CARTOGRAPHIE DES RISQUES OPERATIONNELS

Transcription

Identification, évaluation et gestion des
incidents
De la cartographie des risques à la mise en place de la
base incidents
Xavier DIVAY
Responsable de la conformité et du contrôle permanent
QUILVEST BANQUE PRIVEE
SOMMAIRE
v L’identification et la mesure des risques opérationnels
§ La cartographie des risques opérationnels
v Le pilotage des risques et la gestion des incidents
§ La base incidents
2
INTRODUCTION
Le risque opérationnel se définit comme le risque de pertes dues à une inadéquation ou à
une défaillance des procédures, personnels, systèmes internes ou à des événements
extérieurs.
Le risque opérationnel dans l’activité de gestion d’actifs se caractérise par la
prééminence des incidents liés aux ruptures de charge dans le processus de la gestion
des ordres (de leur négociation jusqu’à leur enregistrement comptable) :
v
v
v
v
v
v
v
v
v
v
v
erreur transactionnelle,
non-obtention du meilleur prix,
erreur de valorisation ou de calcul de valeur liquidative,
erreur de réconciliation entre les actifs enregistrés auprès du dépositaire et ceux enregistrés en
interne,
non-collecte de certains revenus,
erreur d’appariement (erreur de rapprochement entre le ticket d’ordre du gérant et la confirmation
de l’exécution du broker),
erreur de règlement/livraison,
erreur de calcul des performance fees,
erreur de souscription/rachat,
défaillance du système d’information,
non respect de la réglementation
3
INTRODUCTION
Ø A ces risques, certains acteurs ont répondu, dans une logique de STP, par la mise en
place d’outils front-to-back permettant la réduction des ruptures de charge, liées aux
traitements manuels des opérations, à différentes étapes du processus de la gestion
des ordres. Cette première démarche, nécessaire, n’est toutefois pas suffisante.
Ø Les risques opérationnels ont d’autres natures causales que la défaillance des
processus de saisie et de contrôle manuels. Les risques juridiques, de fraude interne
ou externe, ou liés à la défaillance des processus automatisés sont autant de
sources potentielles d’incidents.
La maîtrise de ces risques nécessite non seulement de disposer de personnels aptes
à gérer les problématiques métier et systèmes, mais aussi de dispositifs de contrôle
adaptés à l’objectif de réduction des risques opérationnels.
4
OBJECTIFS
Ø L’enjeu central est de disposer d’indicateurs pertinents de suivi et de mesure de
l’évolution du risque opérationnel encouru, dans un sens permettant une meilleure
connaissance et une plus grande sécurisation des processus et des systèmes.
Ø Le projet risque opérationnel doit répondre à trois questions majeures :
ü A quelles natures de risques l’établissement est-il soumis ?
ü Quelles pertes potentielles la réalisation de ces risques (incidents) peut-elle
engendrer ?
ü Quelle organisation mettre en place pour réduire la probabilité d’occurrence et
l’ampleur de ces pertes ?
Ø Parmi les enjeux qualitatifs de la démarche « risque opérationnel », la mise en place
d’un dispositif de collecte des pertes et incidents tient une place essentielle.
5
OBJECTIFS
Ø
Être en mesure de détecter au plus tôt les risques (potentiels) et incidents (avérés)
de nature opérationnelle pouvant avoir des conséquences financières et/ou sur
l’image du Groupe
Ø
Analyser les risques et les incidents et apprécier le plus précisément possible et
de façon dynamique leurs impacts potentiels
Ø
Engager / faire engager les actions curatives et/ou préventives qui s’imposent
pour contenir les impacts, limiter la probabilité de survenance des incidents, tirer
les enseignements, adapter les organisations et se doter si nécessaire
d’instruments de financements alternatifs (polices d’assurances…)
Ø
Mesurer les effets de ces actions et disposer d’outils et d’indicateurs de pilotage à
destination des Directoires, des Directions et des différents acteurs impliqués
dans les dispositifs
6
La première étape de la démarche « risques opérationnels » est de formaliser en
amont la relation causale entre la perte, ou l’incident, et le fait générateur.
La définition de nature causale du risque opérationnel est structurée autour de
quatre grands axes :
§ Procédures (risques juridiques et réglementaires, problématique des produits
financiers complexes…)
§ Personnes (erreurs de bonne foi ou actes de malveillance)
§ Systèmes internes (pertes liées à l’impossibilité d’avoir pu utiliser les systèmes
pendant un temps donné, back-up ou procédures de sauvegarde inefficaces…)
§ Événements extérieurs (de nature imprévisible pouvant être réduits au travers
d’assurances ou de plan de continuité).
