ELABORATION DE LA CARTOGRAPHIE DES RISQUES

Documents pareils
Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»

DÉMATÉRIALISATION DES DOCUMENTS ET AUTOMATISATION DES PROCESSUS UN PREMIER PAS VERS LA BANQUE SANS PAPIER

3.2. RAPPORT DU PRÉSIDENT DU CONSEIL D ADMINISTRATION (ARTICLE L DU CODE DE COMMERCE)

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

LES SOLUTIONS MEGA POUR LA GOUVERNANCE, RISQUES ET CONFORMITÉ (GRC)

Dans le présent rapport, l expression «Groupe» se rapporte à AXA SA (la «Société») ainsi qu à ses filiales consolidées, directes et indirectes.

Optimisation de la gestion des risques opérationnels. EIFR 10 février 2015

Comment mieux lutter contre la fraude à l assurance? Gestion de sinistres Odilon Audouin, le 4 avril 2013

Identification, évaluation et gestion des incidents

Atelier A N 13. Titre : Gestion des risques, audit interne et contrôle interne

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Charte de contrôle interne

Software Application Portfolio Management

) ) ) ) Structure et optimisation des coûts de la conformité Analyse comparée de PCI DSS et ISO CNIS EVENT. 27 avril 2011.

Le risque opérationnel - Journées IARD de l'institut des Actuaires

Piloter le contrôle permanent

Le Data Risk Center. Plateforme de pilotage et de gestion des risques Pilier I de la directive Solvabilité II

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Le rôle de la DSI avec l audit Interne pour la maîtrise des risques

GRIFES. Gestion des risques et au-delà. Pablo C. Martinez. TRMG Product Leader, EMEA Symantec Corporation

Cadre de gestion du risque de fraude Rapport d audit Rapport n o 5/14 2 septembre 2014

Etat. factures. portail. res. dématérialiser EDI. fournisseurs. Etat EDI CO2. Dématérialisation des factures. portail. fiabilité.

Historique des normes et des règlements encadrant les contrôles internes

Yphise accompagne les décideurs et managers dans leurs réflexions, décisions et actions

Links Consulting. Support de présentation. L expertise métier au service de la transformation et de la performance

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?

Quels nouveaux outils pour accompagner le développement de nos professions?

MODULES ECBL DESCRIPTIF SENIOR

Nos formations clé en main

Les risques liés à l activité de l entreprise : quels outils pour les identifier?

Etude des métiers du contrôle dans la banque

«La crise : banques, entreprises et gestion des risques»

Solvabilité II : Vers une approche globale et cohérente de la solvabilité

Votre partenaire pour les meilleures pratiques. La Gouvernance au service de la Performance & de la Compliance

Présentation CERT IST. 9 Juin Enjeux et Mise en Œuvre du DLP. Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.

Le Baromètre du Risk Manager

Colloque Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires

Retour d expérience. Le rôle du Business Analyst chez Orange. Nadia Magarino & Christophe Dufour 29 avril 2015

Gestion des risques, contrôle interne et audit interne

Software Asset Management Savoir optimiser vos coûts licensing

Vector Security Consulting S.A

Chapitre 1 : Introduction au contrôle de gestion. Marie Gies - Contrôle de gestion et gestion prévisionnelle - Chapitre 1

Online Backup. & Recovery Service

Au Service de la Performance IT. Retour d expérience sur la gestion des Incidents et des Problèmes autour du SI

Graphes d attaques Une exemple d usage des graphes d attaques pour l évaluation dynamique des risques en Cyber Sécurité

UE 13 Contrôle de gestion. Responsables : Henri Bouquin, Professeur Stéphanie Thiéry-Dubuisson, Maître de Conférences

Mettre en oeuvre l authentification forte. Alain ROUX Consultant sécurité

A. Le contrôle continu

L ORSA : quelles conséquences sur le pilotage stratégique de l entreprise?

