Post on 05-Jul-2015
JJ Mois Année
Élaborer une Cartographie des risques
Pourquoi, pour qui et comment ?
Juillet 2008
Réalisé par : Hassan EL AMRANI
2La Cartographie des risquesJuillet 2008
Sommaire
1. Le système de contrôle interne et sa place dans les AMCDéfinition et objectif du C.IPrincipes fondamentaux du C.IObligation de disposer du C.IArchitecture du dispositif du C.IObligation stricte de documentation et d’informationLes risques à couvrir par le C.I
2. Réglementation Bâle 2 et risques opérationnelsFocus sur les risques opérationnels Approche de couverture des risques
3. Cartographie des risquesObjectifs et attentes Définition de la cartographie des risquesUtilisateurs de la cartographieLes fondements de l’approcheRéférentiels utilisésÉtapes clésActeurs de la cartographie Étapes d’élaboration Clés de réussite Écueils à éviter
3La Cartographie des risquesJuillet 2008
Objectifs du séminaire
• Développer le sens de la maîtrise des risques,
• Appréhender les composantes du Dispositif du Contrôle Interne,
• Acquérir la méthodologie d’élaboration de la Cartographie des risques,
• Assimiler les techniques d’évaluation du niveau d’exposition aux risques,
• Évaluer l’impact de la gestion des risques sur la tarification et la mesure de la rentabilité.
4La Cartographie des risquesJuillet 2008
Le système de contrôle interne & sa place dans l’AMC
1. Pourquoi un Dispositif de Contrôle Interne?
2. Quel est son périmètre?
3. De quoi est-il composé?
5La Cartographie des risquesJuillet 2008
Définition et objectifs du contrôle interne
Définition :
Le contrôle interne est défini comme l’ensemble des dispositifs visant la maîtrise des activités et des risques de toute nature, permettant la régularité (au sens du respect de la réglementation externe et interne), la sécurité et l’efficacitédes opérations.
6La Cartographie des risquesJuillet 2008
Définition et objectifs du contrôle interne
Le déploiement du dispositif de contrôle interne répond aux principaux objectifs suivant :
S’assurer de la conformité aux lois et règlements et aux normes internes,
S’assurer de la qualité de l’information comptable et financière,
Prévenir et détecter les fraudes et les erreurs,
Veiller à la performance financière,
Porter à la connaissance de la Direction Générale des données exhaustives, précises et régulières nécessaires à la prise de décision et à la gestion des risques.
7La Cartographie des risquesJuillet 2008
Principes fondamentaux du contrôle interne
• Implication direct de l’organe exécutif dans l’organisation et le fonctionnement du dispositif du contrôle interne,
• Responsabilité de l’ensemble des acteurs,
• Couverture exhaustive des activités et des risques,
• Définition claire des tâches, de séparation effective des fonctions d’engagements et de contrôle,
8La Cartographie des risquesJuillet 2008
Principes fondamentaux du contrôle interne
• Processus de décision fondé sur les délégations formalisées et à jour comportant un double regard pour tout engagement significatif de quelque nature qu’il soit, pouvant se traduire par la nécessité d’un accord préalable ou d’un avis, le cas échéant, de la part des fonctions de contrôle ( ex :Nouvelles activités ou nouveau produits),
• Normes et procédures,
• Déploiement de fonctions de contrôle spécialisées,
• Information de l’organe délibérant (Conseil de surveillance : stratégie et politique de risque limites globales opérationnelles fixées aux prises de risques, suivi de limites, activités, résultats des contrôles permanent et périodique )
9La Cartographie des risquesJuillet 2008
Obligation de disposer du contrôle interne
Disposer d’un contrôle interne est une obligation réglementaire édictée par :
• Comité de Bâle de la BRI, • Règlement CRBF 97-02 modifié en juin 2007(Applicable à l’ensemble des filiales de banques et aux organismes de crédits français),• Circulaire BAM n°40/G/2007 relative au Contrôle Interne des établissements de crédit.
10La Cartographie des risquesJuillet 2008
Obligation de disposer du contrôle interne
Cette obligation a été renforcée à compter du 1er janvier 2006 en France et àpartir du mois d’août 2007 au Maroc :
Extension du dispositif de contrôle interne aux activités essentielles externalisées,
Confirmation du rôle primordial des managers et de leurs équipes dans les contrôles permanents opérationnels.
