Transcript LA GESTION DES RISQUES OPERATIONNELS

LA GESTION DES RISQUES
OPERATIONNELS
Présentation du 12.05.2012 –
Laurent Oudin
1
1-DEFINITION DES RISQUES
OPERATIONNELS
2
Une définition des risques opérationnels
• Risque de pertes provenant de
l’inadéquation ou de la défaillance de
procédures internes, de personnes, de
systèmes ou faisant suite à des
événements externes.
• Cette définition inclut les risques
juridiques, fiscaux, réglementaires et
compliance. Elle exclut les risques
stratégiques.
3
Une définition des risques opérationnels
 Une définition qui peut varier d’un établissement à un
autre (inclut ou non risque de réputation).
 Des risques qui concernent l’ensemble du personnel
d’une société / d’un établissement.
 Des risques qui ont des causes aussi bien internes
qu’externes.
 Des risques qui ne sont pas toujours mesurables et qui
n’ont pas de modèle d’évaluation.
 Des risques qui ont pris en importance (en matière de
suivi, d’exigence de fonds propres) ces dernières
années.
 Une appréciation des risques qui s’appuie en partie sur
l’expérience, le vécu et le bon sens.
4
2-LES DIMENSIONS DES
RISQUES OPERATIONNELS
5
Un référentiel des risques opérationnels
•
La définition est large et il est nécessaire de construire un
référentiel de catégories de risques opérationnels pour:
1.
2.
3.
•
•
Clarifier les différentes dimensions des risques opérationnels
Préciser les points d’attention en matière de surveillance et contrôle
des risques opérationnels
Avoir une compréhension commune par l’ensemble des
collaborateurs d’un établissement.
Le référentiel est propre à chaque établissement.
Illustration des différentes dimensions par un exemple: les
catégories (règlementaires) définies par Bâle 2.
6
Les catégories de Bâle 2
Catégorie d’évènement générateur de perte
1
Fraude interne
2
Fraude externe
3
Poste de travail
4
Clients, produits et pratiques commerciales
5
Dommage aux actifs corporels
6
Interruption d’activité et dysfonctionnement de
systèmes
7
Exécution, livraison et gestion des processus
7
1-Fraude interne
• Pertes résultant d’actes visant à détourner des biens ou à
contourner des lois, des règles ou des dispositions internes (avec
implication d’une partie interne à l’entreprise).
• Exemples:
– Transactions non autorisées
– Abus de confiance
– Corruption
8
2-Fraude externe
• Pertes résultant d’actes visant à détourner des biens ou à
contourner des lois, des règles ou des dispositions internes (sans
implication d’une partie interne à l’entreprise).
• Exemples:
– Falsification de chèques
– Dommages dus au piratage informatique (préjudice financier consécutif
par exemple à l’utilisation d’une carte de crédit volée)
9
3-Poste de travail
• Pertes résultant d’actes contraires aux dispositions légales du travail
ou aux conventions relatives à la sécurité ou à la santé (du
personnel). Risques liés à la gestion des Ressources Humaines.
• Exemples:
–
–
–
–
Pertes liées à des grèves
Infractions aux dispositions à la sécurité et à la santé du personnel
Dommages et intérêts versés au titre d’actions en discrimination
Harcèlement
10
4-Clients, produits et pratiques
commerciales
• Pertes résultant d’un manquement, par inattention ou par
négligence, à des obligations envers des clients et pertes résultant
de la nature et de la structure de certains produits.
• Exemples:
– Non respect du devoir d’information de la clientèle
– Distribution à la clientèle d’un produit non autorisé à celle-ci
– Violation du secret professionnel
11
5-Dommage aux actifs corporels
• Pertes résultant de dommages causés à des actifs physiques par
des catastrophes naturelles ou d’autres évènements.
• Exemples:
– Incendie
– Vandalisme
– Terrorisme
12
6-Interruptions d’activité et
dysfonctionnement de systèmes
• Pertes résultant de perturbations de l’activité ou de problèmes liés à
des systèmes techniques.
