Documente Academic
Documente Profesional
Documente Cultură
ditions dOrganisation Groupe Eyrolles 61, bd Saint-Germain 75240 Paris Cedex 05 www.editions-organisation.com www.editions-eyrolles.com
Le code de la proprit intellectuelle du 1er juillet 1992 interdit en effet expressment la photocopie usage collectif sans autorisation des ayants droit. Or, cette pratique sest gnralise notamment dans lenseignement, provoquant une baisse brutale des achats de livres, au point que la possibilit mme pour les auteurs de crer des uvres nouvelles et de les faire diter correctement est aujourdhui menace. En application de la loi du 11 mars 1957 il est interdit de reproduire intgralement ou partiellement le prsent ouvrage, sur quelque support que ce soit, sans autorisation de lditeur ou du Centre franais dexploitation du droit de copie, 20, rue des Grands-Augustins, 75006 Paris.
Pascal Kerebel
Sommaire
Prface................................................................................................................ Introduction ......................................................................................................... 7 9 11 13 13 15 17 19 19 23 24 26 27 27 27 38 47 47 47 49 49 49 51 51 53 55 57 57 57 58 59 65 65 67 69 70 71 72 73
Groupe Eyrolles
6 Sommaire La mise sous contrle du risque atteinte lenvironnement ........................................ La mise sous contrle du risque incendie ................................................................ Chapitre 3. Le dispositif de business risk management ......................................................... La mise sous contrle des risques financiers ............................................................ La mise sous contrle des risques stratgiques ......................................................... Chapitre 4. Mettre en uvre le dispositif risk management et communiquer sur son efficacit . Les raisons de la construction dun dispositif de risk management efficace .................. Comment mettre en uvre un dispositif de risk management efficace ......................... Mesurer lefficacit du risk management .................................................................. Communiquer sur lefficacit du dispositif de risk management................................... 76 78 79 79 79 87 87 89 93 94 95 97 97 104 107 107 108 114 117 117 121 133 135 137 137 138 144 147 147 153 153 162 185 187
Groupe Eyrolles
Prface
n matire de management des risques, on na jamais raison seul et cest toujours du partage des expriences que nat linnovation. Le groupe de travail que je prside lAssociation nationale des directeurs financiers et de contrle de gestion (DFCG), via les changes que nous avons entre professionnels du contrle interne et du risk management, en est lillustration. Pascal Kerebel est un contributeur majeur de ce groupe et du cahier technique que nous produisons en ce moment sur la communication sur lefficacit du contrle interne. Le prsent ouvrage, dont jai lhonneur de rdiger la prface, est une synthse des meilleures pratiques mthodologiques existantes en termes de risk management, tant au niveau industriel que dans la banque et lassurance. Louvrage a lintrt majeur de prsenter des botes outils oprationnelles, traitant daspects mthodologiques mais aussi comportementaux, dans lesquelles les diffrents professionnels peuvent piocher afin de dployer leurs dispositifs de management du risque. Lauteur dveloppe aussi des thmatiques de rflexion sur les limites des dispositifs mthodologiques actuels, et sur la complmentarit des fonctions daudit interne, de contrle interne, de risk management et de qualit. La monte en puissance des dispositifs de risk management est une priorit majeure des groupes cots. Lactualit rcente nous montre, malheureusement, les limites des dispositifs mis en uvre et lobligation imprative de repenser la mise sous contrle des risques significatifs pouvant remettre en cause les objectifs stratgiques, voire la prennit des organisations. Construire un dispositif de risk management nest pas un exercice fig dans le temps ni dfinitif. Il se doit dtre adaptable et volutif. Bien positionn et disposant de moyens suffisants, il est un vecteur damlioration de performance et permet de fdrer les acteurs autour dun mme objectif. Louvrage de Pascal, en intgrant les meilleures pratiques en termes de gouvernance et de conformit, contribue de faon significative la ncessaire refondation des dispositifs de management du risque et de contrle interne. Il permet de redonner du sens laction en rappelant que les facteurs cls de succs dune telle dmarche restent le bon sens et limplication des dirigeants. Florence Giot, Prsidente de la commission contrle interne de la DFCG
Groupe Eyrolles
Introduction
Groupe Eyrolles
objectif de cet ouvrage est de prsenter lensemble des options offertes aux entreprises, en vue de mettre sous contrle leurs risques pour protger leurs intrts stratgiques, ainsi que la rmunration des preneurs de risques finanant leurs activits. Louvrage met en exergue deux concepts : la notion de corporate risk management met en relief la ncessit pour lentreprise de placer sous contrle les risques purs, cest--dire les risques alatoires ne se traduisant que par une perte financire sils se matrialisent (incendie, rupture dapprovisionnement, etc.). Le corporate risk management se fixe donc pour objectifs didentifier et de mettre sous contrle cette typologie de risques, en mettant tout en uvre pour que ces risques ne puissent se matrialiser, mais aussi, le risque zro nexistant pas, mettre en uvre des outils de gestion de crise dans lhypothse de la matrialisation du risque ; la notion de business risk management, quant elle, souligne la ncessit de mettre sous contrle des risques stratgiques et financiers spculatifs (cest--dire se traduisant par un gain ou une perte). La dmarche vise donc sassurer que lensemble des dcisions stratgiques sont effectivement mises sous contrle (lancement dun nouveau produit, rachat dune socit, cration dune filiale). Les deux dmarches savrent donc complmentaires puisque le corporate risk management vise protger les orientations stratgiques dfinies dans le cadre de llaboration du business model et du business plan, alors que le business risk management vise sassurer que les dispositifs de pilotage ou datterrissage sont effectivement mis sous contrle. Notre objectif pdagogique est de prsenter dans cet ouvrage la bote outils du manager des risques quel quil soit (directeur financier, DAF, directeur oprationnel, contrleur, auditeur interne), en lui proposant des axes dactions et de progrs faciles mettre en uvre. Louvrage prsente, tout dabord, les grands principes mthodologiques inhrents la mise en uvre dun dispositif de risk management efficace. Il expose ensuite les outils ddis aux groupes industriels ; et enfin, les dmarches applicables aux banques et compagnies dassurances. Il sagit ici de faire prendre conscience au lecteur que lvolution des rglementations lui demandera de : mettre en exergue les risques significatifs pouvant affecter le business model de lentreprise ; quantifier les impacts de la ralisation de ces risques en termes de key data (cashflows, rsultat oprationnel, etc.). Nous esprons que cet ouvrage vous permettra de construire, avec la plus grande efficacit, le dispositif de risk management de votre entreprise.
PREMIRE
PARTIE
Groupe Eyrolles
Chapitre 1
Champ ou types de risques pris en compte, purs ou spculatifs Risques affectant la sincrit des comptes Risques lis aux proPas de dfinition com- cessus gnrant lcriture comptable mune (malveillance, ngligence, pannes des SI)
Groupe Eyrolles
Pas de dfinition spcifique Pas de dfinition spDirective tourne vers cifique des risques la rvision comptable
Points communs entre rglementations Sarbanes-Oxley Mthodologie de rfrence Aucune mthodologie commune ce jour Convergence potentielle terme vers le COSO Mise en exergue de lenvironnement du contrle interne et du comportement risk assessment
(Source : Sarbanes Oxley Act, LSF, 8e directive europenne sur laudit lgal.)
Groupe Eyrolles
Limite des rglementations europenne et amricaine en termes de risk management Lactualit rcente (octobre 2008) montre les limites des dispositifs de mise sous contrle des risques des groupes cots (les rcents scandales financiers tels que celui des subprimes aux tats-Unis, et la chute du systme bancaire et international en sont les preuves manifestes). Une analyse critique des rglementations telles que la loi Sarbanes-Oxley ou la 8e directive europenne sur laudit lgal fait ressortir les insuffisances suivantes : le volet environnement du contrle ne permet pas, dans sa construction intellectuelle actuelle, de matriser les risques stratgiques des groupes cots (tels que le risque li au lancement de nouveaux produits, le risque de remise en cause de la responsabilit pnale des mandataires sociaux, une erreur de stratgie affectant la rmunration de lactionnaire, etc.). En effet, cette composante du dispositif du COSO (Committee of Sponsoring Organizations of the Treadway Commission), mthodologie de rfrence des principales rglementations portant sur le contrle interne, nest pas taye sur des outils de contrle effectifs, mais sur un simple principe dengagement sur lhonneur des dirigeants appliquer un corpus de rgles thiques et dontologiques ; le dispositif du COSO ne raisonne stricto sensu quen termes de mise sous contrle des processus. Ainsi, ce dispositif ne prvoit pas de faon explicite les modes de mise sous contrle des projets risque pouvant affecter de faon substantielle latteinte des objectifs stratgiques des groupes cots (cas de lA380 chez Airbus) ; le primtre des processus mis sous contrle dans la mthodologie du COSO nest pas suffisamment transverse, et limit au primtre de consolidation de lentreprise. Or les risques mergents peuvent tre gnrs par des processus transverses amont (risque de rupture dapprovisionnement) ou aval (risque de distribution) ports par des parties prenantes.
15
lpargne, le prsident du conseil dadministration rend compte dans un rapport joint de la composition, des conditions de prparation et dorganisation des travaux du conseil, ainsi que des procdures de contrle interne et de gestion des risques mises en uvre par la socit (article 26). Cette loi complte le rapport de place de lAMF (Autorit des marchs financiers), qui fait rfrence explicitement la notion de management des risques : Le dispositif de contrle interne, qui est adapt aux caractristiques de chaque socit, doit prvoir un systme visant recenser et analyser les principaux risques identifiables au regard des objectifs de la socit et sassurer de lexistence de procdures de gestion de ces risques. La recommandation de lAMF ne requiert toutefois pas le descriptif du dispositif de management des risques. Ainsi, le rapport AMF sur les rapports LSF (loi de scurit financire) note que seulement 43 % des rapports 2006 mentionnent lexistence dune cartographie des risques. La loi du 3 juillet 2008 rend la communication de cette cartographie obligatoire.
La directive Seveso II vise les tablissements potentiellement dangereux (chimie, ptrole, sidrurgie, etc.) au travers dune liste dactivits et de substances associes des seuils de classement. Elle dfinit deux catgories dentreprises en fonction de la quantit de substances dangereuses prsentes.
Les entreprises mettant en uvre les plus grandes quantits de substances dangereuses, dites Seveso II seuils hauts , font lobjet dune attention particulire de ltat : les dangers doivent tre clairement identifis (y compris les effets domino) et lanalyse des risques doit tre ralise ; leur exploitant doit dfinir une politique de prvention des accidents majeurs et mettre en place un systme de gestion de la scurit pour son application ; des mesures techniques de prvention, labores par les inspecteurs des installations classes sur la base dtudes de dangers, leur sont imposes par arrts prfectoraux dans le cadre dune procdure dautorisation ; un programme dinspection est planifi par linspection des installations classes ; des plans durgence sont labors pour faire face un accident : POI (plan dopration interne) mis en uvre par les exploitants, et PPI (plan particulier dintervention) mis en uvre par le prfet en cas daccident dbordant les limites de ltablissement ; une information prventive des populations concernes doit tre organise ; enfin, lintrieur des zones de risques dfinies par ltat, les communes sont tenues de prendre en compte lexistence de ces risques pour leur urbanisation future. Les entreprises dites Seveso II seuils bas ont des contraintes moindres, mais doivent laborer une politique de prvention des accidents majeurs. La conformit avec un tel dispositif prsuppose la construction, titre prventif, doutils de gestion de crise environnementale (plan durgence ; communication de crise, cellule de crise et plan de reprise dactivit des processus critiques suite atteinte lenvironnement).
Groupe Eyrolles
Les principales limites de la loi NRE Elles concernent : labsence de sanctions ; le manque de dispositifs de contrle ; labsence de dfinition prcise concernant le primtre concern (holding ou groupe, mondial ou national).
17
Groupe Eyrolles
En effet, la norme IAS 16 impose la dcomposition des immobilisations corporelles en composantes impactant les flux de trsorerie prvisionnelle gnrs par lactif. Ainsi, les groupes industriels constituent des composantes telles que : investissements de scurit ; pices de rechange ; dmantlement ; dcontamination des sols ; fermeture quinquennale pour grand entretien. Elles sont amorties sur la dure dusage de chaque composante. La notion de composante met en exergue le principe de mise sous contrle prvisionnelle des risques industriels. Ainsi : la programmation des investissements de scurit a pour objectif de protger les cash-flows gnrs par lactif ; la budgtisation des pices de rechange a pour finalit de prvenir le bris de machine. La comptabilit financire IFRS dmontre ainsi que tous les actifs de lentreprise sont mis sous contrle en vue de scuriser les cash-flows de cette dernire.
Groupe Eyrolles
Chapitre 2
Groupe Eyrolles
March
Concurrence Attentes clients / march Mutation technologique Marchs financiers
Catastrophe
Catastrophe naturelle Accident dorigine externe / Trouble externe
RISQUES OPERATIONNELS
Commercial
Stratgie Satisfaction clients / Services Qualit Produit / Sant Produit Gestion commerciale
Exploitation
Outil industriel Outil de distribution Sous-traitance Conformit rglementaire Matrise cots de production
Finance
Risques de march s (change, taux, prix matire) Financement / Trsorerie Fiscalit/ Douanes Assurance Comptabilit
RH
Gestion comptences et savoir valuation / Motivation Gestion administrative Climat / Relations sociales Sant des employs
Juridique
Droit de la concurrence Conformit rglementaire Suivi des litiges Ngociation et contractualisation des accords Connaissance des accords
Appro / Achats
Chane matire Ressources produit (appro) Achats biens & services
SIT
Performance Sret de linformation Conduite de projet SI Gestion des changements Exploitation informatique Habilitations/ Sparation tches
Comportement
thique Fraude Respect des procdures
Image
Image / Communication
Management / Organisation
Efficacit de lorganisation/ gestion des responsabilits Gestion du changement Plan de continuit dactivit Gestion de crise
Pilotage de la performance
Pertinence des indicateurs Contrle des participations
Une fois ces documents collects (dans les faits, le risk manager ne collecte quune partie des informations en pr-mission), il sassure de la fiabilit des informations
Groupe Eyrolles
Audit documentaire pr-mission Dans la phase documentaire pr-mission, le risk manager va demander lentit audite de lui transmettre un certain nombre de documents. La liste des documents transmettre dpend de fait du type de risque auditer. Cependant, il savre possible de lister de faon gnrique les principaux documents demands : programme dassurance national ou international ; transmission des clauses des principaux contrats ; tats analytiques et tableaux de bord ; tats financiers certifis ; experts techniques et expertises pralables de capitaux ; procdures de scurit et de gestion de crise (si existantes) ; tests des plans de reprise dactivit ; schma directeur des systmes dinformation ; plan de protection des informations.
transmises en utilisant les techniques de circularisation (demande dinformation parallle lexterne, vrification de la certification des comptes, vrification de la non-rtroactivit des contrats, etc.). Enfin, il commence analyser les documents qui sont directement exploitables (analyse des clauses de contrats, analyse financire, etc.).
Audit documentaire pendant la mission Lobjectif du droulement de la mission sur le terrain est de confronter lidentification des risques identifis en phase post-mission daudit avec les risques rellement tracs via interviews et/ou questionnaires et visites de sites. Exploitation documentaire post-mission Lexploitation documentaire post-mission va se traduire par des prconisations substantielles faites par le risk manager. Ainsi, les principales prconisations possibles sont les suivantes : souscription dune nouvelle police dassurance ; modification de clauses contractuelles ; signatures de contrats de back-up 1 ; rdaction de nouvelles procdures ; modification du contenu des procdures existantes.
Entretiens
La technique dentretien savre tre une technique essentielle lidentification objective et rationnelle des risques, et ce, tout particulirement en culture dentreprise latine. Lobjectif de cet entretien est : dune part, de sassurer de la connaissance par les oprationnels des dispositifs de risk management mis en uvre par lentreprise ; dautre part, dvaluer avec eux les risques potentiels qui pourraient affecter les processus mtiers et les risques du groupe. Linterview se droule en trois grandes tapes.
Groupe Eyrolles
Analyse du pass Le risk manager interviewe laudit sur les cas de sinistres ou de gestion de crise quil a t amen vivre dans le pass en adoptant un questionnement du type : Avez-vous t amen vivre dans le pass une situation de crise ? Si oui, quels sont, de votre point de vue, les dispositifs mis effectivement en uvre par le groupe pour grer cette situation ? Lobjectif de cette question est de savoir si les dispositifs mis en uvre par le groupe sont connus et effectivement communiqus aux oprationnels.
1. Back-up : mise disposition de ressources logistiques en cas de sinistre.
Projection sur le futur Lobjectif de cette partie de lentretien consiste identifier les risques potentiels que les oprationnels ont identifis et qui nont pas t reports au niveau du risk management. La structure de questionnement est la suivante : Avez-vous identifi ou pens des risques qui pourraient se matrialiser ? tes-vous dj pass sur le fil du rasoir ? De votre point de vue, si le risque se matrialisait, le groupe saurait-il mettre en uvre les dispositifs adquats ? Lobjectif de cette question est daller vrifier sur le terrain si le ressenti de loprationnel est confirm ou non. Cette logique de questionnement peut permettre une priorisation de mesures correctrices mettre en uvre. Simulation dune situation de crise Lobjectif de cette dernire tape de linterview consiste construire avec laudit le contenu oprationnel de son plan de reprise dactivit en cas de situation de crise. La structure de simulation adopter est la suivante : Vous arrivez sur votre lieu de travail 7 h 45. Sur place votre sige social est dtruit 100 %. Le prfet, les mdias, les salaris, la protection civile, les pompiers sont prsents. Les camions arrivent avec les composantes. Que faites-vous ? Lobjectif de cette simulation est de dcrire les moyens logistiques qui devront tre mis en uvre en cas de situation de crise en vue dassurer la continuit de lexploitation des processus critiques. Lexercice a pour objectif de dcrire et didentifier : les processus critiques qui devront tre redploys en cas de situation de crise ; les actifs stratgiques (machines-outils, moules, etc.) qui devront tre protgs en priorit en cas de sinistre ; les hommes cls qui devront tre dplacs sur le site de secours ; les ressources non utilises avant sinistre (m 2, m3, vhicules disponibles, etc.) ; les contrats de back-up avec les sous-traitants, fournisseurs, constructeurs informatiques, etc.
Visites de site
La visite de site est un outil essentiel en termes didentification des risques. Elle permet par exemple dobserver les attitudes et les comportements des salaris en matire de respect des consignes de scurit. Elle permet, dautre part, lauditeur dobserver des dysfonctionnements ou des anomalies concernant lorganisation de lentreprise pouvant gnrer des dommages potentiels. Elle permet aussi de ractualiser des lments lis laudit documentaire (exemple dun plan de masse ne correspondant plus la configuration relle actuelle du site).
Questionnaires
Lidentification des risques partir des questionnaires est trs utilise dans les organisations anglo-saxonnes et prsuppose lexistence dun dispositif de risk management mr et efficace.
Groupe Eyrolles
Le questionnement permet de raliser des benchmarks intersites et intragroupe, et de produire ce titre des rosaces de performance permettant didentifier les centres de risque1 nappliquant pas la lettre les procdures de scurit et de gestion de crise. Ce dispositif est inadapt dans le cas de la construction dun dispositif de risk management et, dans cette hypothse, on privilgiera les techniques dinterviews.
Groupe Eyrolles
Impact dun sinistre majeur sur les objectifs stratgiques dun groupe
Lobjectif du risk management consiste donc tout mettre en uvre titre prventif pour prvenir le risque ; mais, ce dernier avr, le groupe doit mettre en place un
1. Entit organisationnelle (usine, magasin) regroupant des risques homognes.
dispositif de gestion de crise auquel il a rflchi titre prventif, et grer la situation de crise dans un dlai trs rapide. Dans notre exemple, les outils de gestion de crise mis en uvre seraient les suivants : cellule de crise ; communication de crise vis--vis des consommateurs et du rseau ; plan de retrait des produits du march avec mise en uvre dun processus dindemnisation du consommateur ; ou fabrication dun produit de substitution. Ces procdures de gestion de crise ont bien sr un caractre confidentiel, lexception du plan durgence, qui doit tre communiqu aux autorits de tutelle, pour les risques RHP (risques hautement protgs) susceptibles de gnrer une atteinte lenvironnement.
Groupe Eyrolles
Dans les deux cas de figure, lestimation des pertes matrielles se fait en multipliant la valeur des capitaux par une estimation du pourcentage de destruction de lactif.
Groupe Eyrolles
Chapitre 3
Groupe Eyrolles
Les principaux scnarii analyss sont les suivants : gestion de crise produit avec retrait des produits du march ; atteinte lenvironnement ; mise en examen dun mandataire social ; offre publique dachat hostile ; attentat ; grve interne ou externe, voire mlange des deux typologies (grande spcialit franaise !) ; boycott de la marque ; situation de crise informatique ; mort dun homme cl. Il est vident que cette liste doit tre adapte en fonction du secteur dactivit, ainsi : dans le secteur bancaire, on simulera limpact du scnario hold-up ; dans le secteur aronautique, on valuera les consquences du crash dun avion ; dans le secteur aronautique, on estimera les consquences de lexplosion dune fuse ou dune navette embarquant des satellites.
Procdures de gestion de crise Les procdures de gestion, systmatiquement rdiges titre prventif, et testes en vue dvaluer leur efficacit, ont pour objectif de permettre la continuit de lexploitation des processus critiques dun centre de risque (exemple dune usine), dans des dlais trs rapides sur dautres sites internes au groupe ou lextrieur du groupe via des contrats de back-up signs avec des constructeurs informatiques, fournisseurs et sous-traitants captifs, et ventuellement avec des concurrents. Le risk manager doit donc rflchir titre prventif la construction de ces cinq outils de gestion de crise, qui seront combins en fonction du scnario de crise analys, savoir : le plan de retrait des produits du march ; la communication de crise interne et/ou externe pouvant tre offensive ou dfensive ; le plan de reprise dactivit ; le plan durgence concernant les risques datteinte lenvironnement ; la cellule de crise conue tant en termes organisationnels que logistiques.
Plan de retrait des produits La rflexion prventive concernant lorganisation dun plan de retrait des produits du march concerne en priorit les entreprises ayant une stratgie marketing de biens de grande consommation et tout spcifiquement celles travaillant dans les secteurs pharmaceutique, agroalimentaire, automobile.
Groupe Eyrolles
Lorganisation logistique dun plan de retrait prvoit un simple arrt de production et de commercialisation titre prventif dans le cas de lmission de signaux de pralerte (taux de rclamations clients anormal, taux de rebut, de refaonnage lev, etc., sur un produit ou une famille de produits).
Communication de crise Il existe de nombreux registres de communication de crise, sur lesquels les groupes doivent rflchir titre prventif, soit en vue dexonrer la responsabilit civile, soit de limiter limpact de cette dernire au cas o elle serait mise en cause. Il est ainsi possible dopposer les axes de communication ci-dessous : interne et externe ; offensive et dfensive ; rglementaire et stratgique. Communication de crise interne et externe La communication de crise externe est en gnral indissociable de la communication de crise interne. En effet, la communication de crise externe, quelle soit institutionnelle ou oprationnelle, vise scuriser lensemble des parties prenantes, pour protger les objectifs stratgiques du groupe. A contrario, la communication de crise interne vise surtout permettre le dploiement des processus critiques sur des sites non sinistrs dans des dlais trs rapides si une situation de crise est dclenche. Communication de crise offensive et dfensive Les registres de communication de crise peuvent tre offensifs en cas de rumeur ou en cas de remise en cause non fonde de la responsabilit civile du groupe. Ainsi, il est envisageable, dans le cas dun scnario de crise produit, de dvelopper une communication de crise offensive, dans lhypothse dune relation de corrlation (existence dun dommage corporel chez un consommateur, ne pouvant tre associ une marque commerciale spcifique de lentreprise). Par contre, en cas de remise en cause de la responsabilit civile du groupe, la communication de crise institutionnelle dfensive a pour objectif de protger les parts de march, limage de marque, alors que la communication de crise oprationnelle dcrit au rseau de distribution ainsi quaux clients les modalits daction (comment se faire indemniser, comment faire rparer le produit, comment avoir un produit de substitution ?). Plan de reprise dactivit/plan de continuit de lexploitation Le risk management minimise le rle de lassurance en cas de sinistre majeur. Son objectif nest pas de rechercher des garanties confortables en cas de situation de crise, mais de permettre une reprise de lactivit dans les dlais les plus rapides. Voici la mthodologie de construction de ces plans de reprise dactivit.
Groupe Eyrolles
Concepts gnraux sur les plans de continuit de lexploitation La continuit dactivit sinscrit dans une dmarche de prennit de lentreprise. Elle consiste mettre en place des procdures et des moyens visant assurer le fonctionnement
de ses activits, principales et cruciales, et la disponibilit des ressources indispensables au droulement de ces activits. La gestion de la continuit dactivit est une approche globale de management. Son objectif est didentifier les impacts potentiels qui menacent le groupe et de la doter des capacits de rpondre efficacement des sinistres potentiels en sauvegardant ses activits vitales et critiques, sa rputation et les intrts de ses clients et partenaires.
Dnition de la notion dactivit vitale Cest une activit dont lexcution est fondamentale et obligatoire pour lentreprise. En cas darrt de cette activit, les impacts sont jugs inacceptables par le management : impact financier extrmement lourd pour lentreprise ; trs forte dgradation de son image de marque auprs des clients et des partenaires ; impact rglementaire majeur sans possibilit de ngociation avec les institutions lgales. Dnition de la notion dactivit critique Il sagit dune activit dont lexcution est souhaite pour le groupe, mais qui ne revt pas de caractre obligatoire. Les impacts, en cas darrt de ces activits, sont jugs trs proccupants voire inacceptables pour la stratgie de lentreprise, mais ne compromettent pas sa survie en cas de crise : impact financier lourd pour lentreprise ; impact stratgique majeur ; trs forte dgradation de son image de marque auprs des salaris et des mdias ; impact rglementaire majeur avec possibilit de ngociation avec les institutions gouvernementales. Dnition de la notion dactivit sensible Par activit sensible, il faut entendre une activit dont lexcution est prfrable pour le bon droulement des oprations. Les impacts, en cas darrt de ces activits, sont jugs proccupants, mais potentiellement acceptables dans un contexte de crise : impact financier moyen pour lentreprise ; impact stratgique nul ; dgradation significative de son image de marque auprs des salaris et des mdias.
