LA CARTOGRAPHIE DES RISQUES Un outil indispensable pour les
Transcription
LA CARTOGRAPHIE DES RISQUES Un outil indispensable pour les
P RATI Q U E C O M PTAB LE GILLES DUNAND-ROUX BERTRAND DESPORTES LA CARTOGRAPHIE DES RISQUES Un outil indispensable pour les gestionnaires d’actifs * La cartographie est un outil indispensable en matière de gestion des risques et d’aide à la décision pour les gestionnaires d’actifs (banques privées, gestionnaires de placements collectifs de capitaux, etc.). L’objet de cet article est de présenter la démarche d’élaboration d’une cartographie des risques de manière séquentielle et d’illustrer son rôle dans la maîtrise des risques et dans les orientations stratégiques. 1. INTRODUCTION Les organisations se savent exposées à une typologie de risques très variés. Chacun de ces risques est le plus souvent parfaitement identifié. Des grilles d’analyse existent, les probabilités de survenance sont estimées, les échelles de mesure ont été développées pour la plupart des risques connus. S’agissant de certains risques financiers, la combinaison de la recherche mathématique et des progrès de l’informatique a permis de développer des modèles capables de leur donner une vision plus intelligible avec toutefois les biais que nous avons eu l’occasion d’évoquer régulièrement (le modèle n’est pas la réalité [1]). Pour autant, nous constatons dans certaines organisations des lacunes en termes de vision globale, d’une part, et de prise en compte des interactions et des chaînes de causalité pouvant exister entre chacun des risques, d’autre part. Une vision compartimentée des risques est à bannir particulièrement dans le cadre d’une activité de gestion d’actifs. La cartographie est à ce titre au cœur de tout projet en matière de gestion des risques. La cartographie répertorie et hiérarchise l’ensemble des risques d’une société. Il s’agit d’un outil de gestion et de communication sur les risques que fait vivre la fonction de gestion des risques et dont dispose l’organe de gouvernance. Cet outil doit être structuré, synthétique, organisé par métier et par processus et accessible (mise à disposition/compréhension). Il est important de souligner qu’il n’y a pas une cartographie mais plusieurs, chacune d’elles se focalisant sur un domaine donné. Cette multiplicité ne doit pas conduire à la construction de cartographies inconciliables tant en termes 178 de format que de philosophie. L’objectif de la fonction de gestion des risques est ainsi de faire émerger une homogénéité suffisante à la juste compréhension des enjeux et de leur prise en compte. L’objet de cet article est de mettre en cohérence l’utilisation de l’outil cartographie avec les besoins des établissements financiers spécialisés dans la gestion de capitaux, individuelle ou mutualisée (banques privées, gestionnaires de placements collectifs de capitaux, etc.). Cette utilisation n’est pas la même au niveau des opérationnels ou de la gouvernance, la granularité des informations retranscrites dans chaque cartographie doit s’adapter au niveau hiérarchique de l’utilisateur. Mais il apparaît évident que la cartographie, qui, nous le verrons, se conjugue essentiellement au pluriel, vise à aider les organisations à gérer et arbitrer les risques, donc à décider des actions à mener pour atteindre les objectifs dans les limites des ressources disponibles. 2. IDENTIFICATION DES RISQUES 2.1 Activité/processus métiers/tâches. Une connaissance approfondie de l’activité, des risques associés, et de l’environnement de contrôle est une étape décisive pour l’élaboration de la cartographie des risques qui, par la suite, aboutira à l’élaboration du plan de contrôle. Cette prise de connaissance s’appuie sur la bonne compréhension économique de l’entité via ses processus métiers. Un processus métier est un ensemble de tâches continues et interdépendantes qui visent à la fourniture d’un produit ou d’un service à la clientèle. Le processus métier procède directement d’une activité et met en interaction différents