Cartographie des risques

Cartographie des risques

LA CARTOGRAPHIE DU RISQUE OPERATIONNEL : OUTIL REGLEMENTAIRE OU OUTIL DE PILOTAGE ? LA CARTOGRAPHIE DU RISQUE OPERATIONNEL OUTIL REGLEMENTAIRE OU OUTIL DE PILOTAGE ? PHILIPPE DENIAU * ETIENNE RENOUX ** : S i l’on se refere a la definition qu’en donnent les dictionnaires traditionnels, la notion de cartographie se limite a l’art d’etablir des cartes geographiques.

Pour autant, sans que le terme ne constitue reellement un neologisme, les dictionnaires recents proposent une acception plus large et evoquent une representation de phenomenes mesurables, sous forme de diagrammes ou de schemas ou l’exactitude topographique est abandonnee au benefice d’informations quantitatives. Aussi, appliquee au risque operationnel, la notion de cartographie peut-elle s’entendre comme le releve et la representation des risques d’une entreprise qui privilegiera une information exploitable dans une logique de gestion.

L’objectif d’un tel exercice est donc bien d’etablir un recensement et une evaluation des risques au regard des controles en place, en vue de diffuser une information qui mette en evidence d’eventuelles faiblesses residuelles. Si cette information est necessaire pour assurer un pilotage de l’activite au regard de criteres ou de limites quant a l’acceptation de risques que s’est fixe l’etablissement, l’elaboration d’une cartographie peut, selon la complexite de l’organisation et le niveau

Désolé, mais les essais complets ne sont disponibles que pour les utilisateurs enregistrés

Choisissez un plan d'adhésion
de precision que l’on veut lui donner, constituer un travail fastidieux et couteux.

Aussi, parait-il opportun de s’interesser aux benefices de l’exercice au regard de l’effort qu’il requiert. 1 * Associe, Risk consulting, Deloitte. ** Senior Manager, Risk consulting, Deloitte. DENIAU 1 15/06/06, 9:08 REVUE D’ECONOMIE FINANCIERE 2 Cette analyse est d’autant plus necessaire que le regulateur, notamment dans le cadre des travaux du Comite de Bale sur le controle bancaire concernant le risque operationnel, incite les etablissements a mener une cartographie de leurs risques operationnels.

Il serait alors tentant de se limiter a cette incitation que nous qualifierons de reglementaire, et de ne pas integrer la cartographie des risques a une demarche plus globale de gestion et de pilotage. Neanmoins, associee a une comprehension adequate des processus et du systeme de controle, la cartographie des risques peut constituer un outil puissant d’analyse et ainsi s’inserer pleinement dans le dispositif de pilotage des performances. Quelques obstacles peuvent parfois encore ralentir l’utilisation de la cartographie des risques dans le cadre d’une demarche globale de gestion et de pilotage.

Ces difficultes nous semblent plus relever d’une resistance au changement ou d’un manque de communication et de formation, que d’un debat de fonds sur l’interet et l’utilisation de cet outil. Enfin, une fois ces benefices et obstacles clairement poses, il convient de rappeler quelques regles pratiques a respecter, et quelques ecueils a eviter, dans la conception et la mise en ? uvre operationnelle d’une cartographie des risques. LA CARTOGRAPHIE DES RISQUES : QUELLES CONTRIBUTIONS AU PILOTAGE DES PERFORMANCES ?

Le concept de risque operationnel, s’il n’est pas nouveau, a neanmoins ete largement formalise et norme dans le cadre des travaux du Comite de Bale sur les exigences en fonds propres, dorenavant connus sous le vocable de Bale II. A cet egard, il peut etre interessant de se referer, en premier lieu, aux prescriptions de Bale II quant a la gestion et la cartographie du risque operationnel, et notamment en ce qui concerne les criteres d’eligibilite aux methodes standard et avancee (ci-apres « AMA » pour Advanced Measurement Approaches).