Groupe Eyrolles
teste ses dispositifs, les maintient oprationnels et les rvise frquence rgulire ; informe ses personnels et les exerce utiliser les solutions de continuit en cas de sinistre. Deux prrequis sont indispensables pour engager la dmarche continuit dactivit : une stratgie dentreprise clairement dfinie ; un risk assessment solide et exhaustif.
Les principaux rsultats attendus (livrables) Ce sont : une cartographie des risques ; un business impact analysis, une collecte des expressions de besoins des mtiers, mettant en vidence les activits critiques ; une stratgie de continuit dactivit dcline en fonction de diffrents scnarii de sinistres, et adressant les objectifs mtiers, les priorits et les niveaux dactivit recouvrir aprs un sinistre ; un inventaire des ressources critiques et le squencement de leur monte en charge ; des plans de continuit dactivit dcrivant les dispositifs mis en place et les procdures pour mettre en uvre la stratgie ; des programmes de tests et des plans daction correctifs ; des supports dinformation, de sensibilisation et de formation.
Mettre en uvre un plan de continuit dactivit Le business impact analysis (BIA) est une dmarche analytique dont lobjectif consiste : identifier les activits vitales/critiques ; inventorier les ressources critiques ncessaires pour assurer la continuit de ces activits vitales/critiques ; dfinir les priorits de continuit et/ou de reprise aprs sinistre. Pourquoi le fait-on ? Le BIA permet dvaluer les impacts, pour lentreprise, dun sinistre touchant ses activits. La dmarche doit tre entreprise pour chacun des processus mtiers conduits dans le groupe, identifis dans la phase de cartographie des processus. Les consquences dun sinistre sur les activits du groupe sont values dans le temps selon diffrents types dimpacts : impacts financiers (valuation quantitative) ; impacts non financiers (valuation qualitative). Bien que les sinistres auxquels la socit doit se prparer soient de natures diffrentes et puissent influencer la gravit et/ou la rapidit dapparition/de rsorption des impacts, les bonnes pratiques recommandent de mener le BIA en adoptant certains postulats : toutes les activits sont interrompues sans possibilit de reprise ; lentreprise seule est impacte par le sinistre ; tous les acteurs du march continuent business as usual .
Groupe Eyrolles
La dmarche BIA est conduite par les coordinateurs des plans de continuit dactivit (PCA) sur la base dinterviews ralises avec les propritaires des processus mtiers. Les informations collectes ainsi que les analyses dimpacts sont systmatiquement valides par le management, qui est responsable de lexpression des besoins, de la dfinition des stratgies, de lallocation des moyens humains et financiers ncessaires la dmarche et qui est propritaire des plans de continuit.
Cette cartographie est le pralable indispensable au dploiement de la dmarche BIA et plus gnralement de la dmarche de continuit dactivit : lanalyse dimpact, la dfinition des objectifs de reprise et les expressions de besoin en termes de ressources sont construites au niveau de chaque processus mtier. noter que, sil existe dj des descriptions de processus dans lorganisation, elles doivent tre systmatiquement rutilises dans un souci de cohrence et defficacit. La cartographie doit aussi mettre en lumire les priodes critiques de chaque processus, cest--dire les priodes durant lesquelles un sinistre aurait les impacts les plus pnalisants pour lentreprise ( scnario du pire ). La dfinition des priodes critiques permet : de dfinir les stratgies de reprise en intgrant le scnario dans lequel un sinistre aurait lieu aux moments les plus critiques du processus ; dinformer, le cas chant, les gestionnaires de crise des circonstances particulires lies la priode de dclenchement du sinistre. Exemples de priodes critiques : arrts comptables, cut-off, chances terme, etc. Pour les besoins de cette cartographie, des ressources critiques doivent tre identifies. Les ressources critiques identifier sont les ressources indispensables laccomplissement dun processus mtier qui doivent ncessairement tre restaures pour garantir la continuit des activits critiques suite un sinistre. On peut ainsi citer : besoins en personnel : nombre de personnes alloues au processus mtier en production ; systmes informatiques : applications mtiers, progiciels intgrs, disques partags ; poste de travail : type de configuration requise (nombre et puissance des PC, nombre dcrans, tlphonie normale ou spcialise, etc.) ;
Groupe Eyrolles
tlcoms : inventaire des moyens de communication ncessaires en plus de la tlphonie (fax, tlex) ; sauvegardes vitales : ensemble des documents sur tout support dont labsence aprs sinistre empcherait de reprendre le processus mtier ; dpendances : ensemble des services, fournis par un acteur interne ou externe, ncessaires laccomplissement du processus mtier (qui ? quoi ?).
tape 2 : lvaluation des impacts
Typologies dimpacts
pertes financires directes : cest lensemble des pertes financires supportes par lentreprise rsultant de son incapacit grer ses processus mtier ; pertes de revenus : impacts financiers dus lincapacit de lentreprise de raliser de nouvelles transactions tant que ses processus mtiers restent dgrads (do perte dopportunits) ; impacts rglementaires : risques de pnalits de la part des rgulateurs et des autorits de tutelle lencontre de la socit dans lincapacit totale ou partielle de faire face ses obligations rglementaires ; impacts lgaux et juridiques : impacts potentiels ou pertes encourues cause dactions en justice ou de poursuites de la part de clients, suite lincapacit de lentreprise faire face ses engagements contractuels ; impacts sur limage et la rputation : prjudices ports la crdibilit de lentreprise vis--vis de ses clients, des investisseurs, de ses actionnaires, des agences de rating ou des mdias, conduisant une perte substantielle dopportunits venir ; impacts sur dautres processus de lentreprise : risques dextension dimpacts sur dautres processus du groupe, lorsque des impacts directs ne peuvent pas tre mis directement en vidence. Ce type dimpacts est directement li aux interdpendances entre les diffrentes activits du groupe.
La relation au temps
Le critre de temps est une dimension cl dans lvaluation des impacts, car il permet de concentrer les efforts sur les activits dont les dlais de reprise sont les plus critiques. Lchelle de temps est construite selon : les impratifs de reprise dfinis par les rgulateurs (en France et linternational) ; les bonnes pratiques de lindustrie ; les dlais contractuels de bascule des systmes dinformation et de mise disposition des solutions de repli.
Groupe Eyrolles
Chaque activit doit dfinir une chelle pertinente lui permettant de quantifier de manire homogne et cohrente ses pertes financires potentielles. Ces quantifications sont ensuite traduites en degrs dimpacts en fonction de leur importance : trs lev ; lev ; moyen ; faible. Il appartient au management de chaque entit de dfinir et valider cette chelle, car celle-ci sera utilise pour dfinir les objectifs et arbitrer les priorits de reprise. Les impacts qui ne peuvent pas tre quantifis en termes financiers sont qualifis selon le mme type dchelle.
tape 3 : dterminer la stratgie dnition des objectifs de reprise Une fois lanalyse dimpact ralise, le groupe est en mesure de dfinir pour chacun des processus mtiers tudis : la priode de temps maximale aprs le sinistre, au cours de laquelle chacune des ressources ncessaires laccomplissement dun processus mtier pour tre oprationnelle doit tre recouverte (recovery time objectives [RTO]) ; le niveau dactivit qui doit tre repris pour chaque processus, ainsi que son volution dans le temps sur une priode dun mois compter de la survenance du sinistre.
La dfinition des objectifs de reprise doit permettre de comprendre la stratgie que les mtiers souhaitent mettre en place pour assurer la continuit de leur activit avec un niveau acceptable de dgradation suite un sinistre. La stratgie est ainsi formule de manire simple : en cas de sinistre et pour chaque mtier, quelles capacits le groupe veut-il conserver ou recouvrer, et quelles chances ? Comme lors de lanalyse dimpact, la bonne pratique veut que la stratgie et les objectifs de reprise soient dfinis au regard du scnario le plus impactant pour le processus mtier considr (lentreprise est la seule impacte, les autres acteurs du secteur oprent normalement). La dfinition des RTO repose obligatoirement sur la cartographie et lanalyse dimpact ralise avec le BIA : implicitement, le RTO indique le niveau dimpact que le mtier accepte de supporter (le seuil de tolrance) ; les priodes critiques identifies lors de la cartographie des processus sont prises en compte dans la dfinition de la stratgie de reprise (objectifs et priorits en cas de sinistre survenant la pire priode).
tape 4 : laborer et mettre en place des solutions Les mtiers ayant dfini leur stratgie de continuit dactivit et formul leurs besoins en ressources critiques sont maintenant en mesure de : consolider les besoins de secours applicatifs en spcifiant aux matrises douvrage informatique les besoins couvrir en termes dobjectif de reprise et de restauration de donnes ;
Groupe Eyrolles
identifier les alternatives et mesures conservatoires dployer pour couvrir la priode entre le sinistre et la reprise du processus mtier impact ; concevoir les solutions de continuit adquates pour permettre aux personnels de redmarrer les processus mtiers impacts par le sinistre et assurer la continuit des activits vitales et critiques de lentreprise ; organiser la cohrence des stratgies et des solutions dployes au sein de lentreprise. La mise en place des solutions de continuit se droule en trois tapes : choix des solutions de continuit : solutions de continuit informatique, solutions de continuit utilisateurs pour redonner un poste de travail aux personnels impacts ; mise en cohrence des stratgies et des solutions dployes au sein du groupe : alignement sur lintgralit du droulement du processus (front-to-end), alignement transversal, rationalisation des investissements, mutualisation des moyens ; mise en place des solutions et documentation des plans de continuit dactivit. Le management de chaque entit est propritaire de son plan de continuit dactivit et en valide chacune des tapes : validation des expressions de besoin ; validation des choix de solutions retenues ; validation des alignements ; validation des investissements raliser ; validation des solutions implmentes (recettes) ; validation de la documentation. La validation tape par tape permet de garantir que les solutions labores, mises en place et documentes, rpondent aux besoins exprims et sont conformes la stratgie formule. En cas de dsaccord, on reprend la dmarche partir de la dernire tape valide (dmarche itrative).
tape 5 : choix des solutions utilisateurs
Positions sur site de repli (site interne ou sous contrat avec un prestataire)
Groupe Eyrolles
Positions ddies : postes de travail entirement pr-quips sur un site de secours utilisateurs, distance raisonnable du site primaire pour permettre un repli rapide aprs un sinistre. Ces positions sont, exclusivement et en permanence, rserves lusage du groupe en cas dactivation, et leur disponibilit est garantie. Positions mutualises : postes de travail entirement pr-quips sur un site de secours utilisateurs, distance raisonnable du site primaire pour permettre un repli rapide aprs un sinistre. Les positions mutualises ne sont pas exclusives et sont contractes paralllement par plusieurs entreprises.
Secours croiss
Cross back up : solution consistant reloger un utilisateur ayant perdu laccessibilit son poste de travail sur un autre poste dans un autre immeuble de production non impact. Cross border : solution consistant reloger le personnel sur une autre implantation du groupe linternational. Remarque : ces solutions croises supposent que des positions et quipements de production et/ou de rserve puissent tre librs la demande, o et quand ncessaire. En outre, la solution linternational nest raisonnablement pas oprationnelle avant J + 2 aprs sinistre (valuation empirique).
Accs distance
Capacit de mener des activits depuis un site nappartenant pas au groupe avec un accs distance aux applications informatiques si ncessaire (domicile, cybercaf, entreprise tierce). Remarque : laccs distance nest pas la solution privilgier pour certaines activits critiques (trading, trsorerie, etc.), car elle suppose une qualit de contrle et de scurit dgrade (accs via Internet).
Split operations
Solution consistant clater temporairement les personnels critiques sur un plus grand nombre de sites (production, repli, accs distance) en prvision dun risque accru de perturbation des activits (exemple : manifestation type G8, convention rpublicaine New York, etc.) ou pour rpondre une incapacit conjoncturelle de rejoindre le lieu de travail habituel (lors dune grve des transports, par exemple). Lorsque cet clatement des comptences nest plus conjoncturel mais est intrinsque par construction la structure de la socit, on parle de rsilience.
Mise en cohrence - Alignements
Alignement de bout en bout
Groupe Eyrolles
Pour garantir la cohrence du dispositif de continuit, il est essentiel daligner les stratgies et solutions des fonctions supports (FS) et de linformatique (IT) sur les objectifs de reprise des fronts mtiers (FO). tape 1 : les FS intgrent les expressions de besoin et la stratgie des FO dans la dfinition de leurs objectifs PCA (itrations, si besoin). tape 2 : lIT aligne sa stratgie de reprise pour rpondre aux exigences mtiers consolides. tape 3 : le business case est consolid de bout en bout, puis est valid par le management. tape 4 : limplantation (ou la rvision) des solutions retenues fait lobjet dun plan daction. tape 5 : le dispositif mis en place est document et valid par le management.
De faon similaire lalignement en silo , une mise en cohrence transversale est ncessaire pour les activits ayant identifi des interdpendances critiques entre elles ou bien lorsquelles partagent les mmes ressources critiques.
Alignement avec les scnarii
Le choix des solutions dployer peut changer en fonction du scnario de sinistre auquel le groupe est confront. Il convient donc de procder une mise en cohrence pour mettre en face de chaque scnario les impacts considrer et les solutions permettant la couverture des activits (scnarii impactant directement les mtiers et problmatiques hubs rgionaux ).
Optimiser les investissements
Quel est le primtre couvrir ? En tenant compte de la probabilit doccurrence et des impacts relatifs lensemble des scnarii que le groupe a choisi de couvrir, le positionnement dpendra du seuil de risque acceptable pralablement dfini. La seule mise en conformit du dispositif de continuit avec les objectifs rglementaires ne prsente pas dapport significatif en termes de continuit, et ce, malgr un investissement lourd, notamment au niveau informatique. linverse, les solutions informatiques requises pour rpondre aux exigences rglementaires donnent au groupe une capacit assurer la continuit des systmes dinformation bien au-del du strict minimum rglementaire. Un investissement supplmentaire sur des solutions mtiers pour assurer la continuit des activits vitales et critiques prsente un retour sur investissement plus favorable et permet doptimiser linvestissement minimal requis pour rpondre aux exigences rglementaires.
Plan durgence Le plan durgence vise grer de faon optimale des scnarii de crise affectant le patrimoine de lentreprise et susceptibles de gnrer des dommages environnementaux substantiels. Pour les risques hautement protgs, le plan durgence est constitu de trois niveaux : plan dorganisation interne des secours, dont la coordination est sous la responsabilit du chef dtablissement, visant sassurer de lvacuation effective du personnel et des tiers au moment du sinistre et prcisant les modalits de gestion du sinistre ; plan particulier dintervention : concerne les sinistres dampleur plus importante en associant la protection civile, les pompiers, le prfet ; plan Orsec, sous la responsabilit du prfet de Rgion, voire du ministre de lIntrieur et ou de lEnvironnement.
Groupe Eyrolles
Cellule de crise La cellule de crise est loutil fdrateur des autres outils de gestion de crise. Cest la fois une structure logistique permettant de grer la situation de crise dans des conditions optimales, et des acteurs internes et externes qui seront diffrents en fonction du scnario de crise analys : en tant que structure logistique : la cellule de crise doit toujours tre situe lextrieur de lentreprise, dans un endroit confidentiel. Cest une structure intgrant les moyens logistiques suivants : configuration tlphonique et informatique oprationnelle et teste rgulirement, copie des fichiers stratgiques, papier en-tte, machine affranchissements, vivres, etc. ; en tant quacteurs : la cellule de crise est constitue dacteurs internes et externes, diffrents en fonction du scnario de crise analys. Nous pouvons distinguer deux cas de figure : cas o les acteurs sont dfinis par une contrainte rglementaire, cas o les acteurs sont du ressort de lentreprise.
Groupe Eyrolles
Autofinancement curatif Il existe trois cas de figure en termes de financement des risques post-sinistre : le financement de la franchise ; lapplication de la rgle proportionnelle de capitaux ; le trou de garantie. Le financement de la franchise est une obligation prvue par le droit des assurances. Afin de moraliser le risque , lassur doit supporter sur trsorerie courante une partie du cot du sinistre. En risques industriels, le montant de ces franchises peut largement dpasser la trsorerie effective dtenue par une filiale de petite taille, pouvant entraner des problmes substantiels de trsorerie dans cette dernire. Ce cas de figure ne semble pas envisageable pour les groupes qui se doivent de scuriser le cash-flow du groupe et la rmunration de lactionnaire. Nous verrons que le recours aux comptes captifs de rassurance permet dautofinancer des niveaux de franchise levs. Dans le cas de lapplication de la rgle proportionnelle de capitaux, le groupe doit financer lcart entre les capitaux dclars lassurance par le management et la valeur de remplacement neuf du patrimoine dtruit. Dans le cas de la ralisation dune expertise pralable de capitaux, ce principe na pas lieu dtre. Le trou de garantie correspond au cas de figure o le fait gnrateur la base du sinistre fait partie des exclusions. Lentreprise doit dans ce cas autofinancer lintgralit du cot du sinistre (si elle en a la capacit !).
Transfert financier des risques Le transfert financier des risques se matrialise par le recours des techniques bancaires ou financires portant sur des risques immatriels (par exemple : risque client ou politique). Font ainsi partie de cette famille doutils les techniques des crdits documentaires irrvocables et confirms et les diffrentes techniques descompte. Transfert contractuel des risques hors assurance Ces techniques de transfert de risque se basent sur le transfert des risques sur des tiers via lutilisation de clauses contractuelles. Ainsi relvent de cette catgorie le recours certains Incoterms (international commercial terms) ou lutilisation de clauses de back-up visant redployer les processus mtiers en cas de situation de crise.
Groupe Eyrolles
Transfert des risques par programme national dassurance Lune des techniques de transfert des risques les plus utilises porte sur le transfert des risques via les programmes dassurance, tant au niveau domestique quinternational. Dans un optique risk management, lassurance est cependant considre comme tant une technique utilise titre rsiduel.
Principes gnraux de structuration des programmes dassurance Dans les grands groupes, il est indispensable de rationaliser la structuration du programme dassurance. Cette rationalisation est fonde sur un certain nombre de principes fdrateurs, savoir : lassurance pour compte de ; la clause de renonciation recours ; la franchise par sinistre ou par anne dassurance ; la limite contractuelle dindemnit.
Assurance pour compte de
L assurance pour compte de est une pratique courante dans les groupes industriels souhaitant minimiser leur budget assurance tout en ayant une qualit de garantie leve. Ce type de clause se traduit en gnral par la souscription dune police dassurance par la socit mre pour le compte des entits juridiques faisant partie du primtre de consolidation statutaire.
Clause de renonciation recours
Le recours ce type de clause est un choix stratgique dans le cadre de groupes optant pour la souscription pour compte de (souscription par exemple de la socit mre pour le compte des filiales). La direction financire et le risk manager se trouvent face au dilemme suivant : Faut-il, au nom de la solidarit financire du groupe, renoncer tout recours entre entits du groupe (en cas de prjudices intragroupe) ? Ou, au contraire, faut-il assimiler les entits juridiques du groupe des tiers et autoriser dventuelles procdures intragroupe ? Il nexiste malheureusement pas de rponse standard cette question qui relve dun arbitrage stratgique.
Franchise par sinistre ou par anne dassurance
Groupe Eyrolles
Le choix dune franchise par sinistre ou par anne dassurance est un choix majeur en termes de protection de la surface financire de lentreprise, surtout dans le cadre de la mise en uvre de programmes internationaux dassurance. Bien videmment, afin de protger la trsorerie courante de lentreprise, il est indispensable de ngocier une franchise annuelle avec lassureur.
Dans le cas de lexistence dun patrimoine industriel clat sur de multiples sites, il savre intressant de souscrire une police dassurance multirisque industrielle, en introduisant la notion de limite contractuelle dindemnit (LCI). Cela signifie que lensemble du patrimoine sera assur sur la base dune surface dveloppe et que, en cas de sinistre, la valeur indemnise ne pourra pas dpasser la valeur expertise du centre de risque la plus leve. Ce choix de structuration du programme dassurance permet de rduire de faon importante le budget assurance.
Prsentation des principales polices dassurance En gnral, une entreprise ayant une activit uniquement domestique va souscrire un certain nombre de polices dassurance visant scuriser sa surface financire.
Police multirisque industrielle
Elle couvre lensemble des dommages matriels affectant le patrimoine de lentreprise, quelle que soit sa qualification juridique, lexception des vhicules terrestres moteur et du parc informatique. Cette police intgre en gnral une clause pertes dexploitation directes ou indirectes (conscutives un dommage matriel). Il savre souvent indispensable de souscrire une clause carence de fournisseurs pour couvrir le risque de rupture dapprovisionnement. Il est aussi indispensable de souscrire la garantie du bris de machine et la couverture des stocks (via une clause rvisable stocks visant ractualiser la prime en fonction du cot de possession des stocks).
Police globale informatique
Elle couvre deux types de clause : tous risques informatiques (TRI) et extension risque informatique (ERI). La clause TRI couvre lensemble des dommages pouvant affecter le patrimoine informatique (unit centrale, serveurs, priphriques, etc.), quelle que soit leur qualification juridique, ainsi que les frais de reconstitution des mdias (temps de saisie ncessaire la reconstitution de donnes dtruites) et les frais supplmentaires dexploitation (location dun ordinateur de remplacement, frais de dplacement de personnel). La clause ERI couvre les consquences dune utilisation non autorise de ressources informatiques (cas de dtournements de fonds gnrs par lutilisation illicite de codes daccs logiques). La souscription dune telle clause nest pas autorise dans la loi Sarbanes-Oxley, car elle peut inciter la criminalit interne.
Police responsabilit civile gnrale et professionnelle
Elle couvre lensemble des dommages causs aux tiers, quils soient matriels, immatriels ou corporels. Sont en gnral couvertes : la responsabilit civile exploitation (dommages gnrs par un dysfonctionnement des processus mtiers) ; la responsabilit civile produit (avec trs frquemment une exclusion de lexportation vers les tats-Unis) ; la responsabilit civile atteinte environnement pour des montants limits ;
Groupe Eyrolles
la responsabilit du fait des commettants. cette police responsabilit civile gnrale sadjoint, en gnral, une police responsabilit civile professionnelle couvrant des risques sectoriels spcifiques (en banque, par exemple : des clauses erreurs sur oprations titres, erreurs sur remise de chque, soutien abusif de crdit, rupture abusive de crdit, etc.).
Police flotte automobile
Elle couvre lensemble des vhicules terrestres moteur avec, en gnral, une gestion de flotte base sur des principes conomiques (du type assurance tous risques pour les vhicules de moins de cinq ans, assurance responsabilit civile uniquement pour les vhicules de plus de cinq ans).
Transfert des risques via programme international dassurance Les groupes industriels ou tertiaires souhaitant se dvelopper linternational, soit par cration de filiales, soit par acquisition de socits existantes, doivent sassurer de lexistence de programmes dassurance homognes au niveau international, protgeant la surface financire du groupe. Il existe trois typologies de programmes internationaux dassurance, scurisant plus ou moins la surface financire des entits figurant dans le primtre de consolidation statutaire, savoir : souscription locale des risques (broad local coverage) ; programme parapluie (umbrella program) ; programme coordonn au niveau mondial (master coordinated program). Lensemble de ces programmes est scuris via le transfert des risques en deuxime ligne via des traits de rassurance (voir annexes de la premire partie).
Souscription locale des risques Ce type de programme dassurance se rencontre dans le cadre de groupes familiaux qui procdent des fusions-acquisitions de socits existantes au niveau international. Ce type de programme dassurance est en gnral dangereux, car il consiste laisser une autonomie de souscription assurance chaque filiale trangre. En cas de trou de garantie (fait gnrateur non assur), les pertes financires gnres par un sinistre sont consolides sur la socit mre et peuvent affecter la surface financire du groupe de faon substantielle. Programme parapluie Le programme parapluie est un programme dassurance scurisant totalement la surface financire du groupe par le biais dun financement des risques DIC et DIL des filiales trangres. Il est prcd par la ralisation dune cartographie des risques au niveau mondial faisant ressortir les risques exclus des garanties assurance au niveau domestique (risques DIC [difference in condition] : trou de garantie non assurable localement) et valorisant les carts entre les objectifs de capitaux assurer pour chaque filiale et les capitaux assurables localement (risques DIL [difference in limit] : diffrence entre les capitaux que le groupe souhaite assurer et les capitaux assurables au niveau domestique).
Groupe Eyrolles
Dans le cas de ce programme, les filiales trangres sassurent en premire ligne auprs dassureurs locaux (via le schma de la souscription locale des risques). Lassureur de la socit mre (dnomm assureur apriteur ) assure quant lui la fois les risques de la socit mre, mais aussi les risques DIC et DIL des filiales. En cas de sinistre majeur, la surface financire du groupe est compltement scurise via ce dispositif.
Programme coordonn au niveau mondial Le programme coordonn dassurance est un dispositif sappliquant aux groupes internationaux cots. Dans ce cas de figure, lassureur tiers intervient sur le financement des risques internationaux, le groupe acceptant dautofinancer les risques de frquence. Ce type de montage est bas sur lexistence dun niveau de franchise trs lev (plusieurs millions deuros), imposant la constitution des systmes dautofinancement de cette dernire par les groupes industriels ou tertiaires. Ce type de programme nautorise quune seule police dassurance au niveau mondial applicable lensemble des entits juridiques constituant le primtre de consolidation du groupe. Les filiales sassurent auprs de correspondants locaux de lassureur apriteur, la socit mre assurant toujours les risques de la socit mre ainsi que les risques DIC et DIL des filiales.
Financements alternatifs Le recours aux financements alternatifs relve dune sous-branche du corporate risk management dnomme ingnierie des risques . Cette dernire a pour objectif, dune part, de financer en intragroupe certains risques de sinistralit matrisables en vue de raliser de lautofinancement dfiscalis sous couvert de transfert de risques ; et dautre part, de financer des risques mergents non assurables (via le march de la rassurance technique) ou de lever des capitaux suprieurs au march de lassurance via des techniques de titrisation.
Systmes captifs dassurance/rassurance Les groupes industriels ou tertiaires peuvent avoir recours des systmes captifs dassurance ou de rassurance (via filialisation interne au groupe) en vue dautofinancer certains risques de sinistralit matrisables. De fait, il existe trois types de montages juridico-financiers.