7
§
La démarche « risques opérationnels »
8
§
Identification des types de risques
La typologie de risques retenue par le Groupe est structurée en quatre niveaux :
Les deux premiers niveaux représentent les grandes catégories et sous-catégories de
risques (typologie des risques Bâle II). Les deux niveaux suivants correspondent aux
risques Groupe et aux évènements de risque
ü 8 catégories de risque de niveau 1
ü 19 catégories de risque de niveau 2
ü 26 types de risques Groupe. Ces risques sont reliés aux risques identifiés en niveau 2
dans la typologie émise par Bâle
ü Les évènements de risque (ER) correspondent à des manifestations de risques
génériques adaptés aux lignes de métier et aux processus. Plus de 200 évènements
de risques ont été identifiés et quantifiés
9
§
Catégories de risque niveau 1
(Typologie bâloise)
1
2
3
Clients, produits et pratiques
commerciales
Dommages aux actifs corporels
Dysfonctionnements de
l’activité des systèmes
1
Catégories de risques groupe
Conformité, diffusion d’informations
et devoir fiduciaire
1
Erreurs et non-conformité clients
2
Produits non-conformes (Lois, règlements,
normes…)
2
Défaut de production
3
Indisponibilité des moyens logistiques (hors
systèmes informatiques et de communication)
3
Pratiques commerciales / de place
incorrectes
4
Pratiques de la banque non-conformes -clients
5
Pratiques de la banque non-conformes -marchés
4
Sélection, parrainage et exposition
6
Clients (sélection)
5
Services conseil
7
Clients (conseil)
6
Catastrophes et autres sinistres
8
Malveillance externe – hors systèmes informatiques
9
Catastrophes naturelles et autres
10
Dysfonctionnement des ressources informatiques et
de communication (erreurs traitements automatisés,
défaillances…)
11
Indisponibilité des systèmes informatiques et de
communication
7
Systèmes
10
§
4
5
6
Exécution, livraison et gestion
des processus
Fraude externe
Fraude interne
8
Admission et documentation
clientèle
12
Gestion administrative des documents
9
Contreparties commerciales
13
Correspondants et contreparties
10
Fournisseurs
14
11
Saisie, exécution et suivi des
transactions
15
Traitement et opérations manuels
12
Surveillance et notification financière
16
Reportings externes
13
Vol et fraude
17
Fraude externe
18
Blanchiment
19
Malveillance interne
hors systèmes informatiques
20
Pratiques individuelles non autorisées
(procédures internes)
21
Fraude interne
22
Malveillance interne
systèmes informatiques
14
15
7
8
Pratiques en matière d’emploi
et sécurité sur le lieu de travail
Sécurité des systèmes
Catégories de risques groupe
Activité non autorisée
Vol et fraude
Fournisseurs,sous-traitance,
prestataires externes, partenaires
16
Égalité et discrimination
23
Discriminations (salariés)
17
Relations de travail
24
Relations employés
(contractuelles, collectives)
18
Sécurité du lieu de travail
25
Conditions de travail (santé et sécurité
des employés)
19
Sécurité des systèmes
26
Malveillance externe –systèmes
informatiques
11
§
Deux approches en matière d’identification et d’évaluation des risques coexistent :
ð Une approche par lignes de métier déclinées en processus
ð Une approche par lignes de métier non déclinées en processus
Une ligne de métier résulte du découpage du Groupe en différentes activités conformément
aux recommandations du Comité de Bâle.
L’association « processus / évènement de risque » permet de faire une distinction entre
des évènements de risque identiques mais qui ne se situent pas sur le même processus.
En règle générale, les deux évènements de risque ont des caractéristiques différentes en
termes de fréquence et d’impact et des dispositifs de maîtrise spécifiques
L’approche par les processus peut être difficile à mettre en place. On pourra
préférer l’identification directe, en liaison avec les experts métiers (les opérationnels
métiers), des évènements de risques et leur rattachement aux catégories de risques
groupe
12
§
Identification des évènements de risque
Quelques exemples d’évènements de risque :
Libellé de l'évènement de risque
Divulgation d'informations confidentielles
Type de risque groupe
Pratiques de la banque non
conformes - clients
Type de risque Bâle II (niv. 1)
commerciales
Type de risque Bâle II (niv. 2)
Pratiques commerciales/de place
incorrectes
Vols d'informations confidentielles
Fraude externe
Fraude externe
Vol et fraude
Erreur de valorisation comptable
d'OPCVM
Traitements et opérations
manuels
Exécution, livraison et gestion
des processus
Saisie, exécution et suivi des
transactions
Commercialisation d'un produit / d'une
offre non adapté à la réglementation du
