[CARTOGRAPHIE DES RISQUES] [Tapez le résumé du document ici. Il s agit généralement d une courte synthèse du document. Tapez le résumé du document

Transcription

1 2015 [CARTOGRAPHIE DES RISQUES] [Tapez le résumé du document ici. Il s agit généralement d une courte synthèse du document. Tapez le résumé du document ici. Il s agit généralement d une courte synthèse du document.]

2 SOMMAIRE Notions et typologies des risques Evolution de la surveillance prudentielle Les accords de Bâle Le Comité de Bâle Pilier 1 : Risque opérationnel Le rôle du Conseil d Administration Le comité de risque Le Chief Risk Officer (CRO) Entreprise Risk Management (ERM) Le processus gestion du risque opérationnel Cartographie des risques Méthodologies : les grands principes Le périmètre : les grands principes Evaluation des risques Décomposition des risques : impact Meilleures pratiques d implémentation des risques

3 Notions et typologies des risques Les institutions financières font face à plusieurs types de risque notamment : Le risque de marché Le risque des prix d actions Le risque de taux d intérêt Le risque de change Le risque de liquidité Le risque de crédit Le risque de défaut Le risque de contrepartie Le risque opérationnel

4 Les risques de marché Les mesures des risques de marché ont pour but de quantifier les risques de pertes dues aux mouvements des variables de marchés. Ces variables incluent le taux d intérêt, le taux de change, les actions, le prix de pétrole, etc. Ce risque est lié à la volatilité du Mark to Market du portefeuille d actifs. Pendant très longtemps, la mesure naturelle du risque a donc été la volatilité (Théorie de Markowitz par exemple).

5 Le risque de modèle Le risque de modèle correspond exactement aux différences potentielles entre les mesures délivrées par un modèle mathématique et la réalité. L efficience d un modèle peut être mise en cause pour différentes raisons : Mauvaise spécification du modèle : problème de parcimonie vs over-fitting. Pertinence du modèle mais problème d estimation des paramètres à cause des insuffisances des données.

6 Le risque de crédit Le terme «risque de crédit» est un terme général qui englobe le risque de défaut et le risque de contrepartie. Le risque de défaut est le risque que l émetteur ne soit pas capable de rembourser l emprunt contracté. C est un risque qui touche le sousjacent. C est un risque du marché primaire. Le risque de contrepartie est le risque que, dans un contrat financier, le débiteur n est pas capable d honorer ses engagements financiers. C est un risque du marché secondaire.

7 Evolution de la surveillance prudentielle

8 Les accords de Bâle Les Accords de Bâle sont des accords de réglementation bancaire signés dans la ville de Bâle (Suisse), et élaborés par le Comité de Bâle. Ils visent à garantir un niveau minimum de capitaux propres, afin d'assurer la solidité financière des banques. Bâle I est signé en Bâle II, qui renforce les premiers accords, est mis en place entre 2004 et Les accords de Bâle III ont été publiés fin 2010 et leur mise en place est prévue entre 2012 et 2019.

9 Le Comité de Bâle Institué à la fin de 1974 sous l appellation du «Comité des règles et pratiques de contrôle des opérations bancaires», par les gouverneurs des banques centrales des pays du Groupe des Dix. Objectifs : Qualité et efficacité de la surveillance bancaire à l échelle mondiale. 3 axes privilégiés d intervention : L échange d informations sur les pratiques nationales de contrôle L amélioration de l efficacité des techniques mises en œuvre pour la surveillance de l activité bancaire internationale La fixation de normes prudentielles minimales

10 Les accords de Bâles : le rôle des fonds propres Voici un bilan simplifié d une banque Le rôle des fonds propres est double : 1. Les fonds propres sont nécessaires à la croissance. 2. Les fonds propres sont une garantie vis-à-vis des créanciers.

11 Les fonds propres Les fonds propres sont un des éléments du passif d'une banque. Ils regroupent : Les actions ordinaires et les certificats d'investissement, les réserves, le résultat non distribué, etc. Ces fonds propres sont un des éléments de notation de la banque, note qui conditionne le coût des ressources (de trésorerie ou de long terme).