Systmes captifs de rassurance
Les systmes captifs de rassurance sont les plus frquents. Dans cette configuration, la socit mre dtient une filiale ayant le statut de socit de rassurance (cest-dire finanant uniquement les risques de personnes morales et ne pouvant financer les risques concernant les personnes physiques). Les risques du groupe sont transfrs un assureur tiers apriteur qui coordonne le programme dassurance au niveau mondial et rtrocde une partie des primes la socit captive de rassurance. Lapriteur se coassure auprs de la socit captive. Afin de protger leurs surfaces financires respectives, lassureur apriteur et la captive se rassurent via des traits proportionnels (partages des risques et des primes
Groupe Eyrolles
sur une base proportionnelle) ou non proportionnels (lassureur supporte un plein dacceptation protgeant la surface financire).
Systmes captifs dassurance
Les systmes captifs dassurance sont beaucoup moins utiliss que le systme prcdent car ils ncessitent dobtenir un agrment par branche dassurance en vue dassurer des personnes physiques. Lintrt de ce type de montage est trs limit pour les groupes industriels, alors quil est majeur pour les groupes bancaires, qui vont utiliser ce type de montage pour leurs clients en leur proposant des produits dassurance captifs (multirisques habitation, automobile, assurance-vie, etc.). Ce type de montage juridico-financier se caractrise par le fait que lassureur apriteur devient la socit captive de rassurance coordonnant le programme dassurance au niveau mondial. Cette dernire se coassure auprs dun assureur tiers. Les deux acteurs se rassurent via des traits de rassurance proportionnels ou non proportionnels. Le rassureur supporte la diffrence quel que soit le montant du sinistre.
Comptes captifs de rassurance
Les comptes captifs de rassurance visent essentiellement autofinancer les franchises dans le cadre de programmes internationaux dassurance de type master coordinated program. Dans ce type de montage juridico-financier, le groupe industriel verse une prime dassurance dcaissable un courtier dassurances international gestionnaire de captives de rassurance. Cette souscription de police dassurance va tre associe la location dun compte captif de rassurance pour des capitaux correspondant au montant de la franchise dans le cadre du programme international dassurance. La location de ce compte captif permet, dans le cas de linexistence de sinistres, de gnrer des produits financiers dfiscaliss rcuprs via une participation bnficiaire au rsultat (se traduisant par une diminution de la prime dassurance pour lanne suivante). Chaque compte captif est rassur de faon autonome, ce qui scurise le montage financier. En cas de sinistre, la socit gestionnaire du compte captif donne lordre de cder les actifs en reprsentation et indemnise le sinistre pour le montant de la franchise.
Rassurance nancire La rassurance financire se fixe deux objectifs : intervenir sur des risques mergents que le march de lassurance classique refuse de reconnatre comme tant des risques assurables (bug de lan 2000 en 1999, rchauffement de la plante, etc.) ; complter les capitaux sur des risques assurables par le march de lassurance et de la rassurance technique, mais trs loigns des objectifs dassurance recherchs.
Dans les deux cas de figure, la rassurance financire cherche utiliser des techniques de titrisation visant annuler un risque de sinistralit alatoire en ladossant sur des actifs financiers non risqus.
Groupe Eyrolles
Le nancement des risques non assurables La rassurance financire peut venir se substituer aux techniques dassurance dans lhypothse o le march de lassurance refuse de prendre en compte ces risques mergents. Les techniques utilises sont identiques celles dveloppes ci-dessous. La rassurance nancire en complment de la rassurance technique Les techniques de rassurance financire visant complter des capitaux existant dans le cadre dun programme dassurance traditionnel sappuient sur des techniques dingnierie des risques relativement complexes. Dans un premier temps, un groupe industriel souscrit un contrat dassurance avec un assureur apriteur (coentreprise ayant la fois la qualit dassureur et de banquier pouvant intervenir en tant que syndicat bancaire). La prime dassurance dcaisse est dductible fiscalement. Lassureur alternatif en sa qualit de banquier intervient en tant que syndicat bancaire pour acqurir des titres obligataires via la prime dcaisse. Il procde ainsi de la titrisation, en adossant le risque pur sur un actif financier non risqu prsentant une rmunration certaine. Ce type de montage financier est assimil un vhicule de refinancement (special purpose vehicule) et savre trs surveill en comptabilit financire IFRS et US GAAP en tant que montage dconsolidant. cet emprunt obligataire est adosse une option. Dans lhypothse o aucun sinistre ne se matrialise, les primes dassurance verses annuellement alimentent la constitution dun portefeuille obligataire rmunr. Loption nest pas exerce et les coupons gnrs par ce portefeuille sont rcuprs par le groupe industriel via une participation bnficiaire au rsultat se traduisant par une diminution de la prime dassurance sur les annes venir. Dans le cas inverse (cest--dire si le sinistre se matrialise), loption est exerce, gnrant la cession dactifs obligataires (titres dtenus chance : held to maturity). La cession de ces actifs permet le remboursement du sinistre au groupe industriel, protgeant ainsi la rmunration de ses actionnaires. Dun point de vue comptable, ce type de montage financier est assimil un instrument de march, valoris selon la technique de value at risk (en couverture de cash-flows). Linstrument de march apparat lactif du bilan du groupe industriel pour une valorisation gale la somme actualise des amplitudes de cash-flows entre le scnario le plus optimiste (loption nest pas exerce) et le scnario le plus pessimiste (loption est exerce chaque anne avec la ralisation dun sinistre majeur entranant la cession de lensemble des titres dtenus chance). La contrepartie de cet actif financier correspond au passif la constitution dune rserve de juste valeur. Lobjectif de cette passation dcriture est de comptabiliser la qualit de linstrument de couverture que lassureur alternatif a propos son client industriel pour financer des risques de sinistralit potentiels.
Groupe Eyrolles
Chapitre 4
Scnarii inacceptables
Ainsi seront traits en priorit les scnarii qui, du fait de leur ralisation, pourraient remettre en cause la prennit de lentreprise. Dans ce cas de figure, le critre budgtaire est trs secondaire, des investissements de prvention substantiels permettront dradiquer le risque titre prventif.
Bilan risk management Actif Actif circulant Liquidits de la captive Titres de placement de la captive Crances clients Immobilisations Investissements de scurit Investissements de gestion de crise Ressources long terme Fonds propres de la captive Quote-part dettes long terme Participations de la captive Autres investissements Dettes commerciales Dettes sur rmunration Passif circulant Passif
Groupe Eyrolles
Chapitre 5
Groupe Eyrolles
Chapitre 6
Organisation
Structure ad hoc cre de type direction La cration dune structure ad hoc de risk management implique, de la part de la direction, la volont dafficher clairement dans lorganigramme limportance du projet et de la prennit du dispositif. Cette structure peut tre concentre sur un responsable du risk management et sappuyer sur des relais que sont les correspondants risk management de division. La cration dune telle structure ne vise pas dresponsabiliser les oprationnels, bien au contraire, mais permettre une meilleure coordination et un langage unique. Construction collgiale base sur une responsabilit managriale Certains groupes dcident de construire un dispositif de risk management mature partir dune production collgiale porte par les oprationnels via des comits de risques. Ce dispositif porte en lui-mme ses forces et ses faiblesses (ses forces : les cartographies de risques correspondent une connaissance approfondie des mtiers ; ses faiblesses : on assiste rapidement des divergences mthodologiques gnrant des chapelles du risk management au sein de la mme entreprise). Construction collgiale fdre par une direction du risk management Dautres groupes adoptent une approche mixte impliquant les oprationnels mais sassurant dune cohrence mthodologique via la direction du risk management.
Budget
Internalisation ou externalisation Le choix dinternaliser ou dexternaliser le projet nest pas sans incidences ni risques. Certaines filiales de grands cabinets de commissariat aux comptes proposent en effet ce type de prestations. Tout internaliser permet dimpliquer les oprationnels dans la mesure o le responsable du projet a le poids suffisant dans la hirarchie. Le risque induit est une difficult identifier les bonnes pratiques qui ne seraient pas en place dans lorganisation. Lexternalisation complte du dispositif de risk management nest pourtant pas conseille. Le risque de dsappropriation par les quipes internes du dispositif est trs lev. Une fois les consultants partis, le dispositif stiole et nest plus maintenu, alors que les risques et processus critiques sont toujours prsents. Bien entendu, un mlange des deux permet dallier la connaissance interne et le benchmark de ce qui se pratique ailleurs. Niveau dautomatisation donn au Sirm La problmatique du niveau dautomatisation donner au systme dinformation risk management (Sirm) est lune des plus sensibles traiter dans le cadre du projet construction dun dispositif de management des risques. Lide est bien de construire un dispositif de risk management qui permette de mesurer lefficacit de la dmarche.
Groupe Eyrolles
Appropriation des spcificits mthodologiques et du langage risk assessment Le langage du risk management nest pas immdiat pour tous. La formation ses spcificits est essentielle, et pas seulement pour lquipe charge du dispositif. Cet engagement de formation permet tous de parler un langage commun et dadhrer en bonne connaissance de cause au dispositif, qui, de fait, devient un lment part entire de lactivit. Prise en compte de la dimension multiculturelle et intermtiers, et prvention du risque social La construction dun dispositif de risk management efficace passe, de notre point de vue, par la ncessit de brasser les populations fonctionnelles et oprationnelles pour faire converger les buts.
Groupe Eyrolles
DEUXIME
PARTIE
Groupe Eyrolles
Chapitre 1
Sont surtout concerns par le risque atteinte lenvironnement les groupes appartenant au secteur suivant : groupes ptroliers ; entreprises chimiques ; entreprises risques hautement protgs .
La construction dune cartographie des risques intgre donc la fois des risques gnriques concernant lensemble des entreprises (risques client, fournisseur, etc.), et des risques spcifiquement sectoriels.
Le profil risquophile La prise de risque est considre comme tant une composante part entire de la stratgie gnrale du groupe, elle est encourage ce titre. Le risque est reconnu en tant que valeur et les aspects rglementaires sont assimils des opportunits. Le profil tolrant aux risques Le groupe adopte une stratgie agressive en termes de prise de risque. La mise sous contrle des risques passe par des choix dacceptation ou de rduction de ces derniers.
Groupe Eyrolles
Le profil neutre Le groupe adopte une approche structure en termes darbitrage risques/opportunits. Les critres de rentabilit et de prise de risque sont valus un niveau identique. Le profil moyennement risquophobe Le groupe prend normment de prcautions en termes dvaluation et de quantification des risques. Les objectifs associs au risk management sont prioritaires sur les objectifs de rentabilit du groupe. Le groupe prfre transfrer des risques sur des tiers. Le profil risquophobe Le groupe accepte un minimum de risques. Les risques qui ne peuvent tre mis sont contrle sont supprims. Cela peut se traduire par un dsengagement de certaines activits.
Groupe Eyrolles
Sassurer de la cration de la valeur la diffrence de la mthodologie du COSO, le projet de norme ISO fait ressortir explicitement lexigence de cration de valeur ou de protection de cette dernire via la protection des biens et des personnes et la protection de limage de lorganisation. Faire partie intgrante des processus organisationnels Le projet de norme reconnat le dispositif de risk management en tant que processus global et sassure de lexistence dune interrelation entre processus et risques. tre intgr dans la prise de dcision stratgique ISO 31000 reconnat la dimension risk assessment comme tant une dimension essentielle et met en exergue limplication du top management en termes darbitrage risques/opportunits, ainsi que le niveau dapptence des dirigeants en termes de matrise des risques. Traiter explicitement de lincertitude Le projet de norme demande lorganisation de donner sa dfinition des risques alatoires et incertains ainsi que de qualifier la notion de risques acceptables et inacceptables. Avoir une approche systmatique, structure et proactive La norme est fonde sur la construction dun dispositif rcurrent bas sur le retour dexprience et la notion dradication du risque. Se baser sur la meilleure information disponible ISO 31000 reconnat lexigence dtayer le dispositif de risk management sur ltude de sries chronologiques antrieures, mais aussi dlments de veille permettant de mieux anticiper le futur. tre construit sur mesure Le projet de norme ISO reconnat la ncessit dadapter le dispositif de management des risques lorganisation, aux spcificits culturelles de lorganisation. Cet aspect est fort intressant et se diffrencie de la mthodologie du COSO, qui est relativement monolithique. Intgrer les facteurs humains et culturels de lorganisation La norme reconnat le poids du comportemental dans la mise en uvre dun dispositif de management des risques efficace. noter, l encore, une diffrence substantielle avec le COSO, qui ne met en exergue que laspect mthodologique, sans sintresser la dimension psychosociologique.
Groupe Eyrolles
tre transparent et participatif ISO 31000 met en exergue limportance de construire un dispositif de management des risques avec la collaboration des parties prenantes (fournisseurs, sous-traitants, entits portant des processus externaliss). L encore, il faut noter laspect innovant et diffrenciateur du projet de norme par rapport au COSO, qui ne raisonne quen fonction du primtre de consolidation statutaire stricto sensu. tre dynamique, itratif et ractif ISO 31000 reconnat la ncessit dtre en veille permanente par rapport lidentification des risques mergents. En ce sens, la norme se diffrencie de la mthodologie du COSO, qui raisonne plutt en termes de risques embarqus relativement stabiliss. Faciliter lamlioration et lvolution continue de lorganisation La finalit du dispositif est la monte en puissance du niveau de maturit du dispositif de management des risques (attributs dun management des risques amlior).
Mandat et engagement Cette tape ncessite un engagement officiel des acteurs de la gouvernance en conformit avec lensemble des rglementations en vigueur. Conception du cadre organisationnel de management du risque Elle passe par une analyse stratgique du type forces et faiblesses, risques et opportunits en intgrant cette dmarche les parties prenantes externes. Loriginalit de ce projet de norme ISO rside dans lintgration systmatique de ces dernires dans le dispositif de management des risques, du fait quelles portent une partie significative des risques de sinistralit. Mise en uvre du management des risques Elle passe par la mise en uvre du cadre organisationnel de management des risques et se traduit, entre autres, par lobligation pour lentreprise de justifier ses prises de dcision, y compris la dtermination des objectifs aligns sur les rsultats du processus de management des risques.
Groupe Eyrolles
Surveillance et revue du cadre organisationnel Cette tape impose la construction dindicateurs de performance permettant de monitorer la monte en puissance de la maturit du dispositif de risk management et deffectuer rgulirement des revues de performance.
Amlioration continue du cadre organisationnel Cette tape doit se matrialiser par une radication des causes des risques les plus significatifs via retour dexprience (voir lanalyse du type sret de fonctionnement).
Communication et consultation Cette premire tape vise partager, avec les parties lies, une mme vision du dispositif de management des risques mettre en uvre, en changeant les hypothses de travail communes. tablissement du contexte Par la prise en compte de lensemble des contraintes et opportunits offertes par les volutions rglementaires (rglementaire, concurrentiel, montaire, dmographique, etc.) et de la flexibilit de lorganisation interne mise en uvre pour anticiper ces risques environnementaux. Apprciation du risque
Identication du risque Lobjectif est de raliser une cartographie des risques base sur les vnements susceptibles de faciliter, dempcher, de diffrer latteinte des objectifs. Le dispositif vise aussi sintresser aux risques lis la non-saisie dune opportunit. Dans ce sens le projet de norme ISO 31000 couvre la fois les dimensions corporate et business risk management. Analyse du risque Le projet de norme demande de dcrire les causes des risques affectant les processus ainsi que leur impact positif ou ngatif, en probabilisant les faits gnrateurs. La mthodologie propose va dans le sens des approches classiques dveloppes en termes de contrle interne et de management des risques. valuation du risque Cette tape consiste comparer le niveau de risque estim lors de la simulation des scnarii de risques avec les critres de risque tablis lors de ltablissement du contexte. Si le niveau de risque ne satisfait pas les critres dacceptabilit (parce quil se traduit par une remise en cause de la prennit de lentreprise), il convient que le risque fasse lobjet dun traitement (duplication, sparation, suppression, etc.).
Traitement du risque Lobjectif de cette tape est de supprimer le risque ou de rduire le niveau de vulnrabilit de lentreprise :
Groupe Eyrolles
viter le risque en dcidant de ne pas commencer une nouvelle activit ou de supprimer une activit existante ; supprimer la source du risque via des investissements de protection ; changer la probabilit doccurrence via des investissements de duplication ; partager le risque avec une ou plusieurs parties prenantes (dont transfert par lassurance). Cette mthodologie de traitement du risque est identique la mthodologie amricaine daudit en risk management dfinie par lAssociate in Risk Management (ARM).
Surveillance et revue Cette phase passe par la construction dun systme dinformation management des risques permettant de suivre le monitoring des risques. Cette mthodologie savre relativement proche de celle de lARM, qui se dcompose en cinq tapes : identification et analyse des risques (tude de la sinistralit antrieure, simulation de limpact dun sinistre majeur sur les objectifs stratgiques, quantification des pertes gnres par un sinistre majeur) ; tude des outils de contrle des risques (contrle interne, technique et financier des risques) ; choix optimal en termes de combinaison doutils (bas sur les critres de la minimisation des impacts) ; mise en uvre des dcisions (dont budgtisation) ; reporting, monitoring (tableaux de bord management des risques).
Groupe Eyrolles
Chapitre 2
Groupe Eyrolles
Des scnarii de communication de crise produit modifiant les registres de communication externe traditionnels
La routine et lenactment sont des attitudes managriales normales des groupes de taille importante. Par voie de consquence, une situation de crise va fortement affecter la culture du groupe et risque de paralyser son fonctionnement. Cependant une situation de crise des impacts anxiognes et psychologiques remettant en cause les processus routiniers de lentreprise. Ainsi, la crise du Tynelol a remis en cause dans la culture de Johnson & Johnson la croyance selon laquelle un mdicament ne peut quamliorer la sant des individus. De mme, la crise du benzne chez Perrier enseigna aux dirigeants du groupe que leau de source pouvait savrer toxique. Les groupes industriels doivent donc formaliser, titre prventif, la communication de crise mettre en uvre en cas de remise en cause de la responsabilit civile produit : dfinir une stratgie marketing et mix marketing de crise par grande famille de faits gnrateurs (acte de criminalit, dysfonctionnements du systme de contrle qualit) ; dfinir les diffrentes typologies de cibles, les mdias utiliss, la nature et le contenu du message ; mettre en uvre une structure de veille mdiatique, permettant denregistrer titre prventif les risques de drive au titre du risque produit (seuil dalerte sur le reporting rclamations clients). Le contenu du message, quant lui, peut tre offensif, en vue dexonrer la responsabilit civile produit en cas de rumeur non justifie ou dans le cas dune simple relation de corrlation. Au contraire, le contenu peut tre dfensif et scurisant, dans le cas dune relation de causalit. Il peut dautre part opter pour un registre relativement gnraliste pour le grand public, et opter pour un mode opratoire et descriptif pour le rseau de distribution (modalits de retrait, de substitution, dindemnisation). Enfin les cibles, quant elles, seront relativement segmentes (prescripteurs, stakeholders - preneurs de risques [clients, fournisseurs, rseau de distribution, etc.]). titre curatif, la communication de crise exige : davoir des structures permanentes pour informer et tre inform rapidement ; de pouvoir prendre du recul ; de rester crdible et cohrent ; de grer en mme temps les acteurs internes et externes ; de communiquer sans gner les responsables oprationnels. Lefficacit de la communication de crise adopte dans le cadre dune rflexion mene en termes de risque produit prsuppose la ngociation pralable dun contrat
Groupe Eyrolles
de back-up avec une structure de marketing tlphonique, prvoyant la mise en uvre dun numro vert, interrogeable gratuitement par les tiers. Lintrt majeur de lutilisation de cette structure rside dans le fait que, dune part, par le biais de la mutation de cadres de lentreprise sur cette structure, le groupe va vhiculer un registre de communication de crise unique et standardis concernant ce scnario de crise et que, dautre part, lentreprise ne dispose pas en gnral sur son propre site dune capacit de traitement des appels tlphoniques dun volume suffisamment consquent en cas de crise.
Une logistique plan de retrait des produits du march modifiant la composante distribution du mix marketing
Loutil plan de retrait logistique des produits du march ncessite la rdaction pralable dune procdure confidentielle expliquant dans quel cas de figure le groupe sera oblig soit de procder une suspension provisoire de commercialisation, soit de procder un retrait effectif des produits du march (uniquement dans le cas de lexistence dune relation dimputabilit). Voici les diffrents modes de retrait envisageables : slectif/global, dpendant de la traabilit des lots ; linitiative de lentreprise ou celle du client. Cette procdure explique aussi les liens entre loutil plan de retrait et les autres outils de crise connexes (cellule de crise, plan de survie et communication de crise). Le plan de survie dans le cadre du plan de retrait des produits vise organiser la fabrication des produits de substitution, arrter la fabrication du produit incrimin, prvoir lindemnisation des clients ayant subi un prjudice. Dans le cadre de la mise en uvre de la loi de scurit financire et de la convergence vers la 8e directive europenne sur laudit lgal, les groupes cots franais et europens doivent formaliser leurs processus de business risk management en vue de protger la rmunration des actionnaires. La mise sous contrle du risque de remise en cause de la responsabilit civile produit savre tre un dossier prioritaire pour les groupes susceptibles dtre affects par un tel scnario de crise. Au-del des outils de gestion de crise produit devant tre conus a priori, la culture risk assessment doit devenir un pralable comportemental pour aboutir une vritable efficacit de ces outils.
Groupe Eyrolles
Groupe Eyrolles
Contrle financier Il se matrialise en cas de souscription dune police dassurance-crdit par une indemnisation assurance suite la comptabilisation dune provision pour crances irrcouvrables.
Groupe Eyrolles
transfert contractuel hors assurance : via le choix de clauses dIncoterm, par exemple, limitant le risque fournisseur linternational, ou via lintroduction de clauses de pnalits de retard en cas de rupture dapprovisionnement imputable au fournisseur.
Contrle curatif
Contrle interne et gestion de crise En cas de sinistre maximum possible, le groupe industriel activera son plan de continuit des processus critiques et cherchera soit redployer les flux logistiques linternational sur des usines non sinistres ou faire porter le cot de possession des stocks sur les fournisseurs ayant sign les clauses de back-up. Contrle financier En cas de rupture dapprovisionnement substantielle, le recours cet outil se traduira par une indemnisation assurance des pertes dexploitation gnres par cette rupture, quelle quen soit la cause (causes imputables aux fournisseurs, ou causes exognes, telles que grve des transporteurs, par exemple).
Groupe Eyrolles
1. Cot moyen pondr du capital : cot moyen de constitution des ressources financires plus dun an.
Contrle technique
Protection des expatris et des autochtones La protection des expatris passe en gnral par un cloisonnement des expatris dans des quartiers de haute scurit et par laccompagnement des salaris en contexte scuris par des gardes rapproches. Protection des actifs Elle se matrialise par des investissements de scurit (locaux et logements protgs).
Contrle financier
Protection des expatris et des autochtones Elle se matrialise par la souscription de police dassurance collective en cas de dommages corporels affectant le personnel ou par la souscription de polices responsabilit civile. Protection des actifs Elle se traduit par la souscription dune multirisque industrielle via un programme international dassurance venant complter un programme de type souscription locale des risques .
Traitement du risque social interne ce niveau, il savre essentiel de diffrencier le rle de la direction des relations sociales, qui se chargera de la mdiation permettant de sortir de la crise, et le rle du risk manager visant protger en priorit les hommes cls, les actifs stratgiques et
de redployer les processus critiques des sites oprationnels sur des entits ntant pas en grve.
Contrle interne et gestion de crise En cas de situation de grve paralysant lactivit dun site industriel de faon substantielle, lobjectif du risk manager est didentifier titre prventif les lments suivants : actifs stratgiques non dupliqus quil faudra protger en priorit dventuels actes de vandalisme ; hommes cls non grvistes, dont salaris de nationalit trangre ne relevant pas du droit du travail local ; processus critiques redployer ou protger en cas de grve (dploiement des flux logistiques linternational, protection des actifs et des hommes cls, protection du cash management et du cash pooling, etc.) ; mise en pralerte du plan durgence sur des sites industriels risque (en cas de drapage de la grve et dactes de vandalisme ventuels).
Le rle du risk manager est sensible dans ce type de scnario, car il doit conjuguer des lments qui, en fait, sont des conflits dobjectifs, savoir : le maintien du droit de grve avec continuit de lexploitation des processus critiques du site sinistr.
Contrle technique Dans le cas de sites industriels du type risques hautement protgs, le risk manager peut envisager dengager des moyens prventifs spcifiques ce type de scnario de crise, quil pourra aussi activer dans le cadre dautres scnarii de crise (du type atteinte lenvironnement) : duplication des portiques daccs, etc. Contrle nancier La couverture du risque de grve interne est toujours un sujet sensible qui pose obligatoirement la question de ladquation du management et la qualit de la stratgie de gestion des ressources humaines. Lindemnisation par les techniques dassurance classique savre donc peu envisageable. Il faut lui prfrer le recours des financements alternatifs que nous avons dj voqus.
Contrle interne et gestion de crise Lobjectif du risk manager est de minimiser limpact dune grve affectant les flux logistiques amont et/ou aval en dupliquant : les transporteurs, les modes de transport (multimodal plutt que mono-modal) ;
Groupe Eyrolles
Traitement du risque social externe La mise sous contrle du risque de grve externe est un scnario frquent en France, pouvant tre conjugu avec un scnario social interne (grve de La Poste, des transporteurs, etc.). Lobjectif ne consiste pas supprimer le risque mais en limiter les consquences financires sur lentreprise sinistre.
les flux logistiques associs au courrier (recours prventif des socits de messagerie). La rponse la mise sous contrle de ce type de risque ne rside pas forcment dans le management des risques. Elle peut parfois tre apporte par une conception de la stratgie gnrale. Ainsi, il y a une dizaine dannes, une compagnie dassurances forme mutualiste a eu subir de plein fouet les consquences dune grve postale substantielle une priode de lanne o la majeure partie des appels de cotisations tait bloque par la grve et les rglements effectifs taient eux-mmes bloqus au niveau du cour rier en attente. La situation de crise passe, les dirigeants se sont pos la question des causes de sa gravit (entre autres pour la trsorerie du groupe). De fait les appels de cotisations taient concentrs sur la fin de lanne en raison dune souscription des polices au 1er janvier de chaque exercice. De plus, les rglements taient peu mensualiss, et le recours au rglement par virement non systmatis. Les choix prventifs mettre en uvre savraient vidents : souscription des nouvelles polices tales sur lanne ; rglement des cotisations mensualis par prlvement.
