Weave Risk & Compliance

Transcription

1 26 mai 2011 La cartographie des risques: jusqu où aller? Didier ALLEAUME, Associé Weave Risk & Compliance Hub weave : 1

2 Réunion du 26 mai 2011 La cartographie des risques : jusqu où aller? 2

3 La cartographie des risques : de l outil réglementaire à outil de management La cartographie des risques est devenue un outil réglementaire de premier plan suite à diverses réglementations bancaires (Bale II, 3 ième Directive) ou assurance (Solvency II). Cet instrument a pour vocation initiale d intégrer la dimension des risques opérationnels dans l évaluation des capitaux réglementaires issus du ratio de solvabilité. A partir de ce socle «calculatoire», le Régulateur a progressivement pris en compte dans ses exigences et recommandations «l approche par les risques» pour la mise en place de dispositifs de maitrise visant à prévenir les défaillances. Mais la transformation d une cartographie en instrument de pilotage des activités par les risques suppose d avoir une méthodologie et des moyens adaptés à ses ambitions 3

4 La cartographie des risques : de l outil réglementaire à outil de management L évolution des usages de la cartographie implique une attention accrue sur les modalités de collecte et de gestion des données qui la constituent Zone réglementaire Processus Risque opérationnel LAB/FT Risques Processus Solvabilité Contrôle des risques Prévention des risques Qualité Performance des processus 4

5 Les différentes dimensions de la cartographie Les principales questions pour éviter les écueils d une démarche de cartographie : Méthodologie Quelle méthodologie retenir? Cartographie Evaluation Quel périmètre couvrir? Comment évaluer les risques? Périmètre 5

