table ronde – amrim – décembre 2008 1 cartographie des risques opérationnels cartographie des...

26
Table ronde – AMRIM – Décembre 2008 1 Cartographie Cartographie des risques opérationnels des risques opérationnels Atelier Cartographie des risques : enjeux, démarche et état de l’art Dan Chelly, Directeur Associé, Elseware. Ancien Responsable des risques opérationnels d’un grand Groupe bancaire français

Upload: caterine-gueguen

Post on 04-Apr-2015

122 views

Category:

Documents


3 download

TRANSCRIPT

Page 1: Table ronde – AMRIM – Décembre 2008 1 Cartographie des risques opérationnels Cartographie des risques opérationnels Atelier Cartographie des risques :

Table ronde – AMRIM – Décembre 2008 1

CartographieCartographiedes risques opérationnelsdes risques opérationnels

Atelier

Cartographie des risques : enjeux, démarche et état de l’art

Dan Chelly, Directeur Associé, Elseware.

Ancien Responsable des risques opérationnels d’un grand Groupe bancaire français

Page 2: Table ronde – AMRIM – Décembre 2008 1 Cartographie des risques opérationnels Cartographie des risques opérationnels Atelier Cartographie des risques :

Table ronde – AMRIM – Décembre 2008 2

Ce qui ressort le plus souvent des cartographies…

Niveau de maîtrise

ImpactRisques majeurs

(Souvent externes)

Risques faibles

Risques

« cœur d’activité »

Risques moyens

Souvent lié à la continuité d’activité (lien avec le PCA)

Fréquence

* Schéma volontairement simplifié

Souvent lié au cœur d’activité : nécessité de

surveiller le DMR

Analyse en scénarios nécessaire

Volumétrie de la

base incident

Page 3: Table ronde – AMRIM – Décembre 2008 1 Cartographie des risques opérationnels Cartographie des risques opérationnels Atelier Cartographie des risques :

Table ronde – AMRIM – Décembre 2008 3

1. Cartographie : définition et enjeux

2. Structuration des référentiels

3. Démarche organisationnelle

4. Méthodologie d’évaluation

5. Validation et reportings

Cartographie des risques opérationnelsCartographie des risques opérationnels

Page 4: Table ronde – AMRIM – Décembre 2008 1 Cartographie des risques opérationnels Cartographie des risques opérationnels Atelier Cartographie des risques :

Table ronde – AMRIM – Décembre 2008 4

La cartographie dans le dispositifLa cartographie dans le dispositif

IndicateursPrédictifsde risques

Zonesde fragilités potentielles

Zonesde fragilités potentielles

BaseIncidents

Incidentsavérés

Incidentsavérés

Cartographies

Vulnérabilités(=Risques

potentiels)

Vulnérabilités(=Risques

potentiels)

Scénarios de risques majeursApproche causale

Scénarios de risques majeursApproche causale

Page 5: Table ronde – AMRIM – Décembre 2008 1 Cartographie des risques opérationnels Cartographie des risques opérationnels Atelier Cartographie des risques :

Table ronde – AMRIM – Décembre 2008 5

Les travaux de cartographie des risques opérationnels ont pour objet d’identifier, d’évaluer, de classer, de comparer et de hiérarchiser les risques susceptibles d’impacter une ligne de métier donnée et / ou un établissement.

Des plans d’actions sont alors engagés à partir des risques critiques identifiés afin d’en diminuer l’exposition.

Politique en matière de cartographiePolitique en matière de cartographie

Page 6: Table ronde – AMRIM – Décembre 2008 1 Cartographie des risques opérationnels Cartographie des risques opérationnels Atelier Cartographie des risques :

Table ronde – AMRIM – Décembre 2008 6

La cartographie permet de définir le référentiel des risques et ses évolutions… voir de définir un tronc commun pour le Groupe

C’est une étape d’acculturation aux RO de l’ensemble des personnes impliquées

Elle doit être une image fidèle bien que mouvante du profil de risque de l’établissement.