Contrle technique Le risk manager doit anticiper les consquences dune grve des transporteurs sur les stockages risque (secteur de la chimie, par exemple). Il se doit donc dvaluer le niveau de stock de scurit ncessaire pour prvenir tout risque ventuel dexplosion, et de prvoir une mise en pralerte des sites possdant des installations classes risque. Contrle nancier Il est souhaitable de prvoir la souscription dune police perte dexploitation couvrant la clause carences de fournisseurs , qui, comme son nom lindique, a pour vocation dindemniser le prjudice financier caus par une grve externe. En tout tat de cause, lassureur vrifiera lexistence dun plan de reprise dactivit logistique amont et/ou aval avant dautoriser la souscription dune telle clause.
Groupe Eyrolles
de protger les salaris grvistes et non grvistes (risques de conflits entre les deux typologies) ; denvoyer les cadres cls intervenant sur les processus critiques sur des sites trangers hautement protgs (ce sont en gnral des cadres du groupe ressortissants trangers non soumis au droit du travail franais).
Contrle nancier Il sera possible dactiver des ressources financires si le groupe a souscrit avant sinistre la location de comptes captifs de rassurance, ou sil possde une socit captive de rassurance o le risque de grve interne a t souscrit.
Groupe Eyrolles
Cette communication de crise environnementale prventive est associe deux autres outils de gestion de crise, savoir : le plan de reprise dactivit permettant de redployer les processus critiques du site sinistr sur dautres usines non affectes ; le plan durgence (plan dorganisation interne des secours) expliquant les modalits de gestion du sinistre en lui-mme.
Contrle technique Le contrle technique dcrit lensemble des investissements de scurit et des charges dexploitation engags au titre de la scurit atteinte lenvironnement : doubles cuves de rtention ; station dpuration ; plan de tests environnementaux ; etc. Contrle financier
Transfert par assurance Les consquences du risque atteinte lenvironnement sont essentiellement couvertes par la souscription dune police dassurance responsabilit civile gnrale et professionnelle. Cependant, compte tenu de limportance des capitaux pouvant tre engags, les capitaux traditionnellement souscrits dans ce type de programme se rvlent insuffisants. Il savre donc indispensable davoir recours dautres montages ayant pour objectif de protger la surface financire du groupe en cas de ralisation du risque. Ainsi, lentreprise peut souscrire en complmentant une police Assurpol 1, ayant pour objectif de monter en puissance les capitaux souscrits, entre autres, sur des risques de pollution chronique. Si ce montage ne suffit pas, il convient alors denvisager un autre montage relevant de lingnierie des risques. Transfert par nancements alternatifs Le risk manager peut avoir recours, ou peut dvelopper, un programme multi-field, multi-yield compltant le transfert lassurance au niveau des capitaux, et assurant une protection financire de faon pluriannuelle. Il peut, par exemple, prvoir de souscrire un compte captif de rassurance en vue dautofinancer la franchise de la police responsabilit civile (1 re ligne), de financer les risques de 2e ligne via un assureur tiers fronteur, dindemniser les risques de 3 e ligne via lassureur apriteur de la mre (dans le cadre de la souscription dune umbrella policy ou dun master coordinated program), de financer les capitaux de 4 e ligne via le recours une captive de rassurance. Attention ! Dans ce dernier cas de figure, la captive de rassurance doit avoir sign des traits de rassurance de type stop loss limitant sa responsabilit des capitaux limits en cas de sinistre majeur.
1. Assurpol : groupe dintrt conomique europen finanant des risques de pollution chronique.
Groupe Eyrolles
En effet, en 5e ligne, le risk manager peut avoir recours la rassurance financire en souscrivant la Bourse de commerce de Chicago une option pollution, par exemple.
Groupe Eyrolles
Chapitre 3
Groupe Eyrolles
le CMPC (cot moyen pondr du capital) est diffrent par unit daffaires, existence du critre de lindpendance par BU (larrt dune BU ne doit affecter ni les processus ni les performances financires des autres BU), possibilit de prix de transfert inter-BU, sils sont marginaux et ne remettent pas en cause le principe de lautonomie stratgique ; par zone gographique/montaire : avec existence dune segmentation en fonction du niveau du risque politique ou par technique de contrle du risque de change. WACC diffrent pour chaque zone gographique et corrl lvaluation du risque politique. LIASB (International Accounting Standard Board) a introduit une vision trs tourne vers lintgration dune approche risk management en proposant une telle logique de segmentation stratgique. En effet, en proposant le critre de lautonomie stratgique, lIASB valide la maxime diviser pour mieux rgner en crant des compartiments tanches au sein des groupes, ayant une autonomie stratgique propre et dont larrt dactivit ne doit affecter ni les processus ni les performances financires des autres units daffaires du groupe. De mme, lorsque lIASB demande explicitement de majorer le CMPC dun facteur de risque politique, et disoler en communication financire les zones gographiques risque politique majeur, il reconnat explicitement le droit de regard que doivent avoir les actionnaires sur les choix stratgiques du conseil dadministration, et limpact de ces choix sur leur rmunration. Ces choix sont acceptables si bien videmment le top management a la capacit de dmontrer en communication financire la capacit du groupe mettre effectivement sous contrle le risque politique (guerre civile, militaire, expropriation, nationalisation, etc.).
Groupe Eyrolles
la construction de carte de performance par BU et zone gographique La dmarche du balanced scorecard a pour objectif que le comit excutif se donne les moyens de ses ambitions, lorsquil labore le plan stratgique de chacun de ses mtiers. Lobjectif de cette mthodologie est de sassurer quil existe des processus rcurrents et des projets ddis permettant de sassurer avec certitude de latteinte des objectifs dcrits dans le plan. Bien entendu, la dmarche du corporate risk management aura pour objectif, pour chaque business model construit via la mthodologie du balanced scorecard, de jouer le rle de lavocat du diable en se posant la question suivante : Que se passerait-il si ? (de faon image : que se passerait-il si je mettais le doigt dans lengrenage ? Quelle est la rsistance du business model face une situation de crise majeure ? Le groupe existera-t-il encore suite cette situation de crise ?). Les dmarches de planification stratgique classiques ne sont pas habitues dvelopper de tels raisonnements. Dans lapproche classique de planification (diagnostic interne et externe, forces et faiblesses, contraintes et opportunits, prconisations stratgiques), il est sous-entendu que, forcment, les objectifs stratgiques dcrits dans le plan seront forcment atteints !
La dmarche du corporate risk management vient donc bouleverser ce schma mthodologique en forant les planificateurs se poser les bonnes questions, et identifier les risques significatifs pouvant empcher latteinte des objectifs officiels dcrits dans le plan moyen terme.
La construction dune carte de performance par BU intgrant la dimension corporate risk management Lapproche mthodologique du balanced scorecard se concentre sur la mise sous contrle des risques stratgiques du type spculatifs. De notre point de vue, la construction dun vritable modle stratgique se doit dintgrer la dmarche risk management la source en identifiant, ds la phase projet, les zones de rupture du business model. Ainsi, titre illustratif, il savre indispensable : didentifier les processus critiques qui, en cas de dysfonctionnements, pourraient remettre en cause la prennit du groupe (simulation des plans de retrait des produits pour un groupe pharmaceutique ou agroalimentaire, dysfonctionnement total de lexploitation informatique pour un groupe bancaire, etc.) ; de prvoir les indicateurs de pralerte pouvant faire penser que le groupe passe dune situation normale une zone de risque potentiel (nombre de rclamations clients anormalement lev pouvant faire penser lexistence dun dysfonctionnement du processus de contrle qualit) ; de sassurer de lexistence des outils indispensables la protection financire, la protection de limage de marque et des parts de march, et, en cas dinexistence, les embarquer dans la construction de la carte de performance. Lobjectif est donc de passer dune approche classique du balanced scorecard une approche largie de la dmarche (executive scorecards) sassurant que tant les risques purs que spculatifs sont effectivement mis sous contrle et que le dispositif de cration de valeur mis en uvre par le groupe ne pourra en aucun cas tre affect.
Groupe Eyrolles
Pour rpondre ces critres dactivation, le business analyst doit laborer un business plan sur la dure dusage, cest--dire sur la dure dutilisation prvue de ce sousensemble dactifs. La projection de ce business plan sur le futur prsuppose donc dtablir un principe de prudence et de sincrit dans llaboration de ce dernier, qui de surcrot est soumise lapprobation des commissaires aux comptes. Llaboration sincre dun business plan se doit dintgrer la base : la dimension business risk management (par lintgration de lapplication de taux de croissance dcroissants dans lestimation du CA, qui, de surcrot, doit obligatoirement tre fonde sur une tude de march). Lobjectif, dans ce cas de figure, est de sassurer du principe de prudence dans llaboration des cash-flows prvisionnels sur toute la dure dusage du business plan. En effet, lunit gnratrice de trsorerie est une composante cl du dispositif budgtaire, puisque les prvisions de cashflows synthtiss dans ltat de variation des flux de trsorerie ne sont que la consolidation des prvisions ralises ce niveau. La qualit des prvisions de flux de trsorerie prvisionnels conditionne la politique de dividendes prvisionnelle, et ce, de faon trs sensible si lentreprise verse des acomptes sur dividendes. Le processus de scurisation des cash-flows prvisionnels au niveau UGT est donc un lment cl de la stratgie de business risk management, puisque, en cas derreur affectant ce processus, les consquences financires peuvent tre majeures pour le groupe (versement dacomptes sur dividendes gnrant des insuffisances de trsorerie) ; la dimension corporate risk management (par lintgration de la notion de composantes et par lanalyse de limpact de chaque composante sur les cash-flows prvisionnels). Ainsi, la composante investissement de scurit ou pices de rechange aura pour objectif de scuriser les cash-flows. Lapproche conceptuelle dveloppe par lIASB est trs intressante puisquelle impose de sinterroger sur les liens existant entre les composantes constitutives de loutil de production, les processus mtiers et les flux de trsorerie gnrs par les activits. Ainsi, la mise sous contrle en termes de scurit des composantes constitutives de lUGT intgrant des biens sous contrle (en proprit, crdit-bail, en location, confis, en concession ou affermage) permet de sassurer de la protection des cashflows prvisionnels la base de la cration de valeur pour le stakeholder (preneur de risques). Par voie de consquence, la construction dun dispositif de corporate risk management efficace doit se concentrer sur cette typologie de centre de risque la fois en termes de contrle technique, mais aussi en termes de gestion de crise. De fait, les plans durgence ainsi que les plans de continuit dactivit, ou les plans de retrait des produits, se doivent dtre conus au niveau de chaque UGT, puisque, par dfinition, une UGT regroupe tant des immobilisations sous contrle que des immobilisations incorporelles (marques commerciales achetes ou activation des frais de dveloppement sous forme dune marque).
Groupe Eyrolles
Ch. 3 Le dispositif de business risk management 83 Exemple de business blan par unit gnratrice de trsorerie
BU rcoltes UGT SBU herbicides
Business plan par UGT UGT herbicides BU rcoltes phase R&D 1 2 3 phase cycle de vie 4 5 6 7 8 9 10
UGT
13 300
Immobilisations corporelles par composantes machine-outil 30 000 Pices de rechange Investissements de scurit 4 000 5 000 5 000
BFRE
4 500
4 600
4 700
4 800
4 900
5 000
5 500
56 800
4 600
4 700
9 800
4 900
5 000
5 500
Groupe Eyrolles
Business plan par UGT UGT herbicides BU rcolte phase R&D 1 2 3 phase cycle de vie 4 5 6 7 8 9 10
-2 300 -4 000 -7 000 15 200 18 131 25 105 28 814 32 622 39 102 43 128 -2 300 -6 300 -13 300 2 300 2 300 4 000 4 000 7 000 7 000 1 900 20 031 45 136 7 300 7 519 7 745 7 350 106 571 145 673 188 801 7 977 8 216 8 463 8 717
Activation au jalon
Charges dexploitation dcaissables Frais de supervision de la production Mod Achats directs Promotion directe
Cash inflows CA
0 22 500 25 650 32 849 36 791 40 838 47 564 51 845 22 500 25 650 32 849 36 791 40 838 47 564 51 845
Groupe Eyrolles
WACC
0,08
0,08
0,08
0,08
0,08
0,08
0,08
Business plan par UGT UGT SBU herbicides BU crop protection phase R&D 1 2 3 phase cycle de vie 4 5 6 7 8 9 10
VAN de lUGT Coef dactualisation Somme actualise des cash-flows Somme actualise de lactif identifiable 0,9259 0,8573 0,7938 0,735 0,6806 0,6302 0,5835 0,5403 0,5002 0,4632
-2 130 -3 429 -5 557 11 172 12 340 15 820 16 813 17 625 19 561 19 977 0 0 0 41 750
3 130,7
2 961,8
5 718,2
2 647,3
2 501,2
2 547,6
Groupe Eyrolles
Chapitre 4
Groupe Eyrolles
Une telle dichotomie avait dailleurs t releve par le snateur Marini dans son rapport du 27 juillet 2004 sur la premire anne dapplication de la loi de scurit financire (LSF) de 2003. Elle se retrouve adopte par les entreprises lgard du choix pris en matire de communication externe sur les risques : le rapport du prsident sur le dispositif de contrle interne prvu par la LSF. Au bout dune anne dapplication, le snateur crivit le commentaire suivant (qui se suffit lui-mme) : Il nest pas acceptable, cet gard, que prs des deux tiers des rapports examins par le cabinet Deloitte ne contiennent aucun dtail concernant les risques encourus par la socit. Il est galement inquitant que seulement un peu plus dun tiers des entreprises tudies indiquent comment les risques sont grs dun point de vue organisationnel. cette carence sajoutait une divergence de vues entre les pouvoirs publics et lAMF sur lorientation du rapport du prsident sur le contrle interne : valuatif ou descriptif ? L aussi, le distinguo en dit long sur laccueil rserv au nouveau texte Il ne sagit naturellement pas de demander lentreprise de procder une autocritique qui pourrait avoir des effets destructeurs. Il sagit dencourager ladoption dune perspective dynamique oriente vers le progrs, plutt que fige sur lexistant. Aujourdhui, il faut constater les progrs accomplis, force de pdagogie et peuttre dune moindre crainte sur ltendue de la responsabilit pnale et civile des dirigeants face au dispositif de risk management. Mais sont-ils suffisants pour faire du risk management un moyen et non une fin ? Il y a donc un dbat nourrir et une question cruciale trancher.
Groupe Eyrolles
Ch. 4 Mettre en uvre le dispositif risk management et communiquer sur son efficacit 89
Organiser le processus de risk management et positionner les processus de pilotage au centre du dispositif
Cela sous-entend de hirarchiser les diffrents risques de lentreprise par processus majeur et par ordre de criticit dcroissante (probabilit doccurrence impact financier pour lentreprise), valuation que lon peut prsenter plus commodment sur une chelle type Richter (de 1 5, ou de 1 10). Il convient galement de vrifier quaux risques auxquels est expos le groupe industriel correspondent bien des objectifs du management, en clair que chaque risque remonte bien un responsable qui se lapproprie en direct (notion de risk owner). Il ne sert, en effet, rien de mentionner dans la liste des risques que lentreprise est dcide couvrir des risques orphelins , i. e. correspondant des objectifs non distribus une fonction donne (situation que lon retrouve trop souvent dans des groupes industriels forte dominante multiculturelle).
Pralables
Sassurer de la cohrence entre les risques lists par ordre de criticit lors de la cartographie des risques et lorganisation de lentreprise. Il faut souligner que la faon daborder le sujet, si la socit tudie est une socit indpendante la diffrence dune PME intgre un ensemble plus large, sera fondamentalement distincte, lorganisation matricielle des grands groupes et la juxtaposition des cultures brouillant trop souvent lorganisation du processus, selon la vision que le groupe industriel a du risk management. Sassurer ensuite que lensemble du personnel, tous les niveaux de responsabilit, a bien peru limportance du sujet, a bien compris que le risk management (comme la scurit) est laffaire de tous (et le personnel a donc t brief en consquence), et pas seulement une mode passagre du comit de direction, et a bien intgr dans la dure les principes de base qui soutiendront ultrieurement lefficience du systme de risk management, savoir : lintgration de la dimension risk assessment dans toute dcision prise en interne ;
Groupe Eyrolles
la primaut de la fonction sur le grade, principe dont le respect sous-tend toute action de spcialiste digne de ce nom au sein du dispositif de risk management ; lexistence (et la pratique) des rgles de gestion minimum minimorum. Il est toujours surprenant de constater que nombre de procdures de base peuvent tre inexistantes, mme dans des filiales de grands groupes
Mise en uvre Au niveau oprationnel (technique, commercial, etc.) et autres niveaux fonctionnels, mise en uvre des tests spcifiques chaque fonction, et selon les risques majeurs identifis par ordre de criticit dcroissante. Exemples Fiabilit du matriel de production pour la direction Fabrication (programme de maintenance assiste par ordinateur). Simulations sur la capacit du systme informatique grer laccroissement rapide du nombre de clients et de leur rpartition gographique.
Le risk manager (sil existe) se doit dtre lanimateur et le garant de la mise en uvre dun processus sous contrle et complet, cohrent avec la vision globale quil aura contribu impulser prcdemment. Exemple : chez un oprateur tlphonique, vrifier que la composante climat social dans un centre dappels (point de passage critique pour lefficience globale du systme) est bien prise en compte par des entretiens croiss et indpendants (hirarchie, DRH, salaris). La direction de laudit interne se doit dorganiser ses contrles propres de manire la fois choisie (l o les risques sont les plus forts), alatoire (pour garder un minimum de caractre dissuasif au systme de contrle), universelle (par exemple : de petites filiales en dessous du seuil de matrialit peuvent se rvler de vritables bombes retardement lors des premires questions de laudit interne), et suivie (i. e. revoir systmatiquement la mme unit tant que les rsultats des audits raliss ne seront pas satisfaisants).
Liaison formelle entre les oprationnels et le risk management La mise en uvre du dispositif de risk management ne pouvant sexercer systmatiquement et exhaustivement partout (question de moyens), il est normalement demand aux oprationnels de renseigner sur une base annuelle ou trimestrielle un questionnaire type, adress (sans passer par la voie hirarchique) la direction du risk management, pour que cette dernire ait une connaissance non biaise de la vision des risques, telle que la ressentent les oprationnels. Dans un tel processus de remonte dinformation, il est important que les risques signals par les oprationnels soient resitus par le destinataire (souvent dune nationalit et dune culture diffrentes de lmetteur) dans le cadre des contraintes rglementaires du pays metteur.
La direction financire : elle est au cur de la gestion des risques. En effet, elle : est la gardienne de la qualit du flux dinformation financire et de son intgrit ; se porte garante, dans la limite des informations dont elle dispose, de lexhaustivit des informations publies (et de celles qui ne le sont pas) ;
Groupe Eyrolles
Dfinir les frontires fonctionnelles entre direction financire, audit interne, qualit et risk management
Ch. 4 Mettre en uvre le dispositif risk management et communiquer sur son efficacit 91
actualise, compte tenu de lvolution de la socit (technologie, rapport avec les tiers, organisation), le manuel des procdures de gestion et sassure que chacun a bien compris son rle au sein du comit de direction. La direction financire doit tre lun des pivots de la dmarche de responsabilisation sur les risques. Elle doit dabord tablir une analyse prcise et fine de la volatilit des actifs, de leur exposition aux risques et dfinir une cartographie permettant de distinguer les actifs haute volatilit, notamment de nature immatrielle, et les risques critiques pouvant mettre en cause la prennit de lentreprise. La difficult tient en partie aux normes IFRS qui nautorisent pas une reprsentation comptable de certains actifs non soumis des transactions, donc non activs au bilan (voir IAS 38). Ce travail doit porter sur les projets dinvestissement stratgiques et plus globalement sur toutes les activits concourant ces projets. La dmarche est loin dtre simple dans un cadre ferm dorganisation. Elle lest donc davantage lorsque ces projets intgrent des partenaires et des sous-traitants, pour lesquels le mme raisonnement devrait sappliquer. En fonction de cette analyse, la direction financire doit structurer le passif de lentreprise au regard de lexposition gnrale aux risques et la volatilit des actifs, puis mettre en place les financements adquats et les politiques de couverture, y compris le transfert aux tiers (assurance, titrisation, captive, etc.). Cette structuration doit galement prendre en considration lexigence de rendement des actionnaires. Cela permet dviter un hiatus qui peut dstabiliser la direction gnrale de lentreprise. En dautres termes, lexamen des risques globaux doit tre men au sein du conseil dadministration, afin que les arbitrages soient rendus en toute connaissance de cause, dans lquilibre entre choix de rendement et risques accepts. Trop souvent, comme beaucoup daffaires et de scandales lont montr, les actionnaires nont pas t suffisamment informs des risques sous-jacents lis des projets ou des oprations. Ce nest pas uniquement une problmatique de pilotage qui est pos, mais de niveau de risques financiers associs des dcisions. Pour privilgier des rendements court terme, des impasses, dont les actionnaires nont pas t toujours conscients, ont parfois t prises. Cela sest traduit par des incidents, des retards, des dfaillances techniques ou organisationnelles qui ont abouti une destruction de valeur et une dvalorisation des actifs, notamment immatriels : sous-quipement en matire de puissance des systmes dinformation conjugu un back-up non dimensionn aboutissant une rupture du service ; dissimulation de risques secondaires dans le cadre dtude clinique ; externalisation en vue de rduire les cots sans mise en uvre des dispositifs de contrle qualit, etc. La liste des faits de destruction de valeur est longue. Ce sont souvent les salaris (restructuration), les clients (rupture dapprovisionnement) et les fournisseurs (pertes de CA) qui font les frais de ces dysfonctionnements. Mais les prjudices les plus importants sont ports aux actionnaires. Do la ncessit dune grande transparence en matire de politique de matrise des risques et de contrle associ. Cest donc un lment central du gouvernement dentreprise, qui peut aboutir la cration dune commission spcialise management des risques et contrle interne, distincte de celle oriente sur laudit et le contrle comptable.
Groupe Eyrolles
La direction de laudit interne : sassure que la politique de couverture de risques propose par le risk manager (ou le comit dvaluation des risques, sil en existe un), et approuve par le conseil dadministration (CA), applicable par ordre de priorit, est bien mise en uvre telle que le CA la dcide ; procde ou fait procder tout type de contrle quelle jugerait utile ; rend compte au comit daudit (ou au DG, en labsence de comit daudit) du rsultat des audits diligents par les directions oprationnelles et par la direction de laudit interne elle-mme ; vrifie que les oprationnels, directement en premire ligne pour les risques quils encourent en raison de leur qualit de dirigeant de droit ou de fait, ne sont pas ignors (dans leurs avertissements) en raison dune apprciation par trop lointaine du comit de direction (par exemple : risques fiscaux, risques environnementaux) et signale au CA toute dviation ce sujet ; sassure quune collusion impliquant plusieurs membres de la direction dune filiale ou dun business group nobre pas la capacit des oprationnels agir avec tout le professionnalisme ncessaire. La direction qualit : labore, en relation avec les deux directions prcites, les procdures, documents et calendriers ncessaires lobtention/renouvellement des certifications appartenant la famille des ISO 9 000 que la socit cherche obtenir et/ou conserver ; veille la bonne formation des utilisateurs, surtout dans des cas de forte attrition.
Ch. 4 Mettre en uvre le dispositif risk management et communiquer sur son efficacit 93
que les responsables du projet montrent bien la population concerne que la mise en uvre du dispositif est engage pour les protger dans leur travail (limites de signatures et autonomie relle prcises, etc.) ; de bien expliquer aux partenaires sociaux que la qualit et la rigueur dun dispositif de risk management ne constituent pas un plus de travail demand aux salaris, mais quils correspondent un standard international qui, sil ntait pas appliqu par lentreprise, la mettrait rapidement hors course. En synthse, le dispositif de risk management ne doit plus tre positionn comme un processus gnrateur de contraintes, mais comme un agent de transformation culturelle au niveau transversal, afin de mettre du liant social entre tous les acteurs autour dun mme objectif : valorisation et protection de la surface financire de lentreprise, des actifs et des hommes. Cela permet de faire comprendre au niveau du terrain les contingences financires, et non de les subir. Cest aussi la seule faon de grer au mieux la complexit des processus et des situations. Respecter une rgle de droit sans comprendre comment elle vous implique, vous et le reste du corps social, donc lentreprise et son devenir, est vou lchec, ou du moins la baisse de la vigilance et donc de la responsabilisation. Appliquer strictement des procdures ne prmunit pas contre les risques incertains et cumulatifs du fait de leur interaction. A contrario, le recours la capacit danalyse et de choix, dans un cadre collectif, permet de rduire certains risques, car cela instaure une thique de responsabilit. Cette orientation permet aussi dattribuer aux directions fonctionnelles un champ nouveau dintervention. Les DRH sont plus ou moins en charge de risques sociaux, mais dans la ralit, beaucoup dentre eux leur chappent du fait de la dcentralisation oprationnelle. Il en est de mme pour les responsables juridiques, etc. En travaillant plus sur laccompagnement pdagogique des dispositifs de risk management, ces directions fonctionnelles peuvent favoriser les comportements de responsabilit et assumer une part de pilotage des risques.
Mesurer lefficacit du risk management et arbitrer en termes de dcision dallocation des fonds propres
Le risk management doit tre positionn comme tant loutil majeur de la politique de matrise des risques qui simposent lentreprise. cette vision correspond le souci de dfinir la bonne structure financire et le dimensionnement des fonds propres pour faire face aux situations pouvant mettre en cause la survie et la prennit de lentreprise. Sy ajoute aussi le concept de destruction de valeur et de rduction du niveau de volatilit du cash-flow, qui aboutit un pilotage par le cash flow at risk. La logique financire comporte une dimension dynamique qui peut se rsumer la consigne suivante : protger les fonds propres des actionnaires. Non seulement cette recommandation est cohrente avec lesprit des normes IFRS, mais elle fait de chaque acteur de lentreprise, son niveau, un lment moteur de matrise des risques. Chacun devient dpositaire dune partie des fonds propres et doit analyser la part des actifs sur lesquels il intervient, afin den assurer non seulement la valorisation (lie la gnration de cash-flow), mais aussi la protection (notion de risk owner).
