par Chandara Ok | 19 Oct 2021 | Méthodes et outils de Conformité 👉 Site
Réaliser une cartographie unique recouvrant l’ensemble des risques opérationnels est une stratégie tentante par son approche globale mais qui trouve vite ses limites. Il est le plus souvent nécessaire de constituer une cartographie spécifique par type de risque. Mais avant de décider de multiplier les cartographies, il faut s’assurer de pouvoir maintenir une cohérence d’ensemble, afin de pouvoir consolider tous les risques et disposer d’une vision transversale des enjeux. Cette démarche, bien que contraignante, permet de mettre à plat certaines règles méthodologiques, afin de les clarifier et in-fine améliorer la gestion des risques.
Si la cartographie des risques a un caractère obligatoire (Article 100 de l’Arrêté du 3/11/2014), elle constitue également un élément central du dispositif de contrôle interne dans la banque et l’assurance. En matérialisation le profil de risque, la cartographie sert à calibrer de nombreux outils en aval tels que les processus et procédures, les sécurités informatiques, le plan annuel de contrôle permanent N2, pour n’en citer que les principaux. Au fil des ans s’est développée une cartographie supplémentaire dédiée aux seuls risques de non-conformité : LCB-FT, protection de la clientèle, RGPD, Loi Sapin 2 … Elle a d’abord été élaborée sous l’intitulé « risques opérationnels » (ou parfois uniquement « risques ») à caractère universel. Cette 2ème cartographie des risques est-elle indispensable ? Même si l’importance de cette famille de risques est indiscutable, justifie-t-elle pour autant la création d’un support supplémentaire, source potentielle de divergence des méthodes et de difficultés ultérieures ? De nombreux arguments plaident pour une cartographie des risques spécifique pour la non-conformité, y compris pour les établissements de taille moyenne :
Une meilleure lisibilité face à des volumes importants : à partir d’un certain stade, il devient difficile de réunir dans un seul support un grand nombre de risques ou d’évènements de risque, pour un établissement ou un groupe.
Une plus grande clarté d’analyse : les natures de risque sont en effet très variées et pas toujours comparables. Les risques opérationnels, au sens du Comité de Bâle, regroupe ainsi pêle-mêle les risques d’erreur, les risques juridiques, de fraude, climatiques, de déficit de surveillance, de non-conformité …
Une évaluation spécifique du risque : le calcul selon le principe de la fréquence et de l’impact n’a pas de sens pour la non-conformité comme nous le verrons plus loin.
Un meilleur partage de responsabilité pour les fonctions clés : un support unique suppose en effet que plusieurs fonctions clés se partagent la responsabilité du pilotage des risques, au gré des pages de la cartographie.Une organisation claire voudrait que chaque fonction clé dispose d’une cartographie pour son propre périmètre de risque. D’ailleurs, en dehors de la fonction « Gestion des risques et de la Conformité », d’autres responsables peuvent en exprimer le besoin : RCSI (Responsable de la Conformité des Services d’Investissement), DPO (Délégué à la Protection des Données), RSSI (Responsable de la Conformité des Systèmes Informatiques) …
Une méthodologie de construction adaptée aux risques de non-conformité : une cartographie pour les risques opérationnels « purs » suit généralement un déroulement linéaire selon le processus métier.On essaie alors d’identifier les risques par étape de gestion (risques d’erreur, de fraude …).L’élaboration d’une cartographie des risques de non-conformité est plus complexe car on cherche à contrôler si l’activité dans son ensemble est conforme ou non à une règle. De ce fait, on peut être amené à analyser plusieurs processus métier différents pour estimer si la contrainte est respectée (respect de la Loi Eckert par exemple).
Pour ces raisons, il est préférable de séparer les cartographies lorsque les logiques de profilage des risques sont différentes. On observe même, ici et là, l’élaboration d’une ou deux autres cartographies supplémentaires portant généralement sur le système d’information (S.I.) et sa sécurité. Ces risques croissants méritent en effet toute notre attention et devraient être les prochains chantiers en termes de cartographie. La coexistence de plusieurs cartographies des risques dans un même établissement contribue à une meilleure vision des risques, si elle a été pensée ainsi dès le départ.
La réponse est oui. Pour quantifier le risque, on utilise en principe une seule référence : l’étalon monétaire (le risque mesuré en K€). Le principe est compréhensible dans la mesure où il est important d’arriver à la fois :
à mesurer le niveau d’impact subi par l’entreprise lors de la survenance d’un risque : par exemple, une fraude informatique ayant un impact direct de 25 K€ (montant du détournement) et indirect de 50 K€ (comprenant la correction pour corriger la faille de paramétrage informatique)
à assurer une comparabilité entre différents évènements ou natures de risque.
Cette méthode est assez bien adaptée pour les risques potentiels liés à la survenance d’un évènement concret : incident technique ou opérationnel, fraude, évènements externes … En matière de non-conformité néanmoins, l’impact monétaire n’est généralement pas la mesure adaptée.
