SETION II : LES ETAPES DE L'ELABORATION D'UNE
CARTOGRAPHIE
La conception d'une cartographie des risques constitue la
première étape, absolument cruciale, dans l'identification des
pertes, et donc dans l'estimation des risques, au sein d'une organisation. Son
exploitation est une phase-clé, fondamentale, a la fois pour la
modélisation de la distribution des pertes et le calcul du capital, mais
aussi pour la gestion active des risques. Dans cette section nous
présenterons les différentes étapes de la cartographie,
mais aussi les autres outils qui permettent aux EMF de gérer les
risques.
I - SCHEMA GENERAL DU PROCESSUS DE CARTOGRAPHIE
Les travaux de cartographie des risques opérationnels
ont pour objet d'identifier, d'évaluer, de classer, de comparer et de
hiérarchiser les risques susceptibles d'impacter une ligne de
métier donnée.
Figure N° 4 : Schéma
proposé par DAN CHELLY
Une organisation doit être mise en place :
· Quelle que soit la situation (évolution ou
nouvelle cartographie), une organisation doit être mise en place afin de
s'assurer de la cotation des évènements de risque.
· Cette organisation s'appuiera sur un calendrier (X %
d'ER à coter d'ici au ... etc.. / Domaine X à coter d'ici au ...)
et / ou sur une mise à jour continue suivie au travers de l'outil
dédié.
Le périmètre des
évènements de risques à évaluer doit être
précisé :
· Les risques du tronc commun.
· Les risques locaux (Les établissements ont toute
latitude pour élargir ce périmètre
Les évènements de risques doivent
être attribués aux « experts » métiers
internes les mieux à même de réaliser
l'évaluation et / ou la validation.
Si des Responsables Opérationnels, en charge de
processus multiples, se trouvent destinataires d'un grand nombre
d'évaluations, il est souhaitable de répartir les
évènements à évaluer entre des collaborateurs plus
spécialisés.
Une fois l'affectation des évènements de
risque réalisée, les collaborateurs en charge de 1 à N
évaluations sont individuellement responsables des travaux qui
leur ont été confiés et du respect des
échéances fixées.
Communiquer sur le processus
· Démarche de gestion des Risques
Opérationnels
· Objectifs de la cartographie
· Règles générales de mise en oeuvre
de la cartographie
· Calendrier
Transmettre la méthode d'évaluation des
risques et la connaissance de l'outil
· Diffusion de supports aux correspondants
· Animation de formations
La cotation des Evènements de Risques est
effectuée par les experts métiers, selon deux modes
d'organisation possibles :
· Le RRO participe à la cotation en
présence de l'expert.
· Le RRO envoie des ER à coter à l'expert
concerné, effectue un suivi, analyse la cotation produite.
La cotation d'un Evènement de Risque peut
être facilitée, par exemple par :
· L'examen de la cotation de l'ER dans la cartographie
précédente,
· La prise en compte des incidents qui se sont produits
sur l'ER concerné.
· La prise en compte d'incidents dans la base de pertes
externes
I- 1 SCHEMA PROPOSE PAR PHILIPPE DENIAU & ETIENNE
RENOU
Pour ces auteurs, un projet de cartographie peut, dans les
grandes lignes, s'articuler autour de quatre étapes :
· la définition des processus,
· le recensement des risques inhérents et des
contrôles associés,
· la définition des critères
d'évaluation des risques,
· et enfin la cotation des risques identifiés.
Etape 1 : cartographie des processus
Deux méthodologies peuvent être utilisées
pour cartographier les processus :
La première méthode consiste à dresser un
récapitulatif des différents risques opérationnels qui ont
touché les services de l'EMF et causé des pertes (analyse
Historique). Le but n'est pas de mesurer ou quantifier le risque mais de
déterminer les lignes de métier touchées, directement ou
indirectement, par un événement défavorable dans le
passé.
Ainsi les EMF auront suffisamment de couples
risque/métier pour pouvoir dresser une matrice risque/métier.
Cette méthode est utilisée, en général, par les
banques qui possèdent un historique de données relatif aux
différents événements.
La deuxième méthode consiste à faire
l'inventaire des différents facteurs du risque opérationnel
auxquels les métiers de la banque peuvent être exposés
(analyse prospective) à partir d'une revue des processus. Une typologie
des risques opérationnels est établie : procédures
inadaptées, risques métier, risques humains (probité,
compétence), risques externes (catastrophes, contraintes
réglementaires), risques technologiques. Puis il faut déterminer
les lignes de métier exposées aux risques
opérationnels.
Cette étape consiste à diviser les
différents processus élémentaires de la
EMF en sous-processus, voire d'affiner cette division en
dressant une liste des différentes fonctions au sein de chaque
département de la banque.
À chaque ligne de métier est alors
associé le risque qui peut l'affecter directement ou indirectement.
Afin de bien maîtriser les risques relatifs à
chaque activité, il est important de bien répertorier les
processus auxquels ils sont rattachés et de définir avec
précision les rôles et les responsabilités de chaque
intervenant interne ou externe dans ces processus. Cette cartographie devra
être complétée par l'identification des contrôles
liés aux flux d'un processus.
Etape II : Le recensement des risques et des
contrôles
L'objectif de cette phase est d'identifier et d'analyser les
événements de risque attachés à chaque processus
à partir de la cartographie établie lors de la phase
précédente.
Il sera important que les événements de risque
soient décrits de façon factuelle et que leurs causes et
conséquences soient analysées afin de permettre l'identification
des impacts (financiers, de réputation...) en fonction des
conséquences et par suite l'élaboration des plans d'actions
à mettre en oeuvre en fonction des causes.
Dès lors, chaque événement de risque doit
pouvoir être rattaché à une cause de dysfonctionnement.
Bâle II propose quatre natures de causes qui doivent permettre de couvrir
l'ensemble des cas de figure.
Les systèmes d'information : défaillance
matérielle, bogue logiciel, obsolescence des technologies
(matériel, langages de programmation...) ;
Les processus (saisies erronées, non respect des
procédures...) les personnes (compétences, formation,
absentéisme, fraude, mouvements sociaux... mais aussi capacité de
l'entreprise à assurer la relève sur les postes clés).
Etape III : La définition des
critères d'évaluation
L'évaluation des risques nécessite la
définition d'un barème qui permette d'objectiver et
d'homogénéiser l'appréciation qui en est faite. Seule la
définition d'une échelle commune à l'ensemble des
directions pourra permettre d'obtenir des résultats cohérents et
exploitables. Dès lors, l'évaluation des risques peut être
effectuée selon une notation chiffrée pour laquelle il conviendra
de fixer les règles.
Les risques identifiés sont évalués en
fonction de leur probabilité de survenance et de l'étendue de
l'impact du sinistre au cas où ils se concrétiseraient (risque
brut).
Etape IV : La cotation des risques
Malgré toute l'attention portée à la
détermination des critères qui vont permettre une harmonisation
des cotations, l'exercice pourra toutefois conserver une dimension subjective
qui pourra être limitée par la confrontation de l'avis de
plusieurs experts. La combinaison des expériences permettra, en effet,
de cerner une réalité souvent difficile à
appréhender.
| 