Groupe Eyrolles
Dans latelier, louvrier devient responsable de sa machine et des flux futurs de recettes quelle permet. Cette responsabilit sadditionne lquipe de latelier, etc. Elle participe dune gestion transversale qui tranche avec la vision en silo o chacun ne regarde que son propre horizon. Au niveau des managers, cette responsabilit repose sur loptimisation du ROCE (return on capital employed) et sur la prvention des risques divers conscutifs lutilisation de loutil de travail et donc aux processus critiques qui lui sont lis. Quel est lavantage dune telle dmarche ? Aucun corpus de procdures ne peut prvoir linvitable ou linimaginable. Mais lesprit bien form, sensibilis, motiv peut anticiper, ragir et grer la situation, donc prvenir le risque potentiel. Une mthodologie de risk management nest quun support pratique et a minima des consignes de scurit observer. Lallocation individualise dune part de fonds propres et donc de responsabilit dun lment dactif est la meilleure assurance.
Groupe Eyrolles
TROISIME
PARTIE
Groupe Eyrolles
Chapitre 1
Groupe Eyrolles
Pilier 2 : la procdure de surveillance de la gestion des fonds propres Comme les stratgies des banques peuvent varier quant la composition de lactif et la prise de risques, les banques centrales auront plus de libert dans ltablissement de normes face aux banques, pouvant hausser les exigences de capital l o elles le jugeront ncessaires Cette ncessit sappliquera de deux faons : validation des mthodes statistiques employes au pilier 1 (back testing) ; test de validit des fonds propres en cas de crise conomique. 1) La banque devra prouver a posteriori la validit de ses mthodes dfinies a priori en fonction de ses donnes statistiques, et cela sur des priodes assez longues (5 7 ans). Elle devra en outre tre capable de tracer lorigine de ses donnes. 2) La banque devra prouver que, sur ses segments de clientle, ses fonds propres sont suffisants pour supporter une crise conomique touchant lun ou tous ces secteurs. La commission bancaire pourra en fonction de ces rsultats imposer la ncessit de fonds propres supplmentaires. Lallocation des fonds propres dpend de la matrise des risques oprationnels. Lexigence en termes de fonds propres peut tre base sur trois mthodes.
Mthode de base (petits tablissements bancaires) K = bta PNB moyen des 3 dernires annes K = exigence a minima en termes de fonds propres Bta = 15 % Approche standard La logique dallocation des fonds propres dpend de la matrise des risques oprationnels par mtier bancaire : K= bta i PNB i Les coefficients bta se dtaillant de la faon suivante : B1 financement entreprise : 18 % ; B2 ngoce et vente : 18 % ; B3 banque de dtail : 12 % ; B4 banque commerciale : 15 % ; B5 paiement et rglement 18 % ; B6 fonction dagents : 15 % ; B7 gestion dactifs : 12 % ; B8 courtage de dtail : 12 %.
Groupe Eyrolles
AMA (approche de mesure avance) Cette approche est subordonne aux exigences suivantes : obligation dexistence de key risks indicators (KRI) ; analyse par scnarii ; existence dune base incidents enregistrant la sinistralit interne ltablissement bancaire.
Pilier 3 : la discipline de march Des rgles de transparence sont tablies quant linformation mise la disposition du public sur lactif, les risques et leur gestion. Lapplication de Ble II est une puissante machine qui formate les donnes de gestion dune banque. Ses consquences sont de trois ordres au niveau du pilier 3 : uniformisation des bonnes pratiques bancaires. Quelle que soit la banque et quelle que soit la rglementation qui la rgit (droits nationaux), les pratiques doivent tre transparentes et uniformises ; les bases mises en place pour ce calcul sont une puissante source de donnes de gestion, qui (enfin) rconcilient les vues risques, comptables et financires ; transparence financire : les analystes trouveront enfin une lecture des portefeuilles de risque identique pour toute banque dans tout pays.
La dfinition des risques pris en compte dans le secteur bancaire en conformit avec Ble II
Pour dfinir la politique que doit adopter un tablissement en matire de contrle interne, lanalyse des risques constitue un pralable. La notion de risque de crdit est immdiatement associe au risque de contrepartie ; pour un dossier donn, il est en effet clair que le risque premier rside dans la volont, mais aussi dans la capacit de lemprunteur faire face ses engagements. Dessiner lorganisation du contrle interne en ne considrant que ce seul aspect serait toutefois rducteur. Les risques que lon pourrait qualifier dadditionnels ou de connexes au risque de contrepartie doivent galement tre matriss et donc pralablement valus. Au nombre de huit, ils prennent naissance lors de linitiation des transactions et le plus souvent perdurent jusqu lchance finale. On distingue alors : le risque de garantie : la banque peut devoir supporter une perte si elle ne peut exercer la garantie attache un prt en dfaut ou si le produit de cette action savre insuffisant pour couvrir les engagements accumuls par le dbiteur. Les difficults rcentes rencontres dans le domaine immobilier par de nombreux tablissements lorsquils ont envisag de raliser leurs gages sont une illustration de ce type de risque ; le risque de concentration : une diversification insuffisante du portefeuille de concours en termes de secteurs conomiques, de rgions gographiques ou de taille
Groupe Eyrolles
demprunteur peut provoquer des pertes importantes ; les banques rgionales y sont particulirement exposes, de mme que les tablissements spcialiss ; le risque pays : bien connu des grands tablissements, il se manifeste lorsquun pays tranger ne dispose plus de rserves suffisantes pour faire face aux engagements en monnaie trangre de ses ressortissants ; le risque de change : il nat chaque fois que ltablissement accorde un crdit dans une monnaie qui nest pas celle de lexpression de ses capitaux propres ; si les ressources utilises pour financer cet emploi sont libelles dans la mme devise, le risque ne porte que sur la marge de lopration ; dans le cas contraire, le montant en principal est galement expos. Ce risque se manifeste galement si la banque, aprs avoir achet des devises et aprs avoir dot une provision en devises, est amene les revendre lors dune reprise de provisions non utilises ; le risque de fraudes : multiforme, il peut sagir par exemple de concours consentis de faux clients, donc bien videmment irrcouvrables ; le risque dinitis : il sagit de concours accords des conditions hors march, ou selon des procdures exceptionnelles des dirigeants de la banque, des entreprises dans lesquelles ils ont des intrts ou des socits lies des actionnaires important de ltablissement ; le risque lgal et rglementaire : lactivit de crdit est troitement rglemente (comme symtriquement lest le droit dengager une personne morale en tant que contrepartie) et le non-respect de nombreuses dispositions peut conduire ltablissement supporter des pertes soit directement, soit en raison de limpossibilit de mettre en uvre une garantie ; le risque oprationnel : cette notion recouvre toutes les erreurs de traitement, qui peuvent survenir au cours de la vie dun dossier, telles que : dblocage des fonds, avant que toute la documentation requise nait t runie, saisie errone des conditions de crdit dans les systmes de gestion, mauvaise identification des concours compromis
concevoir et mettre en place un systme de gestion des risques ; produire et analyser des rapports quotidiens ; raliser des mesures ex post destines vrifier la qualit des mesures produites par le modle interne que la banque souhaite faire connatre aux autorits de tutelle.
Groupe Eyrolles
Modalits de renforcement des dispositifs de contrle interne et de risk management bancaire suite aux scandales financiers et la crise financire de 2008
Les rcents scandales financiers (Caisse dpargne, Socit gnrale) et la crise financire, boursire et conomique gnre par la crise des subprimes imposent de renforcer les dispositifs de risk management et de contrle interne dans les tablissements bancaires tant au niveau de la gouvernance quau niveau du contrle des activits.
Renforcement de la gouvernance bancaire La mthodologie du COSO a prouv via ses scandales financiers la faiblesse de la composante environnement du contrle . ce titre, le rapport Ricol ralis pour le compte du prsident de la Rpublique franaise pointe du doigt les vulnrabilits de ces dispositifs au sein des banques europennes. Renforcement du contrle des activits (dont les activits de trading) Rappelons tout dabord les faits (retour dexprience du scandale financier de la Socit gnrale/affaire Kerviel), via les conclusions de la mission daudit interne mene par la direction de laudit interne et prsentes au comit spcial au sein du conseil dadministration de la banque : lauteur de la fraude est sorti du cadre de son activit normale darbitrage et a constitu des positions directionnelles relles sur des marchs rglements, en les masquant par des oprations fictives de sens contraire ; les diffrentes techniques utilises ont constitu principalement en : achats, ventes de titres ou warrants date de dpart dcal, transactions ou futures avec une contrepartie en attente de dsignation, forwards avec une contrepartie interne au groupe. Linspection gnrale de la banque considre que les contrles prvus par les fonctions de support ont dans lensemble t effectus et mens conformment aux procdures, mais nont pas permis didentifier la fraude avant le 18 janvier 2008, alors que le trader avait commenc prendre des positions risque ds mars 2007. Du point de vue de linspection gnrale, labsence didentification des fraudes peut sexpliquer par lefficacit et par la diversit des techniques de fraude utilises, et dautre part par le fait que les contrleurs napprofondissent pas systmatiquement leurs contrles et enfin par linexistence de certains contrles qui auraient pu identifier la fraude. Par voie de consquence, il savre indispensable de dvelopper de nouvelles mesures visant prvenir les risques de fraude concernant les activits de trading gnratrices des rcents scandales financiers, savoir : le renforcement de la scurit informatique par le dveloppement de solutions didentification fortes (biomtrie), par lacclration de projets structurels en matire de gestion et de scurit des accs, ainsi que par la ralisation daudits de scurit cibls ;
Groupe Eyrolles
le renforcement des contrles, procdures dalerte, empchant les ruptures dans les chanes de commandement et de reporting ; le renforcement de lorganisation et de la gouvernance du dispositif de prvention des risques oprationnels dans une optique de transversalit.
Phase 2 : mise en uvre oprationnelle du dispositif via les trois piliers de Solvency II
La phase 2 du dispositif sest traduite par la mise en uvre lgislative et administrative du dispositif Solvency II trois niveaux : rdaction du projet de directive europenne par la Commission europenne pour adoption par le Parlement et le Conseil europens ; mise en uvre effective des mesures proposes par le groupe technique, y compris les mesures techniques, par lEIOPC (European Insurance and Occupational Pensions Committee) ; mise en uvre dun processus dharmonisation des processus de contrle intraUE, IOPC, Calls, Risks.
Le premier pilier : contraintes quantitatives/constitution de deux niveaux de fonds propres MCR (Minimum Capital Requirement) et SCR (Solvency Capital Requirement) sont compars au niveau actuel du capital disponible correspondant un capital conomique. Lanalyse comparative aboutit trois scnarii : si le capital disponible est suprieur au SCR, alors la compagnie dassurances est suffisamment capitalise ; si le capital disponible est compris entre le MCR et le SCR, alors il y a mission dun indicateur dalerte auprs des autorits de tutelle, et de la gouvernance de la compagnie ; si le capital disponible est infrieur au MCR, alors la compagnie est rpute insolvable. Alors que le MCR est dtermin par une formule simple, le SCR est calcul soit partir dune approche standard base sur de lanalyse fonctionnelle, soit en utilisant un modle interne de risques. Les paramtres pris en compte dans le cadre de ces modlisations sont les suivants : risque de souscription ; risque de march ; risque crdit ; risque de liquidit ; risques oprationnels. Le deuxime pilier (qualitatif) : processus de supervision et management interne des risques Le second pilier du dispositif Solvency II correspond limplmentation de systmes de contrle interne et de risk management efficaces. La notion de risk management est dfinie de faon extensive et intgre les principes de calcul des provisions sur des bases actuarielles et la gestion assets liabilities management. Cette dmarche a pour but dallouer les fonds propres par unit daffaires en fonction du niveau de matrise des risques de sinistralit et des risques stratgiques.
Groupe Eyrolles
Le troisime pilier : transparence du march et communication financire Le troisime pilier du dispositif Solvency II rside dans lexistence dune discipline du secteur de lassurance et dune transparence du march. ce titre, il est intressant danalyser laide que peuvent fournir des outils de communication financire telles que les normes IFRS 4 (actifs et passifs dassurance) et IFRS 7 (tats financiers). ORSA (Own Risk and Solvency Assessment) et directive Solvency II La mise en uvre dun dispositif Solvency II passe obligatoirement par la modlisation dune valuation interne des risques dnomme Own Risk and Solvency Assessment . Ce modle interne doit contenir : lvaluation dun besoin global de solvabilit ; la couverture permanente des exigences de fonds propres et de provisionnement ; ladquation ou non du modle interne aux profils de risque de lentreprise ; lidentification des principaux risques auxquels est expose lentreprise, et des scnarii conomiques adverses. La dmarche ORSA exige que les fonds propres soient en permanence suffisants pour couvrir les SCR et MCR. La frquence de calcul du SCR doit tre adapte au profil de risque au moins une fois par an pour un profil de risque moyen, chaque changement significatif de profil de risque. Le MCR doit tre calcul tous les trimestres. Solvency II impose dautre part la mise en uvre dexigences de reporting, qui se traduira par une intervention gradue des autorits de contrle en fonction des exigences de solvabilit, savoir : si les fonds propres sont intgrs entre le SCR et le MCR : notification du superviseur, fourniture dun plan de redressement (leve de fonds, rduction des risques), runions rgulires avec le superviseur ; si les fonds propres sont infrieurs au niveau de capital minimum (MCR) : fourniture dun plan de sauvetage financier, ventuel arrt de la souscription, prparation par le superviseur du plan de retrait dagrment et de dissolution.
Groupe Eyrolles
Chapitre 2
Matrise des dures, gestion des impasses la date darrt de bilan, les encours dactif et de passif ont une dure moyenne de disponibilit (passif) ou dimmobilisation (actif). Ils gnrent des flux de capitaux faisant partie du TRE : tableau emplois/ressources : dpts, retraits pour les ressources ; versements amortissements pour les crdits ; achats ventes remboursement pour le portefeuille titres. Les carts mensuels entre les flux entrants et sortants reprsentent, sils sont ngatifs, les impasses de gestion. tablies sur une dure de cinq ans et regroupes par tranche : trois mois, six mois, un an, deux ans, trois ans, quatre ans, cinq ans et plus. La matrise des impasses a un effet sur la structure de la collecte prvisionnelle et des crdits moyen et long terme.
Groupe Eyrolles
ALM et gestion du risque de taux Le risque de taux est dfini comme le risque encouru en cas de variation des taux dintrt du fait de lensemble des oprations de bilan et de hors-bilan.
Il existe un risque de variation des rsultats gnrs par les variations des taux dintrt se traduisant par une diminution du PNB (produit net bancaire). On dnombre deux risques : taux fixe taux fixe ; taux fixe taux variable. Le risque de taux fixe taux variable peut tre couvert par un swap de taux : il sagit dune macro-ouverture revenant un change dintrts et non de capital ; le prix du swap est obtenu en actualisant les flux de capitaux et dintrts taux fixe (premire jambe) ; et les mmes taux variable (deuxime jambe).
valuation de ltablissement bancaire et ALM La valorisation de la valeur liquidative de la banque passe par le calcul de la valeur actuelle nette des actifs et des passifs : dans le calcul des impasses les encours sont classs la date darrt selon leur dure restant courir en actif comme en passif ; ces chanciers de flux financiers sont complts par ceux correspondant aux autres encours (immobilisations, participations, fonds propres) et sont actualiss au taux de la courbe de taux ; lapproche dynamique applique le mme raisonnement en intgrant en plus les prvisions dactivit sur cinq ans. Les flux prvisionnels gnrant un bilan actuariel compltent le bilan valoris dans lapproche statique.
Les attributions cls du comit daudit en vue de construire un risk management bancaire mature On entend par comit daudit un comit qui peut tre cr par lorgane dlibrant pour lassister dans lexercice de ses missions. Cette cration nest pas obligatoire ce jour (elle le devient avec la 8 e directive europenne sur laudit lgal) et, mme si elle est formellement encourage par les autorits
Groupe Eyrolles
de tutelle, il appartient au seul organe dlibrant de ltablissement de crdit de dcider ou non de sa cration, sa composition, ses missions et modalits de fonctionnement. Sa cration est de nature faciliter le contrle effectif par les conseils dadministration dont le comit daudit est une manation, et sa mission ne doit pas se limiter lanalyse des comptes, mais stendre lapprciation de la qualit des dispositifs de contrle et des outils de pilotage. Il a deux missions principales : il est charg de vrifier la clart des informations fournies et de porter une apprciation sur la pertinence des mthodes comptables adoptes par ltablissement des comptes individuels et, le cas chant, consolids ; il doit porter une apprciation sur la qualit du contrle interne, notamment la cohrence des systmes de mesure, la surveillance et la matrise des risques, ainsi que proposer, autant que de besoin, des actions complmentaires ce titre. Le comit daudit assure galement dautres tches, telles que : maintenir la communication entre le conseil dadministration, les dirigeants et les auditeurs internes et externes, afin dchanger des informations et des points de vue ; surveiller et apprcier lindpendance de la qualit, le rapport efficacit/cots et le champ de la fonction daudit interne ; effectuer un examen indpendant des tats financiers annuels et dautres informations externes pertinentes ; donner des avis sur la nomination dun auditeur externe ; sassurer que ltablissement de crdit opre dans le respect des lois et des rglementations.
Groupe Eyrolles
Les outils du dispositif de risk management bancaire Le dispositif de risk management bancaire se compose des outils suivants : procdures de rvision comptable/commissariat aux comptes en Domestic GAAP, IFRS et US GAAP (en cas de rconciliation des comptes consolids IFRS US GAAP) ; existence de plans de continuit de lexploitation et dfinition des applicatifs critiques ; cartographie exhaustive des processus compatibles avec les dispositifs de contrle qualit ; plan de protection des informations ; processus de rvision et darrts de comptes de type Sarbanes-Oxley en cas de cotation aux USA ; requtes informatiques dautocontrle (identification doprations anormales) ; procdures crites ; manuel de conventions intragroupe ;
cartographie type des critures comptables (schmas comptables autoriss) ; tableaux de bord sinistralit/non-qualit. Ces composantes servent la fois alimenter le Sirm (systme dinformation risk management) et le volet monitoring du COSO.
Les outils spcifiques de gestion de crise (plans de continuit, communication de crise) Les tablissements bancaires se doivent de simuler les impacts des scnarii de crise bancaire et dvaluer leur impact via un indicateur financier, Value At Risk (VAR) : il sagit de la perte potentielle maximale encourue par une banque dans un dlai dtermin. Cette perte maximale est obtenue par application dune mthode dvaluation des risques, aprs limination des 1 % des occurrences les plus dfavorables. Cette mthode, utilise partir de 1998 pour rpondre aux exigences des rgulateurs en matire de calcul des fonds propres rglementaires sur lessentiel des risques de march, est celle de la simulation historique et repose sur les principes suivants : constitution dun historique de paramtres de march reprsentatifs du risque des positions ; dtermination de 250 scnarii correspondants aux variations sur un jour observes sur un historique dun an glissant ; dformation des paramtres du jour selon ces 250 scnarii ; revalorisation des positions du jour sur la base de ces 250 dformations des conditions de march.
Matrice dvaluation des impacts Trs lev lev Moyen Faible
Pertes financires Lchelle des pertes est dfinie par le management en sappuyant sur les directes donnes comptables de lactivit tudie (PNB moyens journaliers/menPertes de revenu suels/annuels) et sur les indicateurs de risques (par exemple : VAR) Incapacit rpondre aux obligations rglementaires. Pertes de licence ou de droit oprer sur les marchs Nombreuses plaintes et poursuites avec pnalits financires majeures. Les dirigeants de la banque sont exposs des poursuites Incapacit rpondre certaines obligations rglementaires majeures. Mises sous surveillance. Risques de suspension temporaire des activits Plaintes et poursuites avec des clients et des contreparties avec possibilit de pnalits financires consquentes Incapacit rpondre certaines obligations rglementaires dans les dlais impartis, bien que les rgulateurs puissent accepter quelques retards Quelques plaintes ou poursuites possibles de la part de clients ou de contreparties mais avec des pnalits financires limites La banque nest pas dans lincapacit de faire face ses obligations et/ou tolrance probable des rgulateurs
Impacts rglementaires
Impacts lgaux/juridiques
Groupe Eyrolles
Trs lev La banque est mise en dehors du march. La reconstruction de la rputation demandera plusieurs mois/annes avec des cots et des efforts trs importants
lev Perte dun nombre significatif de clients majeurs. Altration sensible des relations avec les contreparties. La reconstruction de la rputation demandera des mois avec des cots et des efforts supplmentaires Perturbations majeures sur un nombre significatif dautres activits de la banque
Moyen Pertes de clients mineurs ou perte limite de clients majeurs. La rputation de la banque pourra tre reconstruite en quelques semaines avec des efforts supplmentaires Quelques perturbations mineures sur dautres activits travers la banque
Faible Probabilit faible de perdre des clients court terme. Pas deffort supplmentaire requis pour grer limage de la banque aprs le sinistre
Perturbations importantes de la Impacts sur les autres processus plupart des activits critiques de la de la banque banque
Les difficults lies la mise en uvre dune rflexion du type gestion de crise, plan de continuit La rflexion en termes de conception dun plan de reprise dactivit (PRA) passe par un certain nombre darbitrages : les arbitrages en termes de cot financier et social ; les arbitrages techniques sur la faisabilit (on ne peut pas tout faire) ; les arbitrages stratgiques (les risques oprationnels ne sopposent-ils pas aux businesses) ; il y a un quilibre trouver entre business et efficacit oprationnelle, contrle et rsilience, contrle et activit La plupart des tests doivent tre raliss par prcaution les jours o lactivit est nulle. Les acteurs des tests se doivent de simuler des transactions fictives, par exemple en envoyant dans le systme une opration de 1 euro. Ces tests sont raliss dans des environnements aseptiss, contrls et scuriss. Cela a un intrt certain, mais peu reprsentatif dune situation relle en cas de crise. Do la proposition dun test en situation relle avec des transactions relles. Ce test pourrait tre effectu : en production normale, cest--dire en semaine ; ou en journe Target (jours fris pour lesquels les marchs financiers sont ouverts), cest--dire en production limite. Il existe des liens de dpendance forts avec certains partenaires, parties prenantes (structures dinfogrance par exemple). Ceux-ci doivent aussi tre rsilients ou travailler dans ce sens. quoi bon effectuer un effort pour homogniser les plans de continuit des activits dans une organisation qui dpend troitement dune autre entit non rsiliente ? Do limportance de la communication, de la sensibilisation et de ladhrence des partenaires cette dmarche.
Groupe Eyrolles
Le benchmark est aussi une problmatique des autorits financires de faire rfrence aux diffrents tests de place. Par exemple, la place financire de Paris effectue rgulirement des tests, la FSA galement. Dans une logique densemble on convergera vers une rduction du risque systmique. Lvolution des PCA vers une convergence intragroupe soulve de nouveaux besoins, comme un rfrentiel commun : il faut un rfrentiel commun qui recense les activits, processus et sous-processus de lentit et qui rpertorie et tablit les liens entre diffrentes entits. Ces rfrentiels de processus, et les cartographies (applicatives, fonctionnelles, etc.) affrentes, devront tre maintenus jour. La transversalit est un concept important : la plupart des grands groupes communiquent sur leur structure ( Cohrence et subsidiarit ). Dans la plupart de ces groupes, on note un fonctionnement majoritairement en silo. Il convient de dpasser cette vision et de progresser vers une dimension transversale.
Les dlais darrt de lexploitation informatique doivent tre trs courts et paralyseront compltement lensemble des processus bancaires. Cependant, les autres outils de mise sous contrle des risques prsents dans cet ouvrage (assurance, prvention, etc.) seront, bien entendu, mis en uvre et activs.
La prvention du risque de blanchiment et du nancement du terrorisme Les dispositifs de prvention du risque de blanchiment et de financement du terrorisme sont la hauteur de leurs enjeux et de la complexit des circuits utiliss. Ils stayent sur les piliers suivants : dispositifs organisationnels (formation des chargs de clientle, supervision et contrle managrial) ; processus de contrle interne spcifique (formalisation de lentre en contact, suivi des flux et des transactions, documentation et conservation des preuves, dclaration de soupons).
Groupe Eyrolles
Les lments permettant didentifier de tels risques sont les suivants : transaction suprieure 150 000 euros ne paraissant pas avoir de justification conomique ou dobjet lgal ; cas de versements en espces substantiels ; transferts de fonds frquents ; distance importante non justifie entre ltablissement bancaire et la situation du client ; mouvements frquents et non justifis sur comptes dans diffrents tablissements ; cycle de vie des comptes rapide ; mouvements frquents non justifis de fonds entre des tablissements se trouvant dans des zones gographiques diffrentes.
Le dispositif de contrle interne relatif labus de march La directive europenne Abus de march se fixe pour objectif de renforcer lintgrit des marchs en rglementant le dlit diniti et la manipulation des cours de march. La directive intgre une dimension dclarative visant prvenir ces risques : pour lmetteur : tablissement dune liste dinitis sur laquelle figurent toutes les personnes travaillant pour lmetteur ou ses relations professionnelles ayant accs des informations privilgies ; pour les dirigeants des groupes cots : dclarer toute opration pour leur propre compte sur instruments financiers ou instruments de march (au sens de lIAS 39) de la socit concerne dans les cinq jours ouvrables conscutifs la transaction ; pour les analystes et journalistes : informations prcises fournir pour sassurer de leur indpendance et de la pertinence de leurs recommandations ; pour les prestataires de services dinvestissement : effectuer une dclaration dopration suspecte ds que ltablissement un soupon sur un abus de march possible. Les enjeux de la mise en uvre de la directive MIF du 21 avril 2004 La directive europenne MIF (March des instruments financiers) a pour objectif de renforcer le niveau de protection des investisseurs via la meilleure excution des transactions (best transactions), par la classification des clients par leur niveau de risque, par ladaptation de linformation financire et de la qualit de service en fonction de cette classification, par la prvention des conflits dintrts. Elle se traduit aussi par un largissement du primtre du risk management bancaire en termes dacteurs (ouverture en conseil en investissement), de typologies dinstruments financiers (intgration des contrats drivs en matires premires) et des transactions ralises. Elle se matrialise par la classification des clients en trois typologies se concrtisant par un service personnalis (suitability/appropriateness), savoir : contreparties ligibles (tablissements de crdit, socits de gestion) ; clients professionnels (entreprises, institutionnels) ; particuliers ncessitant de bnficier dune protection renforce.