S’agissant de l’approche standard, la banque doit justifier de la mise en place d’un systeme de gestion du risque operationnel, disposant de ressources suffisantes et a la surveillance duquel Conseil d’administration et Direction generale s’impliquent activement. Ces criteres sont developpes pour les banques a dimension internationale qui utilisent l’approche standard et pour les etablissements qui auront opte pour l’approche AMA. Dans ces cas de figures, l’accord precise que la banque doit etre dotee d’un systeme de gestion du DENIAU 2 15/06/06, 9:08

LA CARTOGRAPHIE DU RISQUE OPERATIONNEL : OUTIL REGLEMENTAIRE OU OUTIL DE PILOTAGE ? risque operationnel ou les responsabilites sont clairement attribuees a une fonction de gestion du risque operationnel. Cette fonction est responsable : – de l’elaboration de strategies permettant d’identifier, d’evaluer, de surveiller et de controler ou d’attenuer le risque operationnel ; – de la codification des politiques et procedures de l’etablissement concernant la gestion et le controle du risque operationnel ; – de la conception et de la mise en ? vre du dispositif d’evaluation du risque operationnel de l’etablissement ; – de la conception et de la mise en ? uvre du systeme de notification du risque operationnel. L’accord precise encore que dans le cadre de son systeme interne d’evaluation du risque operationnel, la banque doit enregistrer systematiquement les donnees relatives au risque operationnel, notamment les pertes significatives par ligne de metier. Le systeme d’evaluation doit etre etroitement integre aux processus de gestion des risques de l’etablissement.

Les donnees qu’il produit doivent faire partie integrante de ses processus de surveillance et de controle du profil de risque operationnel. Par exemple, ces informations doivent tenir une place preponderante dans la notification des risques, dans les rapports a la direction et dans l’analyse des risques. La banque doit disposer de techniques pour inciter a une meilleure gestion du risque operationnel dans l’ensemble de l’etablissement.

Si la notion de cartographie n’est pas explicite dans Bale II, l’utilisation de cet outil est mentionnee clairement dans les Saines pratiques pour la gestion et la surveillance du risque operationnel (Comite de Bale, fevrier 2003). Il n’en demeure pas moins qu’elle est l’outil qui permet de repondre efficacement a l’ensemble des injonctions precitees. Elle constitue, en effet, un moyen de fournir a l’etablissement une vision synoptique et qualifiee de l’ensemble de ses risques, et ainsi de lui permettre d’assurer un pilotage effectif des risques operationnels.

Regulierement mise a jour, elle permet aussi un suivi de l’evolution et un ciblage des travaux d’amelioration du dispositif de controle interne. La premiere incitation a la cartographie des risques operationnels est donc bien de nature reglementaire. Afin de repondre aux prescriptions du regulateur dans le cadre de Bale II, mais egalement dans le cadre des reglementations europeennes ou nationales largement issues de Bale II, les etablissements sont dorenavant tenus d’identifier et d’evaluer leurs risques, ce qui implique la realisation d’une cartographie des risques.

La plupart des etablissements, et sans aucun doute la totalite a 3 DENIAU 3 15/06/06, 9:08 REVUE D’ECONOMIE FINANCIERE court terme, ont d’ores et deja mene a bien la cartographie de leurs risques operationnels. La tentation pouvait neanmoins etre forte de conduire cet exercice a minima, uniquement dans un but reglementaire de conformite. Notons d’ailleurs que le regulateur, dans sa grande sagesse, ne s’est pas prononce a ce stade sur le minimum qu’il considerera comme satisfaisant pour la validation des dispositifs AMA.

Cette approche minimale peut certes sembler efficace a court terme, mais ne permet pas, a notre avis, de deployer un systeme pertinent, perenne, et surtout evolutif de gestion des risques operationnels. A cet effet, il convient de comprendre et d’analyser le role central que peut jouer la cartographie des risques dans le pilotage de la performance des etablissements. Au-dela de cette incitation reglementaire, nous releverons trois domaines pour lesquels la cartographie des risques peut et doit constituer un outil de gestion majeur : le pilotage des risques, le dispositif de controle interne, le ilotage des processus. Le pilotage des risques 4 Connaitre et reduire le cout du risque est l’objectif ultime du pilotage des risques. Au-dela de cette definition synthetique se cache toute une serie d’activites essentielles a un pilotage effectif des risques : l’identification et l’enregistrement des risques, le dispositif de controle et de limites, les processus de gestion et de reduction des risques, l’evaluation quantitative des risques, la communication et l’information.

Ces differentes activites doivent s’inserer dans le cadre organisationnel et strategique de l’etablissement, c’est-a-dire notamment sa politique de gestion des risques, l’organisation, la nature et l’implantation des differents metiers, l’architecture des systemes d’information, la qualite de ses ressources humaines. Par ailleurs, de nombreux facteurs externes auront egalement une influence sur le pilotage des risques, par exemple la concurrence, les evolutions reglementaires et technologiques.

