Identification, évaluation et gestion des incidents De la cartographie des risques à la mise en place de la base incidents Xavier DIVAY Responsable de la conformité et du contrôle permanent QUILVEST BANQUE PRIVEE
SOMMAIRE L identification et la mesure des risques opérationnels La cartographie des risques opérationnels Le pilotage des risques et la gestion des incidents La base incidents 2
INTRODUCTION Le risque opérationnel se définit comme le risque de pertes dues à une inadéquation ou à une défaillance des procédures, personnels, systèmes internes ou à des événements extérieurs. Le risque opérationnel dans l activité de gestion d actifs se caractérise par la prééminence des incidents liés aux ruptures de charge dans le processus de la gestion des ordres (de leur négociation jusqu à leur enregistrement comptable) : erreur transactionnelle, non-obtention du meilleur prix, erreur de valorisation ou de calcul de valeur liquidative, erreur de réconciliation entre les actifs enregistrés auprès du dépositaire et ceux enregistrés en interne, non-collecte de certains revenus, erreur d appariement (erreur de rapprochement entre le ticket d ordre du gérant et la confirmation de l exécution du broker), erreur de règlement/livraison, erreur de calcul des performance fees, erreur de souscription/rachat, défaillance du système d information, non respect de la réglementation 3
INTRODUCTION A ces risques, certains acteurs ont répondu, dans une logique de STP, par la mise en place d outils front-to-back permettant la réduction des ruptures de charge, liées aux traitements manuels des opérations, à différentes étapes du processus de la gestion des ordres. Cette première démarche, nécessaire, n est toutefois pas suffisante. Les risques opérationnels ont d autres natures causales que la défaillance des processus de saisie et de contrôle manuels. Les risques juridiques, de fraude interne ou externe, ou liés à la défaillance des processus automatisés sont autant de sources potentielles d incidents. La maîtrise de ces risques nécessite non seulement de disposer de personnels aptes à gérer les problématiques métier et systèmes, mais aussi de dispositifs de contrôle adaptésà l objectif de réduction des risques opérationnels. 4
OBJECTIFS L enjeu central est de disposer d indicateurs pertinents de suivi et de mesure de l évolution du risque opérationnel encouru, dans un sens permettant une meilleure connaissance et une plus grande sécurisation des processus et des systèmes. Le projet risque opérationnel doit répondre à trois questions majeures : A quelles natures de risques l établissement est-il soumis? Quelles pertes potentielles la réalisation de ces risques (incidents) peut-elle engendrer? Quelle organisation mettre en place pour réduire la probabilité d occurrence et l ampleur de ces pertes? Parmi les enjeux qualitatifs de la démarche «risque opérationnel», la mise en place d un dispositif de collecte des pertes et incidents tient une place essentielle. 5
OBJECTIFS Être en mesure de détecter au plus tôt les risques (potentiels) et incidents (avérés) de nature opérationnelle pouvant avoir des conséquences financières et/ou sur l image du Groupe Analyser les risques et les incidents et apprécier le plus précisément possible et de façon dynamique leurs impacts potentiels Engager / faire engager les actions curatives et/ou préventives qui s imposent pour contenir les impacts, limiter la probabilité de survenance des incidents, tirer les enseignements, adapter les organisations et se doter si nécessaire d instruments de financements alternatifs (polices d assurances ) Mesurer les effets de ces actions et disposer d outils et d indicateurs de pilotage à destination des Directoires, des Directions et des différents acteurs impliqués dans les dispositifs 6
CARTOGRAPHIE DES RISQUES OPERATIONNELS La première étape de la démarche «risques opérationnels» est de formaliser en amont la relation causale entre la perte, ou l incident, et le fait générateur. La définition de nature causale du risque opérationnel est structurée autour de quatre grands axes : Procédures (risques juridiques et réglementaires, problématique des produits financiers complexes ) Personnes (erreurs de bonne foi ou actes de malveillance) Systèmes internes (pertes liées à l impossibilité d avoir pu utiliser les systèmes pendant un temps donné, back-up ou procédures de sauvegarde inefficaces ) Événements extérieurs (de nature imprévisible pouvant être réduits au travers d assurances ou de plan de continuité). 7