Solvabilité 2 La gestion des risques opérationnels et du contrôle interne. Séminaire Logica Business Consulting / Oxial 17 octobre 2012

Travaux soutenus par l ANR. Jean-François CAPURON (DGA) Bruno LEGEARD (Smartesting)

Sécurité des Systèmes d Information. Le pragmatisme et l innovation de PwC à votre service

Contrôlez et Maîtrisez votre environnement de messagerie Lotus Notes Domino

Baromètre du Risk Management 2006

Sécurité des Systèmes d Information

Un élément de la gouvernance du système d information «La gestion des logiciels, transparence et maîtrise du budget»

Le COBIT : L état de l Art

Charte du Comité Audit et Risque (CAR) du Conseil d administration de la Banque Cantonale Vaudoise (BCV)

Does it pay to improve Corporate Governance? An empirical analysis of European Equities

Surabondance d information

RAPPORT DU CONSEIL D ADMINISTRATION A L ASSEMBLEE GENERALE

Mobilité et Soutien Logistique des SDIS Vers plus d efficience et d agilité

TOUT PARAIT SIMPLE QUAND ON A LA BONNE DÉMARCHE CATALOGUE DE FORMATION

progena by PwC Une nouvelle approche du développement durable 31 mars 2011

Audit interne et référentiels derisques

Engagement par approche.

3 minutes. pour tout savoir sur. Orange Consulting le conseil par Orange Business Services

Caisse Nationale de l'assurance Maladie des Travailleurs Salariés Sécurité Sociale

La relation DSI Utilisateur dans un contexte d infogérance

Les clés de la réussite

Le Projet InCaS ( ) Consortium

Marketing et CRM: Comment définir une stratégie informatique en fonction de la stratégie commerciale?

La Gestion des Risques en Gestion d Actifs

La gestion des risques IT et l audit

PARTENARIAT DE L OBSERVATOIRE TECHNOLOGIQUE

Gouvernance & Influence des Systèmes d Information. 2 Décembre 2014

PROCEDURES DE CONTROLE INTERNE RAPPORT CONTROLE INTERNE. Enjeux du Contrôle interne au sein du Groupe Cegedim

Revenue Assurance : Pourquoi et comment maîtriser votre chaîne de revenu? Saunière Jean-Christophe Corcos Pascal Guédri Zouheir

Benchmark des Meilleures Pratiques : de la Communauté des utilisateurs de solutions CRM, XRM 1

GOUVERNANCE DES SERVICES

Sage FRP Treasury Universe Edition Module Cash L expert en gestion de trésorerie et flux financiers

Etape 1 : paramétrage et choix du modèle d organisation

L Application Performance Management pourquoi et pour quoi faire?

ITSM - Gestion des Services informatiques

Demi-journée : 9h/12h30 ou 14h/17h HT par personne (groupe de 10 personnes minimum)

Norme PCI Septembre La norme PCI : transformer une contrainte en opportunité

ISO/CEI 27001:2005 ISMS -Information Security Management System

Fondation Mérieux 22 avril Un projet Fondateur. J. Breton Thésame

Corporate Cards. Embarquement immédiat pour l Europe

Wolters Kluwer Financial Services FRSGlobal

Gouvernance IT : par où commencer? Hubert Lalanne DE, Chief Architect for Industries IBM Software France

Solutions de mesure et de contrôle

Le risque humain en entreprise Le cadre du renseignement

La cartographie des risques outil fédérateur de pilotage: exemple d'application dans un groupement d'établissements. Marc MOULAIRE

Services Réseaux et Télécom

La RSE au service de la stratégie de l entreprise et de la création de valeur

L Audit Interne vs. La Gestion des Risques. Roland De Meulder, IEMSR-2011

PLATEFORME MÉTIER DÉDIÉE À LA PERFORMANCE DES INSTALLATIONS DE PRODUCTION

Transcription:

ELABORATION DE LA CARTOGRAPHIE DES RISQUES Gestion pour compte de tiers : Controle interne & Déontologie Jeudi 15 Juin 2006 Lazard Frères Gestion - C. Brignola

I. Cartographie des risques : les enjeux POURQUOI? Participe à une gestion globale des risques pour assurer la protection et la continuité des activités Permet d impliquer les différents managers pour améliorer le niveau de risque net supporté par l entreprise POUR QUI? Le top management Les responsables des fonctions de contrôle Les clients Les régulateurs

Cartographie des risques : les enjeux PAR QUI? En mode projet ou en phase initiale, pilotée par les responsables Contrôle ou Risk Management Ensuite les propriétaires doivent être les départements / lignes métiers / entités, qui doivent mettre à jour la cartographie Le top management doit se l approprier pour en faire un outil de gestion de l entreprise Les fonctions de Contrôle / Risk Management doivent en valider l exhaustivité et la pertinence Une Cartographie des risques n est pas une fin en soi, mais plutôt un moyen d atteindre l objectif / l ambition que s est fixée l entreprise