Il s’agit d’une situation dans laquelle une offre de service ou de gestion de l’établissement ne produit pas un résultat conforme : par rapport aux lois et règlements, aux attentes du superviseur mais aussi aux règles déontologiques, aux bonnes pratiques de place et aux décisions structurantes de la gouvernance. Ces situations non conformes sont un état de fait et peuvent être soulevées à tout moment par les pouvoirs publics, par un client ou tout autre tiers.
Une situation constatée de non-conformité peut conduire à :
Il existe bien une conséquence pécuniaire directement évaluable en euros lorsqu’il faut payer une amende ou une condamnation mais l’impact global est bien plus large. Il est très difficilement mesurable et peut même déboucher, dans le pire des cas, sur une interdiction d’exercer. Ainsi, l’option consistant à retenir le montant d’une amende de l’ACPR pour mesurer l’impact d’une non-conformité n’est pas pertinente, ce pour deux raisons :
même sans sanction, il y a toujours, après un contrôle sur place par l’Autorité, des obligations d’actions correctives signifiées dans une lettre de suite engendrant des coûts parfois très élevés.
le paiement d’une amende disciplinaire, c’est-à-dire en accompagnement d’une sanction prononcée par la Commission des Sanctions pour une non-conformité grave, ne constitue pas un solde de tout compte. Il faudra en effet engager également des actions correctives probablement assez conséquentes. On peut estimer raisonnablement que pour chaque euro d’amende, il faut prévoir plusieurs fois cette somme en chantiers divers.
Une telle grille pourrait par exemple présenter la forme ci-dessous : Source : Chandara OK pour l’ESBanque A chaque niveau d’intensité du risque correspond un scénario d’impact clair et compréhensible pour les dirigeants comme pour les responsables métier. On peut lire clairement l’impact auquel on s’expose pour chaque qualification du risque et l’adapter à chaque établissement selon sa sensibilité aux risques.
La fonction clé Conformité en tant que pilote en second niveau des risques de non-conformité devient un troisième acteur, demandeur et premier utilisateur de cette cartographie. Source : Chandara OK pour l’ESBanque Le pôle Risques Opérationnels de la fonction Risques (RisquesRO), pilote habituel, laisse donc la conduite de la cartographie à la Conformité mais garde un rôle important de « gardien » de la méthodologie : à lui de bien formaliser au préalable le mode opératoire et de valider régulièrement les options, prises par la Conformité et les métiers, pourront être facilement retraitées en vue de la consolidation. Cet exercice de cartographie réunit donc sur une période assez longue, trois fonctions, Conformité, Risques et Métiers, autour des thèmes communs de risque ou de contrôle. C’est également l’opportunité de « casser » la vision habituelle en silo, de mieux comprendre les univers mutuels et de partager, à chaque fois que possible, une approche commune de la gestion des risques. Cette transversalité est aussi nécessaire pour les 2 fonctions clés, Conformité et Risques, qui ne communiquent pas toujours suffisamment entre elles.
L’élaboration de cartographie spécifique par type de risque ne saurait suffire et une consolidation est indispensable**.** Il est alors nécessaire de définir un critère de regroupement.
Les cartographies individuelles sont destinées aux fonctions clés pour piloter les risques dont elles ont la charge en lien avec les métiers, qui de leur côté les gèrent au quotidien. Elles sont généralement assez granulaires et précises. Il est également nécessaire de pouvoir consolider tous les risques de toutes les cartographies afin d’en tirer les messages clés à destination des décideurs (dirigeants effectifs, organe de surveillance et maison-mère …), ainsi que pour l’élaboration des rapports annuels réglementaires. Source : Chandara OK pour l’ESBanque
La cartographie des risques opérationnels utilise l’étalon monétaire pour mesurer l’intensité du risque. La cartographie des risques de non-conformité s’appuie sur des scénarii d’impact à partir de niveaux de sanctions ou de perte de réputation. Comment concilier ces 2 critères ? Il existe pour cela une notion commune à caractère transversal : le principe de l’appétence aux risques telle que prévue par Bâle III (pilier 3) et attendue par le superviseur bancaire. Il s’agit du niveau et du type de risques que l’établissement peut et souhaite assumer, dans ses expositions et ses activités, par rapport aux contraintes réglementaires et compte tenu de ses objectifs stratégiques. Si cette appétence aux risques n’a été fixée que pour les risques de nature financière (crédit, marché, liquidité, ALM (Asset Liabilities Management)), il faut l’étendre aux risques opérationnels et de non-conformité. Cette appétence aux risques (ou niveau(x) d’acceptation des risques) est fixée par les instances dirigeantes et peut être matérialisée sous forme d’un tableau comme dans cet exemple : Source : Chandara OK pour l’ESBanque La gradation en couleur exprime l’échelle de l’appétence aux risques, quelle qu’en soit la nature. Il s’agit ensuite de l’appliquer aux grilles de cotation des risques par nature. Le tableau ci-dessous donne une illustration appliquée aux risques de non-conformité. Par exemple, un contrôle sur place de l’ACPR débouchant sur une lettre de suite avec mise en demeure ou une situation proche d’une sanction n’est pas acceptable (rouge : « au-delà du seuil de tolérance »). Source : Chandara OK pour l’ESBanque Le même exercice est effectué pour les risques opérationnels. Dans l’exemple ci-dessous, un scénario d’incident avec un impact à + 5 M€, même avec une fréquence faible, est apprécié comme « rouge » également, donc au-delà du niveau d’acceptation. Source : Chandara OK pour l’ESBanque Une fois ces grilles de cotation qualifiées par rapport à l’appétence aux risques, il faudra bien entendu les faire valider par les deux niveaux d’instance dirigeante, ce qui pourra donner lieu à un déplacement de l’échelle de couleur. Une fois validés, les « codes couleurs » selon l’appétence servent ainsi de passerelle entre les risques provenant de la cartographie des risques opérationnels et ceux provenant de la cartographie des risques de non-conformité. Il est alors possible de produire un document consolidé : Source : Chandara OK pour l’ESBanque Il est donc indispensable d’utiliser des critères spécifiquement adaptés à chaque catégorie de risque et réaliser ensuite le lien par les critères d’appétence aux risques.