La cartographie des risques est l’un des outils utilises par les etablissements financiers pour l’identification et l’evaluation de leurs risques operationnels. Ce processus, a condition d’etre mene avec rigueur et continuite, est essentiel a une demarche efficace de pilotage. Il en constitue, en effet, la premiere etape evidente, mais fondamentale : connaitre et evaluer l’exposition au risque operationnel, sur l’ensemble du perimetre et des activites, et selon des criteres d’appreciation homogenes et comparables sur l’ensemble de ce perimetre. Comme l’a souligne le Comite de Bale dans diverses publications

DENIAU 4 15/06/06, 9:08 LA CARTOGRAPHIE DU RISQUE OPERATIONNEL : OUTIL REGLEMENTAIRE OU OUTIL DE PILOTAGE ? (notamment Saines pratiques pour la gestion et la surveillance du risque operationnel, fevrier 2003), les risques operationnels (fraude, interruption d’activites, protection des actifs… ) sont geres par les etablissements financiers depuis toujours. Mais le sont-ils tous ? Sont-ils evalues de facon homogene, coherente et consolidable sur l’ensemble du perimetre ? De toute evidence non, ou tout du moins plus avec la precision suffisante dans l’environnement actuel.

Une cartographie des risques operationnels bien concue et bien menee permet d’apporter des reponses satisfaisantes a ces attentes fortes et ainsi de collecter les informations essentielles a la comprehension globale des risques et a leur evaluation. C’est bien le minimum que l’on doit exiger d’un tel exercice, dont la vertu pedagogique est indeniable. Le dispositif de controle interne Le Comite de Bale, dans sa publication sur les Saines pratiques pour la gestion et la surveillance du risque operationnel, releve que la culture du controle interne est un element essentiel d’un dispositif efficace de gestion du risque operationnel.

S’agissant de risques par essence de nature endogene a l’etablissement, c’est-a-dire resultant de l’organisation, des ressources et des processus internes, l’exposition au risque operationnel est, en effet, fortement dependante de la pertinence et de l’efficacite du dispositif de controle interne. L’identification des risques operationnels doit, en consequence, etre completee de l’analyse des controles permettant, on l’espere, de reduire le niveau d’exposition aux risques. Ce niveau, tant en termes de frequence que de severite, depend in fine de la pertinence et de l’efficacite des controles associes.

Risques (operationnels) et controles (associes) apparaissent ainsi comme deux elements finalement indissociables. La cartographie des risques permet de connaitre et d’evaluer, celle des controles de maitriser et de piloter. Un troisieme element reste neanmoins necessaire pour completer l’analyse et surtout permettre une gestion effective de ces risques et controles : le volet processus. 5 Le pilotage des processus Le troisieme element qui semble indispensable a la comprehension, l’evaluation et la gestion des risques est la description des processus, en liaison avec celle des risques et des controles.

Nous avons vu que la cartographie des risques avait pour objectif l’identification de faiblesses ou de risques par unite organisationnelle, DENIAU 5 15/06/06, 9:08 REVUE D’ECONOMIE FINANCIERE 6 par metier, par fonction ou par chaine d’operations. Dans le cadre de l’utilisation des methodes AMA, le regulateur demande d’ailleurs que les risques soient identifies selon les huit lignes metiers proposees. La realisation d’une cartographie des risques demande, en consequence, une description suffisante des processus, qu’il s’agisse de processus metiers ou de processus support, transverses a plusieurs ou a l’ensemble des processus metiers.

Neanmoins, en pratique, les etablissements financiers, dans leur demarche d’identification des risques operationnels, ont procede a des descriptions tres variables de leurs processus. Cette description est parfois tres succincte, voire quasiment inexistante, ce qui ne facilite pas la mise en ? uvre des actions de gestion des risques identifies. Dans d’autres cas, ces descriptions sont tres detaillees, peut-etre trop par rapport a l’objectif d’identification et d’evaluation des risques operationnels. Dans la plupart des cas, il n’y pas eu de reflexion sur les diverses possibilites d’utilisation d’une analyse des processus.

