41 0 1MB
CARTOGRAPHIE DES RISQUES ET CONTROLE PERMANENT
1
SOMMAIRE PREMIERE PARTIE : NOTIONS SUR LES RISQUES : DEFINITION, ENVIRONNEMENT NORMATIF, NORME ISO 31000
I.
Les risques dans l’activité des entreprises………………………………………..P3
II.
L’environnement
normatif
D67des
activités
bancaires………………………………..P4 II.1. International………………………………………………………………………….P4 II.2. UMOA……………………………………………………………………………….P6 III.
Typologie des risques bancaires………………………….....................................P8
DEUXIEME PARTIE : LA CARTOGRAPHIE DES RISQUES I.
Réalisation de la cartographie des processus……………………………………P12
I.1. Objectifs de la cartographie des processus………………………………………...P13 I.2. Avantages de la cartographie des processus…………………..................................P13 I.3. Définition du périmètre……………………………………………………………..P13 I.4. Description des processus…………………………………………………………..P13 II.
Identification
des
risques………………………………………………………...P15 II.1.
Les
approches
d’identification
des
risques………………………………………….P15 III.
Evaluation
des
risques…………………………………………………………...P17 III.1. Mesure des risques………………………………………………………………… P17 III.2. Analyse des risques………………………………………………………………..P17 III.3.
Evaluation
de
la
probabilité
de
survenance
des
risques……….................................P18
2
IV.
Identification et évaluation des contrôles existants permettant d’évaluer le contrôle interne…………………………………………………………………………...P21
V.
Formalisation de la carte des risques……………………………………………P25
VI.
Exploitation de la matrice des risques……………………..................................P27
VI.1. Phase 6: Plan d’audit………………………………………...................................P27 VII.
Les
lignes
de
défense…………………………………………………………….P35
Première partie : Notions sur les risques : Définition, environnement normatif, norme ISO31000
Introduction : Pendant longtemps, le risque redouté par le banquier est celui du non remboursement du crédit. Son énergie était tournée vers la sécurisation de la gestion de la fonction crédit. En dehors du crédit, des phénomènes se sont développés progressivement dans l’environnement de la banque (suscitant de nouvelles sources ou formes de risque) parmi lesquels :
L’extension de l’activité des banques à de nouveaux métiers(marchés financiers…) et produits digitaux ;
La mondialisation des économies (notamment des investissements, du commerce et des transactions financières) ;
Les systèmes d’information : les dysfonctionnements des systèmes ou la concentration de la gestion de la fonction informatique entre les mains d’une poignée d’experts ;
L’émergence de groupes bancaires transfrontaliers ;
La protection des données personnelles à caractère personnelle ;
Le développement du phénomène de la corruption (dans pratiquement toutes les économies du monde) ;
Le phénomène de l’évasion fiscale et le développement des places offshore ;
Le développement du terrorisme (passant d’actes localisés à l’émergence d’organisations structurées) et du blanchiment des capitaux d’origine illicite ;
Les embargos décidés par la communauté internationale et/ou les sanctions (internationales) édictées par les Etats-Unis à l’endroit des entités tierces entretenant
3
des relations économiques et commerciales avec certains pays (Iran, Corée du Nord…) ;
I.
La montée en puissance des préoccupations relatives à la prise en compte des dimensions environnement, genre, travail des enfants, RSE … (risque lié au financement par la banque d’entreprises ou d’activités ne respectant pas une certaine éthique).
Les risques dans l’activité des entreprises La raison d’être d’une banque est de prendre des risques et de mettre en place les moyens de protection nécessaires. Néanmoins, les dernières crises financières et les cas de faillites ou de quasi-faillites de certaines banques ont clairement montré l’ampleur des risques menaçant l’activité bancaire. Quel que soit l’activité exercée par la banque, celle-ci doit donc faire face à plusieurs risques. La banque, par exemple, se rémunère sur les prêts qu’elle fournit à ses clients et elle y intègre une prime de risque considérant qu’une portion limitée de clients ne la remboursera pas. Il s’agit donc d’un risque accepté que l’on va chercher à encadrer pour éviter toute dérive. A l’inverse, certaines de ses activités peuvent l’exposer à des risques qu’elle ne souhaite pas, par exemple la fraude, et qui pourtant existent, du fait même de son activité. Il s’agit ici de risques subis.
Définition du risque Le risque est une exposition à un danger potentiel, inhérent à une situation ou une activité, ce danger bien identifié est associé à un événement ou une série d’événements, parfaitement descriptibles, dont on ne sait pas s’ils se produiront mais dont on sait qu’ils sont susceptibles de se produire. Le risque c’est tout événement, comportement ou situation susceptible de provoquer un dommage non négligeable à l’organisation et/ou susceptible de l’empêcher de réaliser ses objectifs, de maximiser ses performances ou de saisir une opportunité. Le risque est un évènement (externe ou interne) résultant d’une action ou d’une inaction ou d’une opportunité susceptible de se produire et qui soit de nature à avoir un impact surtout négatif sur la réalisation des objectifs d’une entité.
II.
L’environnement normatifdes activités bancaires La sensibilité des banques à leur environnement de risques s’est accentuée au regard de : -
La sophistication, pour ne pas dire complexification, et la libéralisation du secteur économique et financier
-
La concentration des acteurs qui génère une volumétrie et des montants engagés toujours plus importants ; 4
-
L’internationalisation des activités, des techniques financières plus élaborées, la multiplication des interconnexions entre les acteurs et la dépendance aux systèmes d’information
-
Les dépendances des banques les unes aux autres, par leurs engagements réciproques ;
Afin d’assurer la pérennité du système économique et financier et le sauvegarder d’une crise systémique, le législateur et le régulateur ont dressé un cadre normatif destiné à prévenir ces risques.