La démarche «risques opérationnels» CARTOGRAPHIE DES RISQUES OPERATIONNELS 8
Identification des types de risques CARTOGRAPHIE DES RISQUES OPERATIONNELS La typologie de risques retenue par le Groupe est structurée en quatre niveaux : Les deux premiers niveaux représentent les grandes catégories et sous-catégories de risques (typologie des risques Bâle II). Les deux niveaux suivants correspondent aux risques Groupe et aux évènements de risque 8 catégories de risque de niveau 1 19 catégories de risque de niveau 2 26 types de risques Groupe. Ces risques sont reliés aux risques identifiés en niveau 2 dans la typologie émise par Bâle Les évènements de risque (ER) correspondent à des manifestations de risques génériques adaptés aux lignes de métier et aux processus. Plus de 200 évènements de risques ont été identifiés et quantifiés 9
Identification des types de risques CARTOGRAPHIE DES RISQUES OPERATIONNELS Catégories de risque niveau 1 (Typologie bâloise) 1 Clients, produits et pratiques commerciales Catégories de risque niveau 2 (Typologie bâloise) 1 Conformité, diffusion d informations et devoir fiduciaire Catégories de risques groupe 1 Erreurs et non-conformité clients 2 Produits non-conformes (Lois, règlements, normes ) 2 Défaut de production 3 Indisponibilité des moyens logistiques (hors systèmes informatiques et de communication) 3 Pratiques commerciales / de place incorrectes 4 Pratiques de la banque non-conformes -clients 5 Pratiques de la banque non-conformes -marchés 4 Sélection, parrainage et exposition 6 Clients (sélection) 5 Services conseil 7 Clients (conseil) 2 Dommages aux actifs corporels 6 Catastrophes et autres sinistres 8 Malveillance externe hors systèmes informatiques 9 Catastrophes naturelles et autres 3 Dysfonctionnements de l activité des systèmes 7 Systèmes 10 Dysfonctionnement des ressources informatiques et de communication (erreurs traitements automatisés, défaillances ) 11 Indisponibilité des systèmes informatiques et de communication 10
Identification des types de risques CARTOGRAPHIE DES RISQUES OPERATIONNELS Catégories de risque niveau 1 (Typologie bâloise) Catégories de risque niveau 2 (Typologie bâloise) Catégories de risques groupe 4 Exécution, livraison et gestion des processus 8 Admission et documentation clientèle 12 Gestion administrative des documents 9 Contreparties commerciales 13 Correspondants et contreparties 10 Fournisseurs 14 Fournisseurs,sous-traitance, prestataires externes, partenaires 11 Saisie, exécution et suivi des transactions 15 Traitement et opérations manuels 12 Surveillance et notification financière 16 Reportings externes 5 Fraude externe 13 Vol et fraude 17 Fraude externe 18 Blanchiment 6 Fraude interne 14 Activité non autorisée 19 Malveillance interne hors systèmes informatiques 20 Pratiques individuelles non autorisées (procédures internes) 15 Vol et fraude 21 Fraude interne 22 Malveillance interne systèmes informatiques 7 Pratiques en matière d emploi et sécurité sur le lieu de travail 16 Égalité et discrimination 23 Discriminations (salariés) 17 Relations de travail 24 Relations employés (contractuelles, collectives) 18 Sécurité du lieu de travail 25 Conditions de travail (santé et sécurité des employés) 8 Sécurité des systèmes 19 Sécurité des systèmes 26 Malveillance externe systèmes informatiques 11
Identification des types de risques CARTOGRAPHIE DES RISQUES OPERATIONNELS Deux approches en matière d identification et d évaluation des risques coexistent : Une approche par lignes de métier déclinées en processus Une approche par lignes de métier non déclinées en processus Une ligne de métier résulte du découpage du Groupe en différentes activités conformément aux recommandations du Comité de Bâle. L association «processus / évènement de risque» permet de faire une distinction entre des évènements de risque identiques mais qui ne se situent pas sur le même processus. En règle générale, les deux évènements de risque ont des caractéristiques différentes en termes de fréquence et d impact et des dispositifs de maîtrise spécifiques L approche par les processus peut être difficile à mettre en place. On pourra préférer l identification directe, en liaison avec les experts métiers (les opérationnels métiers), des évènements de risques et leur rattachement aux catégories de risques groupe 12