Dans le cadre d’une cartographie des risques operationnels, il n’est pas absolument necessaire d’analyser en detail les processus, l’objectif premier etant l’identification et l’evaluation des risques. En revanche, si l’objectif est le pilotage des processus, la demarche est toute autre. La reflexion est alors generalement centree sur le client, dans le but d’apporter la meilleure reponse a ses besoins et attentes. Le management des processus vise ainsi a ameliorer la qualite, l’organisation des traitements, le cas echeant la maitrise des couts, afin de delivrer une valeur plus importante au client.

Tels sont quelques objectifs du pilotage des processus, et au-dela, du pilotage par les processus. Pour le pilotage des risques proprement dit, la connaissance des processus est indispensable a la determination et au deploiement des plans d’actions visant a reduire l’exposition a certains risques operationnels. In fine, c’est bien sur les processus et les controles associes, et donc sur les personnes et les systemes qui les font fonctionner, que portent toutes les actions de reduction, transfert ou maitrise des risques.

Ainsi, la cartographie des risques constitue un puissant outil de gestion et de pilotage de la performance, a condition neanmoins d’etre associe a deux autres elements indispensables : la cartographie des controles et la cartographie des processus. La coherence des approches methodologiques sur ces trois axes permet, en effet, un pilotage effectif de la performance, selon les trois axes precedemment identifies : le pilotage des risques, la conformite et le controle, le pilotage operationnel.

Le graphique ci-apres illustre l’articulation de ces differents volets. DENIAU 6 15/06/06, 9:08 LA CARTOGRAPHIE DU RISQUE OPERATIONNEL : OUTIL REGLEMENTAIRE OU OUTIL DE PILOTAGE ? Graphique n° 1 Articulation du pilotage des risques, de la conformite et du pilotage operationnel Pilotage des risques Identification / Analyse Evaluation / Modelisation Reduction / Transfert Tarification Communication / Reporting Risques 7 Controles Processus Conformite – Controle Reduction / Gestion Autoevaluation Plan d’actions Conformite Pilotage operationnel

Efficacite Qualite Satisfaction client Tarification Couts DENIAU 7 15/06/06, 9:08 REVUE D’ECONOMIE FINANCIERE CARTOGRAPHIE DES RISQUES : OBSTACLES ET DIFFICULTES La realisation d’une cartographie des risques constitue un exercice d’introspection qui contraint chaque service, qui contribue a la mise en ? uvre des objectifs fondamentaux de l’entreprise, a s’interroger sur le niveau de risque qu’il fait courir a l’organisation. La realisation de l’exercice va donc se heurter a plusieurs ecueils. Le premier ecueil concerne le langage commun a etablir.

La comprehension des concepts relatifs au risque operationnel s’est heurtee pendant de nombreuses annees a l’absence de definitions et de referentiels clairs. A cet egard, les normes edictees par le Comite de Bale (definition, types de risque, lignes metiers… ), constituent dorenavant le socle commun indispensable au developpement des methodologies et surtout a la comprehension partagee des concepts et des diverses cartographies. S’agissant de risques diffus, de nature endogene et complexe a analyser et cartographier, ces normes ont permis un veritable essor de l’analyse et de la modelisation du risque operationnel.

Il n’en reste pas moins que la formation et la comprehension de ces differents concepts restent encore insuffisantes. Le deuxieme obstacle est relatif a la surcharge de travail que peut constituer cet exercice de la part d’operationnels deja fortement sollicites par leurs taches quotidiennes. La description synthetique des processus, l’identification des risques et enfin leur evaluation sont un exercice indeniablement chronophage et souvent eloigne des preoccupations quotidiennes des operationnels mis a contribution.

Cette perception sera d’autant plus significative que le processus sera mal calibre ou mal gere. Une analyse trop fine des processus et des risques peut ainsi conduire a des charges de travail disproportionnees par rapport aux objectifs vises et a des delais d’execution otant toute visibilite aux benefices d’un tel exercice. Cette difficulte sera souvent accrue par l’absence de perception de l’interet que ces contributeurs pourront tirer de la realisation d’un tel exercice.