12 Capital économique Vs Capital réglementaire Capital économique = Le montant de ressources disponibles nécessaires pour absorber les pertes inattendues sur une période donnée Toute entreprise a besoin de capital, mais seules les institutions financières ont des exigences de capital minimum à respecter! Capital réglementaire = le montant minimum de capital imposé par le régulateur

13 Les accords de Bâles I : le ratio de Cooke En 1988, le comité de Bâle propose le ratio de Cooke, un ratio international de solvabilité qui doit permettre : Une meilleure adéquation des fonds propres par rapport aux risques. De renforcer la solidité et la stabilité du système bancaire. D atténuer les inégalités concurrentielles entre les banques. Le ratio de Cooke correspond au rapport entre le montant des fonds propres et celui des encours (pondérés) EPC de crédit.

14 Les accords de Bâles I : le ratio de Cooke Le ratio Cooke définit le montant des Fonds Propres minimum que doit posséder une banque en fonction de sa prise de risque. Le ratio Cooke impose 2 contraintes :

15 Les accords de Bâles I : le ratio de Cooke L'ensemble des engagements de crédits de la banque étaient visés, avec toutefois certains aménagements: Certains crédits étaient pondérés à des valeurs inférieures à 100 % selon la qualité du crédit ou de la contrepartie. Ainsi, certains crédits étaient pondérés à 50 % (crédits garantis par une hypothèque), 20 % (contrepartie bancaire, organisme international ou état non-ocde) ou même 0 % (contrepartie = état OCDE); Certains engagements, tels les engagements à moins d'un an, n'étaient pas repris dans les engagements de crédit Les banques ont généralement pris avantage de ce manque de discrimination pour monter des opérations d'arbitrage prudentiel.

16 Les accords de Bâles I : le ratio de Cooke Les limites : Inadaptation des pondérations; Non prise en compte de l évolution de la qualité de la signature des contreparties; et Mauvaise prise en compte des risques souverains. Le remaniement s articule autour de trois axes : Affinement du traitement des risques de crédit; Mise en place d un dispositif de surveillance; et Meilleure transparence dans la politique de communication des banques.

17 Les accords de Bâles II La réforme Bâle II du ratio de solvabilité bancaire s inscrit dans une démarche mondiale de la profession bancaire remontant à la fin des années 80, dont l objectif premier est de prévenir la faillite. La réforme Bâle II repose sur la quantification de la relation entre risques et fonds propres, ces derniers représentent le moyen ultime permettant de faire face à des pertes importantes. En pratique, il s agit de respecter un ratio règlementaire entre fonds propres et actifs pondérés par leur niveau de risque.

18 Mais cette réforme va plus loin, elle s attaque au processus métier d évaluation et de gestion des risques, dans une perspective qualité. Au-delà de la dimension financière qui est le calcul des fonds propres à allouer, Bâle II prend en compte et place ses exigences sur les systèmes de notation et de surveillance. Bien plus, et c est l aspect le plus novateur, la réforme ne se limite plus aux risques financiers classiques (risque de crédit et risque de marché), mais couvre aussi le risque opérationnel.

19

20 Pilier 1 : Risque opérationnel

21 Pilier 1 : Risque opérationnel

22 Pilier 1 : Risque opérationnel

23 Pilier 1 : Ratio des risques

24 Définition du risque opérationnel Le risque opérationnel se définit comme le risque résultant de l inadéquation ou de la défaillance de processus internes, ou d événements extérieurs, qui a, pourrait ou aurait pu entraîner une perte, un gain ou un manque à gagner (fraude, catastrophe naturelle, erreur humaine, défaillance informatique...). Le Comité de Bâle a retenu une classification qui institue sept catégories d'évènements liés à ce risque : Fraude interne : par exemple, informations inexactes sur les positions, falsifications, vol commis par un employé et délit d initié d un employé opérant pour son propre compte. Fraude externe : par exemple, braquage, faux en écriture et dommages dus au piratage informatique.

25 Le Comité de Bâle a retenu une classification qui institue sept catégories d'évènements liés à ce risque : Pratiques en matière d'emploi et sécurité sur le lieu de travail : par exemple, demandes d indemnisation de travailleurs, violation des règles de santé et de sécurité des employés, activités syndicales, plaintes pour discrimination et responsabilité civile en général. Clients, produits et pratiques commerciales : par exemple, violation de l obligation fiduciaire, utilisation frauduleuse d informations confidentielles sur la clientèle, opérations boursières malhonnêtes pour le compte de la banque, blanchiment d argent et vente de produits non autorisés.

