ELABORATION DE LA CARTOGRAPHIE DES RISQUES Gestion pour compte de tiers : Controle interne & Déontologie Jeudi 15 Juin 2006 Lazard Frères Gestion - C. Brignola
I. Cartographie des risques : les enjeux POURQUOI? Participe à une gestion globale des risques pour assurer la protection et la continuité des activités Permet d impliquer les différents managers pour améliorer le niveau de risque net supporté par l entreprise POUR QUI? Le top management Les responsables des fonctions de contrôle Les clients Les régulateurs
Cartographie des risques : les enjeux PAR QUI? En mode projet ou en phase initiale, pilotée par les responsables Contrôle ou Risk Management Ensuite les propriétaires doivent être les départements / lignes métiers / entités, qui doivent mettre à jour la cartographie Le top management doit se l approprier pour en faire un outil de gestion de l entreprise Les fonctions de Contrôle / Risk Management doivent en valider l exhaustivité et la pertinence Une Cartographie des risques n est pas une fin en soi, mais plutôt un moyen d atteindre l objectif / l ambition que s est fixée l entreprise
II. La méthodologie mise en oeuvre Conduite de la cartographie : qui fait, qui valide, qui va mettre à jour, ressources internes ou externes, équipe mixte Définition du scope, personnes clefs, préparation du questionnaire Dans quel outil centraliser les réponses / évaluations Maturité de la structure : Différence à considérer selon la taille de la société, la nature des activités (produits, etc ) ; approche top-down ou bottom-up ou les deux Matériel disponible : est-ce que vous avez un outil qui centralise et cartographie les process et procédures de l entreprise? y a-t-il une base incident? Y a-t-il eu une démarche Sarbanes Oxley 404 ou SAS 70 au sein de l entreprise?
Interviews avec les personnes clef du business => Avant les entretiens, vous devez Avoir une idée des réponses que le manager va donner Avoir des exemples de reportings, les données d incident sur l entité/ la business line Identifier les incidents ou évènements qui ont eu lieu et qui pourraient illustrer les risques Si possible, avoir un benchmark (marché, groupe, etc ) Exemple de questions posées: Selon vous quels sont les risques majeurs de l entreprise dans son ensemble votre business, entité? Quels sont les principaux processus participant à votre activité? Quels sont les principaux objectifs de votre département / entité / ligne métier Selon vous quels sont les risques majeurs sur votre activité ou entité? Comment est-ce que vous gérez ces risques? Est-ce que vous pouvez quantifier ces risques? Etc
A l issue des entretiens Identifie les risques principaux ou majeurs que l entreprise prend (entité / business line), et pour chaque risque, identifie : Les principaux processus concernés Les contrôles ou actions pour les limiter Les données sur les contrôles et les actions qui réduisent les risques Les destinataires des reportings La fréquence des reportings Mais aussi : Permet d identifier l inefficience des contrôles (zones sous-contrôlées ou sur-contrôlées, action de prévention ou adaptation du plan de contrôles) De piloter la prise de risques De revoir la couverture des risques par les assurances si elle est adaptée aux besoins
III. Le résultat de la démarche Etapes : L objectif initial est de cartographier les risques tels qu ils sont aujourd hui, c est une photo au moment de l évaluation : approche statique Dans un second temps il faut aller vers une amélioration de la gestion des risques : approche dynamique Néanmoins, il est probable que quelques actions immédiates / gains immédiats vont être identifiés durant le processus de cartographie des risques Définition et mise en place de reportings (suivi des actions, mises à jour) Reporting / Indicateurs : Concentre le Management sur les principaux risques Permet d avoir une synthèse des risques majeurs et de traduire les risques en indicateurs et plan d action Assiste les lignes métiers / entités dans la gestion de leurs risques Développe des réflexes de gestion systématique des risques Formalise une claire ligne de responsabilités jusqu au CEO La bonne information, au bon niveau, au bon moment, aux bonnes personnes
Processus Inputs: Interviews avec personnes clé du Business Données de pertes, base incidents Cartographie des processus (ou SarbOx) Critères d évaluation des risques Identifie et évalue les risques (bruts) Identifie les contrôles clés / actions de réduction des risques Ré-évalue les risques clés après contrôles (nets) Identifie et évalue les risques en fonction du niveau de risque net acceptable par l entreprise Ouputs : Cartographie des risques majeurs Désignation des pilotes & sponsors Analyse des gaps et définition d un plan d action Reporting et mise à jour des risques par les sponsors