6 Processus P01 Entrée en relation P01 Entrée en relation P01 Entrée en relation Sous - Processus SP01 - Identification client SP01 - Identification client SP02 - Caractéristiques objet P02 SP01 - Enlèvement / Prise en charge Transport P03 Conservation des objets P03 Conservation des objets SP01 - Alvéoles SP02 - Magasins Histori que E07-Munigarde E08-Munigarde E09-Munigarde E01-Munigarde E17-Munigarde E29-Munigarde E00 E01 E02 E01 E01 E01 E01 Événement de risque Diffusion d'informations confidentielles Défaut d'identification du client Non détection d'une opération suspecte Dégradation, destruction ou perte des objets au cours du transport Risque de vol/dégradation dans les alvéoles Vol dans les magasins Catégorie Bâle II clients, produits et pratiques commerciales exécution, livraison et gestion des processus fraude externe exécution, livraison et gestion des processus exécution, livraison et gestion des processus fraude externe Sous-catégorie Bâle II conformité, diffusion d'informations et devoir fiduciaire admission et documentation clientèle vol et fraude saisie, exécution et suivi des transactions Hypothèse Commentaires Appel de tiers (membres de la famille, commissaires priseurs) pour recueillir des informations sur le ou les contrats d'un client. Risque : Plainte du client, poursuite pénale pour non respect du devoir de confidentialité Risque d'image, Risque de non conformité Impact unitaire: Moyen Dommages-intérêts pouvant aller de 1 symbolique à 25 K Fréquence: Non significatif A dire d'expert il n'y a pas d'occurrence connue de diffusion d'informations confidentielles. Hypothèse Non respect des obligations relatives à la lutte anti-blanchiment. Les dossiers doivent comprendre les justificatifs client (pièce d'identité, justificatif de domicile, attestation d'assurance, renonciation à recours) et les documents contractuels (bon de prise en charge, contrat, formulaire d'assurance, bons de visite, décharge). Si les dossiers sont incomplets, l'établissement s'expose à une sanction réglementaire. Risque d'image, Risque de non conformité Impact unitaire : Élevé Risque de sanction réglementaire estimé à 100 K Fréquence : Non significatif A dire d'expert, il est réalisé 350 nouveaux contrats par an et toutes les nouvelles entrées en relation sont documentées. Seuls quelques anciens contrats sont en cours de mise à jour. Hypothèse Non détection des conditions suspectes de dépôt d'un objet. Si Munigarde se trouve impliqué dans le recel d'objets volés, une sanction réglementaire peut être prononcée à l'encontre du Crédit Municipal. - Exemple : dépôt de 20 bijoux volés provenant de la famille impériale de Russie, valeur déclarée $ => Intervention de la Brigade de répression du banditisme. La moitié des objets étaient des faux. De plus, dans le cas d'une escroquerie, la personne lésée dans la transaction peut se retourner contre le CMP EPA pour obtenir réparation du préjudice. - Exemple : escroquerie d'un acheteur potentiel (en s'abritant derrière la notoriété de Munigarde) par un déposant qui surévalue des objets (valeur déclarée) servant de base à la négociation. Risque d'image, Risque de non conformité Impact unitaire: Elevé Sanction réglementaire estimée à 100 K. Fréquence: Très faible A dire d'expert, il est réalisé 350 nouveaux contrats par an. La fréquence d'occurence des opérations frauduleuses est estimée à moins d' 1/an. Hypothèse Dégradation ou destruction des objets lors de l'enlèvement au domicile du client ou du transport. Agression des agents au cours du transport pour voler les objets. En moyenne, les objets sont assurés pour 100K. Les clients ont la responsabilité de souscrire une assurance adaptée. Risque de devoir restaurer ou rembourser les objets. Risque d'image Risque d'image saisie, exécution et suivi des transactions vol et fraude Impact unitaire: Non significatif Une restauration suite à un sinistre s'élève, à dire d'expert, à 0,35K en moyenne. Fréquence: Faible A dire d'expert 100 transports sont réalisés chaque année et on dénombre 2 à 3 incidents par an. Hypothèse Dégradation des objets conservés dans les alvéoles par le personnel Munigarde. L'assurance Munigarde prend en charge ce type d'événements mais ces incidents pourraient entraîner une perte de clients. Vol des objets : ce risque est porté par le client qui doit s'assurer en fonction de la valeur des objets déposés. Impact unitaire: Faible Le risque d'image pourrait se traduire par une perte de clients estimée à 12K (100 contrats X 126 ) Fréquence: Très faible A dire d'expert, aucun incident avéré Hypothèse Vol d'objets entreposés dans les magasins ou vol avec agression - Exemple : vol avec prise d'otage du personnel, portant sur une fraction du stock (par hypothèse, 1/5 des objets entreposés) entreposée dans la chambre tableaux pour une valeur de 25M Risque d'image Impact unitaire: Très élevé Par hypothèse, 25M Fréquence: Très faible A dire d'expert, aucune occurrence constatée. Impact Fréquence annuelle 25,0 KE 0,10 2,5 KE 100,0 KE 0,10 10,0 KE 100,0 KE 0,50 50,0 KE 0,4 KE 3,00 1,1 KE 12,0 KE 0,10 1,2 KE 25000,0 KE 0, ,0 KE Perte brute annuelle Évaluation DMR existant DMR cible - devoir de confidentialité connu par les collaborateurs de Munigarde et rappelé dans le règlement intérieur - refus de divulgation d'information par téléphone - entrée séparée et sécurisée pour les clients Munigarde - organisation systématique de rendez-vous afin d'éviter que les clients se croisent dans les locaux de Munigarde Contrôle manuel / visuel - demande systématique d'une pièce d'identité en cours de validité pour le titulaire et l'éventuel co-titulaire - demande d'un justificatif de domicile de moins de trois mois (pour les nouveaux clients) - photocopie pièce d'identité