GROUPE DE TRAVAIL FORUM DES COMPETENCES LE RISQUE RESIDUEL : QUI LASSUME ?

Contexte
Afin dassurer une matrise plus prcise et efficace des risques, lapproche prudentielle des groupes de travail de la BRI Banque des Rglements Internationaux - prconise de prendre en compte le risque oprationnel. Ainsi, selon la dfinition de Ble II, on entend par risque oprationnel, le risque de pertes dues des personnes, processus ou systmes dfaillants ou rsultant dvnements externes. Cette dfinition intgre en particulier le risque de non conformit. Cf. Accord Ble II Directive CRD. Le responsable mtier gre par nature lensemble des risques lis son activit. Il grait dj les risques de contreparties, march, liquidit, etc au sens de Ble I et doit dsormais prendre en compte le risque oprationnel au sens Ble II. Ainsi les institutions financires intgrent dsormais la gestion du risque oprationnel dans la gestion quotidienne de leur activit mtier. Le responsable mtier se doit de prendre en compte ses risques oprationnels dans la conception et la mise en uvre dun nouveau produit ou dune nouvelle activit

Dans ce contexte, il est primordial davoir une vision complte des risques impactant le mtier et den dduire par consquent les risques rsiduels accepts. La multiplicit des expertises risques oprationnels (SI, juridique, humain, logistique, de conformit, sinistre externe, etc) tant en termes de frquence que de svrit des vnements a ncessit la mise en place dune gouvernance adapte. Cette rflexion a pour objectifs dapporter des clairages sur les points suivants : Comment passer du risque au risque rsiduel ? Comment consolider et valuer le risque rsiduel ? Qui lassume ? Qui se charge de le suivre ?

Forum des competences_Le risque rsiduel_v1.0

10/11/2009

1/4

Le risque rsiduel : qui lassume ?

Comment passer du risque au risque rsiduel ?

Le risque rsiduel se dfinit comme tant le risque net aprs prise en compte des mesures, actions, dispositions attnuants le risque brut. Il peut tre obtenu aprs plusieurs itrations. Il peut tre accept ou non. Lors de llaboration du nouveau produit ou service, une analyse de risque est ralise.
Figure 2. Le risque rsiduel acceptable

Au cours de la phase de construction du produit, une apprciation pralable des risques affrents ses activits est ralise par diffrents experts (responsables de la continuit dactivit, ressources humaines, Scurit des systmes dinformation, juridique, etc). Ce qui constitue la version initiale du dossier dvaluation des risques. Tout au long du cycle de vie du produit, ce dossier est rgulirement mis jour.
Figure 3.Cumul de quelques risques rsiduels identifis tout au long du cycle de mise en place et fonctionnement oprationnel

Un contrle de 2e niveau est assur par une fonction danalyse des risques et des processus, indpendante (exemple risk manager, contrle permanent) qui a une bonne connaissance des activits mtier. Elle a pour mission dmettre un avis sur les risques valus par les experts de chaque activit et de le communiquer ensuite au responsable mtier. Pour ce faire, il est ncessaire que les experts expriment leurs analyses dans un langage orient mtier. La consolidation de ces analyses constitue le dossier dvaluation des risques. En effet, il permet au responsable mtier davoir une vision globale des risques rsiduels quil a accepts. En phase de mise en uvre du produit ou du service, le responsable mtier doit sassurer de la mise jour du dossier dvaluation des risques. Ce processus de mise jour doit tre galement document. Lvaluation des risques doit tre rvise de manire priodique dans le but de tenir compte de lvolution de lenvironnement rglementaire et technique, du changement des primtres mtier ou organisationnel et de lapparition de nouvelles menaces.

Forum des competences_Le risque rsiduel_v1.0

10/11/2009

2/4

Le risque rsiduel : qui lassume ?

Deux familles de risques sont distinguer : Les risques courants inhrents lactivit mais avec un impact limit sur le processus mtier (exemple : fraude quotidienne lie aux cartes bancaires, pertes/vol des cartes, etc). Ces sinistres rcurrents sont traits comme des pertes oprationnelles et pris en compte dans les budgets relatifs chaque mtier. Les risques exceptionnels ont une probabilit doccurrence faible et un impact trs fort sur le fonctionnement du process mtier (fraude exceptionnelle, indisponibilit des rseaux, sinistre majeur, choc extrme, etc). Ces risques font partie intgrante du calcul des fonds propres.

Figure 4. Dossier dvaluation des risques

En rsum, le dossier dvaluation des risques est un outil de pilotage du responsable mtier. Il lui permet de regrouper lensemble des risques identifis, tout au long de la phase de conception et de mise en uvre; de les quantifier en vue de les prendre en compte dans lestimation des pertes oprationnelles et le calcul du capital conomique (Ble II); et de pratiquer les arbitrages et les investissements ncessaires.

Exemple de constitution dun dossier dvaluation des risques partir du standard ISO 27005
Parmi les approches les plus communment admises, la norme ISO 27005 risk management, expose la dmarche dapprciation et de traitement des risques. Cette mthode peut tre utilis par lensemble des experts sur lesquels sappuie le responsable mtier pour la constitution de son dossier dvaluation des risques et se dcline de la manire suivante : Etape 1 - Etablissement du contexte : consiste spcifier le primtre de lapprciation des risques, lenvironnement et lorganisation du processus mtier. Etape 2 - Apprciation du risque : se dcompose en deux sous parties : o Lanalyse des risques : identifie et quantifie les actifs sensibles, les menaces et vulnrabilits et estime, la probabilit doccurrence des risques identifis en vue de calculer les risques. Lvaluation des risques : permet de classifier les risques au regard des critres dvaluation, pralablement tablis par les objectifs et contraintes imposs par le responsable mtier.

Forum des competences_Le risque rsiduel_v1.0

10/11/2009

3/4

Le risque rsiduel : qui lassume ?

Etape 3 - Traitement du risque : consiste dcider des solutions envisager selon les options suivantes : refus/vitement, transfert du risque, rduction du risque et prise de risque. Etape 4 - Acceptation du risque : permet dapprcier le risque rsiduel obtenu une fois que le traitement du risque est mis en uvre. A cet gard, le responsable prend la responsabilit dassumer son risque rsiduel ou darrter le projet.

Figure 4.Source : schma de liso 27005

En conclusion, le responsable Mtier assume son risque rsiduel au travers le processus de consolidation du dossier dvaluation des risques. Il sappuie sur : Les experts qui laccompagnent dans la qualification et le traitement des risques, Les fonctions de gestion des risques et de contrle. Pour que a fonctionne, il est indispensable davoir une gouvernance adapte la culture et au niveau de maturit de chaque tablissement.

Forum des competences_Le risque rsiduel_v1.0

10/11/2009

4/4