Intensité du risque pour l entreprise Sévère: impact financier total > 5m OU réputation entreprise atteinte et irrécouvrable OU processus métier interrompu OU capacité de poursuivre le business sur une ligne métier et incertitude sur le fait de le recouvrir totalement OU il est probable que le régulateur va imposer des sanctions à l entreprise Significatif: 1,000,000 < impact financier total < 5m OU réputation endommagée OU processus métier sévèrement interrompus OU il est possible que le régulateur impose des sanctions à l entreprise Modéré: 100,000 < impact financier total < 1,000,000 OU impact sur la réputation limité à une partie de l entreprise OU processus métier défaillant OU sanction du régulateur envisageable Mineur: impact financier total < 100,000 OU impact commercial OU processus métier inefficient ou défaillant OU le régulateur ne le considérerait pas comme matériel
Niveau de probabilité Probable: occurrence régulière OU peut arriver à tout moment Possible: occurrence peu fréquente OU peut arriver dans l année OU est arrivé plus d une fois durant les 5 dernières années mais pas fréquemment Improbable: occurrence rare OU peut arriver dans les 5 ans OU est arrivé une fois dans les 5 dernières années Limité: vous seriez surpris que cela arrive OU n est pas envisageable dans les 5 ans OU n est pas arrivé ces 5 dernières années
Degré de priorité Noir : Requiert une action immédiate et l attention du CEO et du Comité Exécutif / Comité d Audit. Doit être traité en priorité jusqu à ce que le niveau de risque soit réduit. Information du Board et du régulateur doivent être considérés Rouge : Requiert la responsabilité d un membre du Comité Exécutif / Comité d Audit. Niveau de priorité haute du management. Information et suivi au niveau du Comité Exécutif Orange : Requiert la responsabilité d un manager de niveau N-2. Actions suivies par le management dans les délais précis Vert : Suivi du risque dans un reporting consolidé et éventuellement des actions pour réduire / éliminer le risque Limité Improbable Possible Probable Sévère R O V R O V N R N Significatif O V R O V N R O N R Modéré O V R O V R O V R O Mineur V O V O V O V
Exemple de représentation graphique Haut Moyen FAIBLE Faible Efficience des controles mis en place (*) HAUT MOYEN Communication des dirigeants Incompréhension des produits par clients Risk légal service client Blanchiment Info financière Frais de gestion Perte de personnes clef Responsabilité non claires Erreur montage produit Gestion de projet Défaillance fournisseur Erreur de trading Reporting client Pb commercial Complexité des produits grève Risque humain Sécurité It Non respect réglementaire Qualité des données Fraude Obligations légales Outils IT non robustes Absence de formalisation de procédures Erreur de valo Non respect contrainte client Pb R/L - contreparties Système IT Stratégie non adéquate Priorité des Actions VERT ORANGE ROUGE EVALUATION DU RISQUE BRUT (*) Définis comme une fonction de la réduction du risque (Brut actions de réduction) NOIR
Exemple de représentation graphique PROBABLE PROBABILITE NETTE IMPROBABLE POSSIBLE Perte de personnes clefs Risque légal Fraude Information financière Misrepresentation of prod Responsabilité non claires Risques humains Erreur montage produit Gestion de projet Reportin g client Absence de formalisation de procédures Mauvaises Performances Non respect réglementaire Supplier failure Erreurvalo Frais Prod non adaptés Client service Sécurité IT Pb R/L contrepartie Blanchiment Complexité des produits Non respect contraintes clients Spreadsheets Système IT Qualité des données LIMITE Communication des dirigeants Obligations légales non faite Regulatory requirement breach grèves Stratégie non adéquate MINEUR MODERE SIGNIFICATIF SEVERE IMPACT NET
Matrice des risques + Définition des actions, délais, coûts Rappel : Réponses aux risques = éviter, supprimer, réduire, transférer, accepter
ANNEXE COSO : committee for sponsoring organizations / www.coso.org
ANNEXE
ANNEXE Typologie Risque crédit et marché (risque lié à la gestion de portefeuilles) Risque technologique (défaillance de l environnement technologique) Risque réglementaire, compliance et juridique (violation des lois, déontologie) Risque d image et de réputation (publicité négative) Risque commercial (défaut dans l implémentation du service au client, décisions inadaptées) Risque humain (mauvaise appréciation du facteur humain) Exemples associés Risque crédit : risque de contrepartie risque pays risque secteur Risque marché : risque de taux risque de change risque matières premières risque de liquidité systèmes obsolètes absence de systèmes intégrés habilitations et sécurité des accès non respect des contraintes réglementaires fraude opérations de trading à titre personnel soft commissions maîtrise des distributeurs blanchiment communication externe mauvaise perception des besoins du client qualité du reporting non respect des contraintes du client turnover excessif formation inadéquate absence d une culture d entreprise communication interne Source Deloitte (PRAM)