ac- GILLES DUNAND-ROUX, BERTRAND DESPORTES, ASSOCIÉ, DÉPARTEMENT MANAGER, DÉPARTEMENT ASSET MANAGEMENT – ASSET MANAGEMENT – MAZARS, EXPERT- MAZARS, EXPERT- COMPTABLE DIPLÔMÉ, COMPTABLE MÉMORIALISTE, PARIS, LA DÉFENSE/F PARIS, LA DÉFENSE/F GILLES.DUNANDROUX@ BERTRAND.DESPORTES@ MAZARS.FR MAZARS.FR L’ E X P E R T - C O M P TA B L E S U I S S E 2014 | 3 P RATI Q U E C O M PTAB LE Tableau 1: DU PROCESSUS MÉTIER À LA QUALIFICATION DU RISQUE Macro processus Produits/ Services Processus métiers/Tâches Mise en place des critères de sélection/ Comité des risques Paramétrage du broker/DSI/ Logiciel X Sélection du broker Ordre Actions Transmission d’ordres Risques Qualification Dans la sélection de ses intermédiaires la société pourrait privilégier ses intérêts propres au détriment de ses clients 1 2 3 4 5 6 7 8 Formalisation du choix du broker/ table de négociation/impression bloomberg Utilisation d’un broker non autorisé Suivi et contrôle du broker/ comité des risques Dégradation de la qualité d’exécution du broker Analyse pré-trade de l’ordre etc … Saisie de l’ordre Envoi de l’ordre/ Système X Le choix du broker n’est pas justifié Confirmation et prise en charge de l’ordre par la table de négociation Négociation Validation des caractéristiques de l’ordre Obtention du cours d’exécution etc … Transfert de l’ordre Rapprochement de l’ordre etc … Dépouillement de l’ordre Comptabilisation de l’ordre et des commissions afférentes Rapprochement des positions Ordre Taux etc… Légende: 1 Risque de marché 2 Risque de contrepartie 5 Risque de commercial 6 Risque de réputation 2014 | 3 L’ E X P E R T - C O M P TA B L E S U I S S E 3 Risque de liquidité 7 Risque juridique 4 Risque de non-conformité 8 Risque de fraude 179 P RATI Q U E C O M PTAB LE La cartograp h ie des risques Tableau 2: VULNÉRABILITÉ, DISPOSITIF DE MAÎTRISE ET COTATION DU RISQUE Niveau de vulnérabilité Pertes directes Probabilité d’occurrence Pertes indirectes: Clientèle Opérationnel Personnel Réputation Structuration du processus Efficience Improbable Peu probable Probable Très probable Certain Stabilité Contrôle permanent Plan de continuité d’activité 1 2 3 4 5 1 2 3 4 5 Gravité Probabilité critique faible 3 4 >12 8 à 12 5à7 3à4 0à2 5 B B B A A Dispositif de maîtrise 4 3 2 C C D C C D B B C B B C A B B 1 D D C C B 5 Dispositif efficient Probabilité élevée teurs (internes et externes) impliqués dans les actions afférentes au processus considéré. L’importance des systèmes d’information dans l’articulation des processus et des tâches mérite d’être soulignée dès à présent et intégrée à la réflexion menée sur les risques. Nous prendrons dans le cadre de cet article l’exemple du processus «transmission d’ordres» qui constitue l’un des processus structurant des établissements financiers ayant une activité de gestion sous mandat ou de gestion de fonds. 2.2 Processus de transmission d’ordres. Pour illustrer notre propos, nous décomposons le processus de transmission d’ordres en tâches continues et faisons le lien avec les risques associés qui in fine permettent de comprendre à quoi l’établissement financier s’expose au cours de la mise en œuvre de ce processus et quelles sont les interactions entre les différents facteurs de risque. En bout de chaîne, chaque action est susceptible d’engendrer un risque qu’il est possible de qualifier. L’illustration du tableau 1 met en exergue deux points: Quelle que soit la nature des activités en amont, la qualification du risque est pour sa part cantonnée à un nombre restreint de possibilités (risques de marché, risque de contrepartie, etc.). Une connaissance précise des activités et des processus afférents est nécessaire sous peine de laisser de côté certains risques. Nous le verrons, l’intérêt des cartographies thématiques est bien de se rapprocher au plus près de l’activité, de sorte que les opérationnels impliqués dans leur construction aient une vision fine des processus réduisant de ce fait la possibilité d’omission. La transmission d’ordres peut concerner différents