distribu&on  de  fréquence  

Distribu&on  de  pertes  globale  

Distribu&on  de  pertes  unitaires  

Les approches de quantification des risques opérationnels

Approche statistique: -  Collecter les pertes opérationnelles de l’entité par type de risque,

éventuellement à partir d’un seuil prédéfini (exemple 10 000 €) -  Puis créer une distribution de fréquences et d’impacts par couple

[type de risques/ligne métier] -  La Loss Distribution Approach (LDA) inscrite dans les textes de

Bâle II et a été documentée par le Groupement de Recherche Opérationnelle du Crédit Lyonnais en 2003

Approche à dire d’expert: -  Obtenir une estimation à dire d’expert de la fréquence moyenne

devenant le paramètre de la distribution de fréquences -  Obtenir une estimation de l’impact d’un évènement unitaire dans

les cas typique (impact le plus courant) et extrême afin d’évaluer les paramètres des distributions d’impacts

July  2008  -­‐  Group  Risk  Management  6   July  2008  -­‐  Group  Risk  Management  6  

  Approche statistique: –  Applicable aux évènements récurrents, –  Inopérante pour les évènements rares, –  Approche faisant l’hypothèse implicite que le passé permet d’expliquer l’avenir:

o  fortement pénalisante en cas de survenance d’un évènement majeur, o  ne tient pas compte de l’amélioration des dispositifs de maitrise des risques, o  approche inopérante pour les évènements qui ne se sont jamais produit.

  Approche à dire d’expert: –  Subjective en particulier pour l’estimation de la fréquence –  Difficile à justifier –  Des experts métier peu familiers avec l’univers des probabilités

  La solution: –  Utiliser une méthodologie robuste d’évaluation des risques à dire d’expert pour les évènements

rares –  Documenter les évaluations d’expert –  Combiner données statistiques et données à dire d’expert pour les évènements courants.

Limites des deux approches

Evaluation à dire d‘expert: une démarche pas à pas

8   Comité  Sujets  Transversaux  -­‐    20  

juillet  2009  

  Trois  types  d’exposi)on  au  risque  opéra)onnel  sont  à  considérer:  

•  Exposi)on  structurelle  à  l’échelle  de  l’entreprise:  –  Fraude  externe  –  Ressources  humaines  –  Réglementa)on  

–  Clients  

•  Exposi)on  liée  aux  ac)vités  /  processus:  –  Fraude  interne  –  Interrup)on  d’ac)vité  

–  Technologie  –  Exécu)on  

•  Exposi)on  organisa)onnelle  et  stratégique:  –  Prestataires    –  Ges)on  du  changement  

Profil  de  risque  opéra)onnel  d’une  compagnie    d’assurance  en  France  

  Exposition à l’échelle de l’entreprise –  Un risque de fraude externe très élevé –  Un risque modéré de litige avec les collaborateurs et une faible dépendance par rapport aux

personnes clé –  Un environnement réglementaire relativement souple mais susceptible de devenir plus

contraignant dans le contexte de fusion ACAM – Commission bancaire –  Une exposition significative au risque d’attrition client

  Exposition liée aux activités / processus –  Une exposition moyenne au risque de fraude interne –  Peu de processus réellement exposées au risque d’interruption d’activité –  Une exposition moyenne aux risques systèmes –  Une forte exposition à des risques d’exécution (leakage)

  Exposition stratégique –  Une exposition forte aux risques liés aux tiers (réassureurs, prestataires

informatiques) –  Une exposition au risque de gestion du changement dépendant des cas individuels

Profil  de  risque  d’une  compagnie    d’assurance  en  France  

10  

Cause

Défaillance de processus

Types d’impact

Types d’impact

Défaillance de processus

Types d’impact

Types d’impact

1

Risques déterminés par une défaillance de processus:

Risque déterminé par sa cause:

Deux types de risques opérationnels

Analyse en Scénarios

Analyse en arbres de défaillance

Cause Défaillance de processus

Types d’impact

Types d’impact Cause

2

Part du profil de risque à l’échelle de l’entreprise, identifie les principales causes de risque transversales et analyse les conséquences de chaque cause pour l’organisation sous forme de :