C’est avant tout un outil de pilotage : c’est lorsque la cartographie est finalisée que la gestion des risques prend toute sa place

Objectifs de la CartographieObjectifs de la Cartographie

Page 7: Table ronde – AMRIM – Décembre 2008 1 Cartographie des risques opérationnels Cartographie des risques opérationnels Atelier Cartographie des risques :

Table ronde – AMRIM – Décembre 2008 7

1. Cartographie : définition et enjeux

2. Structuration des référentiels

3. Démarche organisationnelle

4. Méthodologie d’évaluation

5. Validation et reportings

Cartographie des risques opérationnelsCartographie des risques opérationnels

Page 8: Table ronde – AMRIM – Décembre 2008 1 Cartographie des risques opérationnels Cartographie des risques opérationnels Atelier Cartographie des risques :

Table ronde – AMRIM – Décembre 2008 8

Un Evènement de Risque se décline en 2 dimensions : L’activité, le métier, le processus, L’évènement de risque lui-même, c’est-à-dire le risque

opérationnel qui « se produit » dans le cadre du métier, du processus concerné.

Ces 2 dimensions s’appellent (« couple PG/ER » - « ER »): Le Processus Générique (PG) L’Evénement de Risque (ER).

Elles sont définies et sont modélisées selon des niveaux spécifiques de hiérarchisation des données.

Approche nécessaire et structurante au niveau d’un Groupe

Evènement de Risque : définition et modélisationEvènement de Risque : définition et modélisation

Page 9: Table ronde – AMRIM – Décembre 2008 1 Cartographie des risques opérationnels Cartographie des risques opérationnels Atelier Cartographie des risques :

Table ronde – AMRIM – Décembre 2008 9

Organisation des données et référentielsOrganisation des données et référentiels

Processus Générique

Processus Majeur

Business Line niv 2

Bâle II

Business Line niv 1

Bâle II

Risk Event ni 1Bâle II

Risk Event ni 2Bâle II

Risk Event niv 3

Type de risque Groupe

Evenement Risque

Module cartographie des

risques

Module gestion des incidents

Page 10: Table ronde – AMRIM – Décembre 2008 1 Cartographie des risques opérationnels Cartographie des risques opérationnels Atelier Cartographie des risques :

Table ronde – AMRIM – Décembre 2008 10

Les différents types d’évènements de risques / cotationsLes différents types d’évènements de risques / cotations

Cotation

ERà coterGroupe

ERà coter

facultatif

ERà coterlocal

ER COMMUNS(à tous les

établissementsde même pôle

Métier : CE ..=)

ER LOCAUX(spécifiques

à unétablissement)

Types d’ER

Cotation par unétablissement d’un pôle

Cotation renduenon obligatoire(ER non pertinent

pour l’établissement ..)

Cotation obligatoirepour tous les

établissements dumême pôle métier

Cotation par quelquesétablissements d’un pôle

Page 11: Table ronde – AMRIM – Décembre 2008 1 Cartographie des risques opérationnels Cartographie des risques opérationnels Atelier Cartographie des risques :

Table ronde – AMRIM – Décembre 2008 11

1. Cartographie : définition et enjeux

2. Structuration des référentiels

3. Démarche organisationnelle

4. Méthodologie d’évaluation

5. Validation et reportings

Cartographie des risques opérationnelsCartographie des risques opérationnels

Page 12: Table ronde – AMRIM – Décembre 2008 1 Cartographie des risques opérationnels Cartographie des risques opérationnels Atelier Cartographie des risques :

Table ronde – AMRIM – Décembre 2008 12

Schéma général du processus de cartographie

Définir une organisation / un calendrier

• Suivre l’actualisation et la fiabilité (méthodologie, justification ..)• Effectuer les contrôles de cohérence

Utiliser :- Les experts (avec / dispatch)- Les anciennes cotations- Les incidents- Les échanges avec les homologues- Les benchmarks