produits: des actions, des produits de taux, des dérivés ... Chaque 180 2 Dispositif déficient × = Score de vulnérabilité Gravité négligeable 1 Score de vulnérabilité Gravité Évaluation du risque Dispositif de maîtrise cas de figure sollicite des processus métiers (sélection des rokers, analyse pré-trade de l’ordre, etc.) et engendre des b tâches (mise en place des critères de sélection, paramétrage des brokers, etc.) qui sont chacune porteuses de risques (utilisation de brokers non autorisés, non justification du choix du broker, etc.). Chacun de ces risques peut être appelé sous une dénomination commune (risque de marché, risque opérationnel, etc.), ce qui permet par la suite de développer un traitement du risque cohérent et organisé. 3. ÉVALUATION ET HIÉRARCHISATION DES RISQUES 3.1 Niveau de vulnérabilité et dispositif de maîtrise. Les risques inhérents identifiés doivent faire l’objet d’une évaluation. Cette évaluation s’appuie sur deux dimensions: le niveau de vulnérabilité et le dispositif de maîtrise. Il convient d’introduire la distinction entre le risque inhérent (ou risque brut) et le risque résiduel (ou risque net). Le risque brut peut être désigné comme le produit d’une gravité et d’une probabilité d’occurrence. La définition de Gilbert de Mareschal [2] est la suivante: «on appelle risque inhérent le risque «brut» considéré sans les éventuels moyens de protection ou de contrôle mis en place par l’organisation. Le risque résiduel est celui qui résulte du risque brut en tenant compte des protections et des contrôles mis en place». Le tableau 2 présente le passage du risque inhérent à l’évaluation du risque. Nous considérons que l’évaluation du risque doit être faite en tenant compte du dispositif de maîtrise car c’est le risque résiduel qui intéresse le décideur. Gilbert de Mareschal prend un exemple qui nous semble suffisamment L’ E X P E R T - C O M P TA B L E S U I S S E 2014 | 3 P RATI Q U E C O M PTAB LE La cartograp h ie des risques Tableau 3: TABLE DE CORRESPONDANCE DES TYPOLOGIES DE RISQUES Gravité Pertes Relations clientèle Opérationnel Personnel Reputation 1 Néglibeable 5 KCHF Courrier clientèle Perte très momentanée des systèmes de gestion (moins d’un quart d’heure). Arrêt maladie de courte durée d’un collaborateur. Critique détectée sur les réseaux sociaux 2 Faible 20 KCHF Recours au service médiation de l’établissement financier. Indemnisation nécessaire. Perte temporaire des systèmes de gestion (moins d’une heure). Arrêt maladie prolongé d’un collaborateur. Critiques répétées sur les réseaux sociaux. 3 Moyen 50 KCHF Recours en justice conduisant à indemnisation. Blâme de la Finma. Indisponibilité prolongée (plusieurs heures) des systèmes de gestion. Départ d’un collaborateur. La Finma décide l’interdiction d’exercer pour un collaborateur. Avis négatif dans la presse spécialisée. 4 Elevé 150 KCHF Recours en justice conduisant à indemnisation. La Finma décide la confiscation d’un gain financier ne remettant toutefois pas en causse la poursuite des activités de l’établissement. Indisponibilité des systèmes de gestion au-delà de 24 h. Turn-over important de collaborateurs. Avis négatifs récurrents dans la presse spécialisée. 5 Critique 500 KCHF et plus La Finma: décide d’une amende très élevée; donne toute publicité de sa décision à l’encontre de l’établissement financier et de ses dirigeants; et/ou retire l’autorisation. Crash des systèmes et des back-up. Les ordres ne peuvent pas être passés, les rachats ne sont pas honorés. Turn-over non maitrisé de collaborateurs clés. L’établissement financier est clairement désigné comme défaillant. Avis négatifs dans la presse spécialisée et généraliste. évocateur à ce sujet: quel est l’intérêt de connaître le risque de vol d’une banque avec les systèmes d’alarme éteints et le coffre ouvert? C’est bien en situation réelle que l’effort de cotation doit être mené. Le niveau de vulnérabilité résulte d’une gravité potentielle (dans l’exemple ci-dessus l’échelle va de 1 – gravité négligeable à 5 – gravité