Identification des évènementsde risque Quelques exemples d évènements de risque : Libellé de l'évènement de risque Type de risque groupe Type de risque Bâle II (niv. 1) Type de risque Bâle II (niv. 2) Divulgation d'informations confidentielles Pratiques de la banque non conformes - clients CARTOGRAPHIE DES RISQUES OPERATIONNELS Clients, produits et pratiques commerciales Vols d'informations confidentielles Fraude externe Fraude externe Vol et fraude Pratiques commerciales/de place incorrectes Erreur de valorisation comptable d'opcvm Commercialisation d'un produit / d'une offre non adapté à la réglementation du client Mandat non régulier (fond, forme, réglementation) Erreur/absence dans la production des reporting semestriels ou périodiques des OPCVM Traitements et opérations manuels Clients (conseil) Produits non conformes (lois, règlements, normes,...) Pratiques de la banque nonconformes - clients Exécution, livraison et gestion des processus Clients, produits et pratiques commerciales Clients, produits et pratiques commerciales Clients, produits et pratiques commerciales Saisie, exécution et suivi des transactions Services conseil Conformité, diffusion d'informations et devoir fiduciaire Pratiques commerciales/de place incorrectes L évènement de risque (ER) est «valorisé» en fonction de deux critères : La fréquence, c'est-à-dire le nombre de fois où le risque pourrait se produire sur une période donnée. Les impacts, c'est-à-dire les conséquences financières et les effets sur l image de l établissement ou du Groupe Ces données permettent de hiérarchiser les risques et les plans d actions dans une démarche de gestion et d anticipation. 13
CARTOGRAPHIE DES RISQUES OPERATIONNELS Évaluation de la fréquence La méthode d évaluation de la fréquence des évènements de risque demande à l évaluateur de distinguer : Les évènements rares, c'est-à-dire ceux dont le risque d occurrence est inférieur à 1 fois par an ; Les évènements à fréquence, c'est-à-dire ceux dont le risque d occurrence est supérieur ou égal à 1 fois par an Pour les évènements à fréquence, la question à se poser est celle du nombre d occurrences du risque sur une année. L évaluation distingue des circonstances «moyennes» afin d évaluer une fréquence «moyenne/plausible», et une situation extrême afin d évaluer la fréquence maximum. En fonction de l existence de données sur l impact de l évènement de risque, l évaluateur fonde ses valorisations sur des connaissances et/ou sur des hypothèses crédibles. Pour les évènements rares, la question à se poser est celle du rythme d occurrence de l évènement de risque : cet évènement est-il susceptible de se produire tous les 3 ans? tous les 10 ans? 14
CARTOGRAPHIE DES RISQUES OPERATIONNELS Évaluation de l impact Pour l évaluation de l impact financier de l évènement de risque, l évaluateur réalise 2 valorisations des impacts : une première valorisation qui prend en compte des paramètres «d impact moyen/plausible» et une seconde valorisation en intégrant des paramètres extrêmes (le chiffre «plafond» pour cet évènement de risque). L évaluation des impacts d un évènement de risque passe par 3 étapes : Impact financier l identification du ou des «facteurs d impact» associés à l évènement de risque : «pénalité de retard», «montant versé non récupéré», «amendes», «sommes non recouvrables», «surcoût de la prestation», «frais de justice» la valorisation du montant unitaire de chaque facteur d impact qui, sommé, donne l impact financier global. Impact Image l évaluation du degré d altération de l image de l établissement vis-à-vis des parties prenantes à son activité : la clientèle, le personnel, les autorités de tutelle, les médias, les sociétaires, les agences de rating, les fournisseurs. Pour chacune de ces catégories on se réfère à une cotation qualitative : fort, moyen/fort, moyen/faible, faible.. 15
Évaluation du dispositif de maîtrise des risques (DMR) Il convient pour chaque risque identifié et évalué de recenser le dispositif de maîtrise existant, c'est-à-dire l ensemble des mesures qui doivent permettre à l entreprise d éviter de faire face à un tel incident. Exemples de Dispositifs de Maîtrise des Risques : Contrôles a priori, contrôles a posteriori, système de délégation, séparation des tâches, sécurisation des accès logiques, sécurisation des accès physiques, transfert de responsabilité, système de surveillance Afin de favoriser une évaluation naturelle du risque, l évaluation pourra partir du risque «net», c'est-à-dire le risque résiduel, qui tient compte des effets du dispositif de maîtrise des risques en place. Risque net : le risque net valorise les impacts que l établissement pourrait effectivement subir en termes financiers et d impact, en intégrant les dispositifs de prévention et de détection existants. Efficacité des DMR : mesurée en %age, l efficacité des DMR réduit d une part les impacts et d autre part la fréquence d occurrence de l évènement de risque. Risque brut : c est la valorisation du risque en termes de fréquence et d impacts, en faisant abstraction des dispositifs de maîtrise des risques existants L évaluation du risque brut est déduite automatiquement. CARTOGRAPHIE DES RISQUES OPERATIONNELS Cette logique d évaluation par le risque net est souvent préconisée. Il reste toutefois possible, dans le travail de préparation de l évaluation, de procéder dans le sens inverse : commencer par l évaluation de l évènement de risque «brut», puis évaluer les DMR et contrôler le risque net déduit. 16