Justifier, documenterles raisons de retenir oud’exclure un ERdu périmètre de cotation

Former/équiper lesCorrespondants

(processus, méthode, outil)

Présenter la cartographieet les plans d’actions en CRO

Définir le périmètre d’ER à coter(identifier les vulnérabilités)

Identifier les acteurs del’évaluation (validation) et affecter les ER

Coter les ER (évaluation, validation)

Définir les nouveaux plans d’actions

Contrôler que tous les ERsont validés

(aucun en cours ou périmé)

Actualisationau fil de l’eau- Nouvelles activités, fusions ..- Nouveaux risques- Plan d’actions mis en œuvre

Valider la cartographie

Page 13: Table ronde – AMRIM – Décembre 2008 1 Cartographie des risques opérationnels Cartographie des risques opérationnels Atelier Cartographie des risques :

Table ronde – AMRIM – Décembre 2008 13

Définition d’une organisation / d’un calendrier

Une organisation doit être mise en place : > Quelle que soit la situation (évolution ou nouvelle cartographie), une organisation doit

être mise en place afin de s’assurer de la cotation des évènements de risque.> Cette organisation s’appuiera sur un calendrier (X % d’ER à coter d’ici au ... etc.. /

Domaine X à coter d’ici au ...) et / ou sur une mise à jour continue suivie au travers de l’outil dédié.

Le périmètre des évènements de risques à évaluer doit être précisé :

> Les risques du tronc commun.> Les risques locaux (Les établissements ont toute latitude pour élargir ce périmètre )

Page 14: Table ronde – AMRIM – Décembre 2008 1 Cartographie des risques opérationnels Cartographie des risques opérationnels Atelier Cartographie des risques :

Table ronde – AMRIM – Décembre 2008 14

Identification des acteurs et affectation des ER

Les évènements de risques doivent être attribués aux « experts » métiers internes les mieux à même de réaliser l’évaluation et / ou la validation.

Si des Responsables Opérationnels, en charge de processus multiples, se trouvent destinataires d’un grand nombre d’évaluations, il est souhaitable de répartir les évènements à évaluer entre des collaborateurs plus spécialisés.

Une fois l’affectation des évènements de risque réalisée, les collaborateurs en charge de 1 à N évaluations sont individuellement responsables des travaux qui leur ont été confiés et du respect des échéances fixées.

Page 15: Table ronde – AMRIM – Décembre 2008 1 Cartographie des risques opérationnels Cartographie des risques opérationnels Atelier Cartographie des risques :

Table ronde – AMRIM – Décembre 2008 15

Formation / Equipement des correspondants

Communiquer sur le processus> Démarche de gestion des Risques Opérationnels> Objectifs de la cartographie> Règles générales de mise en œuvre de la cartographie> Calendrier

Transmettre la méthode d’évaluation des risques et la connaissance de l’outil

> Diffusion de supports aux correspondants> Animation de formations

Donner l’accès à l’outil dédié

Page 16: Table ronde – AMRIM – Décembre 2008 1 Cartographie des risques opérationnels Cartographie des risques opérationnels Atelier Cartographie des risques :

Table ronde – AMRIM – Décembre 2008 16

Cotation des Evènements de Risques

La cotation des Evènements de Risques est effectuée par les experts métiers, selon deux modes d’organisation possibles :

> Le RRO participe à la cotation en présence de l’expert.> Le RRO envoie des ER à coter à l’expert concerné, effectue un suivi,

analyse la cotation produite.