26 Le Comité de Bâle a retenu une classification qui institue sept catégories d'évènements liés à ce risque : Dommages aux actifs corporels : par exemple, actes de terrorisme, vandalisme, séismes, incendies et inondations. Dysfonctionnement de l'activité et des systèmes : par exemple, pannes de matériel et de logiciel informatiques, problèmes de télécommunications et pannes d électricité. Exécution, livraison et gestion des processus : par exemple, erreur d enregistrement des données, défaillances dans la gestion des sûretés, lacunes dans la documentation juridique, erreur d accès aux comptes de la clientèle et défaillances des fournisseurs ou conflits avec eux.

27 Le rôle du conseil d administration (CA) Le CA a plusieurs responsabilités dont notamment : Supervision des activités de la firme Etablir les objectifs et la politique du CA Désigner le PDG ou le DG S assurer que la firme a assez de ressources financières Approuver les budgets Responsable vis-à-vis des actionnaires de la société Aux USA, la loi Sarbanes-Oxley de 2002 a instauré de nouveaux standards de responsabilité pour le CA.

28 Le comité de risque : Board Risk committee Le comité de risque a pour responsabilité d assister le CA pour les problématiques d exposition et de gestion des risques. Il conseille le CA également sur les stratégies futures du risque.

29 Le Chief Risk Officer (CRO) Le CRO a pour responsabilité de s assurer de la bonne efficience de la gestion des risques tout en surveillant la bonne adoption de la réglementation en vigueur. Le CRO reporte au CA ou bien au comité de risque. Quelques fois le CRO est même à la tête du comité du risque Il s occupe également de l organisation de l approche Enterprise Risk Management (ERM)

30 Enterprise Risk Management (ERM) L Enterprise Risk Management (ERM) est un concept qui permet à l entreprise la capacité de comprendre et gérer ses risques financiers d une manière efficiente. ERM a quatre objectifs essentiels pour gérer le risque global : Optimisation du processus de la gestion de risque global Compréhension de l exposition globale aux différents risques Gestion des conséquences des risques d une manière intégrée L assurance que l entreprise a un langage commun en termes de risque

31 Le processus de la gestion du risque opérationnel

32 Mesurer le risque opérationnel Mesurer le risque opérationnel est important sur plusieurs plans : Etablir une base quantitative pour améliorer le contrôle Responsabiliser les différents intervenants dans la gestion du risque. Instaurer la culture risque dans l entreprise. Améliorer le management de la prise de décision grâce à une meilleure connaissance de l ampleur des risques. Satisfaire les régulateurs et les rassurer grâce à une approche proactive et transparente de la gestion des risques. Quantifier l impact financier du risque opérationnel permet une meilleure allocation des ressources pour s en prémunir.

33 Les méthodes de mesure du risque opérationnel Responsabiliser les différents intervenants dans la gestion du risque. Instaurer la culture risque dans l entreprise. Améliorer le management de la prise de décision grâce à une meilleure connaissance de l ampleur des risques. Satisfaire les régulateurs et les rassurer grâce à une approche proactive et transparente de la gestion des risques. Quantifier l impact financier du risque opérationnel permet une meilleur allocation des ressources pour s en prémunir.

34 Cartographie des Risques

35 La cartographie des risques : Définitions La cartographie des risques est un outil de bonne gestion qui répond aux besoins d identification, d évaluation et de suivi des risques, comme le réclament les différents référentiels. La cartographie des risques a pour objectif de quantifier l ensemble des risques que l entreprise prend pour assurer la rentabilité à ses propriétaires. La cartographie hiérarchise différents scénarios qui peuvent perturber le fonctionnement normal des activités et qui vont engendrer des pertes certaines pour l entreprise.

36 La cartographie des risques : de l outil réglementaire à l outil de management La cartographie des risques est devenue un outil réglementaire de premier plan suite à diverses réglementations bancaires (Bale II, 3ième Directive) ou assurance (Solvency II). Cet instrument a pour vocation initiale d intégrer la dimension des risques opérationnels dans l évaluation des capitaux réglementaires issus du ratio de solvabilité. A partir de ce socle «calculatoire», le Régulateur a progressivement pris en compte dans ses exigences et recommandations «l approche par les risques» pour la mise en place de dispositifs de maitrise visant à prévenir les défaillances.