II.1. International : II.1.1. Le comité de Bâle Créé en 1974 par les dix principaux pays industrialisés, le Comité de Bâle est chargé de renforcer la solidité du système financier mondial ainsi que l’efficacité du contrôle prudentiel et la coopération entre régulateurs bancaires. Il rassemble aujourd’hui les superviseurs de 28 pays ou juridictions (Afrique du Sud, Allemagne, Arabie Saoudite, Argentine, Australie, Belgique, Brésil, Canada, Chine, Corée du Sud, Espagne, États- Unis, France, Hong Kong, Inde, Indonésie, Italie, Japon, Luxembourg, Mexique, Pays-Bas, Royaume-Uni, Russie, Singapour, Suède, Suisse, Turquie, Union européenne). L’organe de gouvernance du Comité de Bâle est le groupe des gouverneurs de banque centrale et des responsables du contrôle bancaire. Le secrétariat du Comité est situé à la Banque des Règlements Internationaux à Bâle en Suisse. Les règles établies par le Comité de Bâle (appelées "standards" en anglais) définissent des exigences minimales que les banques et superviseurs doivent respecter. Le principal standard en vigueur élaboré par le Comité de Bâle est la réforme dite de "Bâle 3", qui complète à partir de 2010 la réforme de "Bâle 2". Derrière cette appellation unique, est regroupé tout un ensemble de règles élaborées et enrichies au fil du temps. Les standards du Comité de Bâle ne sont pas directement contraignants juridiquement. Néanmoins, les membres du Comité ont un engagement moral de les mettre en œuvre dans leur dispositif législatif et réglementaire. Au sein de l’UE, les standards du Comité de Bâle sont le plus souvent intégrés à la législation européenne (directives ou règlements). Le Comité de Bâle assure le suivi et l’évaluation de la mise en œuvre de ses standards par ses membres. Il a mis en place un programme dédié. Par ailleurs, le Comité de Bâle publie des "bonnes pratiques", qui rassemblent les meilleures pratiques internationales, encourageant ainsi les superviseurs et les banques à relever les différences avec les pratiques observées dans leur propre juridiction, de façon à identifier des possibilités d’améliorations. Le Comité de Bâle publie également des orientations ("guidelines") qui viennent compléter ses standards.
II.1.2. La norme internationale de gestion des risques ISO 31000
5
ISO 31000 désigne une famille de normes de gestion des risques codifiés par l'Organisation internationale de normalisation. Le but de la norme ISO 31000:2009 est de fournir des principes et des lignes directrices du management des risques ainsi que les processus de mise en œuvre au niveau stratégique et opérationnel. Elle ne vise pas à promouvoir l'uniformisation du management du risque au sein des organismes, mais plutôt à harmoniser la myriade d’approches, de standards et de méthodologies existantes en matière de management des risques. Au contraire, la norme ISO 31000, quoiqu'elle propose un référentiel unique, est adaptable et flexible. L'ISO 31000 n'est pas une norme certifiable. Il s’agit d'orientations utiles à l'élaboration et à la réalisation des programmes d'audit internes ou externes, ainsi qu'à l'évaluation des pratiques en matière de management du risque.
II.2. UMOA Le dispositif institutionnel de tutelle du système bancaire dans la zone UMOA comprend : Au plan régional : La Conférence des Chefs d’Etat et de Gouvernement :
Définit les grandes orientations de la politique de l’UMOA Décide de l’adhésion de nouveaux Etats membres, de l’exclusion d’un membre de l’UMOA, et prend acte du retrait d’un membre Fixe le siège de l’Institut d’émission commun Tranche toute question n’ayant pu trouver une solution par accord unanime du Conseil des Ministres de l’UMOA et que celui-ci soumet à sa décision
Le conseil des ministres (des finances) de l’UMOA La direction de l’Union Monétaire est assurée par le Conseil des Ministres de l’UMOA. Chacun des Etats membres est représenté au Conseil par deux Ministres et n’y dispose que d’une voix exprimée par son Ministre chargé des Finances. Le Conseil choisit l’un des Ministres chargés des Finances de l’UMOA pour présider ses travaux. La Commission Bancaire de l’Union Monétaire Ouest Africaine (UMOA) a été créée par une convention signée par les Ministres des Finances des Etats membres de l’UMOA le 24 avril 1990 à Ouagadougou, dans le but de "contribuer à assurer une surveillance uniforme et plus efficace de l’activité bancaire et une intégration de l’espace bancaire dans l’UMOA". 6
Elle procède ainsi de la volonté des Autorités de l’Union de confier le contrôle de l’activité bancaire à une structure communautaire à laquelle ont été dévolus, par les Etats, les pouvoirs nécessaires à l’exercice de ses attributions. En application de la Réforme Institutionnelle de l’UMOA et de la BCEAO, adoptée par la Conférence des Chefs d’Etat et de Gouvernement de l’Union le 20 janvier 2007, une nouvelle Convention régissant la Commission Bancaire de l’UMOA a été signée par les Ministres des Finances des Etats membres le 6 avril 2007 à Lomé. La Commission Bancaire exerce les pouvoirs qui lui sont attribués dans l’annexe à la Convention sur le territoire de chacun des Etats membres. Ces pouvoirs se rapportent notamment : À l’agrément et au retrait d’agrément des établissements de crédit Au contrôle des établissements de crédit et des systèmes financiers décentralisés Aux mesures administratives et sanctions disciplinaires à l’encontre des établissements assujettis ou des dirigeants responsables À la nomination d’administrateur provisoire ou de liquidateur d’établissement de crédit.
Le Conseil Régional de l'Epargne Publique et des Marchés Financiers (CREPMF) est un organe de l'Union Monétaire Ouest Africaine (UMOA). Il a été créé le 3 juillet 1996 par décision du Conseil des Ministres de l'UMOA, dans le cadre de la mise en place du marché financier régional dont il assure la tutelle. Il est chargé d’une mission générale de protection de l’épargne investie en valeurs mobilières et en tout autre placement donnant lieu à une procédure d’appel public à l’épargne dans l’ensemble des Etats membres de l’Union. Son siège est à Abidjan, en Côte d'Ivoire.