CARTOGRAPHIE DES RISQUES OPERATIONNELS Exemples de résultats possibles de cartographie des risques (données fictives) 17
BASE INCIDENTS De la cartographie à la base incident Les travaux de cartographie réalisés ont permis aux acteurs impliqués de se prononcer pour chaque événement de risques au regard : de l impact potentiel d un tel risque (sur la rentabilité et/ou en matière d image), de son niveau de fréquence, d apparition, de l appréciation du degré de maîtrise de ce risque par l entité. En amont de ces évaluations, des référentiels-types (métiers, processus, événements de risques) font l objet d adaptation pour tenir compte des spécificités des établissements / métiers. A partir de ces travaux, la cartographie des risques opérationnels a été formalisée et validée. Les risques à fort impact et/ou apparaissant comme insuffisamment maîtrisés font l objet de plans d actions validés par la structure de pilotage. Ces plans d actions prennent en compte les dispositifs existants ainsi que les projets en cours. Ils font alors l objet d un suivi régulier. La base incidents intègre les résultats de la cartographie des risques. 18
BASE INCIDENTS Déploiement de la base incidents Le programme d identification et d évaluation des risques opérationnels achevé, le déploiement de l outil de gestion des risques opérationnels (présentations, formations des utilisateurs, paramétrage ) est réalisé. Un responsable des risques opérationnels (RRO), au niveau de l établissement, et des correspondants risques opérationnels (CRO) au niveau des unités opérationnelles sont désignés. Le déploiement de l outil «base incidents» a pour objectifs de : doter l établissement d outils de pilotage «au quotidien» de ses risques opérationnels en complément des travaux d évaluation ; accompagner les responsables d activités et les opérationnels dans la gestion des incidents ; caractériser les incidents en évaluant notamment les impacts financiers ; collecter et historiser les données permettant de quantifier les risques opérationnels, d allouer le cas échéant les fonds propres nécessaires ; générer à tout moment des reportings d analyse et de synthèse à destination du Directoire, des Directeurs, des responsables d activités et des opérationnels. La mise en place de cette organisation et l utilisation effective de l outil de gestion des risques opérationnels doivent permettre de renforcer l efficacité des dispositifs de maîtrise des risques (potentiels) et/ou de gestion des incidents (avérés) pour : éviter leur survenance ; et/ou en contenir les conséquences. 19
BASE INCIDENTS Responsabilités du RRO et des CRO Le responsable des risques opérationnels est en charge de : de piloter le dispositif «cartographie», «base d incidents», «indicateurs», «plans d actions», «reporting» ; d assurer le déploiement, auprès des utilisateurs, des méthodologies et outils ; de garantir l intégrité des données produites tant en matière de qualité de l information renseignée qu en matière d exhaustivité ; d effectuer une revue périodique des bases d incidents, de la résolution des incidents, de l état d avancement des plans d actions, de la formalisation des procédures de gestion et de contrôle correspondantes. Il s appuie sur le réseau des correspondants risques opérationnels qui ont pour rôle : de procéder à l identification et à l évaluation régulière des risques opérationnels susceptibles d impacter leur périmètre / domaine d activité ; d alimenter et/ou de produire les informations permettant d alimenter les bases d incidents ; de mobiliser les personnes impliquées/habilitées lors de la survenance d un incident afin de prendre au plus tôt les mesures conservatoires ; d éviter ainsi toute amplification des conséquences/impacts des incidents/risques ; de traiter et de gérer des incidents/risques (en relation, selon les cas, avec les responsables d activité et les relais internes). 20