Groupe Eyrolles
La directive MIF met ainsi en exergue la ncessit dune mise sous contrle de la relation client en fonction de sa catgorie dappartenance, passant pralablement par une information pralable claire et non trompeuse et se traduisant par une meilleure connaissance du client, une prvention des conflits potentiels optimisant la politique de best execution (gestion des ordres client) et autorisant la mise en uvre de la suitability/appropriateness.
Les risques gnriques Les compagnies bancaires partagent de nombreux risques oprationnels communs avec les groupes industriels, tels que : risque de rupture dapprovisionnement sur les achats de frais gnraux ; risque politique pour les filiales et partenariats tablis dans les pays en dveloppement ; risque IARD ; risque humain concernant les collaborateurs de la banque. Les outils utiliss pour mettre sous contrle ces risques sont identiques ceux des groupes industriels et nous invitons le lecteur se reporter aux chapitres de louvrage traitant de ces thmes.
Impossibilit de continuer les interventions salle de march : destruction de 200 postes de trader
Destruction de lautocommutateur
Groupe Eyrolles
Les diffrentes techniques de titrisation Il existe deux types de techniques de titrisation : titrisation on balance sheet ; titrisation off balance sheet. La titrisation on balance sheet se caractrise par lmission par une banque de titres gags sur un pool de crances qui restent lactif du bilan mais sont cantonnes dun point de vue juridique. Ce type de technique ne prsente aucun intrt en vue de modifier la structure financire dans une optique de respect des contraintes lies Ble II. La titrisation off balance sheet a pour effet de doper la rentabilit de la banque par dconsolidation de ses crances. Dans ce montage, la banque a un vhicule de refinancement de ses crances. Le SPV (Special Purpose Vehicle) finance lacquisition des crances par mission de titres (asset-backed securities). Les revenus encaisss par les investisseurs du SPV proviennent des revenus des crances transfres et inscrites lactif du bilan du vhicule de refinancement. On distingue les mortgage backed securities si les crances titrises sont des crdits hypothcaires, des ABS, si les crances titrises correspondent des prts la consommation ou des prts automobiles. Les causes de dfaillance de ces techniques de titrisation Les troubles apparus lt 2007 sont intervenus aprs une priode de croissance exceptionnelle de distribution du crdit et de recours, pour financer ce crdit, un levier dendettement considrable dans le systme financier. Les banques prteuses ont utilis la titrisation et vendu leurs crances dautres intermdiaires financiers (suivant le modle dit originate to distribute), en dehors de toute rgulation, sous la forme de vhicules dinvestissement structurs (SIV) et dautres vhicules hors bilan. Ces vhicules, qui regroupaient des crances de long terme et de qualit variable, taient financs par des investisseurs court terme. Aprs plusieurs annes de conditions macroconomiques favorables et dans un contexte de liquidit abondante, les investisseurs se sont montrs de moins en moins vigilants au regard des risques croissants de ces nouveaux produits financiers toujours plus complexes, mais nanmoins trs bien nots par les agences de notation, ce qui sous-entendait un faible risque pour les investisseurs, les institutions financires et les autres acteurs. Laugmentation du taux de dfaut des emprunteurs sur les prts hypothcaires subprimes aux tats-Unis a entran un asschement de la liquidit sur ces marchs. Les relations interbancaires en ont t largement affectes au travers dune crise de confiance. Les banques ont par consquent eu subir de lourdes pertes, ce qui a in fine dclench une crise financire mondiale. Les banques centrales ont d, et doivent encore, effectuer des injections rptes de liquidit pour maintenir une certaine confiance.
Groupe Eyrolles
Chapitre 3
Groupe Eyrolles
Le risque de march
Dprciation sur actions Ce risque se traduit par un cart de performance structurel entre le rendement attendu dune action cote en Bourse et son rendement rel. noter que lIASB (International Accounting Standards Board) et le FASB (Financial Accounting Standards Board), face la crise conomique et financire du dernier trimestre 2008, ont pris une position nouvelle faisant apparatre la notion de march inactif, limitant ce type de risque. Lors du sommet des tats de la zone euro du 12 octobre 2008, leurs dirigeants ont fix les termes dun plan daction concerte prvoyant, en particulier, une approche coordonne visant assurer assez de flexibilit dans la mise en uvre des rgles comptables IFRS . Compte tenu des circonstances exceptionnelles actuelles, les institutions financires comme les institutions non financires doivent pouvoir comptabiliser, en tant que de besoin, leurs actifs en prenant en compte leurs modles dapprciation des risques de dfaillance de prfrence aux valeurs de march immdiates qui ne sont plus pertinentes dans des marchs qui ne fonctionnent plus. Cette dclaration suit la recommandation mise lors de lEcofin du 7 octobre 2008, lattention des superviseurs et des auditeurs de lUnion europenne, dviter toute distorsion de traitement entre les banques amricaines et europennes du fait des normes comptables, et ce, ds la clture des comptes intermdiaires au 30 septembre 2008. Le Conseil national de la comptabilit, lAutorit des marchs financiers, la Commission bancaire et lAutorit de contrle des assurances et des mutuelles ont labor, aprs une runion avec la Compagnie nationale des commissaires aux comptes, une recommandation conjointe destine rappeler le traitement comptable de certains instruments financiers (IAS 39), pour lesquels les perturbations des marchs ne permettent plus dobserver un prix de march fiable. Cette recommandation vise apporter les clarifications ncessaires pour larrt des comptes intermdiaires ou annuels clos partir du 30 septembre 2008. Elle sapplique aux comptes consolids, tablis selon les normes IFRS en vigueur, telles quadoptes par lUnion europenne, des entits dtenant des actifs financiers valoriss la juste valeur et pour lesquels les marchs sont inactifs (cas dune crise boursire o le cours ne reflte plus la valeur dune entreprise). Dans le contexte actuel, la valeur de march de certains actifs financiers nest pas, elle seule, pertinente et ne permet pas une bonne apprciation de la situation financire et des rsultats des entreprises. En outre, la dtermination de la juste valeur de certains instruments financiers, dont la variation de valeur affecte le rsultat ou les capitaux propres, soulve des difficults pratiques importantes, tant pour les prparateurs que pour les commissaires aux comptes et les utilisateurs de linformation. cet gard, les quatre autorits prennent bonne note de la communication conjointe de la Securities and Exchange Commission (SEC) et du FASB du 30 septembre 2008, et de la publication du FASB du 10 octobre (FSP FAS 157-3), qui apportent des clarifications utiles sur la comptabilisation la juste valeur des actifs financiers lorsque les marchs ne refltent plus la valeur des groupes.
Groupe Eyrolles
Les autorits prcites prennent galement acte des dclarations de lIASB des 2 et 14 octobre 2008, qui indiquent que les clarifications apportes par la SEC et le FASB sont conformes la norme IAS 39 Instruments financiers : comptabilisation et valuation . Les clarifications voques dans ces communications, qui ont lagrment des quatre autorits et sappliquent dans le cadre de la norme IAS 39 en situation de march inactif, portent sur lutilisation des hypothses dveloppes par lentreprise en labsence de donnes de march pertinentes. Lorsque les marchs sont en crise, lutilisation dhypothses internes dveloppes par la compagnie relative aux flux de trsorerie futurs, et de taux dactualisation correctement ajusts des risques que prendrait en compte tout participant au march (risque de contrepartie, de non-performance, de liquidit ou de modle notamment) est justifie. Ces ajustements sont pratiqus de manire raisonnable et approprie, aprs examen des informations disponibles. Cette rforme de la norme IAS 39 autorise donc les compagnies dassurances concevoir des modles internes sappuyant sur des modles dvaluation des titres perfectionns, tels que : mthode des comparables ; mthode du fair value rating, base sur la construction dune grille de scoring stratgique et financire permettant de dfinir une prime de risque ; la place des cotations de courtiers dans lapprciation des informations disponibles ; dans le contexte dun march inactif, les cotations des courtiers ne sont pas ncessairement reprsentatives de la juste valeur, lorsquelles ne sont pas le reflet de transactions intervenant sur le march ; la place des transactions forces dans la dtermination de la juste valeur. Les transactions rsultant de situations de ventes forces nont pas tre prises en compte pour la dtermination de la juste valeur dun instrument financier. En priode de march illiquide, il nest pas appropri de conclure que toute lactivit de march traduit des liquidations ou des ventes forces. Cependant, dans ces mmes conditions, il nest pas non plus appropri de conclure que tout prix de transaction observ est ncessairement reprsentatif de la juste valeur. Lapprciation du caractre forc dune transaction repose sur lexercice du jugement. Notamment sur les prix de transactions observs sur un march inactif. Les prix des quelques transactions qui interviennent sur un march inactif sont une donne prendre en considration dans la valorisation dun instrument financier, mais ne constituent pas ncessairement une composante dterminante. La dtermination du caractre actif ou pas dun march, qui peut sappuyer sur des indicateurs tels que la baisse significative du volume des transactions et du niveau dactivit sur le march, la forte dispersion des prix disponibles dans le temps et entre les diffrents intervenants de march ou le fait que les prix ne correspondent plus des transactions suffisamment rcentes, requiert, en tout tat de cause, lutilisation du jugement. Enfin, les quatre autorits prennent acte de ladoption par lIASB, le 13 octobre 2008, de la rvision de la norme IAS 39 en vue de permettre le reclassement de certains
Groupe Eyrolles
instruments financiers en titres dtenus chance, et ce, conformment aux souhaits exprims lors de la runion Ecofin prcite.
Dprciation sur actifs de placement Ce risque se matrialise par une sous-performance des immeubles de placement en contrepartie de provisions techniques (IAS 40), dans lhypothse o les revenus locatifs gnrs sont structurellement infrieurs aux prvisions tablies et communiques. Dprciation sur participations non cotes Ce risque se traduit par la ralisation dun test de dprciation dans lhypothse o la performance attendue par la participation dans une socit non cote ne se matrialiserait pas (pas de versements de dividendes ou dividendes encaisss structurellement infrieurs aux prvisions). Ce type de dprciation aura obligatoirement un impact sur le goodwill associ dans lhypothse o le business plan de la socit cible ne se matrialiserait pas.
laboration du business plan Les principaux risques identifis ce niveau sont les suivants : analyse stratgique non ou mal ralise (forces, faiblesses, menaces et opportunits) ; erreur dans les estimations de cash-flows gnrs par les actifs subordonns. Audit des contraintes rglementaires du client Le principal risque identifi ce niveau est un risque de lgalit (infraction une rglementation en vigueur) concernant le droit obligataire, le droit des socits, le droit fiscal dans le cadre de lvaluation des contraintes rglementaires lies au mandat de gestion prvisionnelle confi par le client. Dfinition du cadre de gestion Le risque principal cette tape est un risque dinfraction la sparation des pouvoirs des acteurs demande en termes de mandats de gestion (dpositaire, gestionnaire, etc.). Le cadre de gestion doit dcrire les modalits de fonctionnement entre ces diffrents acteurs, les flux dinformations associs (dont le reporting sur la performance des actifs), les modalits de gestion de contentieux ventuels (intgration ou non dune clause de renonciation recours). Proposition dallocation dactifs Le principal risque identifi ce niveau est un risque de non-respect du couple risque/rendement associ au mandat de gestion prvisionnelle.
Groupe Eyrolles
Ce risque peut tre prvu en utilisant des modles de gestion de portefeuille tels que : la droite de march (modle de Modigliani et Miller) pour les portefeuilles dominante actions, modle postulant que la rentabilit prvisionnelle dune action dpend : de la rentabilit financire prvisionnelle du march (mesure par un indice boursier), du risque exogne, du risque endogne de la socit (valu par leffet de levier dexploitation) ; le Modle dquilibre des actifs financiers (Mdaf) pour les mandats de gestion bass sur des actifs subordonns dominante obligation. Ce modle considre que chaque obligation mise par un groupe de droit priv doit proposer une prime de risque compltant un rendement moyen observ sur le march obligataire risque nul (garanti par ltat).
Mise en uvre de lallocation dactifs Il existe de nombreux facteurs de risques lis lallocation effective des actifs subordonns lis aux mandats de gestion : dcalage sur mix par rapport la proposition initiale ; non-optimisation dans lencaissement des dividendes, des coupons, des produits financiers par le gestionnaire ; erreurs sur oprations titres lors des passations dachat ou de vente, non-ralisation ou retard de ralisation des transactions pouvant se traduire par un prjudice (moins-value) pour le client. Reporting Dans ce domaine les principaux risques anticiper sont les suivants : erreur dans le reporting (relevs de performance) se traduisant par un prjudice ou par une plus-value non fonde avec exercice de cette dernire pour le client ; retard de production du reporting li, par exemple, un dysfonctionnement des systmes dinformation du gestionnaire.
Le dispositif de reporting risk management La structure groupe doit tre principalement organise autour dun directeur du risk management. Ce dernier doit tre plac sous lautorit du comit des risques, qui est responsable de la dfinition des standards mthodologiques du groupe dassurances concernant les principaux risques.
Groupe Eyrolles
Cela inclut le dveloppement et le dploiement doutils de mesure et de gestion du risque (dont les bases incidents permettant de mesurer la sinistralit interne du groupe). Cette direction doit coordonner galement les processus de dtection et de gestion des risques au niveau du groupe et indirectement au niveau des filiales. Cela inclut notamment lensemble des procdures de reporting de risque et leur agrgation au niveau mondial. Enfin, cette direction se doit de coordonner les quipes locales (zones gographiques) de risk management des diffrentes filiales du groupe.
Risk managers par zone gographique ou locaux Les quipes locales de risk management doivent tre en charge de lapplication des standards groupe en matire de gestion des risques dune part, et de la mise en uvre des exigences minimales dfinies par la direction dautre part. Ce mode dorganisation permet la mise en uvre effective du dispositif de risk management en ce qui concerne ltude des risques ci-dessous.
Utilisation de documents dont le format est non valide, dnonciation hors dlai
Dfaut de conseil, manquements lis aux conditions ncessaires de la prestation Non-respect des clauses des contrats clients, des contrats de partenaires et parties lies, de fournisseurs Lie la complexit de la rdaction, des clauses optionnelles, la non-comprhension linguistique, la mconnaissance dun systme juridique tranger
Ces risques se matrialiseront par une remise en cause de la responsabilit civile, par des pertes financires et une perte dimage pour la compagnie dassurances (risque assurable pouvant tre couvert par une police responsabilit civile professionnelle).
Risque de non-conformit rglementaire Ce risque intgre un certain nombre de cas de figure prsents ci-dessous. La matrialisation de ces risques aura un impact au civil et/ou au pnal.
Risque de non-conformit rglementaire Infraction la lgislation sociale sur le fonctionnement des instances reprsentatives et sur les rgles applicables aux personnes (par exemple : absence dinstance, entrave, discrimination, marchandage, harclement sexuel, temps de travail) ; infraction aux rgles applicables aux socits cotes ou mettant des emprunts obligataires ou des actions (par Infraction la rglementation exemple : segment reportinga, interim reportingb, formalits et aux obligations contractuelles de publicit, cumul des mandats) ; infraction aux rgles de fonctionnement des instances de gouvernance (par exemple : formalits, pouvoirs, ingrence), infraction fiscale, (par exemple : TVA, IS) ; infraction aux rgles Cnil, violation du secret mdical, infraction aux rgles antiblanchiment ou financement du terrorisme, non-respect dune obligation dassurance Ignorance de la rglementation Droit de la concurrence, droit civil et pnal, droit des assurances, droit social, droit fiscal, droit des socits, droit des affaires, droit de la concurrence
Litiges et contentieux
Avec les clients, les prestataires et partenaires, les salaris (licenciement, sanctions disciplinaires) Absence de jurisprudence, revirement, (par exemple : requalification des contrats dassurance ), limitation de lexercice professionnel Textes dapplication non parus, conflit dinterprtation, jurisprudence contradictoire, absence de prcdent
Groupe Eyrolles
Les consquences au civil dune infraction aux contraintes rglementaires peuvent tre couvertes par une police dassurance responsabilit civile mandataires sociaux. La souscription dune telle police, mme si elle revt un caractre lgal et vise limiter le prjudice caus par un acte dlictuel commis par un mandataire social, outre le fait quelle peut sembler choquante dun point de vue moral ou thique, pose des problmes de conformit en termes de gouvernance.
Exemple de police dassurance RC mandataires sociaux dun groupe banque/assurance RC mandataires sociaux Faits gnrateurs Infraction en matire bancaire et boursire Infraction par rapport la rglementation AMF Dlit de manipulation des cours Dlit diniti Dlit de fausses informations Erreurs dans la gestion de comptes bancaires, dans lutilisation de services ou oprations de caisse Pratiques, pouvant mettre en pril la marge de solvabilit de la compagnie ou lexcution des engagements contracts envers les assurs, socitaires adhrents ou ayants droit Omission de transmission ou retard de transmission dans le rapport joint au rapport de gestion des conditions de prparation et dorganisation des travaux du conseil ainsi que les procdures de contrle interne mises en uvre (article 117, loi 1er aot 2003) Faute de gestion Imprudence ou imprvoyance dans la gestion du patrimoine social Abstention fautive Abus de biens sociaux Responsabilit pour violation dun texte Violation de la loi Violation des statuts sociaux Infraction fiscale
Groupe Eyrolles
Extension directeur gnral dlgu Au sens loi NRE (nouvelles rgulations conomiques)
Risques lis un dysfonctionnement des systmes dinformation Les compagnies dassurances, du fait du caractre immatriel de leurs prestations et de la monte en puissance des prestations informatises (souscription de polices en ligne par exemple), sont trs sensibles au risque informatique physique (destruction dune salle dexploitation, dune salle rseau) ainsi quau risque immatriel (contamination virale, etc.).
Risques lis aux systmes dinformation Analyse des besoins incomplte, sous-dimensionnement des serveurs et/ou des rseaux, Inadaptation de la configuration des matriels surdimensionnement, inadquation des choix techniques, obsolescence Indisponibilit des matriels et des rseaux, indisponibilit des outils de communication avec les partenaires, pannes des matriels ou lies un dysfonctionnement de lenvironnement physique des matriels, dlai/cots de maintenance levs, non-respect des procdures de maintenance
Inadaptation de la maintenance
Inaccessibilit physique
Groupe Eyrolles
Les consquences dun tel risque informatique physique seront les suivantes : pertes matrielles affectant le patrimoine informatique, quelle que soit sa qualification juridique ; pertes dexploitation lies linterruption de lexploitation informatique (et donc limpact sera limit par la capacit de mettre en uvre trs rapidement le plan de reprise informatique) ; responsabilit civile gnre par les dommages immatriels causs aux clients et socitaires (incapacit de raliser certaines transactions crant un prjudice lassur) ; pertes humaines (en cas de dcs affectant un salari de la compagnie) ; risque informatique immatriel. Ce risque est un risque majeur pour les compagnies dassurances, compte tenu du caractre exorbitant des frais de reconstitution des mdias. De nombreuses compagnies, en raison du caractre inacceptable de ce scnario, investissent de faon majeure titre prventif dans une deuxime salle dexploitation ou signent des contrats de back-up avec des constructeurs et des structures dinfogrance.
Ch. 3 Le risk management dans les compagnies dassurances 127 Les diffrents cas de figure concernant le risque systmes dinformation Doublons, absence de donnes, alimentation automatique non prvue, modularit insuffisante, sur ou sous-dimensionnement Analyse des besoins incomplte, non-conformit par rapport aux besoins dfinis, volume de traitement insuffisant, dlai/ractivit insuffisante, besoins fonctionnels mal identifis ou dfinis Indisponibilit des applications, cot/dlai trop long, non-respect des procdures de maintenance, non-traabilit des interventions de maintenance, rupture unilatrale du contrat Double traitement/absence de traitement, erreur de programmation lors de la conception ou de la maintenance, retard de ralisation de la transaction Introduction dun virus, utilisation non autorise de ressources informatiques, criminalit informatique Non-intgrit des donnes, donnes errones ou effaces, destruction de fichiers, sauvegarde oublie ou perdue, malveillance, archives vives non identifies Divulgation dinformation des tiers non autoriss, divulgation de rgles de gestion, scurit logique insuffisante
Inadquation de la maintenance
Erreur applicative
Intrusion, criminalit
Panne, accident, sinistre, grve, non-respect des dlais de mise disposition de la part dun prestataire
Groupe Eyrolles
Impossibilit de reconstituer un change dinformation, la valeur dune donne, de justifier dun retraitement
Risques de dommages aux biens et aux personnes Mme si ce risque semble tre moins significatif que dans les groupes industriels (parfois risques hautement protgs), il est cependant ncessaire de pas ngliger ce type de risque au sein des compagnies dassurances, compte tenu de limpact mdiatique pouvant tre gnr par un incendie majeur et surtout par le dcs dun salari ou dun tiers. Les diffrents cas de figure mettre sous contrle par le risk manager de la compagnie sont les suivants :
Risques de dommages aux biens et aux personnes Amiante, lgionellose, contamination, intoxiAtteintes la sant du fait de lenvironnement cation, maladies professionnelles rpertories ou non Atteintes la sant du fait de lactivit exerce Affection lie au poste de travail, audition, vision, stress, menaces, harclement Incendie, lectrocution, chute, inondation Accidents de la circulation, brlure, manutention de charges, grve Agression, attentats, prise dotage(s) Occupation des locaux, incendie, inondation, attentat Incendie, inondation, rupture de structure, explosion, dfaillance du btiment Matriels non conformes, dfectueux, non livrs Gaz, eau, lectricit, chauffage, fournisseurs stratgiques Destruction des biens, vols de matriels, vols dobjets personnels, irruptions de personnes externes
Rupture dapprovisionnement
Vol, dgradation
Risque social et humain Les limites entre management des ressources humaines et risk management sont parfois difficiles cerner.
Groupe Eyrolles
Les consquences dun tel risque (pertes matrielles, pertes dexploitation, pertes humaines, cot de la responsabilit civile, impact sur limage) seront dautant plus limites que la compagnie aura dcrit les processus critiques avant sinistre, quelle aura modlis et test ses plans de continuit de lexploitation.
Et pourtant, les frontires des deux fonctions sont clairement dlimites : la DRH de coordonner la stratgie de gestion des ressources humaines et la gestion des relations sociales et, en cas de grve, de jouer le rle de mdiateur ; au risk manager de la compagnie de mettre en uvre, en cas de grve, les plans de continuit concernant les mtiers critiques et de prioriser le redploiement des acteurs cls sur des sites de back-up non risqus (trsorerie, actuariat, call center, exploitation informatique, etc.). Les diffrents risques associs ce dispositif sont les suivants :
Risque social et humain Sous-effectifs, dpendance vis--vis de ressources rares, dpart de personnes cls, recours des ressources prcaires ou externes sur fonctions sensibles, mobilit excessive des quipes, march de lemploi en crise Recrutement inadapt, formation inadapte, profils sur ou sous-dimensionns
Carences de personnels
Ressources inemployes
Sureffectifs, formation inutilise, potentiel non dtect Esprit dentreprise, motivation des quipes, dsimplication, pas dadhsion la culture dentreprise
Dmotivation
Conflits collectifs
Grve, contestations syndicales, manifestations, infraction au droit social Non-respect de la dontologie professionnelle, infraction au rglement intrieur, alcoolisme, drogue, utilisation des ressources de lentreprise des fins personnelles, divulgation dinformations, non-exercice du devoir dalerte, clause de conscience non applique
Risque administratif et comptable Cette typologie de risque concerne en priorit le dispositif de production des tats financiers, et de reporting financier des compagnies dassurances. Lobjectif est de sassurer de la sincrit de la production des tats financiers en conformit avec le rfrentiel IFRS et ou US GAAP et, en particulier, avec la norme IFRS4 (actif et passif dassurance). La non-sincrit des comptes peut provenir soit de dysfonctionnements imputables au processus comptable lui-mme (retard de production, dperdition de flux comptables, etc.), mais aussi danomalies venant des activits mtiers et dportes sur le processus comptable. Le rle du risk manager consiste donc faire comprendre aux managers oprationnels limportance de la mise sous contrle de leurs activits en termes de sincrit des comptes (souscription, rglement de sinistre, reconnaissance du chiffre daffaires, constitution des provisions techniques, etc.). Le risk manager doit, de concert avec la direction du contrle permanent et de laudit interne de la compagnie dassurances, sassurer de lexistence dun plan darrts de comptes en cas de gestion de crise, coupl un plan de reprise dactivit informatique (en fixant des scnarii acceptables de production des tats financiers en accord avec les co-commissaires aux comptes). En ce qui concerne cette typologie de risque, les diffrentes composantes mettre sous contrle sont les suivantes :
Risque comptable Non-respect des normes rglementaires French GAAP-Domestic GAAP IFRS US GAAP Non-application des normes, amnagement, dtournement
Procdures incohrentes, ignores, non comprises Erreur de paramtrage ou de table, erreur de saisie, dimputation, de valeur, non-saisie de donnes Absence de suivi des corrections, reporting insuffisant ou inexact des tats financiers
Erreur
Oubli dtats lgaux, inexactitude ou retard des dclarations comptables Modification des dispositions fiscales applicables aux socits (IS, plus-value), changement des normes comptables IFRS ou US GAAP
Groupe Eyrolles
Risque li la communication La communication financire, tout comme la communication produit des compagnies dassurances, quelle soit forme socitaire, mutualiste ou quasi mutualiste, savre tre un domaine trs sensible ncessitant de mettre en uvre des dispositifs spcifiques rattachs la gouvernance. Dune part, les exigences en termes de communication financire ne font que saccrotre via la rglementation (cf. la directive transparence intra-Union europenne) imposant aux groupes cots de communiquer leurs prvisions budgtaires par trimestre, ainsi que la ralit comptable dans les mmes dlais (inter-reporting). La production dun rapport dactivit est aujourdhui trs complexe, incluant, outre les tats financiers consolids, le segment reporting (chiffres cls par unit daffaires et zone gographique), les comptes consolids pro forma (en cas de changement de primtre de consolidation), les documents suivants : rapport stratgique ; rapport du prsident du conseil sur le contrle interne (passant dune dmarche dclarative une vision valuative) ; rapport sur le management durable de lenvironnement ; rapport sur le dispositif de risk management.