La Banque Centrale est investie des missions fondamentales suivantes :
Définir et mettre en œuvre la politique monétaire au sein de l’UMOA ; Veiller à la stabilité du système bancaire et financier de l’UMOA ; Promouvoir le bon fonctionnement et assurer la supervision et la sécurité des systèmes de paiement dans l’UMOA ; Mettre en œuvre la politique de change de l’UMOA dans les conditions arrêtées par le Conseil des Ministres ; Gérer les réserves officielles de change des Etats membres de l’UMOA.
Le secteur bancaire est ainsi régi par un large cadre réglementaire composé de directives, de lois et de décrets complétés par des instructions et des circulaires édictées par les autorités monétaires.
7
En côte d’ivoire l’ordonnance N° 2009-385 du 1er décembre 2009 portant réglementation bancaire constitue, entre autres, la base du contrôle des activités des établissements de crédit. Ces textes de base sont complétés par une série d’instructions et de circulaires définissant entre autres des normes de gestion (ratios prudentiels, conformité ...) que les établissements de crédit doivent respecter.
III.
PRINCIPES GENERAUX EN MATIERE DE GESTION DES RISQUES Typologie des risques bancaires Les risques bancaires peuvent être regroupés dans les grandes classes de risques suivantes: Le risque du crédit ; Le risque opérationnel Le risque du marché ; Risque de liquidité Les autres risques Typologie des risques: Risque de crédit : Le risque résultant de l’incertitude quant à la capacité ou la volonté des contreparties ou des clients de remplir leurs obligations. L’évènement risqué correspond au non-respect, par un client ou par une contrepartie, de ses obligations financières ou, d’une manière générale, à la détérioration de la qualité du crédit de cette contrepartie. Risque opérationnel: Le nouvel accord de Bâle définit les risques opérationnels « comme le risque de perte provenant de processus internes inadéquats ou défaillants, de personnes et système, ou d’événements externes ». Le Comité de Bâle a retenu une classification qui institue sept catégories d'évènements liés à ce risque : 1. Fraude interne : par exemple, informations inexactes sur les positions, falsifications, vol commis par un employé et délit d’initié d’un employé opérant pour son propre compte. 2. Fraude externe : par exemple, braquage, faux en écriture et dommages dus au piratage informatique. 8
3. Pratiques en matière d'emploi et sécurité sur le lieu de travail : par exemple, demandes d’indemnisation de travailleurs, violation des règles de santé et de sécurité des employés, activités syndicales, plaintes pour discrimination et responsabilité civile en général. 4. Clients, produits et pratiques commerciales : par exemple, violation de l’obligation fiduciaire, utilisation frauduleuse d’informations confidentielles sur la clientèle, opérations boursières malhonnêtes pour le compte de la banque, blanchiment d’argent et vente de produits non autorisés. 5. Dommages aux actifs corporels : par exemple, actes de terrorisme, vandalisme, séismes, incendies et inondations. 6. Dysfonctionnement de l'activité et des systèmes : par exemple, pannes de matériel et de logiciel informatiques, problèmes de télécommunications et pannes d’électricité. 7. Exécution, livraison et gestion des processus : par exemple, erreur d’enregistrement des données, défaillances dans la gestion des sûretés, lacunes dans la documentation juridique, erreur d’accès aux comptes de la clientèle et défaillances des fournisseurs ou conflits avec eux. Risque du marché: Il correspond à la baisse de la valeur du portefeuille d’actifs (obligation, action, …) détenu par la banque à la suite d’une évolution défavorable de la valeur des cours sur le marché, en d’autre terme ce risque provient de l’incertitude de gains résultant de changement dans les conditions du marché. Ce type de risque découle principalement de l’instabilité des paramètres du marché (taux d’intérêt, indices boursiers et taux de change), d’où l’effet des marchés volatils, de la libéralisation, et des nouvelles technologies sont accompagnés par un accroissement remarquable de risque de marché. Risque de liquidité: Ce type de risque désigne l’insuffisance de liquidité bancaire pour faire face aux besoins inattendus. En effet, ce risque peut conduire à la faillite de la banque suite à un mouvement de panique des déposants, qui peuvent demander leurs dépôts en même temps. Le recours aux retraits massifs des fonds par les épargnants, ainsi que leurs inquiétudes sur la solvabilité de l’établissement bancaire, peut aggraver la situation de cette dernière et entraîne ce qu’on appelle « une crise de liquidité brutale ». Autres risques
9
Risque de taux d’intérêt: C’est le risque que les taux de crédit ou des emprunts évoluent défavorablement. Ainsi l’emprunteur à taux variable est en risque de taux lorsque les taux augmentent car il payera le crédit plus cher. A l’inverse, le prêteur est en risque de taux lorsque les taux baissent car il perd des revenus. Une banque supporte un risque de hausse des taux si elle prête à un taux fixe et se refinance au taux variable et vice versa pour le cas de baisse des taux. De même toute évolution inattendue du taux d’intérêt peut influencer négativement sur l’activité bancaire, en affectant la crédibilité de la banque et provoquant des retraits des dépôts de la part des clients. Risque pays Si un pays connaît une crise très grave (guerre, révolution, faillite en cascade, etc.) alors même les entreprises de confiance, malgré leur crédibilité vont se retrouver en difficulté. C’est un risque de contrepartie lié à l’environnement de la contrepartie Risque de transfert : Le risque qu’un emprunteur, du fait de l’impossibilité de convertir la monnaie locale en devises, ne soit en mesure d’assurer le service de sa dette dans une monnaie étrangère. Ce risque résulte généralement de restrictions de change imposées par le gouvernement du pays de l’emprunteur. Risque de réputation : Le risque qu’une information négative sur les pratiques commerciales ou les relations de l’établissement, qu’elle soit fondée ou non, ait une incidence défavorable sur ses revenus, ses activités ou sa clientèle ou entraîne des litiges ou d’autres procédures juridiques onéreuses. Risque stratégique ; Le risque que les stratégies d’affaires de l’entreprise soient inefficaces, ne soient pas bien mises en œuvre ou adaptées aux changement touchant le contexte commercial
10
Deuxième partie : La cartographie des risques La cartographie des risques est un document permettant de recenser les principaux risques d’une organisation et de les présenter synthétiquement sous une forme hiérarchisée pour assurer une démarche globale d’évaluation et de gestion des risques. La cartographie des risques constitue un puissant outil de gestion et de pilotage de la performance si l’on associe à la cartographie des contrôles, la cartographie des processus. Afin de mieux articuler les principaux composants de ces cartographies dans un seul outil de pilotage cohérent et efficace, il est nécessaire de suivre les 4 étapes suivantes :
La définition de processus Le recensement de risques inhérents La définition de critères d’évaluation La cotation de risques
il est un outil incontournable dans la gestion des risques de l’entreprise. Il peut non seulement être demandé par les dirigeants mais aussi les actionnaires et certaines parties prenantes (banquiers, salariés…) Il peut également être le déclencheur pour réaliser un plan de continuité d’activ$
ité.