La cotation d’un Evènement de Risque peut être facilitée, par exemple par :

> L’examen de la cotation de l’ER dans la cartographie précédente,> La prise en compte des incidents qui se sont produits sur l’ER concerné.> La prise en compte d’incidents dans la base de pertes externes

Page 17: Table ronde – AMRIM – Décembre 2008 1 Cartographie des risques opérationnels Cartographie des risques opérationnels Atelier Cartographie des risques :

Table ronde – AMRIM – Décembre 2008 17

1. Cartographie : définition et enjeux

2. Structuration des référentiels

3. Démarche organisationnelle

4. Méthodologie d’évaluation

5. Validation et reportings

Cartographie des risques opérationnelsCartographie des risques opérationnels

Page 18: Table ronde – AMRIM – Décembre 2008 1 Cartographie des risques opérationnels Cartographie des risques opérationnels Atelier Cartographie des risques :

Table ronde – AMRIM – Décembre 2008 18

Eléments de l’évaluation La fréquence : c'est le nombre de fois où le risque pourrait se produire sur une

période donnée.> L’Evènement de risque peut être estimé Courant (il se produit au moins une fois par an),

Rare (moins d’une fois par an).> On peut aussi estimer qu’il ne se produit Jamais.

Les impacts : ce sont les conséquences financières et les effets sur l’image de l’établissement ou du Groupe.

Les Dispositifs de Maîtrise de Risques (DMR) : c’est l’ensemble des mesures existantes qui doivent permettre à l’entreprise d’éviter de faire face à la réalisation du risque.Exemples de Dispositifs de Maîtrise des Risques :

> Contrôles a priori, contrôles a posteriori,

> Système de délégation, séparation des tâches,

> Sécurisation des accès logiques / des accès physiques, système de surveillance,

> Transfert de responsabilité ...

Page 19: Table ronde – AMRIM – Décembre 2008 1 Cartographie des risques opérationnels Cartographie des risques opérationnels Atelier Cartographie des risques :

Table ronde – AMRIM – Décembre 2008 19

Schéma général du processus d’évaluation

* DMR = Dispositifs de Maîtrise des Risques

Courant(au moins une fois par an)

Rare(moins d’une fois par an)

Schéma général du processus de cotation

Déterminer l’Impact image Déterminer l’Impact image

Jamais

Décrire / coter les DMR*Prévention / Protection

(exprimés en % d’efficacité)

Déterminer l’Impact financier- Moyen- Maximum

CO

NSER

VATIO

N D

ES ELEMEN

TS - PISTE D’A

UD

ITC

ON

SERVA

TION

DES ELEM

ENTS - PISTE D

’AU

DIT

Décrire / coter les DMR*Prévention / Protection

(exprimés en % d’efficacité)

Déterminer l’Impact financier- Moyen- Maximum

Qualifier la fréquence de l’Evènement de Risque

Maximummais

plausible(pas de scénario

catastrophe impossible)

Déterminer la fréquence- Moyenne- Maximum

Déterminer la fréquence(une seule fréquence pour

les ER rares)

Situationplausible,courante

Page 20: Table ronde – AMRIM – Décembre 2008 1 Cartographie des risques opérationnels Cartographie des risques opérationnels Atelier Cartographie des risques :

Table ronde – AMRIM – Décembre 2008 20

En réalité, pour évaluer l’impact financier d’un ER, on va du net vers le En réalité, pour évaluer l’impact financier d’un ER, on va du net vers le

brutbrut

Concernant l’évaluation de l’impact financier, la méthode propose de commencer par l’évaluation du risque « net », c'est-à-dire le risque résiduel, qui tient compte de l’existant, c'est-à-dire des effets du dispositif de maîtrise des risques en place, puis les DMR, et l’on obtient le risque brut.

Risque net : le risque net valorise les impacts que l’établissement pourrait effectivement subir en termes financiers et d’impact, en intégrant les dispositifs de prévention et de détection existants.

Efficacité des DMR : mesurée en pourcentage, l’efficacité des DMR réduit d’une part les impacts et d’autre part la fréquence d’occurrence de l’évènement de risque.

Risque brut : c’est la valorisation du risque en termes de fréquence et d’impacts, en faisant abstraction des dispositifs de maîtrise des risques existants.