Au contraire, dans la mesure ou la cartographie conduira indeniablement a mettre en evidence des faiblesses ou des deficiences dans le dispositif de controle interne, elle pourra etre davantage percue comme l’instrument qui revelera les propres imperfections du service ou du departement a la Direction generale et, par suite, mettra en evidence les carences de l’etablissement aux yeux du verificateur. La mise en evidence d’imperfections ou de faiblesses est encore rarement percue comme pouvant contribuer a l’amelioration des processus internes, a une appreciation fine du cout du risque et donc de sa tarification, ou a la mise ? vre d’un processus qualite au benefice du client. Cette perception negative s’estompera sans doute au fil du 8 DENIAU 8 15/06/06, 9:08 LA CARTOGRAPHIE DU RISQUE OPERATIONNEL : OUTIL REGLEMENTAIRE OU OUTIL DE PILOTAGE ? temps, au fur et a mesure d’une diffusion plus large des concepts et methodologies de gestion du risque operationnel. Par ailleurs, il conviendra de poursuivre le developpement, tres embryonnaire a l’heure actuelle, d’une evaluation des performances fondee egalement sur la gestion des risques operationnels. Enfin, la mise en ? vre d’une cartographie des risques au sein d’etablissements d’envergure imposera de tenir compte des specificites regionales ou de particularites de certains metiers. Le caractere disparate et diffus du risque operationnel fait de la cartographie des risques un exercice complexe. Assurer l’exhaustivite de la collecte des elements, la pertinence de la nature et de la gravite des risques au regard de l’environnement specifique de chaque metier ou fonction ou encore l’homogeneite des evaluations, sont autant de difficultes auxquelles sont confrontees les banques.

Plusieurs dispositions peuvent toutefois repondre a ces difficultes. La qualite d’une cartographie repose avant tout sur la diffusion de methodologies detaillees et d’un referentiel commun, compris et accepte par tous. La normalisation des cartographies exigera, par consequent, le deploiement d’une methodologie et la diffusion de regles claires. A cet egard, et a titre d’illustration, il apparait pertinent d’utiliser l’ensemble des informations disponibles telles que, par exemple, les remontees de pertes pour corroborer la nature des risques recenses et identifier les carences.

L’ensemble des difficultes ou obstacles mentionnees ci-dessus nous semblent plus relever d’une problematique de gestion et de resistance au changement, plutot que d’une veritable interrogation sur le concept et l’interet de la cartographie des risques. En effet, la gestion des risques operationnels reste une fonction nouvelle, tres transverse a l’ensemble des fonctions ou metiers de l’etablissement concerne, avec de reels enjeux methodologiques, notamment sur la modelisation quantitative, malgre les progres accomplis depuis quelques annees.

En revanche, les outils et methodes de gestion, y compris la cartographie, sont finalement relativement bien connus et n’exigent pas une technicite ou une expertise extremement pointue. L’harmonisation et la diffusion de ces methodologies a l’ensemble d’une organisation necessitent neanmoins une coordination et un management global et transverse qui modifieront profondement l’organisation et la gestion de l’etablissement. Il s’agit, a terme, de piloter autrement, sans doute moins sur un mode hierarchique, par metier ou fonction, et sans doute un peu plus de facon transversale, sur un mode projet ou par les processus.

Ces evolutions ont evidemment de forts enjeux en termes de pouvoir, d’organisation ou de responsabilites. On comprend ainsi les resistances qui peuvent apparaitre a l’occasion d’une cartographie des risques. 9 DENIAU 9 15/06/06, 9:08 REVUE D’ECONOMIE FINANCIERE 10 COMMENT CONCEVOIR ET DEPLOYER UNE CARTOGRAPHIE DES RISQUES Exercice realise sur la base d’analyses et de declarations d’experts identifies au sein des metiers, une cartographie de risque est par essence de nature subjective.

Aussi est-il necessaire d’en encadrer l’elaboration par une methodologie stricte qui en garantira la pertinence, l’homogeneite et, par la suite, l’exploitation. Definir, des le debut du projet, un cadre methodologique est, en effet, fondamental pour fixer de facon claire et objective tous les elements qui serviront aux travaux d’analyse ulterieurs afin d’assurer un niveau d’homogeneite et un langage commun compris de tous et ainsi eviter les corrections en cours de projet.

