Comité AMARIS du 2 mai 2006

PP

RR

AA

AA

CC

Articulation entre Risk-managementet audit interne : quels apports

pour la cartographie des risques ?

PRMIA – mai 2006

Page 2PRMIA mai 2006

PP

RR

AA

AA

CC

Ordre du jour

! Le Risk-Management à la Banque de France : les fondamentaux

! Audit et risk-management : articulations et synergies

! Quel outil ? à quelles fins ?

Page 3PRMIA mai 2006

PP

RR

AA

AA

CC

Les objectifs stratégiques (2001)

! Renforcer le contrôle interne de la Banque en se dotant d’un cadre commun de maîtrise des risques opérationnels

! Etre exemplaire en cherchant à se situer au niveau des meilleures pratiques préconisées par le Comité de Bâle

Page 4PRMIA mai 2006

PP

RR

AA

AA

CC

Déclinaisons

"""" Aider les Métiers à mieux identifier et surveiller leurs risques et àcontinuer à renforcer et structurer leur contrôle interne

"""" Centraliser et hiérarchiser l’information sur les risques et préparer des synthèses à l’intention des organes dirigeants de la Banque

• en mettant en place un réseau permanent de management des risques

• en établissant un canevas méthodologique d’analyse et de maîtrise des risques commun à l’ensemble des Métiers

• en élaborant une démarche de consolidation globale des risques et de reporting destiné au Gouvernement de la Banque

Page 5PRMIA mai 2006

PP

RR

AA

AA

CC

Quelques orientations importantes

" Démarche de renforcement du contrôle interne

" Fondée sur l’auto-évaluation (des risques, du contrôle interne…)

" Démarche en profondeur : tous les métiers opérationnels, toutes les activités, tous les risques significatifs (bruts et résiduels)

" Démarche complète : cartographie des risques, incidents, consolidations

" Démarche plurielle : bottom-up et top down, qualitative enrichie de quantitatif

" Calage avec normes et standards internationaux (COSO, Bâle 2…)

" Démarche progressive et outillée

Page 6PRMIA mai 2006

PP

RR

AA

AA

CC

Articulation d’ensemble du dispositif de risk-management

3CI

secrétariat

Comité dedirection

PRAAC

RM MéthodeAideConsolidation

Coordination généraleSupervision

Métiers

Comité audit

Page 7PRMIA mai 2006

PP

RR

AA

AA

CC

Le Pôle Risques : un rôle pivot

" unité administrative à part entière, distincte de l’Audit

" 3 missions :

# structurer une démarche commune de maîtrise des risques

# aider les métiers à mettre en œuvre leur dispositif de maîtrise des risques

# concevoir le processus de reporting consolidé

" profil-type : spécialistes du contrôle interne

" membres d’associations professionnelles (IFACI, AMRAE, PRMIA…)

" benchmarking permanent, tenue d’une documentation de référence, participation régulière à des conférences...

Page 8PRMIA mai 2006

PP

RR

AA

AA

CC

Les risk-managers dans les métiers

Les métiers sont responsables de la maîtrise de leurs risques : les RM en constituent les « pivots » au sein du métier.

Ils sont notamment chargés :• de mettre en place le processus de recensement et d’évaluation

des risques opérationnels du métier• d’aider le chef de métier à élaborer et à mettre en œuvre les plans

d’action • de mesurer l’efficacité du dispositif de maîtrise des risques• d’aider à l’élaboration de la cartographie consolidée des risques • de diffuser la culture de maîtrise du risque au sein du métier

Page 9PRMIA mai 2006

PP

RR

AA

AA

CC

Le 3CI (Comité de Coordination du Contrôle Interne) : l’instance plénière

" présidée par le Contrôleur Général

" participants : chefs de métiers et Risk-Managers

" 3 à 4 réunions par an

" définit les orientations stratégiques en matière de management du risque opérationnel

" veille à l ’avancement régulier des travaux

" est informé des choix pris par les métiers

" prépare l ’information du Comité de Direction

Page 10PRMIA mai 2006

PP

RR

AA

AA

CC

Acceptation des risques ouélaboration de plans d’action

Identification et évaluationdes risques inhérents

Reporting et actualisation

Evaluation des risques residuels

Identification et évaluationdu contrôle interne

Identification et descriptiondes processus d’activitéÉtape 1

Étape 2

Étape 3

Étape 4

Étape 5

Étape 6

Démarche de maîtrise des risques (AMARIS) : les étapes

Page 11PRMIA mai 2006

PP

RR

AA

AA

CC

Ordre du jour

! Le Risk-Management à la Banque de France : les fondamentaux

Audit et risk-management : articulations et synergies

! Quel outil ? à quelles fins ?