Lensemble de ce rapport dactivit est ainsi pass au crible par les analystes, le march tant sensible tout cart de communication entre les prvisions et la ralit (ce qui peut se traduire pour les groupes cots par un profit warning). Dautre part, la communication sur les diffrents produits est aussi excessi vement sensible surtout en ce qui concerne une ventuelle performance annonce portant sur les produits financiers grs par mandats de gestion ou portant sur les OPCVM. Tout dcalage entre la performance prvisionnelle prvue dun point de vue contractuel et la performance relle des actifs subor donns peut se traduire par une ventuelle remise en cause de la responsabilit civile de la compagnie dassurances.
Groupe Eyrolles
132 Partie 3 La banque ou la compagnie dassurances hors risque Diffrents risques concernant le dispositif de communication externe Non-fiabilit de la communi- Informations financires errones, cation financire incompltes, tardives Communication financire Messages contradictoires mis par diffrents Non-acceptabilit par le marservices ou socits du groupe, messages non ch de la communication crdibles, non convaincants, retard de comfinancire munication Perte de notorit Communication institutionnelle Inadaptation des messages Baisse de la notorit spontane ou assiste, communication inadapte Communication en dcalage avec les valeurs traditionnelles de lentreprise, communication perue comme choquante Campagne clients agressive , adhsion force, contenu des messages peru comme choquant, boycott Superposition de campagnes, lassitude de la clientle, surexposition
Groupe Eyrolles
Conclusion
es fondements du libralisme conomique ont toujours mis en vidence la mise sous contrle du risque entrepreneurial. Historiquement, le droit des socits a t conu pour faciliter la croissance des entreprises, tout en limitant le risque patrimonial de lentrepreneur. Lmergence dun systme conomique nolibral confort par ladoption du rfrentiel de contrle interne au sein de lUnion europenne a fait apparatre, de la fin XIXe sicle au dbut du XXe sicle, la ncessit de mettre sous contrle aussi bien les risques de sinistralit (corporate risk management) que les risques stratgiques (business risk management) en vue de protger les objectifs dcrits dans le plan et la rmunration de lactionnaire. Les rcents scandales financiers ont fait ressortir les insuffisances conceptuelles des rfrentiels de contrle interne (dont le COSO), ou les limites dans les modalits de mise en uvre. Lefficacit des dispositifs de risk management, quant elle, concernant les risques tangibles (IARD, informatique), semble avre, la diffrence de lefficacit de la mise sous contrle des risques immatriels (par exemple, du risque de fraude). Reste une problmatique majeure : la pertinence dans la ralisation des cartographies de risques et de lactualisation de leurs contenus (comment sassurer dune identification rationnelle et objective des risques significatifs pouvant affecter la prennit de lentreprise ?). Reste aussi ouverte la question portant sur les leviers daction permettant daugmenter lefficacit du dispositif de risk management au sein des groupes industriels, bancaires et dassurances. De notre point de vue, il savre ncessaire de remettre du bon sens dans laction et dans la dcision, en arrtant de se protger derrire des mthodologies censes permettre une couverture parfaite de ces risques. Il est ncessaire de renforcer lengagement des dirigeants dans la mise en uvre dun dispositif, quils se doivent de porter au titre de leur responsabilit entrepreneuriale. Les prconisations du rapport Ricol vont dans ce sens, en prnant une augmentation de la responsabilit pnale des mandataires sociaux. De mme, lallocation des fonds propres par mtier, en fonction de la qualit de la couverture des risques, semble tre une priorit de la nouvelle rglementation que le lgislateur envisage pour faire monter en puissance les dispositifs de risk management des groupes cots. Nous esprons que cet ouvrage contribuera redonner un sens la construction dun dispositif de risk management au sein de votre entreprise.
Groupe Eyrolles
Groupe Eyrolles
ANNEXES
Groupe Eyrolles
6 7
4 3
10
4 30
Groupe Eyrolles
Prise de risques Critre La cartographie est-elle ralise par macrorisques purs et spculatifs ? Les consquences financires dun sinistre financier maximum sont-elles values ? Les consquences stratgiques dun sinistre maximum possible sur les objectifs stratgiques du groupe sont-elles values ? La cartographie des risques linternational a-t-elle t ralise ? Les risques DIL (difference in limit) ont-ils t identifis ? Les risques DIC (difference in condition) ontils t identifis ? Les risques mergents (risques purs non assurables) ont-ils t identifis ? Les techniques lies aux financements alternatifs ont-elles t envisages (rassurance financire, systmes captifs de rassurance, captives compartiments) ? Les plans de reprise dactivit sont-ils prvus par processus critiques ? Les plans de reprise dactivit sont-ils tests rgulirement ? Total Poids Note Note globale
10
4 30
Groupe Eyrolles
valuation des consquences Critre Vous appuyez-vous sur votre dispositif de contrle de gestion pour valuer les sinistres maximums possibles par centre de risque ? Pour estimer les pertes matrielles, prenezvous en compte la valeur expertise des immobilisations mises sous contrle ? Pour estimer les pertes dexploitation, vous basez-vous sur la diffrenciation entre charges fixes et variables au sein du compte de rsultat par centre de risque avant sinistre ? Pour estimer les pertes humaines concernant les salaris, vous basez-vous sur lindemnisation a minima prvue par la Scurit sociale ? Pour estimer les pertes humaines concernant les salaris, vous basez-vous en deuxime ligne sur les capitaux prvus dans la police collective dcs invalidit ? Pour estimer le cot de la responsabilit civile par scnario de crise, analysez-vous la jurisprudence antrieure sur des cas similaires ? Pour estimer le cot de la responsabilit civile par scnario de crise, et en labsence de jurisprudence antrieure, estimez-vous le risque de faon qualitative ? Lestimation des pertes dexploitation prendelle en compte les modalits de back-up identifies en prventif ? Lestimation des frais de reconstitution des mdias prend-elle en compte lidentification des applicatifs critiques raliss pralablement ? Lestimation des frais de retrait des produits du march, et/ou des frais de communication de crises associes, prend-elle en compte les scnarii de retrait des produits du march anticip ? Total Poids Note Note globale
10
4
Groupe Eyrolles
30
Analyse causale des risques Critre 1 2 3 Tous les cas de figure lis la criminalit externe ont-ils t envisags ? Tous les cas de figure lis la criminalit interne ont-ils t envisags ? Tous les cas de figure lis aux sinistres exognes ont-ils t identifis ? Les risques purs pouvant tre mis sous contrle titre prventif par le CEO ont-ils t inventoris (notion dlment inhabituel) ? Les risques purs ne pouvant tre anticips par le CEO ont-ils t clairement dlimits ( Act of God, extraordinary items ) ? Tous les risques lis une insuffisance ou une dfaillance de la maintenance prventive ont-ils t identifis ? Tous les risques lis une insuffisance ou une dfaillance de la qualit totale ont-ils t identifis ? Tous les risques lis une insuffisance ou une dfaillance du dispositif de management durable de lenvironnement ont-ils t identifis ? Tous les risques lis une insuffisance ou une dfaillance du dispositif de scurit ontils t identifis ? Avez-vous prvu un dispositif de ractualisation automatique des risques ? Total Poids 4 1 2 Note Note globale
10
4 30
Groupe Eyrolles
Impact financier, risque rsiduel Critre Le risque rsiduel postprocessus indemnisation a-t-il t systmatiquement dtermin par scnario de crise ? Avez-vous men une tude de faisabilit de location de compte captif de rassurance pour autofinancer les franchises ? Avez-vous men une tude de faisabilit de cration dune socit captive de rassurance pour mutualiser les risques de frquence matriss ? Avez-vous envisag la constitution dune provision pour propre assureur, pour les risques purs sur lesquels ne porte pas une obligation dassurance ? Avez-vous envisag le recours la rassurance financire pour trouver une deuxime ligne de capitaux compltant lassurance ? Avez-vous envisag le recours la rassurance financire pour financer des risques mergents, non assurables ? Les risques de gravit sont-ils ports via un assureur apriteur tiers ? Avez-vous spcialis vos outils de financements alternatifs par typologie de risques (retraite, IARD) ? Le risque fiscal li ces montages est-il mis sous contrle ? Le risque de non-sincrit des comptes li ces montages est-il mis sous contrle ? Total Poids Note Note globale
9 10
4 4 30
Groupe Eyrolles
Risque informatique Critre Le risque informatique a-t-il t dcrit partir du plan durbanisme/schma directeur des SI ? Le risque informatique a-t-il t dcrit partir de larchitecture rseau ? Avez-vous construit une grille de scoring permettant didentifier les applicatifs critiques ? Lefficacit du plan de reprise informatique est-elle teste rgulirement ? Avez-vous fait procder une certification SAS 70 par un cabinet indpendant ? Avez-vous souscrit une clause frais de reconstitution des mdias ? Avez-vous souscrit une clause frais supplmentaires dexploitation informatique ? Avez-vous souscrit une clause extensions risques informatiques ? Cette clause est-elle limite la criminalit informatique externe ? Les investissements de scurit informatique sont-ils tests rgulirement ? Total Poids Note Note globale
2 3 4 5 6 7 8 9 10
1 2 1 4 4 3 3 4 4 30
Groupe Eyrolles
Description de la mthode La construction du plan de reprise dactivit par centre de risque passe par : lidentification des processus critiques du centre de risque avant sinistre ; lidentification des actifs critiques (moules, plans, etc.) par visite de site avant sinistre ; lidentification des hommes cls via interviews avant sinistre ; lidentification des ressources logistiques critiques avant sinistre (heures-hommes, heures-machines, m2, m3 disponibles avant sinistre en intragroupe) ; lidentification des sites de redploiement des processus critiques sur les sites non sinistrs du groupe disposant de ressources logistiques, ou la signature de contrats de back-up avec des tiers (sous-traitants, fournisseurs, constructeurs informatiques) ; la dfinition des registres de communication de crise interne et externe associe ces plans de reprise dactivit. Conditions de russite Ralisation dinterviews collectives en mode brainstorming. Fiches associes Modalits de quantification des pertes.
Groupe Eyrolles
Description de la mthode Quantification des pertes matrielles par centre de risque : valeur expertise de limmobilisation, quelle que soit sa qualification juridique le pourcentage de destruction estim de lactif. Quantification des pertes dexploitation : structuration du compte de rsultat du centre de risque avant sinistre en diffrenciant les charges variables et les charges fixes. Il est aussi ncessaire de dterminer le nombre de jours ncessaires la mise en uvre dun plan de reprise dgrad.
Estimation des consquences financires dun sinistre majeur sur le compte de rsultat par centre de risque par : estimation du pourcentage de diminution du CA ; quantification des pertes humaines : somme lie lindemnisation scurit sociale + ventuelle indemnisation lie la souscription dune police dassurance-vie/dcs, quantification du cot de la remise en cause de la responsabilit civile fonde soit sur une exploitation de la jurisprudence existante, soit sur la construction dun indice qualitatif estimant limpact du sinistre majeur sur la surface financire. Le cot des pertes gnres par un sinistre majeur est gal la somme des quatre typologies de pertes. Le cot rsiduel la charge du groupe est gal la diffrence entre le cot global minor de lindemnisation assurance ; estimation du pourcentage de diminution des charges variables post-sinistre ; estimation des nouveaux frais fixes aprs sinistre (mesures conservatoires, frais de reconstitution des mdias, frais de dmolition, frais dexpertise, etc.). Le montant des frais aprs sinistre est gal la somme des frais fixes avant sinistre + % de diminution des charges variables + nouveaux frais fixes gnrs par le sinistre. La perte dexploitation aprs sinistre est gale la diffrence entre le rsultat analytique avant sinistre moins le rsultat analytique aprs sinistre.
Conditions de russite Sassurer de lexistence de compte de rsultat analytique de centre de profit avant sinistre.
Groupe Eyrolles
Groupe Eyrolles
des fonctions de gestion des risques (complte par des filires de contrle spcifiques notamment pour les risques marchs financiers et marchs nergies). Cette filire assure notamment une approche homogne en matire didentification, dvaluation et de matrise des risques. Selon ces principes, chaque semestre, en cohrence avec les chances associes la publication semestrielle des comptes consolids, EDF labore la cartographie consolide de ses risques majeurs pour le primtre dEDF SA et des filiales contrles et co-contrles ( lexception de Dalkia International). Cette cartographie consolide est ralise partir des cartographies tablies par chaque entit oprationnelle ou fonctionnelle sur la base dune mthodologie commune (typologie, principes didentification, dvaluation, de mise sous contrle des risques). Chaque risque identifi fait lobjet dun plan daction dcrit. Les risques majeurs sont placs sous la responsabilit dun pilote dsign par le TOP4. La cartographie consolide fait lobjet chaque semestre dune validation par le TOP4 et dune prsentation au comit daudit du conseil dadministration dEDF SA. Elle fait galement lobjet dchanges frquents avec les tats-majors des principales directions contributrices et les membres de la filire contrle des risques . Le processus global de cartographie des risques constitue un support pour de nombreux autres processus : notamment llaboration du programme daudit, la politique assurances et sa mise en uvre, la documentation financire (notamment le chapitre Facteurs de risques du document de rfrence AMF), lanalyse des risques portant sur des dossiers examins par les organes dcisionnels dEDF (TOP 4, comit des engagements et des participations, CEP-dossiers combustibles, comit amont-aval trading, etc.). Le processus de contrle des risques contribue notamment la scurisation du processus dinvestissements et dengagements long terme en veillant au respect des principes mthodologiques danalyse des risques pour les dossiers prsents au comit des engagements et participations. En complment, une politique de gestion de crise, dont la dernire actualisation a t signe par le prsident-directeur gnral en juin 2005, est mise en uvre sur le primtre dEDF SA et des filiales contrles. Elle consiste notamment : sassurer de lexistence de dispositifs de crise pertinents, au regard des risques encourus, dans chaque direction dEDF SA participant la gestion de la crise et dans les filiales contrles ; dfinir les modalits de coopration avec les filiales rgules en priode de crise ; vrifier la cohrence densemble.
Groupe Eyrolles
Un programme dexercices de crise permet de tester rgulirement lefficacit de ces dispositifs et de capitaliser les retours dexprience. Enfin, lorganisation de crise est rgulirement rajuste, notamment chaque changement significatif dorganisation interne ou denvironnement externe, ainsi quaprs chaque retour dexprience de crise majeure.
Contrle des risques financiers EDF a mis en place un dpartement contrle des risques financiers , en charge de la matrise des risques de taux, de change, de liquidit et de contrepartie pour les filiales contrles. Ce contrle sexerce via : la vrification de la bonne application des principes du cadre de gestion financire, notamment au travers du calcul rgulier dindicateurs de risque et du suivi de limites de risque ; des missions de contrle mthodologie et organisation sur les entits dEDF SA et les filiales contrles ; le contrle oprationnel de la salle des marchs dEDF en charge de la gestion de la trsorerie. Pour ces activits, un systme dindicateurs et de limites de risque vrifis quotidiennement est en place pour suivre et contrler lexposition aux risques financiers. Il implique le directeur trsorier du groupe, le chef de la salle des marchs et le responsable du contrle des risques financiers, qui sont immdiatement saisis pour action en cas de dpassement de limites. Un comit ad hoc vrifie priodiquement le respect des limites et statue sur les modifications de limites spcifiques ventuelles. Il est rendu compte de la mise en uvre des politiques de gestion des risques financiers au comit daudit sur un rythme annuel. Rattach la direction corporate finance et trsorerie de la direction financire, ce dpartement a un lien fonctionnel fort avec la direction du contrle des risques groupe en vue de garantir son indpendance. Contrles spcifiques
Procdure dapprobation des engagements Le comit des engagements et des participations (CEP), prsid par le directeur gnral dlgu finances, examine lensemble des engagements du groupe, hors filiales rgules et filiales co-contrles, notamment les projets dinvestissement, les projets de cessions et les contrats long terme combustibles . Il valide tout investissement dun montant suprieur 20 millions deuros. Depuis la fin de mars 2003, les runions du comit sont systmatiquement prcdes dune runion o sont associs les experts du niveau corporate (DCRG, DJ, DF), afin de vrifier lexhaustivit et la profondeur des analyses de risques des dossiers prsents. Ces travaux sappuient sur un rfrentiel mthodologique danalyse des risques des projets de dveloppement qui intgre lensemble des impacts et en particulier la valorisation des scnarii de stress.
Groupe Eyrolles
Contrle des systmes dinformation (SI) Organisation du contrle interne de la filire SI : le dispositif de contrle interne de la filire SI sintgre dans la politique de contrle interne du groupe (propositions dobjectifs de contrle dcliner par les entits oprationnelles) et porte sur la mise en uvre des politiques de la filire. Ces politiques touchent en particulier la scurit des systmes dinformation, au pilotage des projets SI, la gestion des risques SI et au respect des lois informatique et libert. Actions dans le domaine de la scurit des SI : les orientations et lorganisation de la scurit des SI sont dfinies dans deux documents de rfrence : la politique de scurit des systmes dinformation du groupe EDF et le rfrentiel de politique scurit des SI dEDF SA. Le dploiement de ces politiques ainsi que le niveau de scurisation sont suivis de faon trimestrielle par un comit scurit, prsid par la DSI Groupe, rassemblant les responsables de scurit des systmes dinformation de toutes les entits dEDF SA. Le comit scurit rend compte annuellement au comit des directeurs de systmes dinformation. Une action a t mene concernant la matrise des risques lis un sinistre majeur sur les principaux centres de calcul. Des plans de continuit dactivit sont dfinis et ont t tests pour les applications les plus critiques pour le fonctionnement de lentreprise. Autres actions du domaine SI : une nouvelle politique informatique et libert a t dfinie et dploye sur le primtre EDF SA en conformit avec la nomination fin 2006 dun correspondant informatique et liberts. La DSI groupe et la direction de laudit ont lanc conjointement un diagnostic concernant la robustesse du dispositif de contrle interne sur les systmes dinformation dEDF. Ce diagnostic vise amliorer la matrise par le groupe des risques lis aux SI ; ses conclusions sont attendues pour la fin du premier trimestre 2008. Ladministration et la surveillance des liales Toute socit filiale ou en participation ( lexception des filiales rgules) est suivie par un directeur, membre du comex ou par son dlgu. Celui-ci propose les administrateurs reprsentant EDF au sein des instances de gouvernance de ces socits, et leur adresse une lettre de mission et une lettre dobjectifs. Une actualisation de ces rattachements est valide chaque anne par le comit des cadres dirigeants. La dlgation administrateurs et socits, en place depuis 2002, veille tout particulirement : la mise jour de la cartographie du rattachement des socits, en fonction des dcisions prises par le TOP4 ; au suivi des compositions cibles , visions anticipes et collectives des comptences, ainsi que des profils ncessaires une bonne reprsentation dEDF au conseil des socits filiales et participations, en fonction de la stratgie dfinie par les directeurs de rattachement ;
Groupe Eyrolles
au respect du processus de dsignation des administrateurs, pralable managrial la proposition de nomination (conformit la composition cible, contrle du nombre de mandats, avis du hirarchique de ladministrateur propos) ; la professionnalisation des nouveaux administrateurs (formation initiale par luniversit groupe, information via le site Internet de la communaut administrateurs, formation permanente via les sminaires et ateliers administrateurs).
Autres politiques de contrle EDF a galement dfini : une politique sant-scurit, signe par le prsident-directeur gnral en octobre 2003 ; une politique dassurances prsente au conseil dadministration du 1 er juillet 2004, suite au dossier prsent aux administrateurs le 23 octobre 2003 sur la couverture du risque tempte pour les rseaux de distribution. Le conseil a alors pris acte du bilan prsent sur la situation dEDF SA et de ses filiales contrles au regard des risques assurables identifis et sur les couvertures mises en place. Il a valid un programme de travail destin renforcer la connaissance des risques assurables du groupe, dvelopper la dimension groupe des assurances, amliorer et optimiser les couvertures existantes et mettre en place de nouvelles couvertures. ce dernier titre, le conseil a approuv, le 22 fvrier 2006 (aprs avis du comit daudit du 17 fvrier), la mise en place du nouveau programme dommages nuclaires , destin couvrir les dommages accidentels importants qui pourraient toucher les centrales nuclaires dEDF SA. Un point sur lavancement de la mise en uvre du programme de travail du 1er juillet 2004 a t prsent au comit daudit du 5 mai 2006 et celui du 2 avril 2007, qui a approuv ses lignes de dveloppement futures. Le comit a galement pris connaissance de la vision actualise des risques assurables et des couvertures du groupe. En outre, le comit daudit, rgulirement inform des volutions en la matire, a reu une information, le 28 aot 2006, sur la finalisation des ngociations relatives au programme dommages nuclaires et sur la mise en place de lassurance tous risques chantier pour la tte de srie EPR Flamanville.
Groupe Eyrolles
La loi du 28 juin 2006 et son dcret dapplication du 23 fvrier 2007 relatif la scurisation du financement des charges nuclaires imposent lentreprise de spcifier dans un rapport les procdures et dispositifs permettant didentifier, dvaluer, de grer et de contrler les risques lis lvaluation des charges nuclaires et la gestion des actifs de couverture. La premire version du rapport, rpondant aux exigences de la loi, a t finalise au mois de juin 2007 ; ce rapport comprend un volet spcifique sur le contrle interne et sa mise jour se fera sur une base a minima triennale, avec actualisation annuelle. Dans les autres domaines (comme le contrle des appareils pression et la surveillance des barrages), chaque entit est responsable de la dfinition et de la mise en uvre des procdures de contrle adquates.
Autres rglementations
Des contrles sont galement effectus sur lapplication de la rglementation sociale et du travail. La mise en place de systmes de management, en particulier dans le domaine environnemental et de la sant-scurit, a permis dobtenir un meilleur contrle de lapplication de la rglementation et danticiper les volutions rglementaires.
Groupe Eyrolles
Micro-risques
Discrimination
Macro-risques
Micro-risques Erreurs humaines et involontaires Non-respect ou mauvaise interprtation des procdures Dficiences dans les procdures Inadquation des SI aux activits et produits Erreurs de rglement/livraison Mauvaise gestion des rfrentiels Litiges clients Autres
Documentation clientle
Absence de documentation de dcharge Absence ou non-exhaustivit des documents Lgaux Accs non autoris aux comptes clients
Relation avec les contreparties commerciales Erreur dune contrepartie Litiges avec les contreparties Relation avec les fournisseurs Risque projet Erreur ou dfaillance dun sous-traitant Litige Insuffisance dans la conduite des projets de changement
Relation clientle produits et pratique commerciale/rglementation Risque fiduciaire et li aux obligations rglementaires dans la gestion dactifs Problmes dans la gestion collective dactifs Mthodes de vente inappropries Infraction aux rgles fiduciaires Informations fausses sur les caractristiques et performance des produits Pratiques discriminatoires vis--vis de clients Atteinte la vie prive ou la confidentialit Violation du secret professionnel
Groupe Eyrolles
Rotation excessive des comptes clients pour gnrer des commissions Soutien abusif de crdit Rupture abusive de crdit
Macro-risques
Micro-risques
Relation clientle produits et pratique commerciale/rglementation Pratiques commerciales ou de march inappropries/problme dontologique Non-respect dexigence lgale et rglementaire Infraction la lgislation sur la concurrence Pratiques incorrectes sur les marchs Dlit diniti interne Activit non autorise non intentionnelle Financement du terrorisme Blanchiment Blanchiment dargent
Obligations rglementaires lies un embargo Embargo Dfauts dans les produits ou les modles Produits dfectueux on non autoriss Erreur de modlisation Problme de slection et de suivi clients Dfaut de connaissance du client Dpassement de limite client Vol/fraude malveillance Activits non autoriss Absence dinformations sur les oprations ralises Abus de pouvoir Activits non autorises intentionnelles Dissimulation volontaire de position Vol, hold-up, agressions Vol Agression Fraude externe Fraude externe Fraude relative aux cartes bancaires Dlit diniti externe Fraude interne Fraude interne Fraude mixte Atteinte volontaire lintgrit des SI et des donnes Malveillance informatique Vol et divulgation de donnes
Groupe Eyrolles
Groupe Eyrolles
Synthse des risques oprationnels Qualit Thmes transverses Pertes/incidents Plan de continuit des units commerciales Ressources humaines Comptabilit
Risque net 3
Commentaires
1 Gestion commerciale Thmes transverses Processus Systmes informatiques Ouvrir un compte Documenter les comptes clients Matriser des dlgations de pouvoir et de signature Grer le rfrentiel client
Groupe Eyrolles
Valider et acheminer les ordres du client Mettre en uvre les conditions particulires du client Exploiter les donnes historique au niveau client
Thmes transverses
2 Vente par canal gnraliste Fournir un support technique aux vendeurs Systmes informatiques
Processus
Produits et services attachs au compte Restitution au client dinformations de pilotage Produits de placement bilan Produit de placement tiers Montique Documentation des oprations de financement Prescription des partenaires et spcialistes du groupe bancaire Prescription de partenaires hors groupe
Synthse des risques oprationnels 3 Vente par canal spcialiste Thmes transverses
Risque net
Commentaires
Processus
Produits de marchs et drivs Gestion de trsorerie et ingnierie des flux Montique et espces grand commerce Produits de trade finance Fusions-acquisitions
4 Vente par Internet Thmes transverses Processus Scuriser les processus transactionnels Systmes informatiques Promouvoir lalternative Internet Fournir au client une cl daccs confidentielle Assurer lefficacit des services transactionnels
Groupe Eyrolles
Fournir un support technique aux vendeurs Systmes informatiques Produits et services attachs au compte Restitution au client dinformations de pilotage Produits de placement bilan Produit de placement tiers Montique Documentation des oprations de financement Prescription des partenaires et spcialistes du groupe bancaire Prescription de partenaires hors groupe
Groupe Eyrolles
3 Vente par canal spcialiste Thmes transverses
Cotation des risques bruts Risque brut Calcul Assurer la synthse client Matriser les techniques pointues Systmes informatiques Modifi Impact Global F Potentialit
Processus
Produits de marchs et drivs Gestion de trsorerie et ingnierie des flux Montique et espces grand commerce Produits de trade finance Fusions-acquisitions
Cotation des risques bruts 4 Vente par Internet Risque brut Calcul Thmes transverses Processus Modifi Impact Global F Potentialit
Scuriser les processus transactionnels Systmes informatiques Promouvoir lalternative Internet Fournir au client une cl daccs confidentielle Assurer lefficacit des services transactionnels
Groupe Eyrolles
Dmenti de rumeurs La Socit gnrale dment formellement les rumeurs malveillantes lui imputant des pertes significatives sur son activit de produits structurs au cours des derniers jours, ncessitant une recapitalisation de la banque, et annonce quelle demande lAMF denquter sur ces rumeurs et leurs consquences sur le cours de son titre, comme elle en a le pouvoir en application de larticle 631-4 de son rglement gnral. Socit gnrale Socit gnrale est lun des tout premiers groupes de services financiers de la zone euro. Avec 151 000 personnes dans le monde, son activit se concentre autour de trois grands mtiers : Rseaux de dtail & services financiers, qui comptent plus de 30 millions de clients particuliers en France et linternational. Gestions dactifs & services aux investisseurs, o le groupe compte parmi les principales banques de la zone euro avec 2 733 milliards deuros en conservation et 381,4 milliards deuros sous gestion fin juin 2008. Banque de financement & dinvestissement, Socit gnrale Corporate & Investment Banking se classe durablement parmi les leaders europens et mondiaux en march de capitaux en euros, produits drivs et financements structurs. Socit gnrale figure dans 3 indices internationaux de dveloppement durable : FTSE, ASPI et Ethibel.