  Perte de productivité,   Perte d’efficacité commerciale,   Augmentation des taux de d’erreur

d’exécution…   Non respect de délais…

Part d’une analyse de l’organisation pour identifier le profil de risque des processus, étudie les causes et les modes de défaillance:

  Organisationnelle,   Humaine   Système   Tiers

Etapes de l’analyse en scénarios

 Classe 3 – Pandémie – Grève

 Classe 5 –  Incendie – Crue

 Casse 6 – Défaillance réseau – Attaque virale

Exemples de conséquences d’un l’évènement sur l’organisation

Efficacité du PCA

 Score basé sur les éléments suivants:

 Exhaustivité de la couverture du PCA (activités critiques)

 Qualité de la coordination des équipes

 Qualité de la gestion de la crise…

1.  Actions correctrices   Activation du PCA   Réhabilitation des locaux   Location d’un site de remplacement

2.  Allocation de ressources supplémentaires   Heures supplémentaires pour les

personnels critiques   Consultants & travail temporaire

3.  Dégradation de la performance des processus/ augmentation des taux de défaillances   Erreurs d’exécution   Leakage

4.  Pertes d’exploitation   Perte de clients existant en cas de

mauvaise gestion de la crise   Perte de chiffre d’Affaires (nouveau

clients)

Analyse de la robustesse des dispositifs de maîtrise

des risques

Identification des actions correctrices et défaillances

de processus associées

July  2008  -­‐  Group  Risk  Management  11  

Sélection des scénarios de risques critiques correspondant

au profil de l’organisation

Exemples de scénarios

Etapes de l’analyse centrée sur les processus

 Processus métier  Fonctions support  Distribution

Selon les facteurs de vulnérabilité de l’organisation

Evénements associés

 Facteurs déclencheurs ou révélateurs d’une défaillance ex: sinistre, contrôle de l’autorité de tutelle,…

  Evènement générateur de perte: variation adverse des marchés financiers…,

1.  Défaillance organisationnelle   processus mal conçus   processus inefficace   niveau de ressources inapproprié

2.  Erreur humaine   compétences insuffisantes   encadrement insuffisant   incompétence/malveillance

3.  Défaillance de système informatique   systèmes mal conçus   mauvaise maintenance

4.  Défaillance de tiers   Erreurs, délais de livraison   Evènement catastrophe   Faillite

Identification des facteurs déclencheurs & évènements

générateurs de pertes

Identification des modes de défaillance

des processus clé

July  2008  -­‐  Group  Risk  Management  12  

Identification des processus clé

Contribuant à la chaîne de valeur de l’entreprise

Représentation graphique

Critères de fréquence

Défail- lances de Processus

Types  d‘impact  

Causes potentielles

Critères d‘impacts

•  Approche homogène de l‘évaluation des risques

•  Méthode d‘évaluation des critères de fréquence et d‘impact

Histoire Analyse quantitative

•  Elle représente une situation de risque qui associe :

–  une ou plusieurs causes –  avec une ou plusieurs

défaillances de processus –  aboutissant à un ou

plusieurs types d‘impacts •  Spécifique et non générique •  Focus sur l‘étude du scénario

extrême, •  Identification de l‘enchainement

de phénomènes qui conduit aux scénarios extrêmes

•  Facteurs de fréquence o  Evènement déclencheur o  Défaillance (Humaine de

l‘organisation, système ou tiers)

o  Evènement générateur de perte

•  Facteurs d‘impact o  Sanction réglementaire o  Perte de chiffre d‘affaire o  Pénalité financière...

Distribution de fréquences

Distribution de pertes globale

Le risque en perspective Description détaillée de la survenance du risque

Distribution de pertes unitaires

Livrables de l‘évaluation des risques

13  

Etude comparative des résultats en fond propres

  Approche statistique: –  Basée sur les évènements de pertes constatées –  Combinaison de deux distributions:

–  une distribution de fréquences basée sur la loi de Poisson –  une distribution d’impacts basée sur une loi LogNormale et des lois alternatives en fonction de tests

d’adéquation (Weibull, Pareto)

  Deux approches mixtes: –  Approche par intégration :

o  la distribution à dire d’experts est considérée comme une distribution a priori o  elle va être progressivement corrigée par la distribution de pertes constatées o  si on a beaucoup de données statistique la distribution converge vers la LDA