On constate souvent un manque d’intérêt des collaborateurs de la Conformité pour la démarche de cartographie des risques et ceci notamment lorsqu’elle ne porte que sur les risques opérationnels. Ils n’adhérent pas nécessairement à la méthodologie ou n’y ont pas participé. La mise en place d’une cartographie des risques de non-conformité, selon une approche concertée, nécessite quant à elle un travail d’harmonisation entre les fonctions Risques et Conformité d’une part et avec les métiers d’autre part. On peut alors profiter de cette occasion pour aller encore plus loin, afin d’obtenir une convergence plus importante des méthodes, y compris sur d’autres aspects du contrôle interne. Plusieurs notions structurantes sont examinées lors des différents travaux entre les trois fonctions, principalement :
Les processus opérationnels métier, encore rarement formalisés, sont fréquemment utilisés comme axe d’analyse dans le déroulement d’une cartographie. Sa matérialisation contribue à la connaissance collective des modes de gestion de l’établissement. Le mouvement engagé lors de l’exercice de cartographie peut se poursuivre par un véritable chantier de formalisation des processus métier, première étape indispensable à tout projet d’évolution, notamment de transformation numérique. La finalité d’un exercice de cartographie est d’estimer les risques. La mise à jour de la méthodologie de valorisation, afin d’intégrer les risques de non-conformité, favorise l’ancrage des fonctions clés et des métiers dans une règle d’appréciation commune et normalisée des risques. Elle amène aussi la fonction Conformité vers un pilotage plus structuré de ses risques. Enfin, l’examen de l’environnement de contrôle DMR est l’occasion d’identifier globalement les composants qui contribuent à la sécurisation des opérations. L’estimation collective de son efficacité favorise l’appropriation du contrôle permanent de 1er niveau par les métiers et permettent de mieux préparer les contrôles ultérieurs de niveau 2. C’est aussi un tremplin pour engager un véritable chantier d’harmonisation de toutes les règles de cotation et notation utilisées par les fonctions clés de second niveau et même, pourquoi pas le contrôle périodique de 3ème niveau. L’un des bénéfices visibles et attendus de ces harmonisations méthodologiques est un lien plus évident et assumé entre cartographie des risques et plan de contrôle permanent de 2nd niveau, mais il y en a beaucoup d’autres. Les établissements ne doivent donc pas hésiter à quitter la règle de la cartographie des risques unique : celle-ci arrive vite à saturation. Chaque type de risque comporte ses spécificités et nécessite des outils adaptés. L’élaboration d’une cartographie distincte pour les risques de non-conformité est l’occasion de décloisonner cette démarche, favorisant ainsi une meilleure appropriation de l’exercice par tous. Elle permet aussi de poser les premières pierres d’un partage méthodologique plus poussé entre les fonctions clés de Conformité et Risques, et également avec d’autres. Cette convergence permet de clarifier et donc favoriser la compréhension des risques par tous les décideurs. Enfin, la consolidation des risques de natures différentes nécessite de faire appel à la notion d’appétence aux risques, principe dont l’utilisation est souvent limitée aux risques de nature financière. Auteur Chandara Ok Conseil en gouvernance et maîtrise des risques, Intervenant-formateur pour le Cycle Expert Conformité de L’ESBanque
Sources
* Article 100 de l’Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque
* Article 101 de l’Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque
* Article 102 de l’Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque
* Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite Loi Sapin 2
* Loi n°2016-617 du 13 juin 2014 relative aux comptes bancaires inactifs et aux contrats d’assurance-vie en déshérence, dite Loi Eckert
p/o Virginie Gastine Menou RISQUES ET VOUS ✍🏼 Proposer une offre de job : 💈 Consulter les offres qui vous correspondent :
Inscrivez-vous et accèdez à l’ensemble de l’actualité GRACES.Community.