client
Mandat non régulier (fond, forme,
réglementation)
Clients (conseil)
commerciales
Services conseil
Produits non conformes (lois,
règlements, normes, ...)
commerciales
Conformité, diffusion
d'informations et devoir fiduciaire
Erreur/absence dans la production des
reporting semestriels ou périodiques des
OPCVM
Pratiques de la banque nonconformes - clients
commerciales
Pratiques commerciales/de place
incorrectes
L’évènement de risque (ER) est « valorisé » en fonction de deux critères :
ü La fréquence, c'est-à-dire le nombre de fois où le risque pourrait se produire sur une
période donnée.
ü Les impacts, c'est-à-dire les conséquences financières et les effets sur l’image de
l’établissement ou du Groupe
Ces données permettent de hiérarchiser les risques et les plans d’actions dans une démarche
de gestion et d’anticipation.
13
§
Évaluation de la fréquence
La méthode d’évaluation de la fréquence des évènements de risque demande à l’évaluateur
de distinguer :
ü Les évènements rares, c'est-à-dire ceux dont le risque d’occurrence est inférieur à 1
fois par an ;
ü Les évènements à fréquence, c'est-à-dire ceux dont le risque d’occurrence est
supérieur ou égal à 1 fois par an
Pour les évènements à fréquence, la question à se poser est celle du nombre
d’occurrences du risque sur une année. L’évaluation distingue des circonstances
« moyennes » afin d’évaluer une fréquence « moyenne/plausible », et une situation extrême
afin d’évaluer la fréquence maximum. En fonction de l’existence de données sur l’impact de
l’évènement de risque, l’évaluateur fonde ses valorisations sur des connaissances et/ou sur
des hypothèses crédibles.
Pour les évènements rares, la question à se poser est celle du rythme d’occurrence de
l’évènement de risque : cet évènement est-il susceptible de se produire tous les 3 ans ? tous
les 10 ans ?
14
§
Évaluation de l’impact
Pour l’évaluation de l’impact financier de l’évènement de risque, l’évaluateur réalise 2 valorisations des
impacts : une première valorisation qui prend en compte des paramètres « d’impact moyen/plausible » et
une seconde valorisation en intégrant des paramètres extrêmes (le chiffre « plafond » pour cet évènement
de risque).
L’évaluation des impacts d’un évènement de risque passe par 3 étapes :
Impact financier
è l’identification du ou des « facteurs d’impact » associés à l’évènement de risque : « pénalité de
retard », « montant versé non récupéré », « amendes », « sommes non recouvrables », « surcoût de la
prestation», « frais de justice »…
è la valorisation du montant unitaire de chaque facteur d’impact qui, sommé, donne l’impact financier
global.
Impact Image
è l’évaluation du degré d’altération de l’image de l’établissement vis-à-vis des parties prenantes à son
activité : la clientèle, le personnel, les autorités de tutelle, les médias, les sociétaires, les agences de
rating, les fournisseurs.
Pour chacune de ces catégories on se réfère à une cotation qualitative : fort, moyen/fort, moyen/faible, faible.
.
15
§
Évaluation du dispositif de maîtrise des risques (DMR)
Il convient pour chaque risque identifié et évalué de recenser le dispositif de maîtrise existant, c'est-à-dire
l’ensemble des mesures qui doivent permettre à l’entreprise d’éviter de faire face à un tel incident.
Exemples de Dispositifs de Maîtrise des Risques : Contrôles a priori, contrôles a posteriori, système de
délégation, séparation des tâches, sécurisation des accès logiques, sécurisation des accès physiques,
transfert de responsabilité, système de surveillance…
Afin de favoriser une évaluation naturelle du risque, l’évaluation pourra partir du risque « net », c'est-à-dire
le risque résiduel, qui tient compte des effets du dispositif de maîtrise des risques en place.
Risque net : le risque net valorise les impacts que l’établissement pourrait effectivement subir en termes
financiers et d’impact, en intégrant les dispositifs de prévention et de détection existants.
Efficacité des DMR : mesurée en %age, l’efficacité des DMR réduit d’une part les impacts et d’autre part la
fréquence d’occurrence de l’évènement de risque.
Risque brut : c’est la valorisation du risque en termes de fréquence et d’impacts, en faisant abstraction des
dispositifs de maîtrise des risques existants
L’évaluation du risque brut est déduite automatiquement.
Cette logique d’évaluation par le risque net est souvent préconisée. Il reste toutefois possible, dans le
travail de préparation de l’évaluation, de procéder dans le sens inverse : commencer par l’évaluation de
l’évènement de risque « brut », puis évaluer les DMR et contrôler le risque net déduit.