Page 12PRMIA mai 2006

PP

RR

AA

AA

CC

Organisation : au sein du même métier, deux entités indépendantes

LE CONTRÔLEUR GÉNÉRALConseiller pour la sûreté

DPRDirection de la prévention des risquesInspection générale

Détachements

RSISécurité de l ’information

PRAACPôle risques : assistance à

l ’analyse et à la consolidation

Division desrecherches extérieures

Cabinet del ’Inspection générale

Audit des servicescentraux Audit du réseau

Contrôle sur place des établissements

de crédit

Audit général

SRCCV

Audit informatique

SCCV

Page 13PRMIA mai 2006

PP

RR

AA

AA

CC

Autorités de la Banque

PRAACAUDIT

Appréciation ducontrôle de 1er niveau

Rapportsde missions

Cartographie généraledes risques

Métier 1 Métier 2 Métier 17

MéthodologieAssistance

Reporting Risquespour consolidation

Positionnement du PRAAC

« propriétaires » de leurs risques qu’ils auto-évaluent

Page 14PRMIA mai 2006

PP

RR

AA

AA

CC

NIVEAU 1(ctrl permanenent)

Risqueinhérent

Risquerésiduel

RESPONSABLES

OPERATIONNELS

ASSISTANCE AU CI (Pôle risques)

AUDIT

CAC

C. DESCOMPTES

NIVEAU 2(ctrl périodique)

NIVEAU 3

Degré 2

Degré 1

Risques et contrôle interne

Page 15PRMIA mai 2006

PP

RR

AA

AA

CC

Audit et risk-management : des expressions du risque parfois différentes

! Le risque est exprimé à partir d’un constat factuel et incontestable

! Le constat négatif s’exprime souvent à un niveau très détaillé $$$$ l’expression du risque également

! Difficulté d’utilisation des matrices de cotation globales

! Le risque correspond souvent au meilleur « dire d’expert » àun instant donné

! Le « niveau » d’analyse du risque est variable (progressivité des démarches)

! auto-évaluation $$$$ tendance naturelle à sur / sous-évaluation, subjectivité

Page 16PRMIA mai 2006

PP

RR

AA

AA

CC

Le risk-management : un objet d’audit essentiel

! L’audit apprécie : • la qualité de la cartographie des risques (exhaustivité /

évaluation des risques, appréciation portée sur le contrôle interne, plans d’actions...)

• le dispositif de risk-management! Il a accès à la base risques dans le cadre de ses missions! Il utilise le même vocabulaire que les risk-managers

% L’audit confirme / infirme les auto-évaluations réalisées par les métiers, sur la base de constats factuels

% Le risk-management est objet d’audit

Page 17PRMIA mai 2006

PP

RR

AA

AA

CC

Audit et Risk-management : des apports mutuels

! Pour la cartographie : principe de cohérence entre les appréciations exprimées par l’audit dans les FAR (sur les risques, les dci…) et les cartographies établies par les RM :

• systématique pour les Far de niveau élevé

• souhaitée pour les Far de niveau moyen

! Pour la planification des missions : exploitation de la cartographie pour identifier les « zones à risques » de l’entreprise

Page 18PRMIA mai 2006

PP

RR

AA

AA

CC

Audit et Risk-management : une nécessaire collaboration

% Décision du comité de direction : le RM est désormais associé à la validation du niveau de risque défini par l’audit et au suivi des plans d’action conduits sous l’autorité du Directeur• les modalités pratiques d’association du RM aux

responsables opérationnels demeurent « à la main » des métiers

• l’audit souhaite, a minima, rencontrer le RM : & lors de la réunion de lancement& Lors de la restitution des conclusions de l’audit