Objectifs de la cartographie des risques Il s’agit: 1. D’évaluer les risques identifiés en termes de connexité, d’importance et de probabilité ; 2. De calculer le score de chaque risque ; 3. De classer, de comparer et de hiérarchiser les risques entre eux; 4. De définir un plan d’action de management des risques en fonction des ressources disponibles; 5. D’en assurer le suivi ; 6. De communiquer les informations sur les risques de l’organisation aux dirigeants.
Utilité de la cartographie des risques La cartographie des risques sert de référentiel pour :
11
L’établissement des plans d’audit/contrôle (pilotage de la gestion des risques en identifiant les domaines d’actions prioritaires, programmation/rationalisation des missions d’audit, plan pluriannuel, plan annuel et planning annuel des missions). L’établissement de plans (stratégiques et opérationnels) de gestion globale de risques. L’allocation stratégique des ressources en fonction des risques prioritaires. La détermination des axes de communication interne et externe relative à la gestion des risques. Référentiel d’analyse permettant de choisir la démarche à adopter en matière de gestion des risques.
Elaboration de la cartographie des risques L’élaboration une cartographie des risques se décline par étapes : Recensement des principaux processus de l’entreprise ou à défaut de ses principales activités ; Analyse et recensement des principaux risques qui peuvent affecter ces processus ou ces activités ; Évaluation du risque brut, c’est à dire le risque tel qu’il existerait avant la mise en place de moyens et de solutions permettant de le réduire. L’évaluation se fait en déterminant la fréquence de survenance du risque et l’impact en cas de survenance. L’impact peut être de plusieurs natures : perte d’image, perte monétaire… Identification des solutions mises en place pour réduire le risque. Il faudra aussi les évaluer pour savoir s’ils permettent vraiment de réduire le risque et ce qu’ils permettent de réduire (l’impact ou la fréquence de survenance) ; Évaluation du risque net, c’est à dire du risque tel qu’il existe dans l’entreprise après la mise en place des moyens de contrôle. Synthétisons ce processus s étapes dans Les quatre (4) étapes classiques à suivre pour l’élaboration d’une cartographie des risques sont : Découper l’organisation en « ensembles homogènes » à cartographier et dégager les processus Identifier et analyser les risques bruts ou risques inhérents par processus Identifier et évaluer le contrôle interne Evaluer les risques résiduels (en fonction du contrôle interne)
II.
Réalisation de la cartographie des processus Une carte de processus est un outil de planification et de gestion qui décrit visuellement le flux de travail. Les cartes de processus montrent une série d'événements qui produisent un résultat final. Une carte de processus est aussi appelée organigramme, organigramme de processus, diagramme de processus, diagramme de processus fonctionnel, organigramme 12
fonctionnel, modèle de processus, diagramme de flux de travail, diagramme de flux d'affaires ou diagramme de flux de processus. Elle montre les personnes et les éléments impliqués dans un processus et peut être utilisée dans toute entreprise ou organisation pour révéler les zones d'un processus à améliorer.
II.1.Objectifs de la cartographie des processus L'objectif de la cartographie des processus est d'optimiser l'efficacité des entreprises et organisations. Les cartes des processus permettent d'analyser de manière approfondie des processus, aident les équipes à trouver de nouvelles idées pour leur amélioration, renforcent la communication et fournissent un outil de documentation. Une cartographie des processus permet d'identifier les goulots d'étranglement, les répétitions et les retards. Elle facilite la délimitation des processus, la définition de son propriétaire, l'attribution des responsabilités de chacun, et la mise en place de mesures d'optimisation de l'efficacité et d'outils de mesure des processus. II.2.Avantages de la cartographie des processus La cartographie des processus permet de mettre en lumière le gaspillage, de fluidifier les processus de travail et d'optimiser leur compréhension par chacun. Elle permet également de communiquer visuellement les détails importants d'un processus plutôt que de rédiger de longues instructions. II.3.Définir le périmètre: Toute l’entité (cartographie globale) ? quelques-uns de ses démembrements (cartographie sectorielle ou thématique) ? ou uniquement un projet pilote? Tous types de risques ou des risques spécifiques?
Constituer une équipe et préparer la mission de cartographie Désigner chef de mission + autres membres de l’équipe ; Mettre en place un comité de suivi ; Partager les termes de référence pour l’élaboration de la cartographie des risques avec l’équipe; Définir le rôle de chacun; Définir des objectifs; Préparer un planning détaillé de travail.
II.4. Description des processus Préparation de la description des processus.
13
Dresser la cartographie des ensembles homogènes ou univers d’audit Le découpage de l’organisation en ensembles homogènes ou univers d’audit peut être fait selon les différentes approches suivantes: II.4.1. Approche par les métiers ou structure: On découpe des sujets d’audit en fonction des grands métiers de l’entité : encaisser, décaisser, acheter, vendre, gérer, etc. C’est aussi une approche par les structures. Il s’agit de partir de l’organigramme de l’entreprise dont chaque case doit être auditée. II.4.2. Approche par les processus II.4.3. Le processus est un ensemble d’activités qui s’enchaînent pour un objectif à atteindre et qui se traduisent par un résultat. Dans toute organisation, l’on peut identifier: Les processus de réalisation ou métiers (ou opérationnels); Les processus de support (soutien technique); Les processus de pilotage (soutien administratif).