II. La méthodologie mise en oeuvre Conduite de la cartographie : qui fait, qui valide, qui va mettre à jour, ressources internes ou externes, équipe mixte Définition du scope, personnes clefs, préparation du questionnaire Dans quel outil centraliser les réponses / évaluations Maturité de la structure : Différence à considérer selon la taille de la société, la nature des activités (produits, etc ) ; approche top-down ou bottom-up ou les deux Matériel disponible : est-ce que vous avez un outil qui centralise et cartographie les process et procédures de l entreprise? y a-t-il une base incident? Y a-t-il eu une démarche Sarbanes Oxley 404 ou SAS 70 au sein de l entreprise?

Interviews avec les personnes clef du business => Avant les entretiens, vous devez Avoir une idée des réponses que le manager va donner Avoir des exemples de reportings, les données d incident sur l entité/ la business line Identifier les incidents ou évènements qui ont eu lieu et qui pourraient illustrer les risques Si possible, avoir un benchmark (marché, groupe, etc ) Exemple de questions posées: Selon vous quels sont les risques majeurs de l entreprise dans son ensemble votre business, entité? Quels sont les principaux processus participant à votre activité? Quels sont les principaux objectifs de votre département / entité / ligne métier Selon vous quels sont les risques majeurs sur votre activité ou entité? Comment est-ce que vous gérez ces risques? Est-ce que vous pouvez quantifier ces risques? Etc

A l issue des entretiens Identifie les risques principaux ou majeurs que l entreprise prend (entité / business line), et pour chaque risque, identifie : Les principaux processus concernés Les contrôles ou actions pour les limiter Les données sur les contrôles et les actions qui réduisent les risques Les destinataires des reportings La fréquence des reportings Mais aussi : Permet d identifier l inefficience des contrôles (zones sous-contrôlées ou sur-contrôlées, action de prévention ou adaptation du plan de contrôles) De piloter la prise de risques De revoir la couverture des risques par les assurances si elle est adaptée aux besoins

III. Le résultat de la démarche Etapes : L objectif initial est de cartographier les risques tels qu ils sont aujourd hui, c est une photo au moment de l évaluation : approche statique Dans un second temps il faut aller vers une amélioration de la gestion des risques : approche dynamique Néanmoins, il est probable que quelques actions immédiates / gains immédiats vont être identifiés durant le processus de cartographie des risques Définition et mise en place de reportings (suivi des actions, mises à jour) Reporting / Indicateurs : Concentre le Management sur les principaux risques Permet d avoir une synthèse des risques majeurs et de traduire les risques en indicateurs et plan d action Assiste les lignes métiers / entités dans la gestion de leurs risques Développe des réflexes de gestion systématique des risques Formalise une claire ligne de responsabilités jusqu au CEO La bonne information, au bon niveau, au bon moment, aux bonnes personnes

Processus Inputs: Interviews avec personnes clé du Business Données de pertes, base incidents Cartographie des processus (ou SarbOx) Critères d évaluation des risques Identifie et évalue les risques (bruts) Identifie les contrôles clés / actions de réduction des risques Ré-évalue les risques clés après contrôles (nets) Identifie et évalue les risques en fonction du niveau de risque net acceptable par l entreprise Ouputs : Cartographie des risques majeurs Désignation des pilotes & sponsors Analyse des gaps et définition d un plan d action Reporting et mise à jour des risques par les sponsors

Intensité du risque pour l entreprise Sévère: impact financier total > 5m OU réputation entreprise atteinte et irrécouvrable OU processus métier interrompu OU capacité de poursuivre le business sur une ligne métier et incertitude sur le fait de le recouvrir totalement OU il est probable que le régulateur va imposer des sanctions à l entreprise Significatif: 1,000,000 < impact financier total < 5m OU réputation endommagée OU processus métier sévèrement interrompus OU il est possible que le régulateur impose des sanctions à l entreprise Modéré: 100,000 < impact financier total < 1,000,000 OU impact sur la réputation limité à une partie de l entreprise OU processus métier défaillant OU sanction du régulateur envisageable Mineur: impact financier total < 100,000 OU impact commercial OU processus métier inefficient ou défaillant OU le régulateur ne le considérerait pas comme matériel