et justificatif de domicile ou saisie du numéro de pièce d'identité - demande de l'extrait KBIS pour les personnes morales - consultation éventuelle d'internet pour réaliser des recherches sur la réputation du client - formation TRACFIN - procédure de remontée d'alerte connue - paiement en espèces interdit si le montant est supérieur à Contrôle manuel / visuel - contrôle de la validité apparente des éléments justificatifs - contrôle de la signature à partir de la pièce d'identité - contrôle mensuel de 10 dossiers, par le Responsable Conformité - interrogation Safe Watch (édition systématique du bulletin). - analyse de la motivation de l'entrée en relation réalisée au cours d'un entretien avec un collaborateur Munigarde, incluant l'identification des opérations atypiques sur la base de l'expérience dudit collaborateur - identification, tout au long de la relation, de tout comportement atypique par rapport aux objectifs exprimés par le client ou toute dérive de cette relation - formation TRACFIN - procédure de remontée d'alerte connue Contrôle manuel/visuel - responsabilité des propriétaires jusqu'à la prise en charge (signature du bon de prise en charge par le client) - les magasiniers disposent d'éléments permettant de sécuriser le transport des objets (emballages spécifiques) - entrée/sortie des objets en un seul voyage (pas d'aller-retour). - absence d'arrêt intermédiaire lors du transport - transports réalisés en présence de 3 personnes (2 magasiniers et 1 collaborateur Munigarde) - camionnette banalisée - centraliser les demandes d'information externe auprès du responsable de service Contrôle manuel / visuel -. - actualiser la procédure d'entrée en relation - exclure le permis de conduire de la liste des pièces d'identité probantes - mettre en place une procédure de revue des dossiers existants - vérifier systématiquement l'adresse donnée par le client - refuser d'établir les contrats s'il manque des pièces Contrôle manuel / visuel - organiser une revue périodique (annuelle) des dossiers existants - mettre en place d'une GED permettant de conserver et visualiser à la demande les pièces du dossier - organiser une formation complémentaire à la lutte anti-blanchiment - impliquer la Conformité dans le dispositif Contrôle manuel/visuel - mettre en place une fiche d'entrée en relation recensant l'identification du client, les diligences réalisées et les échanges avec le collaborateur - mettre en place un contrôle de 2d niveau du responsable LAB sur la correcte identification des opérations atypiques Contrôle manuel / visuel - refus de prise en charge des objets trop fragiles (ex. terres cuites), trop volumineux ou trop lourds - restauration possible des objets - déplacements limités à Paris intra-muros - valeur d'assurance déclarée par le client Contrôle manuel / visuel - assurance souscrite par les clients - clients avertis par courrier simple que l'absence d'assurance se fait à leurs risques et périls - refus de manipulation des objets par les magasiniers dans les alvéoles - dérogation possible uniquement contre décharge - risques de vol limités par le volume important des objets - présence des clients et d'un collaborateur Munigarde indispensable pour accéder aux alvéoles - présence d'un collaborateur Munigarde pendant le temps où les clients sont dans les alvéoles Contrôle manuel / visuel - alarme - caméras de surveillance - difficultés d'accès aux magasins (étages élevés, accès sécurisé, dispositif d'alerte) - impossibilité matérielle de vider l'ensemble des magasins - difficulté à écouler la marchandise (ex. toiles de maîtres) - pose de scellés sur les boîtes - alerte du PC de sécurité Contrôle manuel/visuel - accès contrôlé aux magasins : accès aux magasins en binôme - 2 clés pour l'accès à l'étage par ascenseur - grille fermée à clé à l'étage - porte blindée - alarme silencieuse - vidéosurveillance Effica cité DMR Risque net annuel Impact PCA (O/N) Risque d'image / conformit é 90% 0,3 KE non CI 80% 2,0 KE non CI : 60% 20,0 KE non CI - informer les collaborateurs Munigarde sur les assurances relatives au transport - inclure dans la documentation un avertissement relatif aux risques de perte pour le client en cas d'inadéquation de la couverture d'assurance - les magasiniers disposent d'éléments permettant de sécuriser le transport des objets (emballages spécifiques), ces éléments doivent aussi être utilisés en cas de transport au sein de Munigarde - facturer la prestation de transport - vérifier l'adéquation de la couverture d'assurance du CMP EPA avec les objets transportés - vérifier le respect des procédures relatives au transport - faire signer systématiquement une décharge en cas de manipulation d'objets dans les alvéoles Contrôle manuel / visuel - mettre en place un contrôle de 2d niveau afin de s'assurer de l'adéquation des couvertures assurance au risque encouru - dédier des vigiles à l'activité Munigarde Contrôle manuel / visuel - dédier des vigiles à l'activité Munigarde - organiser une ronde par des veilleurs de nuit pour vérifier le bon fonctionnement de tous les éléments de la sécurité passive et active - vérifier périodiquement l'efficacité des dispositifs de sécurité - organiser la traçabilité des déplacements et des accès aux zones sécurisées, par la mise en œuvre de badges - mettre en place un sas d'accès à Munigarde 10% 0,9 KE non I 75% 0,3 KE non I 95% 125,0 KE non I La méthodologie : modéliser pour évaluer Il existe de multiples méthodes de représentation des événements de risques avérés ou potentiels. Méthode des «scénarios» Elles ont essentiellement pour dénominateur commun de permettre une évaluation des risques à partir de la collecte d informations. Les Score Cards Méthode bayésienne La méthode «DMR» 6