Le cadre methodologique devra notamment definir les elements objectifs relatifs aux criteres necessaires a l’evaluation des risques et des controles, l’echelle de valorisation et le mode d’evaluation a utiliser. Un projet de cartographie peut, dans les grandes lignes, s’articuler autour de quatre etapes : – la definition des processus, – le recensement des risques inherents et des controles associes, – la definition des criteres d’evaluation des risques, – et enfin la cotation des risques identifies. Graphique n° 2 Quatre etapes d’un projet de cartographie

DENIAU 10 15/06/06, 9:08 LA CARTOGRAPHIE DU RISQUE OPERATIONNEL : OUTIL REGLEMENTAIRE OU OUTIL DE PILOTAGE ? La definition des processus Deux methodologies peuvent etre utilisees : la premiere methode consiste a dresser un recapitulatif des differents risques operationnels qui ont touche les services de la banque et cause des pertes (analyse historique). Le but n’est pas de mesurer ou quantifier le risque mais de determiner les lignes de metier touchees, directement ou indirectement, par un evenement defavorable dans le passe.

Ainsi les banques auront suffisamment de couples risque/metier pour pouvoir dresser une matrice risque/metier. Cette methode est utilisee, en general, par les banques qui possedent un historique de donnees relatif aux differents evenements. La deuxieme methode consiste a faire l’inventaire des differents facteurs du risque operationnel auxquels les metiers de la banque peuvent etre exposes (analyse prospective) a partir d’une revue des processus.

Une typologie des risques operationnels est etablie : procedures inadaptees, risques metier, risques humains (probite, competence), risques externes (catastrophes, contraintes reglementaires), risques technologiques. Puis il faut determiner les lignes de metier exposees aux risques operationnels. Cette etape consiste a diviser les differents processus elementaires de la banque en sous-processus, voire d’affiner cette division en dressant une liste des differentes fonctions au sein de chaque departement de la banque.

A chaque ligne de metier est alors associe le risque qui peut l’affecter directement ou indirectement. Un processus relie des activites independantes au sein d’une entreprise et montre comment elles interagissent afin d’atteindre un objectif. L’analyse du risque operationnel, fondee sur les processus, mettra en evidence comment la defaillance potentielle d’un processus dans un secteur de l’organisation pourra avoir des repercussions sur un autre et ainsi contribuer a identifier les responsabilites en matiere de mise en ? uvre de plan de reduction des risques.

Des lors, il s’agira de definir le niveau de detail et de granularite avec lequel seront decrits les processus pour permettre l’identification des risques : – un niveau de detail trop grossier ne permet, en effet, pas d’apprehender de facon precise les risques encourus pour chaque processus ; – en revanche, un niveau de detail trop fin peut nuire a la lisibilite du processus et par la conduire a une mauvaise interpretation de la nature et du niveau de risque. En outre, il rendra les mises a jour ulterieures plus difficiles.

Le principal enjeu de cette phase est donc de disposer de processus decrits avec un niveau de granularite permettant de mettre en evidence les eventuelles zones de risque et de conduire l’analyse de ces risques et des controles existants. 11 DENIAU 11 15/06/06, 9:08 REVUE D’ECONOMIE FINANCIERE 12 Afin de bien maitriser les risques relatifs a chaque activite, il est important de bien repertorier les processus auxquels ils sont rattaches et de definir avec precision les roles et les responsabilites de chaque intervenant interne ou externe dans ces processus.

Cette cartographie devra etre completee par l’identification des controles lies aux flux d’un processus. Cette etape pourra etre menee sous la forme : – d’une revue de la documentation interne eventuellement deja existante telle que des organigrammes, des descriptions de processus, des rapports d’inspection… – d’entretiens avec les responsables de services operationnels et avec les collaborateurs concernes ; – d’ateliers de travail. Les differents flux d’information echanges entre les intervenants ou les actions engagees par ces derniers au sein d’un meme processus peuvent etre formalises de maniere simple sur des schemas descriptifs.

La cartographie des processus pourra gagner a etre presentee egalement a l’aide d’un outil du marche specialise. Cette approche est la seule qui nous semble permettre une veritable gestion des risques, fondee sur des plans d’actions que les differentes unites operationnelles et leurs responsables seront charges de mettre en ? uvre. Sans liens entre les risques et les processus, nous ne voyons, en effet, pas comment de veritables actions pourraient etre identifiees, attribuees, et mises en ? uvre. Le recensement des risques et des controles

L’objectif de cette phase est d’identifier et d’analyser les evenements de risque attaches a chaque processus a partir de la cartographie etablie lors de la phase precedente. Il sera important que les evenements de risque soient decrits de facon factuelle et que leurs causes et consequences soient analysees afin de permettre l’identification des impacts (financiers, de reputation… ) en fonction des consequences et par suite l’elaboration des plans d’actions a mettre en ? uvre en fonction des causes.