• Exemples:
– Panne d’électricité
– Dysfonctionnement d’un programme informatique
– Problème de télécommunication (forte perturbation du réseau)
13
7-Exécution, livraison et gestion des
processus
• Pertes résultant d’un problème dans le traitement d’une transaction
ou dans la gestion des processus; pertes subies dans le cadre des
relations avec les partenaires commerciaux, les fournisseurs, etc.
• Exemples:
–
–
–
–
Erreur de saisie de données
Erreur comptable
Non-exécution d’une tâche
Rapport / document inadéquat remis à des externes (ayant entraîné une
perte)
– Manque de documentation d’entrée en relation avec un client
– Prestation déficiente de partenaires commerciaux
– Litiges avec des fournisseurs
14
Un constat et des exemples historiques
•
Constat: les grandes pertes historiques dans le milieu
bancaire résultent du risque opérationnel.
•
Quelques exemples:
1.
2.
La faillite de Barings (1995): faillite suite à des positions en
futures trop importantes, incapacité à répondre aux appels de
marge, concentration de plusieurs fonctions sur une seule et
même personne.
L’affaire Kerviel à la Société Générale (2008): grosse perte sur
des positions sur futures, un homme qui connaissait (trop)
bien les systèmes front-to-back, des signaux d’alarme pris à la
légère.
15
Un constat et des exemples historiques
•
Quelques exemples (suite):
1.
2.
Madoff (2008): élaboration d’un système de fraude à grande
échelle; contrôle?
L’affaire Kweku Adoboli à UBS (2011), une similitute forte
avec Société Générale: grosse perte sur des positions sur
futures, un homme qui connaissait (trop) bien les systèmes
front-to-back, des signaux d’alarme pris à la légère
16
3-LA GESTION DES RISQUES
OPERATIONNELS
17
Les grands principes de la gestion des
risques
• La gestion des risques opérationnels s’articule en 4 axes:
 L’identification des risques consiste à déterminer les évènements
de risques potentiels et leurs éventuelles causes et conséquences.
 L’évaluation des risques consiste à apprécier l’impact de
l’évènement de risque.
 La gestion des risques consiste à définir les mesures stratégiques
et opérationnelles pour éviter, transférer et / ou réduire la
survenance et l’impact des risques.
 Le contrôle et la surveillance des risques consistent à s’assurer
de la cohérence et de l’adéquation du niveau des risques en regard
des objectifs fixés, d’analyser les risques afin de s’assurer de
l’application de mesures d’atténuation et de mitigation des risques.
18
Les grands principes de la gestion des
risques
Un processus continu
Identification
des risques
Contrôle
des risques
Gestion des
risques
intégrée
Gestion
des risques
Evaluation
des risques
19
3.1-IDENTIFICATION DES
RISQUES OPERATIONNELS
20
Identification des risques opérationnels
• Workshop
– Quelle approche / méthode pratique ou
théorique proposeriez-vous pour identifier les
risques opérationnels?
– 2 groupes de travail (15 min. brainstorming, 2
x 5 min. de restitution, 5 min. de partage)
21
Identification des risques opérationnels
- un exemple d’approche
• Exercice d’auto-évaluation bottom-up
– « Faire parler » les intervenants métier (ils
connaissent généralement le mieux leurs risques)
– Approche par processus / équilibre à trouver entre
trop de détail et pas assez (focaliser sur les activités
« critiques »)
– Recueillir à cette occasion les évaluations des risques
et les contrôles en place (1er et 2ème niveau)
– Croiser les risques identifiés avec les dimensions du
référentiel des risques (toutes les dimensions ontelles été considérées?)
22
Identification des risques opérationnels
- un exemple d’approche
• Exercice d’auto-évaluation top-down
– « Faire parler » les responsables (senior
management) pour compléter les sensibilités
et les expériences avec une vision plus « high
level » (par exemple au travers d’un ou
plusieurs « brainstormings »)
– Croiser les risques identifiés avec les
dimensions du référentiel des risques (toutes
les dimensions ont-elles été considérées?)