L’évaluation du risque brut est déduite automatiquement.

Dynamique de l’évaluation de l’impact financierDynamique de l’évaluation de l’impact financier

Page 21: Table ronde – AMRIM – Décembre 2008 1 Cartographie des risques opérationnels Cartographie des risques opérationnels Atelier Cartographie des risques :

Table ronde – AMRIM – Décembre 2008 21

Evaluation de l’impact image

L’évaluation de l’impact image est déclinée selon les parties prenantes de l’activité pouvant être affectées par la survenance de l’Evènement de Risque :

> la clientèle,> le personnel,> les fournisseurs,> …

Pour chacune de ces catégories on se réfère à une cotation qualitative :

> Fort, > Moyen/fort,> Moyen/faible,> Faible.

Page 22: Table ronde – AMRIM – Décembre 2008 1 Cartographie des risques opérationnels Cartographie des risques opérationnels Atelier Cartographie des risques :

Table ronde – AMRIM – Décembre 2008 22

1. Cartographie : définition et enjeux

2. Structuration des référentiels

3. Démarche organisationnelle

4. Méthodologie d’évaluation

5. Validation et reportings

Cartographie des risques opérationnelsCartographie des risques opérationnels

Page 23: Table ronde – AMRIM – Décembre 2008 1 Cartographie des risques opérationnels Cartographie des risques opérationnels Atelier Cartographie des risques :

Table ronde – AMRIM – Décembre 2008 23

Contrôle de la fiabilité des cotations

Ce contrôle consiste à vérifier : > Le respect de la méthodologie d’évaluation des risques,> La pertinence de l’évaluation :

Prise en compte des bons facteurs d’impact, Chiffrage correct de chaque facteur d’impact concerné.

> La justification des évaluations produites et la bonne conservation de ces justifications :

Formalisation du détail des calculs, Présence de documents explicatifs (statistiques ...).

Page 24: Table ronde – AMRIM – Décembre 2008 1 Cartographie des risques opérationnels Cartographie des risques opérationnels Atelier Cartographie des risques :

Table ronde – AMRIM – Décembre 2008 24

Contrôle de la cohérence de la cartographie

C’est un préalable à la présentation de la cartographie au Comité Risques opérationnels.

Ce contrôle vise à s’assurer de la cohérence des cotations d’évènements de risques :

> D’une version de cotation à la suivante,> Entre ER de même nature ou proches (nature du risque, impacts, fréquences),> Vis-à-vis des établissements de même nature.

Ce contrôle permet : > De repérer les évaluations qui devront être expliquées,> De corriger les éventuelles erreurs d’évaluation (ou de saisie, puisque ces actions

s’effectuent via l’outil dédié).

Page 25: Table ronde – AMRIM – Décembre 2008 1 Cartographie des risques opérationnels Cartographie des risques opérationnels Atelier Cartographie des risques :

Table ronde – AMRIM – Décembre 2008 25

Présentation de la cartographie et des propositions de plans d’actions en Comité Risques Opérationnels

L’identification des plans d’actions à mettre en œuvre doit être réalisée au cours du processus de mise à jour de la cartographie.

La cartographie actualisée, et les plans d’actions qui en sont issus, font l’objet d’une présentation détaillée au Comité Risques Opérationnels dans l’objectif d’une validation par chaque établissement.

Les plans d’actions « en cours » et les résultats des plans d’actions clos issus de la cartographie précédente font également partie des points présentés au Comité Risques Opérationnels.

La validation du Comité Risques Opérationnels constitue la validation officielle de la cartographie.

Les risques majeur de niveau Groupe sont gérés au niveau de l’équipe nationale en collaboration avec les établissements concernés

Page 26: Table ronde – AMRIM – Décembre 2008 1 Cartographie des risques opérationnels Cartographie des risques opérationnels Atelier Cartographie des risques :

Table ronde – AMRIM – Décembre 2008 26

FIN

Merci de votre attention