Des lors, chaque evenement de risque doit pouvoir etre rattache a une cause de dysfonctionnement. Bale II propose quatre natures de causes qui doivent permettre de couvrir l’ensemble des cas de figure. – les systemes d’information : defaillance materielle, bogue logiciel, obsolescence des technologies (materiel, langages de programmation… ) ; – les processus (saisies erronees, non respect des procedures… ) ; – les personnes (competences, formation, absenteisme, fraude, mouvements sociaux… mais aussi capacite de l’entreprise a assurer la releve sur les postes cles) ;

DENIAU 12 15/06/06, 9:08 LA CARTOGRAPHIE DU RISQUE OPERATIONNEL : OUTIL REGLEMENTAIRE OU OUTIL DE PILOTAGE ? – les evenements exterieurs (terrorisme, catastrophe naturelle, environnement reglementaire… ). Les cartographies de risques ainsi redigees permettront de decrire les risques et d’identifier les controles associes. La definition prealable d’une typologie des risques doit faciliter l’exercice d’identification et de classement des risques afin de normer les presentations et de permettre des restitutions claires et synthetiques.

La typologie proposee par Bale II constitue dorenavant la reference. Chaque etablissement est neanmoins libre d’adapter cette typologie a ses propres besoins, sous reserve de pouvoir relier une typologie interne a celle de Bale II. En pratique, il convient de ne pas trop s’ecarter de cette reference de fait. L’identification et la description des evenements de risque et des controles associes doit suivre une demarche rigoureuse. La difficulte majeure est relative a ce que nous appellerons le « niveau de maille ».

Plus la maille sera fine, c’est-a-dire plus le nombre d’evenements de risque sera eleve, plus l’information collectee peut sembler fine et detaillee. Cette finesse est a notre avis illusoire, compte tenu de la difficulte a evaluer frequence et severite de chaque evenement. Enfin, l’exercice peut alors devenir interminable et tres couteux, et provoquer ainsi la reticence, voire le rejet, des operationnels charges de proceder a l’identification et l’evaluation. En pratique, nous constatons tres souvent un niveau de detail beaucoup trop fin.

Il convient donc de faire particulierement attention a cet aspect et de ne pas oublier que la cartographie des risques est une demarche evolutive. Une premiere evaluation conduira ulterieurement a une deuxieme, eventuellement plus detaillee si le niveau de risque le justifie. 13 La definition des criteres d’evaluation L’evaluation des risques necessite la definition d’un bareme qui permette d’objectiver et d’homogeneiser l’appreciation qui en est faite. Seule la definition d’une echelle commune a l’ensemble des directions pourra permettre d’obtenir des resultats coherents et exploitables.

Des lors, l’evaluation des risques peut etre effectuee selon une notation chiffree pour laquelle il conviendra de fixer les regles. Aujourd’hui, les etablissements soumis a la reglementation de Bale evaluent les risques en fonction de leur frequence et de leurs impacts financiers mais les cartographies peuvent etre enrichies par des evaluations en fonction de criteres plus qualitatifs, par exemple sur le risque image, c’est-a-dire sur l’impact que peut avoir un incident sur la reputation de l’etablissement. DENIAU 3 15/06/06, 9:08 REVUE D’ECONOMIE FINANCIERE L’evaluation suivant une codification de type « fort, moyen, faible » sans echelle de criteres se revele trop subjective et ne permet pas de garantir une homogeneite au sein du groupe. Les echelles de valeurs exigeront par consequent une structuration rigoureuse et adaptee a l’environnement specifique de l’etablissement. L’exemple ci-apres de grille d’evaluation qualitative sur la reputation permet d’illustrer la rigueur indispensable a une evaluation pertinente.

