La cartographie des risques: jusqu’où aller?

1. La cartographie des risques: jusqu’où aller? Didier ALLEAUME, Associé didier.alleaume@weave.eu +33 6 68 08 19 43 WeaveRisk & Compliance

2. Réunion du 26 mai 2011 La cartographie des risques : jusqu’où aller ?

3. La cartographie des risques : de l’outil réglementaire à outil de management La cartographie des risques est devenue un outil réglementaire de premier plan suite à diverses réglementations bancaires (Bale II, 3ième Directive) ou assurance (Solvency II). Cet instrument a pour vocation initiale d’intégrer la dimension des risques opérationnels dans l’évaluation des capitaux réglementaires issus du ratio de solvabilité. A partir de ce socle « calculatoire », le Régulateur a progressivement pris en compte dans ses exigences et recommandations « l’approche par les risques » pour la mise en place de dispositifs de maitrise visant à prévenir les défaillances. Mais la transformation d’une cartographie en instrument de pilotage des activités par les risques suppose d’avoir une méthodologie et des moyens adaptés à ses ambitions

4. La cartographie des risques : de l’outil réglementaire à outil de management L’évolution des usages de la cartographie implique une attention accrue sur les modalités de collecte et de gestion des données qui la constituent Zone réglementaire Processus LAB/FT Risques Risque opérationnel Processus Qualité Prévention des risques Contrôle des risques Solvabilité Performance des processus

5. Lesdifférentes dimensions de la cartographie Méthodologie • Les principales questions pour éviter les écueils d’une démarche de cartographie : • Quelle méthodologie retenir ? • Quel périmètre couvrir ? • Comment évaluer les risques ? Evaluation Cartographie Périmètre

6. La méthodologie : modéliser pour évaluer Méthode des « scénarios » Il existe de multiples méthodes de représentation des événements de risques avérés ou potentiels. Elles ont essentiellement pour dénominateur commun de permettre une évaluation des risques à partir de la collecte d’informations. Les Score Cards Méthode bayésienne La méthode « DMR »

7. La méthodologie : représenter les risques Une cartographie offre une hiérarchisation des risques. Les représentations graphiques doivent permettre d’identifier les zones à traiter prioritairement par rapport à l’appétence aux risques des entités

8. 4 5 2 3 1 Evaluer le DMR et le risque net Déterminer le DMR cible Identifier les activités Identifier les défaillances Evaluer les risques bruts La méthodologie : la méthode quantitative s’impose Au-delà de la méthode choisie, des éléments fondamentaux doivent être formalisés dans la cartographie des risques L’évaluation quantitative (unité monétaire) permet d’effectuer une hiérarchisation objective et contribue à l’évaluation des actions préventives ou correctives Cartographie des risques bruts Cartographie des risques nets Le risque net est l’indicateur de pilotage vis-à-vis de l’appétence L’efficacité du DMR réduit le risque Brut Un plan d’actions est élaboré pour minimiser le coût du risque Les processus sont la base de la cartographie Le risque brut est le risque hors dispositif de maitrise L’intensité du risque brut détermine le DMR Connaître ses risques avérés et potentiels

9. La méthodologie : nos convictions • Avant de choisir une méthodologie d’identification des risques, il convient de définir les différents usages de la cartographie des risques. • La cartographie des risques est à la fois un outil réglementaire et de management des activités. • L’objectif premier est de pouvoir hiérarchiser les risques afin de favoriser le pilotage. • Un lien dynamique doit exister entre Processus – Risques – Contrôles – Plan d’actions. • Il est essentiel d’avoir un outil « communiquant » et qui soit facilement appropriable par les collaborateurs et le management de l’entité, au-delà de la filière « Risques ».

10. Nos convictions : le lien dynamique entre risques et contrôles Evolutions règlementaires Résultats de contrôle Audits internes/ externes Indicateurs de risques REPORTING Nouveaux Produits/ Activités Taux de réalisation des contrôles 5 Incident(s) 2 6 Gestion des risques ACTUALISATION ACTUALISATION Plan de contrôle permanent ACTUALISATION 3 4 Cartographie des risques Organes de management ACTUALISATION 7 1 Contrôles spécifiques Contrôles issus de la règlementation Audits Bonnes pratiques

11. Le périmètre : quel champ couvrir ? Le périmètre couvert par la cartographie des risque tend à s’élargir graduellement A l’origine centrée sur les risques opérationnels, la cartographie tend à couvrir l’ensemble des risques auxquels est exposée une entité. Les effets induits sont : • la création d’un langage commun entre plusieurs fonctions • un décloisonnement de la cartographie • une vision globale des risques • Toutefois, il faut être vigilant sur : • la capacité à maintenir une méthodologie homogène • le partage des rôles entre gouvernance de la cartographie et gestion des risques spécifiques La cartographie des Risques Risques « métiers » Risques de non qualité Risques juridiques Risquesde non conformité RisquesLAB/FT Risquesopérationnels