Une méthode efficace pour déterminer la définition de la cartographie des processus est de déterminer des macro-processus, puis de descendre dans les niveaux de détail en identifiant les processus principaux les composant. Les trois macro-processus de départ décrivent l’entreprise au travers de son environnement économique, de la définition des besoins de ses clients et enfin des services ou produits proposés ou commercialisés. On retient généralement le processus de réalisation, le processus de pilotage, et le processus de support. Le macro-processus de réalisation est déterminé par l’activité de l’entreprise, son cœur de métier. Il regroupe tout ce qui concerne la création de valeur à destination de ses clients. Le macro-processus de pilotage est nourri par l’ensemble des informations remontées par les autres processus. A partir de ces flux de données, il permet de réaliser une analyse fine dont pourront être tirées des directives destinées aux autres processus. Il s’agit donc d’un processus d’analyse et de décision. Le dernier macro-processus, celui de support, a pour objet de faire en sorte que l’ensemble des autres processus, et que l’entreprise en général, disposent de toutes les ressources nécessaires au bon fonctionnement de l’ensemble.
On part des processus (processus de gouvernance, processus métiers et processus supports, projets) : • Processus de production, • Processus des achats / ventes, 14
• Processus d’octroi de crédits, • Processus d’ouverture des comptes, • Processus d’intervention sur le marché financier; • Processus d’intervention sur le marché des capitaux, • Processus de la trésorerie, • Etc. Cette approche permet d’analyser les activités de l’organisation de façon transversale en passant d’un service à l’autre, de regarder le fonctionnement des interfaces et l’efficacité des processus de contrôle interne. Elle permet de mieux apprécier le contrôle interne dans sa globalité. Exemple de cartographie par processus
III.
Identification des risques Choix des techniques et des outils appropriées d’identification des risques.
15
III.1.
Les approches d’identification des risques
La démarche top-down Auditeurs, Risk managers
Opérationnels
La démarche bottom-up Opérationnels
Auditeurs, Risk managers
La démarche combinée Combinaison des deux premières démarches. III.1.1. 4. Approche par le benchmarking : Collecte des meilleures pratiques en matière de gestion des risques. Elle permet d’avoir une idée générale des risques à prendre en compte
III.2. Les techniques et outils d’identification des risques III.2.1. Les techniques d’identification des risques 1. Identification basée sur les actifs créateurs de valeurs. 2. Identification basée sur l’atteinte des objectifs/identification des risques par objectif (un risque peut empêcher l’atteinte des objectifs; ces derniers sont d’abord définis, avant de leur associer les menaces pesant sur eux). 3. Identification basée sur les check-lists: liste déjà préconçue qui énumère l’ensemble des risques possibles afin de voir si chaque risque concerne l’entité ou pas. 4. Identification par analyse historique: identification en se basant sur les risques opérationnels déjà survenus au sein de l’entité. 5. Identification basée sur l’analyse de l’environnement (menaces de l’environnement économique, technologique, culturel…). 6. Identification par analyse des activités: décomposition des processus en activités identification des risques associés (conséquences potentielles de la non/mauvaise exécution des tâches.
III.2.2. Les outils d’identification des risques Le questionnaire; L’entretien individuel ; L’entretien de groupe; 16
Le brainstorming; Les tableaux d’identification des risques.
Identification des risques Inventorier les risques (avec les outils retenus selon les techniques d’identification choisies). En faire la synthèse. Eliminer les risques les moins pertinents et les redondances. Catégoriser éventuellement les risques. Codifier les risques à l’aide de code alphanumérique. Exemple : R01, R02… Valider et établir la liste finale des risques par processus.
Modèle de tableau d’identification des risques Tableau d’identification des risques Activités (ou étapes Risques ou problèmes principales)
Processus 1
IV.
Evaluation des risques
IV.1.
Mesure des risques
Le risque et ses conséquences sont mesurables selon deux dimensions : L’occurrence ou la probabilité de survenance du risque; 17
L’impact ou la conséquence du risque s’il se matérialise. IV.2.
Analyse des risques
IV.3.
Evaluation de la probabilité de survenance des risques.
Tâches 01 – Choisir les méthodes d’évaluation de la probabilité des risques. 02 – Choisir l’échelle d’évaluation de la probabilité
Méthodes d’évaluation de la probabilité Méthode quantitative d’analyse des risques. Méthode qualitative d’analyse des risques. Méthode combinée (qualitative et quantitative).
IV.3.1. Méthode quantitative C’est une méthode basée sur le calcul d’un agrégat (PNB, CA,…)
Exemple d’éc
helle 18
Positionner la probabilité calculée sur une échelle préalablement choisie.
IV.3.2. Méthode qualitative L’évaluation qualitative (plus subjective) sur la base de la vulnérabilité du processus au risque considéré. Cette méthode se base sur une évaluation préalable du contrôle interne.
Exemple d’évaluationet cotation des risques bruts identifiés
L’évaluation des risques repose sur deux paramètres : Impact et Occurrence
19
20
21
V.
Identification et évaluation des contrôles existants permettant d’évaluer le contrôle interne Il existe plusieurs types de contrôles : -
Contrôles préventifs: visant à réduire la probabilité de survenance du risque, ils agissent sur les causes de ce dernier. Agissent plus sur la probabilité.
-
Contrôles défectifs: permettent d’alerter et d’agir sur le risque lors de sa manifestation. Agissent sur la probabilité et/ou l’impact.
-
Contrôles correctifs: ont pour objectif la réduction des conséquences du risque. Agissent plus sur l’impact.
Autres critères d’évaluation du contrôle interne Efficacité: capacité du dispositif à jouer pleinement son rôle et à atteindre les résultats pour lesquels il est mis en œuvre. Pertinence: utilité du dispositif. Fiabilité: capacité du dispositif à fonctionner correctement de façon permanente. Qualité de la conception et de la mise en œuvre. Efficience: coût/résultats/délais d’obtention des résultats.