Lorsque l’evaluation est par essence subjective, a dire d’expert, il convient d’objectiver au mieux les criteres d’evaluation. Tableau n° 1 Exemple de grille d’evaluation qualitative sur la reputation Impact de reputation/Gravite Impact faible • Confidentialite faiblement compromise et/ou faible interruption de service • Faible nombre de clients/tiers necessitant d’etre informes • Les responsables hierarchiques directs necessitent seuls d’etre informes des risques encourus • Confidentialite moderement compromise et/ou interruption de service moderee • Nombre non negligeable de clients/tiers necessitant ’etre informes • Presse defavorable (au niveau national) • Revelation defavorable d’un tiers • Les chefs de departement doivent etre informes des risques encourus • Confidentialite compromise de facon importante et/ou importante interruption de service • Grand nombre de clients/tiers necessitant d’etre informes • Degradation importante des relations avec le client • Litiges contre les employes de la societe • La banque fait l’objet de sanctions (non publiees) de la part des autorites • Presse defavorable (au niveau international) • Les membres du Comite executif doivent etre informes des risques encourus • Confidentialite compromise de facon majeure et/ou interruption de service majeure • Litiges contre la societe • La banque est impliquee dans un scandale majeur ou fait l’objet de la publication de sanctions graves de la part des autorites • La societe ne peut pas repondre a des obligations cles vis-a-vis de tiers • Le Conseil d’administration ou les autres membres influents doivent etre informes des risques encourus Impact non negligeable 14

Impact fort Impact majeur La normalisation des reponses imposera la diffusion d’indications suffisamment precises pour permettre de guider l’evaluateur dans son appreciation du risque et qu’il puisse se prononcer sans equivoque. Ainsi DENIAU 14 15/06/06, 9:08 LA CARTOGRAPHIE DU RISQUE OPERATIONNEL : OUTIL REGLEMENTAIRE OU OUTIL DE PILOTAGE ? peut-on imaginer des grilles d’evaluation qui proposent differentes illustrations qui permettent de cerner par analogie le type de reponse attendue. Les grilles les plus abouties proposent une codification des reponses au travers de questionnaires detailles pour chaque typologie de risque. La cotation des risques

Malgre toute l’attention portee a la determination des criteres qui vont permettre une harmonisation des cotations, l’exercice pourra toutefois conserver une dimension subjective qui pourra etre limitee par la confrontation de l’avis de plusieurs experts. La combinaison des experiences permettra, en effet, de cerner une realite souvent difficile a apprehender. Les exercices d’auto-evaluation des risques pourront des lors gagner a faire l’objet d’ateliers de travail (workshop) qui permettront cette confrontation des avis d’experts. Ce type d’exercice n’est toutefois pas sans poser de nouvelles difficultes car s’il n’est pas suffisamment structure, il peut etre source de debats deplaces et se reveler au final contre-productif.

Un certain nombre de techniques permettent toutefois de structurer l’approche d’evaluation au titre desquelles on peut citer le recours a des outils de vote qui permettent, par l’affichage immediat des resultats obtenus, d’etablir un consensus rapide sur un niveau de risque. La cartographie des risques se revele etre l’un des instruments les plus pertinents pour identifier et analyser de facon structuree les risques auxquels tout etablissement doit faire face, et permettre ainsi les actions necessaires d’attenuation, de controle ou de transfert des risques. Les methodologies sont aujourd’hui largement repandues, de nombreux outils informatiques sont disponibles pour soutenir cette demarche, et la formation a ces techniques s’est largement developpee.

Pour reussir le deploiement d’une cartographie des risques et en faire un veritable outil d’analyse mais aussi de gestion, d’autres elements sont neanmoins indispensables : une comprehension fine des metiers et de leurs processus, la clarte et la simplicite operationnelle de la methodologie, un savoir-faire sur le calibrage et le pilotage de l’exercice, une grande rigueur dans la mise en ? uvre et, enfin, une politique de communication et de formation. Pour faire de la cartographie des risques un veritable outil de pilotage, une veritable vision reste cependant a developper, au-dela de ces methodologies, expertises, ou meme parfois recettes : une vision sur l’utilisation des methodologies de cartographie des risques pour d’autres 15 DENIAU 15 15/06/06, 9:08 REVUE D’ECONOMIE FINANCIERE xes d’analyse ; une vision sur l’utilisation a des fins quantitatives dans le cadre du pilotage des performances operationnelles ; une vision sur l’appreciation des performances individuelles. Toutes ces evolutions necessiteront des transformations dans les modes et techniques de management, au profit d’approches plus transversales, faisant collaborer des entites, departements ou fonctions qui restent encore autonomes et independantes sur le traitement de ces sujets. La detection, la quantification et la reduction des risques operationnels restent un vaste chantier pour la communaute bancaire et financiere. Les annees a venir dessineront vraisemblablement un nouveau paysage en la matiere. 16 DENIAU 16 15/06/06, 9:08