23
Identification des risques opérationnels
- un exemple d’approche
• De manière pratique, rapporter de manière
« normée » les résultats obtenus lors des
exercices d’auto-évaluation, notamment
pour pouvoir les consolider.
• Le support peut être un outil bureautique
ou un développement informatique interne
ou l’acquisition d’un logiciel dédié
24
3.2-EVALUATION DES RISQUES
OPERATIONNELS
25
Evaluation des risques opérationnels
• Workshop
– Comment évalueriez-vous les risques
opérationnels? quelles dimensions / critères
d’appréciation considéreriez-vous?
– 2 groupes de travail (15 min. brainstorming, 2
x 5 min. de restitution, 5 min. de partage)
26
Evaluation des risques opérationnels
• Pourquoi une évaluation?
Permet de comparer / ramener en relatif
un risque opérationnel par rapport à un
autre.
Permet de fixer si nécessaire des priorités
(projets, ressources humaines) dans la
gestion des risques et identifier où sont
portés les efforts.
27
Evaluation des risques opérationnels un exemple d’approche
• Estimer une fréquence de survenance
– Ce peut être une échelle relative plutôt qu’absolue
• Estimer un impact
– Ce n’est pas uniquement un impact financier
– Un impact d’image peut aussi être très dommageable
pour une société
• La difficulté / le challenge réside dans la
définition d’une échelle pour chacune de ces
dimensions.
• Il n’y a pas d’échelle absolue mais des
sensibilités aux risques différenciées.
28
Evaluation des risques opérationnels un exemple d’approche
« zone » de surveillance et d’action accrue
IMPACT
Elevé
Moyen
Rare
Fréquent
29
SURVENANCE
3.3-GESTION DES RISQUES
OPERATIONNELS
30
Gestion des risques opérationnels
Une organisation:
– Une structure dédiée au Risk Management,
indépendante des Unités d’affaire (dans le respect
d’une bonne gouvernance)
– Un Comité des risques pour définir une politique et
une stratégie des risques, suivre les cas sensibles
– Des directives et des instructions de travail
– Des interactions métier (par exemple Audit Interne et
Compliance avec le Risk Management).
31
Gestion des risques opérationnels
Une culture des risques:
– La gestion des risques opérationnels
concernent tous les collaborateurs d’un
établissement
– Fédérer les collaborateurs autour de principes
simples et applicables
– Condition de réussite: nécessité d’un
engagement et d’une sensibilité du Senior
Management
32
Gestion des risques opérationnels
Des outils et méthodes:
– Le Plan de Continuité des Activités (Business
Continuity Plan) dans la dimension des dommages et
interruptions d’activité
 Définir les mesures à appliquer pour assurer la
continuité opérationnelle des activités « critiques »
 Identifier les activités critiques / vitales, les
ressources minimales y liées (collaborateurs,
systèmes) et le temps de recouvrement de ces
activités
33
Gestion des risques opérationnels
Des outils et méthodes:
– La collecte des données et informations liées aux
erreurs opérationnelles
 Pour analyser quantitativement (montant de pertes /
gains, nombre d’erreurs) et qualitativement (erreurs
localisées sur une activité, des produits, etc.)
 Pour identifier et définir des mesures ou projets
d’amélioration
 Pour avoir une base de connaissance partagée des
erreurs et minimiser leur survenance
34
Gestion des risques opérationnels
Des outils et méthodes:
– Une cartographie des risques
– La souscription à certaines assurances
– Allocation analytique d’exigence de fonds
propres aux Unités d’Affaire et de Support
(permet de sensibiliser et constitue un
indicateur de performance)
– La prise de connaissance régulière des
rapports d’audit interne
– Des scénarios « What if »
35
Gestion des risques opérationnels
Des outils et méthodes:
– Une veille active et le recueil des situations à
« near risk »
Comme sources d’analyse et d’éventuelles
mesures / projets d’améliorations
Comme sources d’extrapolation d’un risque
potentiel à son établissement
Pour capitaliser sur une situation vécue
36
Gestion des risques opérationnels
• Workshop
– Quelles sources / vecteurs utiliseriez-vous
pour développer une veille active et capter
des near risks?