critique) et d’une probabilité d’occurrence. Tableau 4: LES RISQUES INHÉRENTS À LA SÉLECTION DU BROKER Sélection broker Dans la sélection de ses intermédiaires l’établissement financier pourrait privilégier ses intérêts propres au détriment de ses clients Non-conformité Réputation Juridique Fraude Utilisation d’un broker non autorisé Non-conformité Le choix du broker n’est pas justifié Non-conformité Dégradation de la qualité d’exécution du broker Non-conformité 2014 | 3 L’ E X P E R T - C O M P TA B L E S U I S S E Niveau de risque résiduel Transmission d’ordres Cotation du risque Dispositif de maîtrise Qualification Score global Risque Probabilité Processus métiers Gravité Macro processus 181 P RATI Q U E C O M PTAB LE Processus métiers Risque Qualification Probabilité (p) Score de vulnérabilité (p x g) Dispositif de maîtrise Transmission d’ordres Sélection broker Dans la sélection de ses intermédiaires la société pourrait privilégier ses intérêts propres au détriment de ses clients. Non-conformité 3 2 6 3 Réputation … … … … Juridique … … … … Fraude … … … … La gravité est le niveau de la perte constatée suite à la réalisation du risque. Cette perte peut s’exprimer de manière qualitative ou quantitative. La probabilité d’occurrence désigne la possibilité de réalisation du risque qui s’exprime aussi de manière qualitative ou quantitative. 3.2 L’évaluation du risque. Gravité et probabilité d’occurrence font l’objet d’une évaluation. La difficulté, s’agissant de risques de natures différentes, étant de ramener à une même échelle des notions très hétérogènes. La construction d’une cartographie des risques exige un travail de rationalisation. Il est nécessaire de disposer d’échelles objectives et factuelles qui mettent en correspondance des événements de natures différentes. Comme le rappelle l’AFNOR (Le Ray J. [3], 2009), «l’alignement des gravités est rendu possible par le fait que tous les risques ont, par définition du concept de vulnérabilité, des conséquences financières et que c’est l’importance de ces conséquences financières qui va préjuger de la criticité du risque». Le tableau 3 illustre les problèmes auxquels peuvent être confrontés les établissements financiers. Il est utile de préciser que la mise en place d’une échelle de ce type doit être étalonnée à la dimension de chaque société. Un acteur majeur peut probablement supporter un risque à 500 KCHF qui a contrario signerait l’arrêt de mort d’une structure de moindre dimension. 4. EXEMPLE DU PROCESSUS DE TRANSMISSION D’ORDRES 4.1 La sélection du broker. Nous présentons au tableau 4 les risques inhérents à la sélection du broker qui constitue l’un des processus métiers clé du macro processus «transmission d’ordres». Dans le cadre de la sélection du broker, les risques que nous pouvons identifier peuvent être l’utilisation d’un broker non autorisé, la non-justification du choix du broker, la dégradation de la qualité d’exécution ou encore la survenance d’un conflit d’intérêts. Comme mentionné dans le tableau, ces risques se ventilent entre un risque de non-conformité, un risque de réputation, un risque juridique ou de fraude. Reste 182 Cotation du risque Niveau de risque résiduel Macro processus Gravite (g) Tableau 5: COTATION DU RISQUE DE NON-CONFORMITÉ B ensuite à réaliser l’évaluation du risque et donc affecter une gravité, une probabilité et estimer la qualité du dispositif de contrôle afférent. 4.2 Le risque de non-conformité afférent à la sélection du broker. Nous allons, à titre d’exemple, déterminer la cotation du risque pour le risque de non-conformité afférent à une sélection d’un broker pouvant privilégier les intérêts propres de l’entité au détriment de ses clients (conflit d’intérêts). Nous jugeons d’expérience que la gravité de ce type d’événement reste moyenne avec un niveau de pertes directes modéré. Les pertes indirectes sont aléatoires et relèvent d’un risque de réputation si un article de presse fait écho de la situation et ont un lien avec la relation de l’établis- « La cartographie n’aurait pas de sens s’il ne s’agissait que d’un outil statique ne faisant l’objet d’aucune exploitation ni de mise à jour à un rythme suffisant.» sement financier avec sa clientèle. Les pertes peuvent être appréhendées en valeur absolue ou en pourcentage des capitaux propres. En termes de probabilité d’occurrence, nous l’évaluons comme étant peu probable. Le conflit d’intérêts peut survenir mais revêt en réalité un caractère exceptionnel. 