37 La cartographie des risques : de l outil réglementaire à l outil de management Mais la transformation d une cartographie en instrument de pilotage des activités par les risques suppose d avoir une méthodologie et des moyens adaptés à ses ambitions

38 La cartographie des risques : de l outil réglementaire à l outil de management

39 Les différentes dimensions de la cartographie

40 La méthodologie : Les grands principes Avant de choisir une méthodologie d identification des risques, il convient de définir les différents usages de la cartographie des risques. La cartographie des risques est à la fois un outil réglementaire et de management des activités. L objectif premier est de pouvoir hiérarchiser les risques afin de favoriser le pilotage. Un lien dynamique doit exister entre Processus Risques Contrôles Plan d actions. Il est essentiel d avoir un outil «communiquant» et qui soit facilement appropriable par les collaborateurs et le management de l entité, audelà de la filière «Risques».

41 Elaboration de méthodologies d analyse : topdown ou bottom-up En stratégie des organisations, deux grandes approches s opposent pour faire circuler l information de l entreprise : L information suit un circuit top down et part des hautes instances de l organisation pour être diffusée entre les différents services. L information suit un circuit bottom up où l information est progressivement remontée des plateformes opérationnelles jusqu à la Direction Générale. Ces deux approches sont également transposées dans la démarche de la cartographie des risques

42 Elaboration de méthodologies d analyse : topdown ou bottom-up L approche bottom up est la plus utilisée pour mettre en place la cartographie des risques Le risk manager analyse chaque processus de l entreprise pour faire ressortir méthodologiquement les risques majeurs. L identification des risques se fait donc par entretiens ou lors d ateliers avec les opérationnels, des membres des fonctions support (marketing, ressources humaines, systèmes d information) en utilisant une grille des risques potentiels (préparée à l avance) afin de s assurer que tous les risques ont bien été évoqués.

43 Elaboration de méthodologies d analyse : topdown ou bottom-up A l inverse, avec l approche top down, l identification des risques majeurs est préalablement faite par une analyse du risk manager qui doit envisager les principaux risques de l entreprise pour chaque parties prenantes. Ensuite, le risk manager doit alors resituer ces risques, les rattacher au sein des processus de l entreprise. Elle est plus souvent utilisée dans une cartographie thématique, où le risk manager limite ses recherches à un domaine, un métier, ou une géographie particulière. L évaluation et la validation des risques se fait lors des entretiens avec les principaux dirigeants

44 Approche bottom-up 1. Modélisation des processus de l entreprise (avec les opérationnels) 2. Identification des risques inhérents (avec les opérationnels) 3. Évaluation des risques résiduels et identification des risques majeurs (opérationnels) 4. Identification des risques liés à la stratégie (avec le directeur de la stratégie) 5. Mixage des risques majeurs et des risques stratégiques (DG et principaux dirigeants) 6. Gestion du portefeuille des risques et des opportunités 7. Pilotage et communication

45 Approche Top down 1. Déterminer les risques majeurs par partie prenante 2. Pondérer les risques majeurs pour ne garder que les plus importants 3. Rattachement des processus clés de l entreprise aux risques opérationnels et aux risques majeurs 4. Hiérarchiser les risques 5. Établir une cartographie des risques (entretiens avec les principaux dirigeants) 6. Valider les risques (par les principaux dirigeants) 7. Alimenter le plan d audit

46 Le périmètre : les grands principes La cartographie des risques doit intégrer l ensemble des dimensions des risques affectant une entité. Il semble indispensable de se concentrer sur les risques «majeurs» selon l appétence au risque de l entité. Une cartographie d environ 200 risques avec une sélection de 20 à 30 risques à piloter en priorité semble un objectif raisonnable. Il convient d organiser la gouvernance de la filière en identifiant les rôles de pilote du dispositif (normes et méthodes) et de management des risques (filière de risque) La complexité croissante de la cartographie des risques implique le recours à un dispositif outillé afin de collecter, traiter et distribuer l information.