Evaluation qualitative de la probabilité par l’évaluation du contrôle interne Organiser un brainstorming (idéalement avec les opérationnels). Retenir une ou plusieurs méthodes de classement de la qualité du contrôle de chaque risque sur l’échelle retenue. Les méthodes de classement peuvent être : o Le critère unique (exemple : efficacité); o Le vote majoritaire; o Les catégories majeures (exemple : risques inacceptables, risques tolérés); o Les critères multiples (pertinence, efficacité, qualité, fiabilité, efficience…).
La probabilité des risques est déduite de l’appréciation des forces et faiblesses du dispositif de contrôle interne de l’entité. L’évaluation qualitative de la probabilité est inversement liée à la qualité du contrôle interne. 22
Evaluation de la probabilité selon la méthode qualitative
La colonne 1 regroupe les activités de l’entité mises en œuvre dans le cadre du processus et visant à atteindre ses objectifs. La colonne 2 porte sur l’identification des risques qui découlent des activités inscrites à la colonne 1. Ces deux premières colonnes ont été remplies à la phase d’identification des risques. La colonne 3 identifie les risques par activité La colonne 4 identifie les causes par risque La colonne 5 les mesures prises par l’entité (dispositifs de prévention, de détection et de correction) afin de faire face aux risques notés à la colonne 3. Ici, l’équipe n’indique pas seulement comment les risques sont gérés, mais aussi les éléments probants de ces activités (élaboration et mise en œuvre d’un manuel de procédures, achat et utilisation effective d’un détecteur de faux billets, etc…). Préalablement à ce travail, l’équipe doit faire un travail de recherche (revue de littérature ou brainstorming) pour identifier les meilleures pratiques de gestion de chacun des risques identifiés. La colonne 6 calcule, sur une échelle (par ex de 1 à 5), la probabilité de survenance de chaque risque au regard de la connaissance / maîtrise des causes et de la qualité du contrôle interne.
23
Exemple d’échelle
Méthode combinée d’évaluation de la probabilité Partir de la méthode qualitative. Ajouter à l’analyse les taux de survenance des risques. En déduire une appréciation globale.
Méthodes d’évaluation de l’impact Méthode quantitative d’analyse des risques. Méthode qualitative d’analyse des risques. Méthode combinée (qualitative et quantitative).
Méthode quantitative d’évaluation de l’impact Méthode basée sur l’estimation des pertes financières
24
Méthode qualitative d’évaluation de l’impact Porte sur l’analyse des impacts, en inventoriant les risques incidents (conséquences/impacts) sur les ressources humaines, sur l’image, sur les clients/partenaires et/ou sur les processus techniques. Pour ce faire, la méthode FICHP est préconisée.
Dimensions de l’impact Cinq dimensions d’impact de risques existent: 1. Impact Financier. 2. Impact sur l’Image. 3. Impact sur les Clients et partenaires 4. Impact Humain (impact sur les ressources humaines). 5. Impact sur les Processus
Méthode combinée d’évaluation de l’impact Porte sur l’analyse des impacts, en estimant les pertes financières et en appréciant les risques incidents (conséquences/impacts) sur les ressources humaines, sur l’image, sur les clients/partenaires et/ou sur les processus techniques. L’équipe peut recourir aux mêmes méthodes que dans l’évaluation qualitative de la probabilité, à savoir : Le critère unique (exemple : impact sur l’image); Le système de vote majoritaire; Les catégories majeures (exemple : impacts intolérables, impacts négligeables); Les critères multiples (impacts sur l’image, sur les ressources humaines, sur les ressources financières, sur les processus et sur les clients/partenaires). En général, c’est cette dernière méthode de classement qui est privilégiée dans l’évaluation qualitative. L’impact sur l’image est en général considéré comme critique (4/5) ou catastrophique (5/5).
25
VI.
Formalisation de la carte des risques Etape 1 – Hiérarchisation des risques.
Hiérarchiser les risques suivant leurs probabilités Hiérarchiser les risques suivant leurs impacts Calculer la criticité Hiérarchiser les risques suivant leurs criticités
Etape 2 – Formalisation de la carte des risques
Etablissement de la matrice
Matrice des risques: image des risques de l’organisation à un moment donné. C’est la matérialisation de la hiérarchisation des risques résiduels. Jeu de couleurs pour mettre en exergue les risques critiques. Cartographie des risques = une photo Gestion des risques = un film
Formalisation de la carte des risques Modèle 1
26
Modèle 2 Exemple de cartographie des risques
Reporting sur la cartographie des risques Ce rapport comprend 4 parties: Présentation générale de la démarche et de ses concepts. Analyse globale:
27
Analyse par type de risque Analyse (des risques majeurs) par score/criticité. Analyse du degré de couverture des risques opérationnels dans chaque métier/processus. Permet d’illustrer l’effet des C.I et des plans d’action sur chaque risque. Analyse individuelle par métier/processus: analyse des 5 risques résiduels les plus importants par métier/processus. Elle complète l’analyse globale. Annexes: typologie des risques, échelles de cotation, etc.
VII.
Exploitation de la matrice des risques Utilité de la carte des risques Utilisation de la matrice des risques dans la planification des missions de contrôle / audit; Utilisation de la matrice des risques pour élaborer des stratégies et des plans d’actions de gestion des risques.
VII.1.
Phase 6: Plan d’audit.
Le plan d’audit: définition Le plan d’audit permet d’assurer une planification du travail pour respecter l’esprit de rigueur et de méthode qui caractérisent l’audit interne. Il est établi à partir d’une cartographie des risques et permet ainsi de définir de façon efficace la stratégie d’audit. Le plan d’audit doit avoir un contenu exhaustif qui comporte tous les sujets susceptibles d’être audités. Cela nécessite une démarche étalée sur plusieurs années au cours desquelles on va successivement l’enrichir, le compléter et le mettre à jour.