–  Approche par combinaison : deux distributions de pertes o  une distribution basée sur les évènements de pertes constatées, o  une distribution à dire d’experts, o  un paramètre de combinaison permet de régler la pondération de l’une des distribution par rapport à

l’autre o  approche plus équilibrée

Approche statistique et approche mixte

Pandémie

Janvier  2009   16  

Exemples de situations de risque

Attaque virale Blanchiment de capitaux

Pandémie  

AYaque  virale  

Blanchiment  d‘argent  

Vue  d‘ensemble  de  la  ges)on  des  risques    opéra)onnels  du  Groupe  AXA  

  Evaluation top-down   Basée sur l’opinion d'experts des

lignes métiers   Approche pragmatique

Identification

  Validation par le sénior management local

  Actions de réduction des risques potentiels

  Coordination avec d’autres fonctions de pilotage des risques et des contrôles

Mesure Management

  Approche prospective   Destinée à tester la résilience de

l’organisation face à la survenance de scénarios catastrophe

  Evaluation statistique   Calcul d’une Charge en capital au

niveau Groupe

  Collecte des pertes dans les entités

  Impacts financiers, juridiques et réputationnels

  Plans d’actions et de gestion des risques critiques avec les instances de gouvernance

Evaluation des risques opérationnels

Collecte des pertes opérationnelles

& Réduction et transfert des risques opérationnels

Calcul du capital économique et réglementaire

Résultats

Développement  de  modèles  internes    au  sein  d’AXA  

21  

  Un projet transversal: –  Animé par AXA Group –  20 entités participantes dans 15 pays

  Objectifs du projet: –  Conserver une avance significative en matière de pratique de gestion des risques (Notation du

dispositif de gestion des risques d’AXA "excellent " par les agences de rating), –  Etre force de proposition vis-à-vis des autorités de tutelle, –  Disposer d’une évaluation des risques homogène entre les différentes entités du groupe, –  Pouvoir justifier des évaluations qualitatives auprès d’auditeurs ou de régulateurs, –  Mieux connaître le profil de risque du groupe afin de mettre en œuvre des plans d’actions

adaptés, –  Optimiser la résilience de l’entreprise face à la survenance de risques majeurs.

Conclusion  

  Quantifier le risque opérationnel est non seulement possible mais nécessaire

  La quantification des risques opérationnels à partir de conventions communes à l’échelle d’un groupe permet : –  de s’assurer de l’homogénéité des approches et de la cohérence des résultats –  de pouvoir justifier de l’ensemble des hypothèses retenues vis-à-vis d’un auditeur ou d’un

régulateur, –  de réfléchir aux risques les plus critiques en fonction de leur plausibilité, –  d’évaluer la robustesse de l’organisation face à la survenance de "cygnes noirs", –  de mettre en œuvre des dispositifs de prévention et de protection cohérents par rapport aux

enjeux en terme de réduction des fonds propres, –  d’ajuster les couvertures d’assurance, –  de mettre en perspective le couple rendement / risque des activités.

A  propos  de  Metametris  

23  

  Société de conseil spécialisée sur l’identification, l’évaluation, la maîtrise et le transfert des risques opérationnels

  Assistance au déploiement de projets d’évaluation des risques opérationnels et de dispositifs de maîtrise des risques de grands établissements financiers: –  cartographies des risques –  analyse en scénarios –  assistance au déploiement de bases incidents –  insurance gap analysis

  Editeur de la méthode d’évaluation des risques opérationnels ORMERA ® (Operational Risk Modelling and Enterprise Resilience Analysis)

  Editeur de la solution ORMERA ® Quant Objects, outil de calcul du capital économique à allouer au risque opérationnel conçu en partenariat avec le spécialiste de l’inférence bayésienne et de la programmation probabiliste Probayes SAS www.probayes.com (une version d’évaluation d’ORMERA ® Quant Objects est téléchargeable)

Contact  

24  

Hélène DUFOUR Associée

hc@metametris.com 00 33 6 07 91 04 29

METAMETRIS 151, Rue Montmartre

75 002 PARIS www.metametris.com