Niveau de probabilité Probable: occurrence régulière OU peut arriver à tout moment Possible: occurrence peu fréquente OU peut arriver dans l année OU est arrivé plus d une fois durant les 5 dernières années mais pas fréquemment Improbable: occurrence rare OU peut arriver dans les 5 ans OU est arrivé une fois dans les 5 dernières années Limité: vous seriez surpris que cela arrive OU n est pas envisageable dans les 5 ans OU n est pas arrivé ces 5 dernières années

Degré de priorité Noir : Requiert une action immédiate et l attention du CEO et du Comité Exécutif / Comité d Audit. Doit être traité en priorité jusqu à ce que le niveau de risque soit réduit. Information du Board et du régulateur doivent être considérés Rouge : Requiert la responsabilité d un membre du Comité Exécutif / Comité d Audit. Niveau de priorité haute du management. Information et suivi au niveau du Comité Exécutif Orange : Requiert la responsabilité d un manager de niveau N-2. Actions suivies par le management dans les délais précis Vert : Suivi du risque dans un reporting consolidé et éventuellement des actions pour réduire / éliminer le risque Limité Improbable Possible Probable Sévère R O V R O V N R N Significatif O V R O V N R O N R Modéré O V R O V R O V R O Mineur V O V O V O V

Exemple de représentation graphique Haut Moyen FAIBLE Faible Efficience des controles mis en place (*) HAUT MOYEN Communication des dirigeants Incompréhension des produits par clients Risk légal service client Blanchiment Info financière Frais de gestion Perte de personnes clef Responsabilité non claires Erreur montage produit Gestion de projet Défaillance fournisseur Erreur de trading Reporting client Pb commercial Complexité des produits grève Risque humain Sécurité It Non respect réglementaire Qualité des données Fraude Obligations légales Outils IT non robustes Absence de formalisation de procédures Erreur de valo Non respect contrainte client Pb R/L - contreparties Système IT Stratégie non adéquate Priorité des Actions VERT ORANGE ROUGE EVALUATION DU RISQUE BRUT (*) Définis comme une fonction de la réduction du risque (Brut actions de réduction) NOIR

Exemple de représentation graphique PROBABLE PROBABILITE NETTE IMPROBABLE POSSIBLE Perte de personnes clefs Risque légal Fraude Information financière Misrepresentation of prod Responsabilité non claires Risques humains Erreur montage produit Gestion de projet Reportin g client Absence de formalisation de procédures Mauvaises Performances Non respect réglementaire Supplier failure Erreurvalo Frais Prod non adaptés Client service Sécurité IT Pb R/L contrepartie Blanchiment Complexité des produits Non respect contraintes clients Spreadsheets Système IT Qualité des données LIMITE Communication des dirigeants Obligations légales non faite Regulatory requirement breach grèves Stratégie non adéquate MINEUR MODERE SIGNIFICATIF SEVERE IMPACT NET

Matrice des risques + Définition des actions, délais, coûts Rappel : Réponses aux risques = éviter, supprimer, réduire, transférer, accepter

ANNEXE COSO : committee for sponsoring organizations / www.coso.org

ANNEXE

ANNEXE Typologie Risque crédit et marché (risque lié à la gestion de portefeuilles) Risque technologique (défaillance de l environnement technologique) Risque réglementaire, compliance et juridique (violation des lois, déontologie) Risque d image et de réputation (publicité négative) Risque commercial (défaut dans l implémentation du service au client, décisions inadaptées) Risque humain (mauvaise appréciation du facteur humain) Exemples associés Risque crédit : risque de contrepartie risque pays risque secteur Risque marché : risque de taux risque de change risque matières premières risque de liquidité systèmes obsolètes absence de systèmes intégrés habilitations et sécurité des accès non respect des contraintes réglementaires fraude opérations de trading à titre personnel soft commissions maîtrise des distributeurs blanchiment communication externe mauvaise perception des besoins du client qualité du reporting non respect des contraintes du client turnover excessif formation inadéquate absence d une culture d entreprise communication interne Source Deloitte (PRAM)

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back