La cartographie des risques, outil d'amélioration des performances des SFD (Système Financier Décentralisé) : cas de PAMECAS (Partenariat pour la mobilisation de l'épargne et le crédit au Sénégal).

2.1 Démarche d'élaboration d'une cartographie des risques

La conception d'une cartographie des risques constitue la première étape, absolument cruciale, dans l'identification des vulnérabilités, donc dans l'estimation des risques, au sein d'une IMF. Son exploitation est une phase-clé, à la fois pour la planification des missions d'Audit interne, mais aussi pour que le Manager puisse en faire un outil de gestion de l'entreprise.

Plusieurs étapes sont à parcourir afin d'aboutir à la conception d'une cartographie des risques. Etape 1 : Découpage de l'activité par ligne de métier selon les critères du régulateur.

Etape 2 : Décomposer chaque ligne de métier en processus : Un processus métier désigne un ensemble de tâches coordonnées en vue de fournir un produit ou un service à la clientèle.et le manuel de procédure représente un outil intéressant pour cette phase.

Etape3 : A chaque étape du processus on associe ensuite les incidents susceptibles d'en perturber le déroulement et d'entraîner la non réalisation des objectifs du processus (en termes de résultat concret, ou en termes de délais).

Etape 4 : Pour chaque événement le risque est évalué en terme de :

· Probabilité d'occurrence

· Perte encourue en cas de réalisation.

Etape 5 : Construire une matrice de risque : il s'agit d'un graphe à deux dimensions, la sévérité et la fréquence. La matrice est divisée en zones selon le niveau de risque et la nécessité des contrôles (couverture).

31

LA CARTOGRAPHIE DES RISQUES, OUTIL D'AMELIORATION DES PERFORMANCES DES SFD : CAS DE PAMECAS

En fait le recueil, la formulation, et la qualification des risques opérationnels en vue de la cartographie est un processus « bottom-up ».

Cette cartographie s'appuie sur une analyse des processus métier à laquelle on croise la typologie des risques opérationnels.

Chaque événement à risque doit être rattaché à une catégorie de risques rendant ensuite l'analyse des données plus facile et rapide, et sur le plan organisationnel à la ligne métier où l'incident a eu lieu.

La collecte des données d'incidents est un point clé de l'organisation de la gestion des risques et il convient de mettre en place des canaux de communications facilitant la remontée des informations venant de toutes les entités (Directions centrales, services et unités de base) ; puis centraliser toute l'information afin de constituer une base de données unique des incidents.

2.2. Constitution d'une base de données :

Pour légitimer l'emploi des méthodes standards ou avancé, l'IMF devra être dotée d'un dispositif de collectes des incidents accessible par toutes les entités et la conception d'une base de données dédiée pour stocker les incidents et en vue de posséder les 3 ans d'historique de pertes requis par le régulateur et qui doit être actualisé d'une manière permanente.

La collecte des événements de pertes s'appuie sur un recensement des incidents antérieurs. Elle permet par ailleurs, par un effet rétroactif, de peaufiner cette cartographie.

En effet, les risques opérationnels sont par nature diffus et existent dans chaque service, chaque entité et à tout niveau organisationnel de l'IMF. La formulation et la centralisation des risques opérationnels par processus métier imposent donc de faire appel aux lignes de reporting préexistantes et tenter de regrouper celles-ci dans un système cohérent et standardisé.

Cette option de collecte de données peut être la plus aisée à mettre en oeuvre. Ainsi chaque entité spécialisée dans la gestion d'un type de risque en assure aussi le reporting des pertes. En voici quelques exemples :

Sécurité informatique : la cellule de maintenance et de sécurité informatique est chargée de rapporter l'ensemble des incidents, pannes informatique, attaques du système ayant eu lieu au sein de l'organisation et engendrer un impact négatif, préjudiciable à l'IMF ou un manque à gagner clairement identifiable.

Erreur administrative et comptabilisation erronée : le département de comptabilité évalue toute perte diverse venant d'erreurs de comptabilisation, de traitement et de manipulation involontaire dans un compte spécifique de pertes et profits. Cela vaut pour toutes les écritures comptables non accompagnées d'une pièce justificative. Le département de comptabilité constitue un allié objectif et une aide précieuse pour les gestionnaires des risques opérationnel.

32

LA CARTOGRAPHIE DES RISQUES, OUTIL D'AMELIORATION DES PERFORMANCES DES SFD : CAS DE PAMECAS

Fraude interne ou externe : que se soit l'Audit interne, ou l'inspection ; chaque IMF possède un service spécifiquement dédié à la traque de fraudes internes, les irrégularités du personnel, les fraudes externes, tentatives de vols et de détournement de fonds.

Les pertes, dédommagements, les coûts divers encourus par l'IMF pour des raisons d'infraction à la législation sont recensées à la comptabilité mais aussi au service juridique.

On constate qu'il existe plusieurs lignes de reporting, fonctionnelle, hiérarchique, comptable et on veillera à éviter les doubles comptages en attribuant à chaque incident un code unique d'identification.

Il faut rappeler que les pertes à intégrer dans la base de données des incidents (centrale des risques) sont les pertes réelles, affectant le compte de résultats, et non les pertes potentielles ou manque à gagner et que la majorité des structures utilise un seuil en dessous duquel elle ne collecte pas les pertes opérationnelles car l'insignifiance des montants ne vaut pas la perte de temps et d'argent pour la collecte de l'événement en question.

De telles bases, alimentées sur plusieurs années consécutives, deviennent une source précieuse d'informations pour le management des risques opérationnels. Ces données permettent de dégager une vision objective, chiffrée, des risques encourus, à condition bien sûr d'avoir été constituées d'une manière fiable et réaliste.

L'utilisation des seules données internes est insuffisante pour modéliser l'ensemble de la distribution, les grands événements, rare ou catastrophique, n'y sont pas forcément représentés. Dés lors, l'inclusion de pertes externe venant d'autres établissements s'avère indispensable. D'où l'existence également des bases de données provenant de sources externes est utile, toutefois ces données nécessitent un effort d'interprétation et d'adaptation à la situation propre de l'établissement et se pose la délicate question du choix des pertes à intégrer.

Les deux ingrédients interne et externe sont des données « objectives » utilisées principalement pour le développement d'une méthodologie statistique dont le but est de dériver une distribution de pertes agrégées annuelles.

L'analyse de scénarios et environnement opérationnel de l'institution sont deux éléments plus « subjectifs ». Les scénarios offrent notamment la possibilité de compléter le modèle statistique. Les divers outils de contrôle de l'environnement opérationnel (indicateurs de risque ou de performance) doivent permettre à la structure de développer une approche plus qualitative.

Donc par une combinaison de ces quatre éléments on peut arriver à une vision complète et dynamique du profil de risque opérationnel.