7 La méthodologie : représenter les risques Une cartographie offre une hiérarchisation des risques. Les représentations graphiques doivent permettre d identifier les zones à traiter prioritairement par rapport à l appétence aux risques des entités 7

8 La méthodologie : la méthode quantitative s impose Au-delà de la méthode choisie, des éléments fondamentaux doivent être formalisés dans la cartographie des risques L évaluation quantitative (unité monétaire) permet d effectuer une hiérarchisation objective et contribue à l évaluation des actions préventives ou correctives Cartographie Cartographie Evaluer le Identifier les Identifier les Evaluer les des risques Déterminer des risques DMR et le activités défaillances risques bruts bruts le DMR cible nets risque net Les processus sont la base de la cartographie Connaître ses risques avérés et potentiels Le risque brut est le risque hors dispositif de maitrise L intensité du risque brut détermine le DMR L efficacité du DMR réduit le risque Brut Un plan d actions est élaboré pour minimiser le coût du risque Le risque net est l indicateur de pilotage vis-à-vis de l appétence 8

9 La méthodologie : nos convictions Avant de choisir une méthodologie d identification des risques, il convient de définir les différents usages de la cartographie des risques. La cartographie des risques est à la fois un outil réglementaire et de management des activités. L objectif premier est de pouvoir hiérarchiser les risques afin de favoriser le pilotage. Un lien dynamique doit exister entre Processus Risques Contrôles Plan d actions. Il est essentiel d avoir un outil «communiquant» et qui soit facilement appropriable par les collaborateurs et le management de l entité, au-delà de la filière «Risques». 9

10 ACTUALISATION ACTUALISATION REPORTING Nos convictions : le lien dynamique entre risques et contrôles Résultats de contrôle Indicateurs de risques Evolutions règlementaires Audits internes/ externes Taux de réalisation des contrôles 2 Nouveaux Produits/ Activités 5 Incident(s) 6 Gestion des risques 3 4 ACTUALISATION Plan de contrôle permanent Organes de management 1 7 ACTUALISATION Cartographie des risques Bonnes pratiques Audits Contrôles issus de la règlementation Contrôles spécifiques 10

11 Le périmètre : quel champ couvrir? Le périmètre couvert par la cartographie des risque tend à s élargir graduellement A l origine centrée sur les risques opérationnels, la cartographie tend à couvrir l ensemble des risques auxquels est exposée une entité. Les effets induits sont : - la création d un langage commun entre plusieurs fonctions - un décloisonnement de la cartographie - une vision globale des risques Risques «métiers» Risques de non qualité La cartographie des Risques Risques juridiques Risques de non conformité Toutefois, il faut être vigilant sur : - la capacité à maintenir une méthodologie homogène - le partage des rôles entre gouvernance de la cartographie et gestion des risques spécifiques Risques LAB/FT Risques opérationnels 11