Typologie Plan pluriannuel des missions. Plan annuel des missions. 28
VII.1.1. Fondements du plan d’audit interne Norme sur la planification: le responsable de l'audit doit établir une planification fondée sur les risques afin de définir des priorités cohérentes avec les objectifs de l'organisation.Pour ce faire, il prend en compte le système de management des risques défini au sein de l’organisation, il tient notamment compte de l’appétence pour le risque défini par la hiérarchie pour les différentes activités ou branches de l’organisation. Si ce système de management des risques n’existe pas, le responsable de l’audit interne doit se baser sur sa propre analyse des risques après consultation de la hiérarchie. Le plan d'audit interne doit s'appuyer sur une évaluation des risques documentée et réalisée au moins une fois par an. Les points de vue de la hiérarchie doivent être pris en compte dans ce processus.
VII.1.2.
Le plan d’audit: utilité
Comme tout document de planification, le plan d’audit constitue une référence pour les programmes annuels qu’il couvre et fait l’objet d’adaptation pour prendre en compte les préoccupations non prévues au départ. Il n’est pas figé et se montre, dans la pratique, suffisamment flexible pour laisser du temps à des missions d’audit imprévues. Le plan est un moyen indispensable pour l’efficacité d’une fonction d’audit/contrôle, car il permet la prise en compte de tous les types de risques. Sans plan d’audit, la fonction d’audit/contrôle attend tout de la hiérarchie, tâtonne sur les activités à mener et ne prend en compte que les risques matérialisés, alors qu’aujourd’hui, on demande à l’auditeur d’être proactif et d’aider l’organisation à éviter que le risque ne survienne.
VII.1.3.
Conception du plan d’audit
Principes et règles de gestion Les structures de contrôle jouissent d’une totale indépendance dans la programmation des missions. Les plans triennaux préparés par la direction de l’audit interne sont soumis à l’approbation de la hiérarchie (CA / DG). Ces plans ainsi que ceux des départements de l’entité (banque) sont consolidés et discutés lors d’un cadre de concertation. La direction de l’audit interne prend en compte les attentes de la gouvernance / pilotage (CA / DG) dans la programmation des missions. Les missions non programmées (ou missions « commandées » par les premiers responsables) n’excèdent pas 1/3 du total des missions. 29
Les missions de suivi des recommandations sont programmées au même titre que les missions de contrôle/audit. Les plans sont actualisés pour prendre en compte de nouveaux besoins, de nouveaux risques, de nouvelles informations...
Points abordés par le plan d’audit En général, le plan d’audit aborde les points suivants : a) Analyse globale des risques ; b) Recensement des activités et services devant faire l’objet d’audit ; c) Définition des types d’intervention ; d) Évaluation du budget des ressources humaines, temporelles et financières ; e) Élaboration d’un planning d’intervention. Le plan d’audit est soumis à l’approbation de la hiérarchie pour lui donner force exécutoire et le rendre fonctionnel.
Le plan d’audit: conception Dans le souci d’une large couverture du champ d’audit, le contenu du plan se fait en se basant sur les approches suivantes: Approche par les métiers; Approche par les fonctions; Approche par les thèmes; Approche par les processus. Actuellement, c’est la démarche d’appréciation des risques et l’étalement des missions qui est la plus utilisée pour l’élaboration du plan d’audit.
Le plan d ’audit: exemple Audits antérieurs Anné e
Temps passé (j)
2009
05
Coef.
Missions d’audit
2012
2013
2014
Processus à auditer
160
140
125
de risque
4
30
2010
70
4
Processus 1
40
30
30
2010
54
3
Processus 2
35
30
25
2009
38
2
Processus 3
30
25
25
2011
04
3
Processus 4
25
25
20
Processus 5
30
30
25
2011
02
3
Thèmes à auditer
10
10
5
2009
05
4
Contrats
35
40
35
Sécurité informatique 2011
66
4
Contrôles spécifiques
Perm.
Perm.
Perm.
2011
0
4
Caisse
12
12
12
20
20
20
Ponctualité des agents. 0
4
Audit de management
0
4
Direction 1 Direction 2
Exemple d’allocation du budget temps Types de missions
%
Missions de contrôle/audit programmées
40%
Missions de contrôle/audit non programmées
15%
Missions de contrôle/audit inopiné
5%
Missions de suivi de la mise en œuvre des recommandations
5%
Missions d’appui conseil
15%
Mission d’élaboration/mise à jour des cartographies des risques
10%
Formation et stages
5%
Administration et réunions (internes, externes)
5%
TOTAL
100%
31
Planning annuel des missions Procéder à la programmation mensuelle des missions, en élaborant un planning annuel des missions sous forme de diagramme de Gantt (voir annexe 3). Critères à prendre en compte : la disponibilité des ressources, humaines notamment; les compétences disponibles ; les missions conjointes (avec d’autres structures de contrôle); le risque de chevauchement des missions ; les périodes de formation ; les rencontres périodiques (exemple : cadre de concertation. Plan de mission Intervient dans la phase de préparation des missions d’audit. Voir annexe 5 et, pour plus de détail, la procédure de préparation des missions dans le processus de conduite des missions.
Phase 7: Gestion des risques.
32
Plan d’action de maîtrise des risques
Phase d’action identification des meilleures pratiques de gestion des risques 1. Benchmarking (comparaison aux meilleures pratiques nationales ou internationales) ( retenir à défaut les bonnes pratiques) ( voir apqc.org sur le net, les normes ISO,… le 33
questionnaire de contrôle interne: abondant pour le secteur privé mais peu pour le secteur public) (voir l’ABACI: Association burkinabé des auditeurs et contrôleurs internes, UFAI: union francophone des auditeurs internes) 2. Analyse documentaire ( ou dans internet) 3.
Conférences.
4. Formation...
Traitement des risques Les mesures à prendre sont fonction de: -
La position du risque résiduel sur la matrice.
-
Le niveau du risque cible.