16
§
Exemples de résultats possibles de cartographie des risques (données fictives)
17
BASE INCIDENTS
§
De la cartographie à la base incident
Les travaux de cartographie réalisés ont permis aux acteurs impliqués de se
prononcer pour chaque événement de risques au regard :
ü de l’impact potentiel d’un tel risque (sur la rentabilité et/ou en matière d’image),
ü de son niveau de fréquence, d’apparition,
ü de l’appréciation du degré de maîtrise de ce risque par l’entité.
En amont de ces évaluations, des référentiels-types (métiers, processus, événements
de risques) font l’objet d’adaptation pour tenir compte des spécificités des
établissements / métiers.
A partir de ces travaux, la cartographie des risques opérationnels a été formalisée et
validée.
Les risques à fort impact et/ou apparaissant comme insuffisamment maîtrisés font
l’objet de plans d’actions validés par la structure de pilotage. Ces plans d’actions
prennent en compte les dispositifs existants ainsi que les projets en cours. Ils font
alors l’objet d’un suivi régulier.
La base incidents intègre les résultats de la cartographie des risques.
18
BASE INCIDENTS
§
Déploiement de la base incidents
Le programme d’identification et d’évaluation des risques opérationnels achevé, le
déploiement de l’outil de gestion des risques opérationnels (présentations, formations des
utilisateurs, paramétrage…) est réalisé.
Un responsable des risques opérationnels (RRO), au niveau de l’établissement, et des
correspondants risques opérationnels (CRO) au niveau des unités opérationnelles sont
désignés.
Le déploiement de l’outil « base incidents » a pour objectifs de :
§ doter l’établissement d’outils de pilotage « au quotidien » de ses risques opérationnels
en complément des travaux d’évaluation ;
§ accompagner les responsables d’activités et les opérationnels dans la gestion des
incidents ;
§ caractériser les incidents en évaluant notamment les impacts financiers ;
§ collecter et historiser les données permettant de quantifier les risques opérationnels,
d’allouer le cas échéant les fonds propres nécessaires ;
§ générer à tout moment des reportings d’analyse et de synthèse à destination du
Directoire, des Directeurs, des responsables d’activités et des opérationnels.
La mise en place de cette organisation et l’utilisation effective de l’outil de gestion des
risques opérationnels doivent permettre de renforcer l’efficacité des dispositifs de maîtrise
des risques (potentiels) et/ou de gestion des incidents (avérés) pour :
§ éviter leur survenance ;
§ et/ou en contenir les conséquences.
19
BASE INCIDENTS
§
Responsabilités du RRO et des CRO
Le responsable des risques opérationnels est en charge de :
ü de piloter le dispositif « cartographie », « base d’incidents », « indicateurs », « plans
d’actions », « reporting » ;
ü d’assurer le déploiement, auprès des utilisateurs, des méthodologies et outils ;
ü de garantir l’intégrité des données produites tant en matière de qualité de l’information
renseignée qu’en matière d’exhaustivité ;
ü d’effectuer une revue périodique des bases d’incidents, de la résolution des incidents, de
l’état d’avancement des plans d’actions, de la formalisation des procédures de gestion et de
contrôle correspondantes.
Il s’appuie sur le réseau des correspondants risques opérationnels qui ont pour rôle :
ü de procéder à l’identification et à l’évaluation régulière des risques opérationnels
susceptibles d’impacter leur périmètre / domaine d’activité ;
ü d’alimenter et/ou de produire les informations permettant d’alimenter les bases d’incidents ;
ü de mobiliser les personnes impliquées/habilitées lors de la survenance d’un incident afin de
prendre au plus tôt les mesures conservatoires ;
ü d’éviter ainsi toute amplification des conséquences/impacts des incidents/risques ;
ü de traiter et de gérer des incidents/risques (en relation, selon les cas, avec les responsables
d’activité et les relais internes).
20

CARTOGRAPHIE DES RISQUES OPERATIONNELS

Transcription

Documents pareils

Suite des incidents sur le site MilleMercisMariage

Communiqué de presse IENE 2016 - Fondation pour la Recherche

Fiche WOW stage Modélisation et cartographie de base de données

Bale 2, volet risques opérationnels: un projet de conduite du

Annex 13 — Aircraft Accident and Incident Investigation Chapter 6 1

Cartographie : mode d`emploi

Christine-Laure BEYALA Mobilité nationale et internationale 23 Rue

Après les rafles d`enfants, la garde à vue d`une directrice d`école !

Tunnel de Foix Ariège - France PROJET DE REFERENCE:

conseil g conseil général du tarn ral du tarn 81000 - albi