47 Evaluation des Risques

48 L évaluation: les grands principes L évaluation des risques doit tendre vers la méthode quantitative permettant la prise en compte de la notion de conformité. La diversité croissante des natures de risques présentes au sein de la cartographie des risques induit d adapter l échelle de cotation pour obtenir une hiérarchisation globale. L évaluation quantitative offre la possibilité d une approche «économique» du dispositif de gestion des risques via la mesure de la rationalité des actions. Elle permet également d introduire des notions d appétence au risque, de réévaluation automatique des risques et d indicateurs prédictifs. La cartographie des risques peut devenir ainsi un outil de management des entités.

49 La décomposition du risque Le risque est défini par deux éléments : L impact (ou la gravité) La probabilité d occurrence En multipliant le niveau de gravité par la probabilité on obtient le niveau de criticité d un risque. Ces trois notions sont chacune évaluée selon une échelle qui leur est propre. Pour chaque échelle, il est préférable de choisir un nombre d intervalles compris entre trois et cinq.

50 La décomposition du risque : l impact L échelle de la gravité de l impact est plus subtile à évaluer dans le sens où elle doit être spécifique à chaque type de risque. La plupart des risques que l entreprise encourt peut être monétairement quantifiée : Litige juridique Dégâts matériels Perte d un client Arrêt de la production (faillite)

51 Les meilleures pratiques d implantation de la cartographie des risques

52 Le recensement des risques lors des entretiens avec les responsables Traiter un risque nécessite deux étapes : Identifier et évaluer les risques qui menacent les activités de l entreprise Déterminer l appétence au risque de l entreprise

53 Faire identifier et évaluer les risques par les principaux managers La réaction première, souvent tournée sur le ton de l humour, est l affirmation suivante : «Nous, On n a pas de risques.» Pourtant le risque d une activité témoigne de sa rentabilité potentielle. En continuant le raisonnement, affirmer ainsi ne pas avoir de risque revient donc à soutenir tacitement que l activité n est pas profitable. Préalablement à la rencontre des dirigeants, le risk manager doit avoir mené une réflexion sur quels peuvent être les risques de l entreprise. Chaque risque identifié doit être systématiquement estimé par le dirigeant

54 Déterminer l appétence au risque L appétence est le niveau de risque que l entreprise est prête à accepter ou à ne pas accepter. L appétence au risque est fonction de quatre variables : Le profil de risque initial de l entreprise. La capacité au risque soit le niveau de risque maximum que l entreprise peut potentiellement supporter en restant solvable et en ne menaçant pas son activité. la tolérance au risque. La tolérance est un intervalle plus ou moins large qui s établit autour des objectifs à atteindre. Le niveau désiré de risque.

55 Les outils de formalisation de la cartographie des risques Grâce aux différents entretiens réalisés avec les managers, l information ainsi collectée va constituer la base de données du management des risques. Pour la mettre en valeur, la rendre pratique et utilisable, deux outils viennent se compléter: La fiche de risque constitue la carte d identité du risque La cartographie qui s en inspire permet de visualiser les risques majeurs de l entreprise.

56 Les fiches de risques : la base de données des risques Une fiche de risque comprend essentiellement les éléments suivants: Présentation du risque Evaluation du risque Analyse du risque Plan d actions (traitement du risque)

57 Les différentes représentations des risques dans une cartographie Il existe principalement trois types de cartographie, chacun cherchant à mettre en évidence des informations différentes : La cartographie la plus courante est celle à double échelle La cartographie en radar, quant à elle, est plus appropriée pour faire apparaître le niveau de risque cible et le niveau actuel de risque. La cartographie thématique, où les recherches sur les risques sont plus précises, on peut quantifier le risque à chaque occurrence.

58 Cartographie à double échelle

59 Cartographie en radar

60 Cartographie thématique

61 En conclusion La cartographie des risques est un outil en continuelle évolution, tant sur la méthodologie mise en œuvre que sur les usages ou sur le spectre de couverture fonctionnelle. Il s agit dès lors d avoir une vision précise de l utilisation de la cartographie afin de dimensionner en conséquence le dispositif de structuration et de gestion des données. L efficacité du dispositif dépend également des moyens techniques mis en œuvre.