– 2 groupes de travail (15 min. brainstorming, 2
x 5 min. de restitution, 5 min. de partage)
37
3.4-CONTRÔLE ET
SURVEILLANCE DES RISQUES
OPERATIONNELS
38
Contrôle et surveillance des
risques opérationnels
• Les contrôles de 1er niveau
Contrôles opérationnels réalisés par et
dans la ligne métier
Doivent être inventoriés (nature et objectif
du contrôle, fréquence, responsable) et
documentés (pour être traçables)
39
Contrôle et surveillance des
risques opérationnels
• Les contrôles de 2ème niveau
Contrôles opérationnels et / ou de
supervision réalisés de manière
indépendante de la ligne métier
Contrôles « différents » de ceux de 1er
niveau
Doivent être inventoriés (nature et objectif
du contrôle, fréquence, responsable) et
documentés (pour être traçables)
40
Contrôle et surveillance des
risques opérationnels
• Contrôles de 1er et 2ème niveau - exemple
Dans une salle des marchés, les traders
s’assurent en tout temps du respect de
leurs limites (1er niveau)
Les contrôleurs de risques, indépendants
des traders, vérifient ce même respect et
rapportent tout dépassement (2ème niveau)
41
Contrôle et surveillance des
risques opérationnels
• Le backtesting
S’assurer que les contrôles en place
maintiennent les erreurs opérationnells à
un niveau « acceptable »
S’assurer de l’efficacité des mesures
d’amélioration (par exemple un
développement informatique qui a
effectivement permet de réduire un taux
d’extourne)
42
Contrôle et surveillance des
risques opérationnels
• Les KRIs (Key Risk Indicators)
 Capturer ou capter une exposition aux risques
opérationnels
 L’exposition peut être absolue ou relative
(détecter une tendance)
 Le KRI doit être interprétable et facile à mesurer
 Poser des limites ou des seuils d’alerte
 L’objectif est de prendre si possible des
mesures préventives à la réalisation d’un risque
43
Contrôle et surveillance des
risques opérationnels
• Les KRIs – quelques exemples
Turnover du personnel
Taux d’extourne des opérations par le
back-office ou des transactions par le
front-office (trading)
Nombre de pannes informatiques
Report des recommandations prioritaires
de l’audit
44
Contrôle et surveillance des
risques opérationnels
• Les reportings
Informer du niveau des risques
Mettre en évidence les faits significatifs,
les tendances, les résultats d’analyse
Proposer et suivre des projets ou mesures
d’amélioration
Pour le Senior Management, peut être une
source de décision
45
Contrôle et surveillance des
risques opérationnels
• La prise de connaissance des
recommandations d’audit interne et
externe
Sources d’information (le plus souvent
approche sous un angle opérationnel)
Met en évidence les défauts ou
défaillances de contrôle
Peut donner des axes d’amélioration ou
points d’investigation
46
Principes de bon sens
• Ne pas s’engager dans une activité, des produits qu’on ne
comprend pas, qu’on ne maîtrise pas.
• Raisonner transversalement / faire intervenir les experts dans les
domaines métier qui interagissent.
• Esprit de curiosité et en éveil (pour contribuer à l’observation de
« near risk », chercher à anticiper).
• Construire un réseau interne et externe.
• Avoir les réponses / solutions à la gestion des situations à risque
potentiel avant qu’elles ne surviennent.
• Tirer les leçons des situations à risque.
• Ne jamais cacher une erreur.
47
Mot de clôture
• Une bonne gestion des risques est un atout / représente
une valeur ajoutée:
 Elle permet de contribuer au rayonnement d’une société
(image, capacité à délivrer un service / un produit de
qualité dans les délais).
 Elle est un avantage concurrentiel.
 Elle est aux côtés / accompagne le développement du
business, tout en étant indépendante, en proposant des
solutions.
48