4.3 Le dispositif de maîtrise dans le cadre de la sélection d’un broker. L’évaluation du dispositif de maîtrise est la dernière étape avant d’obtenir la cotation du risque résiduel. Notre exemple nous conduit à coter la lettre B au risque résiduel de conflit d’intérêts dans le cadre d’une sélection d’un broker au cours de la transmission d’un ordre. Cette co tation doit s’inscrire dans un référentiel propre à l’établissement financier lui permettant de déterminer si le résultat obtenu est en définitive un risque acceptable, qui ne requiert pas d’action particulière, ou au contraire, s’il s’agit d’un L’ E X P E R T - C O M P TA B L E S U I S S E 2014 | 3 P RATI Q U E C O M PTAB LE de faire évoluer le profil de risque. Comme l’expose Jean Le Ray [4] (2009), cela Tableau 6: MATRICE DES RISQUES Dispositif de maîtrise 5 4 3 2 1 Score de vulnérabilité > 12 8 à 12 5à7 B 3à4 0à2 risque nécessitant une action de prévention et/ou de protection. 5. ADAPTATION DU PLAN DE CONTRÔLE 5.1 Limite d’acceptabilité. La cartographie n’aurait pas de sens s’il ne s’agissait que d’un outil statique ne faisant l’objet d’aucune exploitation ni de mise à jour à un rythme suffisant. C’est le péril qui guette cet outil qui a cependant nécessité beaucoup de ressources dans sa conception. La cartographie a vocation à aider le dirigeant, les opérationnels et bien sûr le Risk Manager, à gérer les risques dont ils ont la charge. Cela signifie que, sur la base des risques résiduels identifiés, ils doivent mettre en œuvre les actions correctives susceptibles 2014 | 3 L’ E X P E R T - C O M P TA B L E S U I S S E «doit aboutir à la matérialisation d’un concept fondamental en matière de gestion de risques, celui de la limite d’acceptabilité. (...). Cette limite distingue très clairement les risques que l’entreprise ne veut pas prendre de ceux auxquels elle admet de s’exposer». Dans le tableau 7 la zone 1 correspond à un risque que l’établissement financier considère comme non impactant. Le risque peut survenir, il ne mettra pas en péril, ni par sa fréquence ni par sa gravité, la banque privée ou le gestionnaire de placements collectifs de capitaux. Aucune ressource particulière n’est donc affectée au traitement des risques relevant de cette zone. La zone 2 correspond au principal champ d’action du Risk Manager. Les risques identifiés comme relevant de cette zone devront être analysés et gérés. Après analyse, le Risk Manager pourra considérer que finalement l’établissement financier a intérêt à ne pas y consacrer de ressource; il peut au contraire recommander de mettre en place des mécanismes de prévention et de protection pour en limiter la gravité et la probabilité d’occurrence. L’allocation des ressources doit permettre d’améliorer le profil de risque. La zone 3 constitue les risques insupportables pour l’établissement financier. Pour ces risques, l’arbitrage n’est pas envisageable. Le Risk Manager les a normalement identifiés 183 P RATI Q U E C O M PTAB LE La cartograp h ie des risques Tableau 7: LIMITE D’ACCEPTABILITÉ Probabilité Zone de risque accepté Zone de la gestion des risques Zone de risque inacceptable 2 plan annuel de contrôle permanent est adapté au regard des risques résiduels mis en évidence. Cela passe par une mise à jour des contrôles opérationnels de 2ème niveau qui portent sur la conformité des opérations réalisées par les collaborateurs sur l’ensemble des processus en vigueur. Le contrôle permanent détaille par processus le point de contrôle, le périmètre de contrôle (contrôle exhaustif ou par sondage), la fréquence et le responsable du contrôle. Ces mêmes risques résiduels vont aussi influencer les thématiques développées par le contrôle périodique dans le cadre d’un calendrier précis. Le contrôle périodique est un contrôle de 3ème niveau. Nous considérons qu’un plan de 3 Limite d’acceptabilité 1 Gravité et a pris des dispositions pour qu’ils ne puissent survenir (exemple: fraude massive, style drift, etc.). Il subsiste les risques imprévisibles avec un niveau de gravité très élevé voire extrême qui demeurent, hélas, une menace pour toutes les organisations. 