12. Le périmètre : le risque de l’exhaustivité ? L’ergonomie d’une cartographie dépend de la méthodologie retenue et de la granularité d’identification des risques. • Il convient de ne pas négliger le « risque » d’exhaustivité dans la démarche de cartographie des risques. • Cette volumétrie est liée : • à la démarche de collecte des risques opérationnels qui peut aboutir à des nomenclatures de plus de 2 000 événements !! • à l’ajout de risques additionnels qui viennent compléter les risques opérationnels (LAB/FT, non conformité, métiers, qualité…) • Un nombre important de risques à gérer peut : • nuire à la qualité de l’information collectée avec une charge importante de mise à jour des données au dépend de leur analyse, sans compter l’effort de collecte des incidents avérés • affecter la capacité à prioriser les risques à piloter • saturer les capacités de gestion des outils dédiés à la gestion de la cartographie des risques

13. Le périmètre : intégrer les interactions entre Risques et les autres dimensions du management des entités • Indicateurs de pilotage Risques • Vulnérabilités des processus • Incidents et pertes • Modélisation des activités • Objectifs des processus Management des Processus Management des Risques • Taux de conformité des processus • Risques à couvrir • Incidents et pertes Dispositif de contrôle permanent • Objectifs Qualité • Défaillances des processus • Indicateurs de pilotage Qualité • Défaillances des processus • Efficacité du DMR • Modélisation des activités • Taux de conformité des processus • Points de contrôle Qualité Management de la Qualité • Modélisation des activités • Objectifs des processus • Risques de non qualité • Incidents et pertes

14. Le périmètre : nos convictions • La cartographie des risques doit intégrer l’ensemble des dimensions des risques affectant une entité. • Il semble indispensable de se concentrer sur les risques « majeurs » selon l’appétence au risque de l’entité. Une cartographie d’environ 200 risques avec une sélection de 20 à 30 risques à piloter en priorité semble un objectif raisonnable. • Il convient d’organiser la gouvernance de la filière en identifiant les rôles de pilote du dispositif (normes et méthodes) et de management des risques (filière de risque) • La complexité croissante de la cartographie des risques implique le recours à un dispositif outillé afin de collecter, traiter et distribuer l’information.

15. L’évaluation : la quantification des risques Une cartographie permet d’identifier et de hiérarchiser les risques avérés ou potentiels La quantification « monétaire » est l’approche la plus efficace pour le dispositif de pilotage Approche quantitative Approche qualitative Cette approche permet de : • prioriser de façon précise et objective les risques • faire un lien avec la collecte des incidents avérés • mesurer le respect de l’appétence au risque et réaliser des stress tests • dimensionner le coût du dispositif de contrôle et des plans d’actions • réaliser des calculs de réévaluation des risques et de produire des indicateurs

16. L’évaluation : les limites de la quantification Toutes les natures de risques ne permettent pas une quantification monétairefaute de données d’impact identifiables ou de possibilité de hiérarchiser les événement au sein d’un impact commun. Cette limite implique le maintien d’un référentiel de cotation qualitatif / quantitatif et l’introduction de la notion de « vulnérabilité » pour les risques de non-conformité et LAB/FT Evaluation qualitative Evaluation quantitative Evaluation iso quantitative Risques « métiers » Risques d’image Risques juridiques Risques stratégiques Risques de non conformité Risquesopérationnels Risques LAB/FT Risques de non qualité

17. L’évaluation : nos convictions • L’évaluation des risques doit tendre vers la méthode quantitative. • La diversité croissante des natures de risques présentes au sein de la cartographie des risques induit d’adapter l’échelle de cotation pour obtenir une hiérarchisation globale. • L’évaluation quantitative offre la possibilité d’une approche « économique » du dispositif de gestion des risques via la mesure de la rationalité des actions. • Elle permet également d’introduire des notions d’appétence au risque, de réévaluation automatique des risques et d’indicateurs prédictifs. • La cartographie des risques peut devenir ainsi un outil de management des entités.

18. En conclusion…. La cartographie des risques est un outil en continuelle évolution, tant sur la méthodologie mise en œuvre que sur les usages ou sur le spectre de couverture fonctionnelle. Il s’agit dès lors d’avoir une vision précise de l’utilisation de la cartographie afin de dimensionner en conséquence le dispositif de structuration et de gestion des données. L’efficacité du dispositif dépend également des moyens techniques mis en œuvre. Jusqu'où aller ? Le plus loin possible … à votre rythme !

19. « la quête de l’utopie d’un environnement totalement sûr et calculable a paradoxalement engendré un sentiment d’insécurité radicale »  Dead Cities and other tales, Mike Davis 2003