Traitement des risques Quatre options de décision de gestion des risques: (les 4T) 1. Tolérer (ou rétention des risques): accepter les risques de niveau faible et qui offrent de grandes opportunités. (Méthode « 20, 80 »: quels sont les 20% de risques qui, lorsqu’ils sont traités, permettent d’avoir 80% d’impact) 2. Traiter (ou atténuer les risques): modifier les paramètres du risque (probabilité et/ou impact) afin de le prévenir ou de le réduire en cas de manifestation effective. 3. Terminer (ou éliminer le risque): éviter le risque non survenu ou éliminer celui survenu par des corrections. Transférer le risque par le biais de l’assurance (sociétés d ’assurance)
Modèle de plan d’action Plan d’Action (élaboré par les managers) Processus:
Production du journal télévisé
Risque identifié:
Retard dans la transmission de l’information
N ° Actions à mener Obje ctifs
Activités ou
Mo yen
Res pon sabl e des activ
Délai , pério de ou
Avancement Indic ateur de
Etat de mise 34
(pour maîtr iser le risqu e)
actions (Benchm arking, Analyse documen taire, internet, Conféren ces, Formatio n, …)
s à met tre en œu vre ités et date suivi de en œuvre de butoir l’objecti de l’objec (pour f l’action : tif atteind (nombr niveau de re e, l’indicate l’object ratios, ur)
Réso udre les probl èmes d’acc ès à Inter net
Reporting initial sur les risques Le reporting initial concerne la première remontée, à la haute hiérarchie, d’informations relatives aux risques résiduels et aux plans d’actions. Il présentera les tableaux d’évaluation des risques inhérents et résiduels ainsi que la matrice des risques. Les actions permettant de ramener le niveau de chaque risque résiduel au risque cible seront également mises en exergue. Il orientera les premières décisions en matière de gestion et sera relayé plus tard par un reporting périodique.
Reporting sur les risques
Réévaluer périodiquement les risques et l’efficacité des contrôles permettant de les gérer.
Elaborer des rapports concernant les résultats des processus de management des risques.
35
Evaluation de la mise en œuvre des plans d’actions Définir les indicateurs de suivi de la mise en œuvre et de l’efficacité des plans d’action. Évaluer l’efficacité des plans d’action sur la base de ces indicateurs. Identifier les erreurs d’application et redéfinir les stratégies et les actions de gestion des risques.
Actualisation Mise à jour de la matrice des risques afin de l’adapter au profil de risque évolutif de l’organisation. Regroupe: Suivi périodique des données relatives aux risques. Amélioration et approfondissement métier/processus.
de
la
matrice
des
risques
du
Actualisation proprement dite (révision) de la démarche d’élaboration de la cartographie.
VIII.
Les lignes de défense
La gouvernance interne doit assurer en particulier la gestion saine et prudente des activités, y compris des risques qui leur sont inhérents. Afin d’atteindre cet objectif, les établissements mettent en place un dispositif de gouvernance interne qui répond au concept des « trois lignes de défense La première ligne de défense est constituée parles unités opérationnelles qui prennent ou acquièrent desrisques dans le cadre d’une politique et de limites prédéfinieset qui effectuent des contrôles opérationnels. La seconde ligne est formée par les fonctions de support, ycompris La fonction financière et comptable La fonction informatique Les fonctions compliance Le contrôle des risques qui contribuent au contrôleindépendant des risques. La troisième ligne est constituée parla fonction d’audit interne qui, conformément effectue uneévaluation indépendante, objective et critique des deux premières lignes de défense.
36
Les trois lignes de défense sont complémentaires, chaque ligne dedéfense assumant ses responsabilités de contrôle indépendamment desautres lignes. Les contrôles réalisés par les trois lignes de défensecomprennent les quatre niveaux de contrôles• Un environnement de contrôle interne solide nécessite la mise en placedescontrôles suivants: Lescontrôles quotidiens réalisés par le personnel exécutant. Lescontrôles critiques continus assurés par le personnel chargé dutraitement administratif des opérations. Lescontrôles réalisés par les membres de la direction autorisée sur lesactivités ou fonctions qui tombent sous leur responsabilité directe. Les contrôles réalisés par les fonctions de contrôle interne Contrôles quotidiens réalisés par le personnel exécutant Les procédures en matière de contrôle interne prévoient que les exécutantscontrôlent sur une base quotidienne les opérations qu’ils exécutent, ceci afin de détecter le plusrapidement possible des erreurs et omissions survenues dans le traitement des transactions courantes. On peut citer à titre d’exemples de tels contrôles : La vérification du solde de la caisse, La vérification de ses positions par le trader, Le suivi de ses suspens par chaque employé. Contrôles critiques continus Dans cette catégorie de contrôle tombent notamment: Le contrôle hiérarchique, La validation (par exemple la double signature, les codes d’accès à desfonctionnalités données) associée au contrôle du respect de laprocédured’autorisation et de délégation de pouvoirs arrêtée par la directionautorisée(notamment en matière de crédits), Les contrôles réciproques, Le relevé régulier de l’existence et de la valeur des éléments du patrimoine notamment au moyen de la vérification des inventaires,le contrôle de l’exactitude et de l’exhaustivité des données communiquées par les personnes en charge desfonctions commerciales et opérationnelles en vue d’un suivi administratif des opérations, Le contrôle du respect des limites internes imposées par la direction autorisée (notamment en matièred’activités de marché et de crédits), Le caractère normal des opérations conclues notamment quant à leur prix, à leur ampleur, aux garantieséventuelles à recevoir ou à fournir, aux bénéfices générés et aux pertes subies, à l’ampleur des frais decourtage éventuels Le bon fonctionnement des contrôles critiques continus n’est garanti que si le principe de la séparation destâches est respecté. Les fonctions de contrôle interne Les politiques mises en œuvre en matière de contrôle des risques, decompliance et d’audit interne instaurent trois fonctions de contrôleinterne distinctes : Lafonction de contrôle des risques et la fonction compliance qui relèvent de la deuxième ligne dedéfense, Lafonction d’audit interne qui relève de la troisième ligne dedéfense. Ces politiques décrivent par ailleurs les domaines d’interventionrelevant directement de chaque fonction de contrôle interne, règlentclairement les responsabilités en matière de 37
domaines d’interventioncommuns et définissent les objectifs ainsi que l'indépendance, l’objectivitéet la permanence des fonctions de contrôle interne.
38