Groupe Eyrolles
Groupe Eyrolles
Rglements intrieurs et dontologie des autorits de gouvernance Dfinir les dlgations internes de pouvoirs et de signatures Actualiser les dlgations
Dfinir et contrler les dlgations internes Vrifier le respect des obligations statutaires et lgales Prparer et tenir les runions du comit daudit et du comit des risques tablir les comptes rendus des runions des organes de gouvernance Assurer les dpts de publicit lgale Autres obligations lgales et rglementaires tablir le rapport annuel sur le contrle interne et le risk management Piloter la communication financire vers les stakeholders Piloter la communication financire vers les actionnaires individuels Autres zones gographiques linternational Piloter la conformit avec les autres rglementations sur le contrle interne SarbanesOxley pour la zone Amrique du Nord) Piloter la stratgie groupe Groupe Dcliner les objectifs du groupe et dfinir les business plans Cadrer les objectifs de la socit mre Dterminer les objectifs globaux et par entit du groupe Sassurer de la mise en uvre des objectifs sur les zones gographiques et units daffaires Anticiper latteinte des objectifs Rviser les objectifs globaux Filiales et socits affilies trangres Dcliner les objectifs et dfinir les prvisions dactivit Valider le plan stratgique de chaque filiale trangre et consolider Apprcier les projets stratgiques proposs par les filiales et socits affilies + co-entreprises Sassurer de la mise en uvre des objectifs laborer le reporting des filiales et des socits affilies + co-entreprises Revoir la mise en uvre du plan stratgique Superviser la communication Dfinir les objectifs de communication groupe Communication interne Dfinir les missions de communication Dfinir les mdias et le mix mdias Communication externe
Groupe Eyrolles
Dfinir les stratgies de communication par canal Dfinir le plan daction de communication (par mdia et par cible) Mettre en uvre la communication Communication interne Assurer la veille, la collecte dinformations Apprcier la pertinence de la communication avec les objectifs du groupe Concevoir, vrifier et valider les informations Raliser les actions de communication (mix promotion) Mesurer lefficacit de la communication Communication externe Assurer la veille et analyser les rsultats (tableaux de bord commerciaux) Concevoir les actions de communication et lalignement avec les objectifs Formaliser et valider les actions de communication Mettre en uvre les actions de communication tablir un reporting des actions de communication (efficacit) Sponsoring, mcnat et fondations Dfinir les objectifs et le plan daction du mcnat et sponsoring Mettre en uvre le plan daction du mcnat et sponsoring
Processus de support Superviser les ressources humaines Gestion prvisionnelle des emplois et comptences Estimer les effectifs Grer la bourse de lemploi et la mobilit internationale Assurer la mobilit et le recrutement externe Superviser la formation (collective, individuelle) Piloter la masse salariale et les avantages au personnel Grer un outil dvaluation de performances et comptences Superviser les parcours professionnels des salaris et les mutations
Groupe Eyrolles
Assurer la gestion administrative, statutaire des salaris Suivre le dossier individuel Coordonner le cycle de paie et effectuer les dclarations fiscales-sociales Coordonner le temps de travail et les absences
Administrer les frais de mission Grer le personnel en CDD, intrim et stagiaires, expatris Assurer la mdecine de prvention et du travail Coordonner les relations sociales et les structures de contre-pouvoir Piloter les entits de gouvernance Ngocier les conventions, les accords dentreprise Conseiller dans le domaine des affaires sociales et le droit du travail Piloter la conformit juridique et fiscale Piloter la veille juridique et la sret juridique Suivre lvolution de la rglementation Interprter la lgislation et la traduire en rgles de management Respecter les exigences rglementaires et contractuelles (conventions) Connatre et diffuser les obligations rglementaires intragroupe Traiter les demandes des diffrentes entits du groupe Rpondre aux demandes officielles et arbitrer Coordonner les engagements contractuels Grer les engagements contractuels des assurs Superviser les engagements contractuels vis--vis des prescripteurs Grer les engagements contractuels vis--vis des socitaires / des assurs Grer les engagements contractuels vis--vis des autres prestataires / parties lies Grer les engagements contractuels vis--vis des salaris Coordonner les litiges Prvenir les litiges (mdiation et prcontentieux) Piloter les litiges (mdiation et prcontentieux) Grer le contentieux Provisionner les dossiers (IAS 37) Analyser les rsultats (reprise sur provisions) Exploiter les systmes dinformation Organiser lvolution du systme dinformation Dcliner la stratgie de lentreprise en matire de SI Dfinir lorganisation des SI et les rgles de dlocalisation / externalisations Superviser les rgles dassistance matrise douvrage Piloter le budget de fonctionnement et dinvestissement de la DSI Financer les investissements informatiques et lactualisation des frais de dveloppement
Groupe Eyrolles
Recenser les besoins des mtiers et faire un premier arbitrage Appliquer les rgles de contrle interne sur les projets informatiques Piloter les projets migration des SI et ERP/PGI Grer les relations avec les SSII tiers et linfogrance Prvenir les situations de crise informatique et simuler les plans de reprise dactivit informatique Dvelopper et livrer des applicatifs informatiques tudier la demande de la matrise douvrage Faire des tudes de faisabilit Piloter la phase de conception gnrale Piloter la phase de conception dtaille Paramtrer Raliser les tests dintgration/recette technique Valider la solution Procder aux tests de recettes Passer en phase de production Fonctionner en parallle Mettre en production la solution Raliser le bilan de projet/bilan de mise en production Suivre le project office Grer les ateliers transverses (reprise des donnes, etc.) Mettre en uvre la conduite du changement Grer la qualit et le contrle interne du projet Grer le fond documentaire projet et applicatif Exploiter les systmes dinformation en interne et en externalisation/dlocalisation Dfinir et grer un niveau de service Grer les performances et capacit Assurer une continuit de services Assurer la scurit des systmes au niveau immatriel Garantir la scurit physique des installations Grer les donnes, apurer les bases
Groupe Eyrolles
Grer la configuration des systmes Grer les problmes et incidents certifications SAS 70 Grer lexploitation informatique
Grer les moyens transverses Grer les achats et le renforcement fournisseur Dfinir et analyser les besoins de lentreprise Grer le panel des fournisseurs potentiels et grer les consultations Raliser/renouveler les appels doffres Grer la relation client/fournisseur actuel Grer les moyens gnraux Tlphonie, standard, rservation visioconfrence Dfinir et analyser les besoins/les demandes calcul de ROI Engager les commandes et suivre les dpenses Grer les moyens matriels Maintenance Dfinir et analyser les besoins et les demandes Engager les commandes et suivre les dpenses dans lERP Grer les moyens matriels Assurer la scurit des biens et des personnes Zone Union europenne Assurer la scurit oprationnelle Assurer la scurit par anticipation Autres zones gographiques linternational Assurer la scurit oprationnelle des expatris Grer la comptabilit financire Suivre et intgrer la rglementation comptable Effectuer la veille rglementaire, participer aux principales instances Interprter les normes et les avis techniques comptables (IFRS, US GAAP) Dfinir les schmas comptables autoriss et les intgrer dans les systmes Tenir la comptabilit (au fil de leau ) hors cut-off Administrer les rfrentiels comptables IFRS et US GAAP Mettre jour/diffuser les procdures comptables IFRS et US GAAP Domaine assurances individuelles de personnes Passer les critures comptables (manuelles) Domaine valeurs mobilires/OPCVM Passer les critures comptables (manuelles) Passer les critures comptables (semi-automatiques)
Groupe Eyrolles
Domaine assurances collectives co- et rassurance Passer les critures comptables (manuelles) Domaine assurances collectives Passer les critures comptables (manuelles) Domaine Opex/charges dexploitation Passer les critures comptables (manuelles) Passer les critures comptables (semi-automatiques)/classe 9-6 Domaine immobilier et participations non cotes Passer les critures comptables (manuelles) Passer les critures comptables (semi-automatiques) apurement de charges Effectuer les contrles comptables et le contrle interne associ Contrles des flux (dversements) / administratif des flux Contrler les comptes de bilan Suivre le budget (contrle de gestion) rviser le budget Collecter et contrler les donnes Prparer les tats du budget et effectuer les actions correctrices en conformit avec la directive Transparence Raliser et formaliser les analyses Rpondre aux demandes dexplications et dinformations Analyser les rsultats (comptabilit analytique) analyse dcarts Collecter et contrler les donnes Prparer les tats danalyse et effectuer les actions correctrices Raliser les analyses et rpondre aux demandes ponctuelles Arrter les comptes et grer le projet Fast Close Domaine assurances individuelles Intgration des donnes de gestion et interprtation Justification et ajustements des comptes tablissement et comptabilisation des critures dinventaire Analyse et comptabilisation des critures finales et administration de flux Intgration des donnes de gestion
Groupe Eyrolles
Justification et ajustements des comptes (test Impairment) tablissement et comptabilisation des critures dinventaire Justification et ajustements des comptes revue analytique tablissement et comptabilisation des critures dinventaire (IFRS 4)
Immobilier dinvestissement (IAS 40) Participations non cotes laboration du dossier de clture (arrts de comptes) Domaine frais et charges communes Saisie des factures et provisions Salaires, logiciels et dotations aux amortissements Refacturations intragroupe Ajustements comptables des frais gnraux du primtre Union europenne Arrt des frais gnraux Ventilation des charges corporate Rpartition analytique en mthode ABC (comptabilit par activit) Dtermination du chiffre daffaires partenaire / reconnaissance du CA (IAS 18) Dtermination des provisions et des comptes techniques Rassurance/coassurance technique et financire Production financire et contrle du rsultat Domaine consolidation Travaux prparatoires la consolidation IFRS US GAAP Intgration des donnes Retraitement consolidation, annulation Interco dition des tats de synthse consolids et des annexes Raliser les dclarations fiscales, impts diffrs Collecter les informations et les donnes Calculer lassiette et limpt et effectuer les ajustements tablir les dclarations fiscales et les liasses fiscales Payer limpt (acomptes + solde)
Groupe Eyrolles
Processus oprationnels Concevoir et suivre les produits Comprendre et analyser les besoins Zone Union europenne tudier le march et le comportement des consommateurs Identifier les besoins des consommateurs Identifier les besoins du distributeur valuer les enjeux pour lassureur Concevoir loffre Formaliser loffre dun produit dassurance Raliser ltude dopportunit commerciale Raliser ltude de faisabilit laborer la tarification (individuelle & collective) tudier la rentabilit (individuelle & collective) ROI Faire valider le produit par les autorits de gouvernance (individuel & collectif) AMF laborer les nouveaux produits ou customiser les produits existants Rdiger la fiche produit et les documents contractuels individuel & collectif Finaliser la tarification conditions de rassurance individuel & collectif et co-assurance Obtenir les autorisations rglementaires individuel & collectif Test commercial et enqutes clients sur les nouveaux produits individuel laborer la communication client individuel & collectif laborer le cahier des charges du produit individuel & collectif Mise en gestion et recettage/industrialisation de loffre Recetter les applications activer les frais de dveloppement Mettre en exploitation Produire sous contrle Exploiter les systmes Distribuer les produits Dfinir les objectifs annuels et formaliser les plans de dploiement Ngocier les objectifs de vente avec le partenaire
Groupe Eyrolles
Dcliner les objectifs et laborer le plan daction commercial Mettre en uvre le plan daction commercial Raliser les supports marketing et mix marketing Former les rseaux commerciaux et partenaires
Animer les rseaux commerciaux (agents gnraux) Vendre et suivre la ralisation des objectifs Vendre au partenaire Suivre les rsultats Dterminer les actions correctrices Assurances individuelles Dfinir les objectifs annuels et formaliser les plans de dploiement Ngocier les objectifs de vente avec le partenaire Valider les actions commerciales avec le partenaire Mettre en uvre le plan daction commercial Raliser les outils daide la vente Raliser les supports marketing + mix marketing Faire souscrire et mettre le contrat Retranscrire les informations client Saisir et valider la souscription Contrler les documents contractuels et administratifs Contrler le dossier dadhsion ou de souscription Saisir et mettre les documents Traiter les anomalies, les cas exceptionnels incured but not reported (IBR) Archiver les documents du dossier dadhsion/souscription Appeler et encaisser les primes/cotisations Encaisser les primes et rgulariser les impays Encaisser les primes Appeler les primes de versements rguliers Encaisser les primes Traiter les impays et recouvrer les primes Affecter les versements Suivre la vie du contrat Enregistrer les modifications de nature administrative Enregistrer les modifications de nature contractuelle Traiter les avances Grer les placements Domaine valeurs mobilires Dterminer les stratgies dinvestissements
Groupe Eyrolles
Grer ladossement actif/passif Dfinir les stratgies financires Grer les limites par metteur et le risque crdit groupe Grer la trsorerie et les portefeuilles financiers Matriser le niveau de trsorerie Passer les ordres sur les portefeuilles long terme Grer les placements de trsorerie Grer les garanties annexes Adossement actif/passif des UC (units de crdit) Gestion postmarch Valoriser Suivis particuliers Comptabiliser et calculer les rsultats des portefeuilles
Groupe Eyrolles
Cartographie des processus dans le domaine des mandats de gestion dactifs du secteur assurance
Processus Grer les risques Grer la mise jour du programme d'activit Grer le contrle interne tablir la charte de contrle interne et le plan de contrle annuel en conformit avec solvabilit 2/8e directive europenne sur laudit lgal Grer les procdures (procdure des procdures) Dfinir les rgles pour la cration et la commercialisation des nouveaux produits en conformit MIF Grer les enregistrements tlphoniques en conformit CNIL Contrler les activits Raliser les contrles de second niveau conformment au plan de contrle Solvency 2/8e directive europenne sur laudit lgal Contrler les dlgataires de gestion Contrler les prestataires - intermdiaires, dpositaires Raliser les contrles de second niveau des ratios rglementaires et statutaires solvabilit 2 Raliser la synthse des contrles et suivre les actions correctives ou d'amlioration prvues/produire les Key Risks Indicators Assurer les contrles de conformit Raliser les contrles priodiques par laudit interne Grer la conformit Dfinir les codes, chartes, rgles et modalits - dontologie, conflits d'intrts, muraille de Chine, cadeaux et avantages, personnel sensible, whistle blowing en conformit avec le code ethique et dontologique Suivre la mise en uvre des rgles chartes, codes et modalits conformment la rglementation et laudit de lgalit Rdiger et diffuser les rapports de suivi selon la rglementation en vigueur (droit bancaire et droit des assurances) Assurer veille rglementaire (projets de directives europennes Grer la scurit
Groupe Eyrolles
Dfinir et suivre le Plan de continuit de lactivit et les procdures de gestion de crise associes Grer les habilitations de signatures et dlgations de pouvoir Gouverner l'entreprise Gouverner l'entreprise Dfinir et piloter les stratgies
Crer les produits et les suivre Crer les produits et les suivre Concevoir les produits financiers tudier la faisabilit de la demande entreprise via appels doffres Suivre la cration des nouveaux OPCVM Grer le comit des nouveaux produits via le comit daudit Grer les relations commerciales Assurer la relation client et commerciale Entrer en relation avec de nouveaux clients Qualification du besoin du client Classification des clients en conformit MIF Tenue et mise jour des dossiers clients Optimiser la gestion des fonds Grer les OPCVM - activits financires Dfinir et mettre en uvre les politiques de taux Dfinir et mettre en uvre les politiques ALM Dfinir et mettre en uvre les politiques pour la multigestion Slectionner les intermdiaires, les brokers Intervenir sur les marchs terme et de gr gr Passer les ordres Passer les ordres sur OPCVM Valider les VL (valeurs liquidatives) suite prvalidation middle office Analyser les performances Mettre en uvre les dcisions de CS (conseil de surveillance) / CA (conseil dadministration) Grer les titres Grer les comits d'investissement et dengagement Prparer les comits d'investissement et reporter au comit daudit Mettre en uvre les dcisions des comits d'investissement et dengagement
Groupe Eyrolles
Raliser les oprations non financires sur OPCVM Dfinir les politiques de vote et de contrle Rpondre aux demandes dinformations
Contrler la gestion sur les fonds, informer Contrler les oprations ralises par les grants/gestionnaires Pr-valider les VL (Valeurs liquidatives) Contrler et suivre la trsorerie Contrler les oprations inities par les grants/gestionnaires Contrler les dlgations financires Contrler et suivre le risque de contrepartie Suivre les ratios statutaires Raliser les oprations diverses Suivre les interfaces SI et ladministration des flux Grer les rtrocessions de commissions sur OPCVM externes Grer les rtrocessions de commission Raliser les reportings sur les OPCVM gres Contrler et suivre les donnes financires - rfrentiel et reporting priodique IFRS/Domestic GAAP/US GAAP Raliser le reporting mensuel IFRS/Domestic GAAP/US GAAP Raliser l'information aux porteurs de parts (performance des portefeuilles) Grer les conseils de surveillance (CS)/CA (Conseil dAdministration) Grer les membres des CS/CA Grer les plannings et les convocations des CS/CA Secrtariat des Socits tablir dossier prsent au CS/CA Grer les prsences aux CS/CA Archiver les procs-verbaux (PV) des CS/CA Suivre les mises en uvre des dcisions CS/CA Raliser les reportings sur les mandats Contrler et suivre les donnes financires - rfrentiel et reporting priodique en conformit IFRS/Domestic GAAP/US GAAP Suivre a priori et a posteriori les ratios statutaires Solvency 2 Raliser le reporting mensuel IFRS/Domestic GAAP/US GAAP
Groupe Eyrolles
Grer la comptabilit des OPCVM Grer les oprations comptables sur OPCVM Cration de portefeuille Valoriser les OPCVM (et dfinir rgles et mthodes de valorisation), suivre l'quilibre du nombre de parts en conformit IAS 39 rvision doctobre 2008 tablir les documents priodiques rglementaires en conformit IFRS 7 Suivre a posteriori les ratios rglementaires Solvency 2 Contrler les erreurs de valorisation/IAS 39/tests de dprciation Grer les fonds garantis Raliser le suivi des diffrentes rmunrations Grer les commissions de mouvement sur OPCVM Grer les frais de gestion variables sur OPCVM Grer les rtrocessions sur OPCVM Raliser les tches lies au pilotage Dfinir l'ensemble des activits lies au pilotage Grer les diffrentes tches lies au pilotage Grer les fusions absorptions OPCVM Organiser le contrle oprationnel Dfinir l'organisation et les missions du contrle oprationnel Prsenter les outils de suivi et tableaux de bord intgrant les KRI Grer les RH et les relations sociales Grer les collaborateurs Dontologie, MIF/comptences et implication Grer les dtachements et rmunrations Dcrire les fonctions spcifiques lies aux mandats de gestion/gestion dactifs
Groupe Eyrolles
Grer la rglementation juridique et fiscale Grer les agrments AMF- cration OPCVM, mutation OPCVM, Grer les relations avec le rgulateur changements d'acteurs Raliser le suivi (dpositaire...)
Assurer la veille rglementaire Organiser le lobbying Grer les conseils de surveillance Vrifier le niveau de comptences des membres Raliser les procs-verbaux des CS/CA Suivre le programme d'activit, les donnes lgales, superviser le secrtariat des socits Grer les systmes dinformation (SI) Grer les applications SI Grer les demandes dvolutions SI Grer les interfaces entre SI Grer la scurit des applications Monter en puissance les releases Coordonner lanalyse fonctionnelle Synchroniser les interfaces Tester les rgles de scurit applicative
Grer le Plan de secours inforTester les plans de reprise dactivit informatique matique Grer la comptabilit et les finances Assurer la gestion comptable Dfinir les rgles comptables IFRS/Domestic GAAP/US GAAP Grer la comptabilit financire Arrter les comptes et raliser les bilans en intgrant la directive transparence Raliser les documents d'information rglementaires Suivre et grer la trsorerie Suivre et grer les fonds propres IFRS 7 Raliser les rapprochements bancaires Grer les acomptes sur dividendes Grer les fournisseurs Grer la facturation des fournisseurs Grer la comptabilit et les finances Grer les budgets et les business plans laborer le budget (charges et ressources) en conformit avec la directive transparence
Groupe Eyrolles
Suivre les budgets, raliser les analyses (notamment dfinir les rgles d'analyses et les critres), les intgrer dans le dispositif de communication financire Grer les rtrocessions sur OPCVM externes
Biens assurs Tout matriel informatique Logiciel, progiciels Garantis au repos, en activit Faits gnrateurs garantis Incendie, explosion Dommages lectriques, lectroniques Bris de machine Dgts des eaux Temptes, ouragans Catastrophes naturelles Chutes, heurts Grle, gel Tremblement de terre Grves, meutes Chutes daronefs Franchissement mur du son Malveillance dlibre Sabotage Contamination virale Vol, intrusion, effraction Utilisation fausses cls Maladresse, ngligence Utilisation non autorise de ressources informatiques interne/externe
Groupe Eyrolles
Pertes financires gnres par un dommage matriel et/ou immatriel Informatique Frais de reconstitution darchives Frais de reconstitution des mdias Frais supplmentaires dexploitation informatique Location dun ordinateur de remplacement Frais de communication de crise interne et externe lie au plan de survie Extension risques informatiques Garantie pertes de fonds affectant les comptes de la classe 5 (VMP, CCP, banque) Caisse, rgies davances, virements internes, provision des dprciations de VMP Jeux dcritures illicites en cas de dtournement Virements effectus pour le compte de clients en cas dacte de malveillance Paiement des agios bancaires Paiement des loyers restant couvrir si recours la location financement
Groupe Eyrolles
Faits gnrateurs mtier assurances, co- et rassurance Convention spciale dtournements Escroquerie Dtournement, abus de confiance Faux en criture, perte de fond et valeurs conscutives une cration, modification Suppression dinformations passibles de poursuites pnales Autres clauses Insuffisance de moyens Erreurs ou omissions dans les ordres de la clientle Erreur de saisie de RIB Erreur de montant dans la saisie Erreur de saisie sur le nom ou prnom du souscripteur Rachat de capital suite homonymie Rachat de capital suite imitation de signature Changement de clause bnficiaire crant un prjudice par rapport au bnficiaire initial Modification de clause bnficiaire entre demande de mise sous tutelle et mise sous tutelle effective du souscripteur Dsignation bnficiaire dune association non reconnue dutilit publique non identifie par la compagnie au moment de la souscription Pertes pcuniaires favorises par une ngligence de lassur ou par inobservation de rgles de prudence dans le secteur bancassurance Refus ou omission de renouveler ou de rsilier un contrat dassurance ou un trait de rassurance non justifi Refus ou omission ou retard dans le rglement dun sinistre Erreur ou omission faites par un souscripteur de la compagnie Infraction avec la loi scurit financire du 13 octobre 2003, dont : Article 39 rforme dmarchage bancaire et financier Article 42 rglementation de la profession de conseiller en investissements financiers Article 47 exercice des droits, notamment de vote, attachs aux titres dtenus par les OPCVM gres par les socits de gestion de portefeuille Dfaut de conseil Vente de produits inappropris compte tenu du statut patrimonial du client Versement de fonds un mauvais bnficiaire avec erreur imputable au commettant
Groupe Eyrolles
Manque de performance des actifs en reprsentation Mauvaise interprtation des normes IFRS Erreur darbitrage dans lallocation des actifs financiers
Non-conformit des visites de site ralises par lAMF dans le cadre du contrle des portefeuilles Erreur de constitution de dossier ou non-respect des dlais dans la procdure dagrment AMF en termes de cration dOPCVM Avertissement, blme, interdiction temporaire ou dfinitive dune partie ou de la totalit des activits Sanctions pcuniaires du conseil de discipline des OPCVM Erreur ou retard de publication dans la production de la valeur liquidative Erreur de transmission dans lidentification des acteurs Erreur de transmission dans la caractrisation en cas de changement de structure de lOPCVM Dclaratif des autres mtiers du groupe combin Activit dassurance et de rassurance Activit dingnierie et de prvention des risques Activits de courtage dassurance ou de rassurance Activits immobilires Prestations de services informatiques Prestations de services logistiques Gestion pargne salariale Activit de gestion de portefeuille et de placement Production et ngoce en vin Crdit-bail immobilier Protection juridique Recouvrement de crances Assistance et information Multiservices pour particuliers Aide aux personnes handicapes Gestion de centres sportifs Remise dobjets publicitaires Activits annexes connexes et/ou complmentaires Soins mdicaux
Groupe Eyrolles
Groupe Eyrolles
AXA ralise une part importante de ses activits sur des produits en units de compte pour lesquels la majorit des risques financiers est supporte directement par les assurs (la valeur pour lactionnaire reste, nanmoins, sensible lvolution des marchs financiers).
Groupe Eyrolles
Bibliographie
Autres auteurs
Blinn (James D.), Elliott (Michael W.), Head (George L.), Essentials of Risk Financing, volume II, Insurance Institute of America, 1993. Bon-Michel (Batrice), Chapoteau (Georges), Contrle interne bancaire, Editea, 2008. Chelly (Dan), Jimenez (Christian), Merlier (Patrick), Risques oprationnels, Revue Banque, 2008. Mekouar (Richard), Veret (Catherine), Fonction : risk manager, Dunod, 2005.
Groupe Eyrolles
187
Groupe Eyrolles
Compos par IDT Achev dimprimer : XXXX N dditeur : 3863 N dimprimeur : xxxxxxx Dpt lgal : Mai 2009 Imprim en France