Page 19PRMIA mai 2006

PP

RR

AA

AA

CC

FAR N°FAR déposée le : « date de dépôt »Constat validé le : « date de validation »

Plan d’action validé par l’Audit le : « date de validation »

Thème :

Typologie du risque Appréciation du risque

10 risques (niveau 2 de Amaris) Fort, moyen ou faible

Contexte

Référentiel

Constat

Risques

Causes

Recommandation n° X

Service responsable de la mise en œuvre : « nom du service »

Autre(s) Service(s) responsable(s) de la validation desconstats :

« nom du(es) service(s) »

Service(s) destinataire(s) pour information : « nom du(es) service(s) »

Réponse du service responsable de la mise en oeuvre

Acceptée :Plan d'action :Responsable :Échéance : mois et annéeDescription des mesures :

Refusée :Motif du refus :

Page 20PRMIA mai 2006

PP

RR

AA

AA

CC

Rôle du risk-manager au regard des rapports d’audit

! RM reçoit tous les rapports d’audit concernant son métier! Il actualise sa cartographie en tenant compte des conclusions de

l’audit :• risques manquants, mal décrits, sous ou sur-évalués..• appréciation du contrôle interne (efficacité, pertinence)• complète les plans d’action• ...

! Actualisation souhaitée « au fil de l’eau », a minima tous les 6 mois (àl’occasion des exercices de consolidation)

% Le RM exploite tous les éléments disponibles pour enrichir la cartographie des risques de son métier (brainstorming, dialogue avec autres RM, incidents internes et externes , audits…)

Page 21PRMIA mai 2006

PP

RR

AA

AA

CC

Rôle du Pôle Risques vis-à-vis des Risk-managers et de l’audit ! Pour les RM :

• conduit des expertises régulières des cartographies (analyse « au fond » et sur la forme)

• restitution formelle• analyse tous les rapports d’audit de tous les métiers, et vérifie

cohérence avec les cartographies! Vis-à-vis de l’audit :

• peut être rencontré par l’audit à tout moment de la mission• peut recevoir des recommandations pour amélioration du

cadre méthodologique• peut être audité

% Le Pôle Risques « challenge « les Métiers pour garantir la qualitéd’ensemble des cartographies des Métiers et, par voie de conséquence, la cartographie globale de la BdF.

Page 22PRMIA mai 2006

PP

RR

AA

AA

CC

Ordre du jour

! Le Risk-Management à la Banque de France : les fondamentaux

! Audit et risk-management : articulations et synergies

Quel outil ? à quelles fins ?

Page 23PRMIA mai 2006

PP

RR

AA

AA

CC

SIRIS / FrontRisk : le logiciel de gestion des risques opérationnels de la Banque de France

Les principales fonctionnalités :

• La description de l’arborescence des processus des Métiers

• La description de l’évaluation des risques, des dispositifs de contrôle interne et des plans d’action

• Le recensement des incidents des Métiers

• L’établissement automatisé de nombreux rapports

• L’émission et la gestion des questionnaires d’autoévaluation

• Enrichissement quantitatif en cours

! Une exploitation totalement automatisée par les centres informatiques

Page 24PRMIA mai 2006

PP

RR

AA

AA

CC

! Logiciel mis en production le 14/10/2005

! Logiciel fonctionnant en mode WEB = Suppression de la contrainte du nombre de licences (550 utilisateurs à ce jour vs 40 licences Orcas)

! Base de données multiutilisateurs, garantissant l’intégrité des données

! Gestion intégrée des flux de déclaration / validation des incidents (« work-flow »), adaptée au contexte des métiers

! Historisation de nombreux champs (piste d’audit)

! Gestion des actions correctives et préventives (cellules qualité)

! cloisonnement des données permettant la gestion de la confidentialitéinter-métiers

! Gestion de profils permettant la spécialisation des utilisateurs SIRIS

SIRIS / FrontRisk : le logiciel de gestion des risques opérationnels de la Banque de France

Page 25PRMIA mai 2006

PP

RR

AA

AA

CC

Un exemple : l’écran des processus

Tableau interactif

Répartition des risques

Comité AMARIS du 2 mai 2006

PP

RR

AA

AA

CC

Merci pour votre attention

michel.pozzodiborgo@banque-france.fr