12 Le périmètre : le risque de l exhaustivité? L ergonomie d une cartographie dépend de la méthodologie retenue et de la granularité d identification des risques. Il convient de ne pas négliger le «risque» d exhaustivité dans la démarche de cartographie des risques. Cette volumétrie est liée : - à la démarche de collecte des risques opérationnels qui peut aboutir à des nomenclatures de plus de événements!! - à l ajout de risques additionnels qui viennent compléter les risques opérationnels (LAB/FT, non conformité, métiers, qualité ) Un nombre important de risques à gérer peut : - nuire à la qualité de l information collectée avec une charge importante de mise à jour des données au dépend de leur analyse, sans compter l effort de collecte des incidents avérés - affecter la capacité à prioriser les risques à piloter - saturer les capacités de gestion des outils dédiés à la gestion de la cartographie des risques 12

13 Le périmètre : intégrer les interactions entre Risques et les autres dimensions du management des entités Indicateurs de pilotage Risques Vulnérabilités des processus Incidents et pertes Modélisation des activités Objectifs des processus Management des Processus Taux de conformité des processus Risques à couvrir Incidents et pertes Management des Risques Indicateurs de pilotage Qualité Défaillances des processus Modélisation des activités Points de contrôle Qualité Dispositif de contrôle permanent Taux de conformité des processus Efficacité du DMR Objectifs Qualité Défaillances des processus Modélisation des activités Objectifs des processus Management de la Qualité Risques de non qualité Incidents et pertes 13

14 Le périmètre : nos convictions La cartographie des risques doit intégrer l ensemble des dimensions des risques affectant une entité. Il semble indispensable de se concentrer sur les risques «majeurs» selon l appétence au risque de l entité. Une cartographie d environ 200 risques avec une sélection de 20 à 30 risques à piloter en priorité semble un objectif raisonnable. Il convient d organiser la gouvernance de la filière en identifiant les rôles de pilote du dispositif (normes et méthodes) et de management des risques (filière de risque) La complexité croissante de la cartographie des risques implique le recours à un dispositif outillé afin de collecter, traiter et distribuer l information. 14

15 L évaluation : la quantification des risques Une cartographie permet d identifier et de hiérarchiser les risques avérés ou potentiels La quantification «monétaire» est l approche la plus efficace pour le dispositif de pilotage Approche qualitative Approche quantitative Cette approche permet de : - prioriser de façon précise et objective les risques - faire un lien avec la collecte des incidents avérés - mesurer le respect de l appétence au risque et réaliser des stress tests - dimensionner le coût du dispositif de contrôle et des plans d actions - réaliser des calculs de réévaluation des risques et de produire des indicateurs 15

16 L évaluation : les limites de la quantification Toutes les natures de risques ne permettent pas une quantification monétaire faute de données d impact identifiables ou de possibilité de hiérarchiser les événement au sein d un impact commun. Cette limite implique le maintien d un référentiel de cotation qualitatif / quantitatif et l introduction de la notion de «vulnérabilité» pour les risques de non-conformité et LAB/FT Evaluation qualitative Evaluation quantitative Evaluation iso quantitative Risques «métiers» Risques d image Risques juridiques Risques stratégiques Risques opérationnels Risques de non conformité Risques de non qualité Risques LAB/FT 16

17 L évaluation : nos convictions L évaluation des risques doit tendre vers la méthode quantitative. La diversité croissante des natures de risques présentes au sein de la cartographie des risques induit d adapter l échelle de cotation pour obtenir une hiérarchisation globale. L évaluation quantitative offre la possibilité d une approche «économique» du dispositif de gestion des risques via la mesure de la rationalité des actions. Elle permet également d introduire des notions d appétence au risque, de réévaluation automatique des risques et d indicateurs prédictifs. La cartographie des risques peut devenir ainsi un outil de management des entités. 17

18 En conclusion. La cartographie des risques est un outil en continuelle évolution, tant sur la méthodologie mise en œuvre que sur les usages ou sur le spectre de couverture fonctionnelle. Il s agit dès lors d avoir une vision précise de l utilisation de la cartographie afin de dimensionner en conséquence le dispositif de structuration et de gestion des données. L efficacité du dispositif dépend également des moyens techniques mis en œuvre. Jusqu'où aller? Le plus loin possible à votre rythme! 18

19 «la quête de l utopie d un environnement totalement sûr et calculable a paradoxalement engendré un sentiment d insécurité radicale» Dead Cities and other tales, Mike Davis