5.2 Mise en œuvre du plan de contrôle. La finalité de la réalisation et du maintien d’une cartographie réside dans la mise en œuvre d’un plan d’actions. Cela passe par des actions correctives, la refonte d’une procédure, la mise en place de nouveaux indicateurs ou encore le transfert du risque vers l’assurance (mais tous les risques que rencontre un établissement financier ne pourront pas être assurés, il ne serait pro- « La finalité de la réalisation et du maintien d’une cartographie réside dans la mise en œuvre d’un plan d’actions.» bablement pas viable de le faire et l’histoire récente nous rappelle que l’assurance n’est pas la panacée de la gestion des risques si l’on veut bien se remémorer l’épisode des Credit Default Swap [5]). La principale action qui découle de la cartographie est la mise à jour du plan de contrôle permanent et périodique. Le Notes: * À découvrir: «Le Risk Management en gestion pour compte de tiers». Collection «Techniques de gestion», Éditions Economica. 1) Voir notamment notre développement sur le risque de modèle dans le numéro de novembre 2011 de l’Expertcomptable suisse, paragraphe 2.3. Par ailleurs, voir à ce sujet l’ouvrage «Le Risk Management en gestion pour compte de tiers». Collection «Techniques 184 «Chacune des cartographies thématiques décline les risques associés aux tâches des processus en vigueur et met en parallèle le dispositif de contrôle afin d’indiquer le risque résiduel qui constitue l’information dont ont in fine besoin les opérationnels.» contrôle périodique pourra être utilement organisé par grand risque (marché/liquidité, etc.) et décliné par regroupement de processus et de tâches métiers. L’une des composantes essentielles du plan annuel, outre la périodicité et le calendrier des contrôles, est l’allocation des ressources en jours/hommes. POUR ALLER PLUS LOIN ... On peut lister une petite dizaine de macro-processus structurant l’activité de gestion de capitaux qui feront l’objet pour chacun d’entre eux d’une cartographie thématique. Ces macro-processus ont trait à la commercialisation, l’organisation, la gestion, la transmission d’ordres, la valorisation, les délégations, etc. Ils regroupent l’ensemble des processus métiers (p. ex.: entrée en relation client, validation d’une NAV [6], contrôle pré-trade, etc.). Chacune des cartographies thématiques décline les risques associés aux tâches des processus en vigueur et met en parallèle le dispositif de contrôle afin d’indiquer le risque résiduel qui constitue l’information dont ont in fine besoin les opérationnels. Ces cartographies thématiques pourront ensuite être synthétisées et regroupées au sein d’une cartographie globale indispensable à la vision stratégique des décideurs. n de gestion», Éditions Economica. 2) De Mareschal, Gilbert, La cartographie des risques, AFNOR Éditions, 2006. 3) Le Ray Jean, Cartographies des risques: plusieurs représentations pour plusieurs usages, AFNOR Éditions, 2009. 4) Ibid. 5) Un CDS est un contrat d’assurance garantissant un créancier contre les risques de non-recouvrement d’un titre de dette. L’acheteur de protection verse une prime annuelle au vendeur de protection, calculée sur le montant notionnel de l’actif à couvrir, qui s’engage, en principe, à compenser les pertes subies sur cet actif. Le sauvetage d’AIG et la crise grecque ont montré les limites et les dangers de cet instrument financier non régulé. 6) Net Asset Value. L’ E X P E R T - C O M P TA B L E S U I S S E 2014 | 3