Il constitue un instrument de gestion et de maîtrise de l’ensemble des risques encourus.
11La Cartographie des risquesJuillet 2008
Obligation de disposer du contrôle interne
Son rôle doit être :
efficace,
se concevoir sur base consolidée,
s’étendre aux succursales à l’étranger,
concourir à la fiabilité des états financiers.
Pour être efficace, il faut que les systèmes de contrôle des opérations et des procédures :
soient adaptés au activités et à la taille, aux implantations et aux risques,
respectent certains principes comme la séparation des fonctions, l’utilisation de moyens adaptés (qualitatifs et quantitatifs), le réexamen périodique de la pertinence des systèmes, une durée limitée du cycle d’investigations…
12La Cartographie des risquesJuillet 2008
Obligation de disposer du contrôle interne
Les réglementations imposent aux établissements de crédits et aux entreprises d’investissement :
Une obligation de résultat
Dispositif adapté et efficace
Une obligation de moyens
Mise en place d’un dispositif
13La Cartographie des risquesJuillet 2008
Architecture du dispositif de contrôle interne
Les quatre composantes essentielles du dispositif du contrôle interne sont :
Une organisation comptable et du traitement de l’information (comptabilité, système d’information),
Un système de documentation et d’information (procédures, reportings),
Un système de mesure et de surveillance des risques et des flux,
Un système de contrôle qui comprend des contrôles permanents, des contrôles de conformité ainsi que des contrôles périodiques.
14La Cartographie des risquesJuillet 2008
Architecture du dispositif de contrôle interne
Le système de contrôle inclut toutes les vérifications réalisées à tous les niveaux de l’entreprise par l’ensemble des collaborateurs. Il a pour objectif de vérifier l’existence, l’adéquation et l’efficacité du contrôle interne et permet d’en apporter une justification probante. Il vise également l’amélioration constante de ce dispositif par la mise en œuvre d’actions correctrices appropriées.
15La Cartographie des risquesJuillet 2008
Architecture du dispositif de contrôle interne
16La Cartographie des risquesJuillet 2008
Architecture du dispositif de contrôle interne
Il faut notamment 3 niveaux de contrôles :
Permanent de 1er degré (au sein des unités),
Permanent de 2ème degré (unités spécialisées),
Périodiques (contrôle des contrôles),
17La Cartographie des risquesJuillet 2008
Architecture du dispositif de contrôle interne
18La Cartographie des risquesJuillet 2008
Architecture du dispositif de contrôle interne
Le contrôle permanent est assuré :
Au 1er degré, de façon courante à l’initiation d’une opération et en cours de validation de l’opération, par les opérateurs, la hiérarchie au sein de l’unité ou par les systèmes automatisés de traitement des opérations,
Au 2ème degré - 1er niveau, après validation de l’opération, par des agents distincts de ceux ayant engagé l’opération, pouvant exercer des activités opérationnelles,
Au 2ème degré - 2ème niveau, par des agents exclusivement dédiés, sans pouvoir d’engagement impliquant une prise de risque.
Le contrôle périodique (3ème degré) :
Vérifications ponctuelles de toutes les activités et fonctions de l’entreprise y compris le contrôle permanent et le contrôle de la conformité par une unitéindépendante (Audit Inspection).
19La Cartographie des risquesJuillet 2008
Obligations strictes de documentation et d’information
Nécessaire formalisation des procédures et documentation des programmes,
Mise à disposition de tableaux de bord sur les risques et états de synthèse sur la mesure des risques,
Centralisation des informations chez le responsable des Contrôles Permanents
20La Cartographie des risquesJuillet 2008
Les risques à couvrir par le contrôle interne
Les risques à prendre en compte au titre de la réglementation sont :
Risque de crédit, y compris le risque de concentration et le risque résiduel,
Risques de marché,
Risques financiers structurels (risques de taux d’intérêt global, risque de liquidité intraday, et risque règlement/ livraison),
Risques opérationnels (y compris le plan de continuité des activités, sécuritédes moyens de paiements, externalisation),
Risques de non-conformité,
Risques juridiques.
Le risque d’image et le risque stratégique bien qu’ils ne soient pas intégrés dans les réglementations, ils doivent faire l’objet d’une surveillance particulière compte tenu de leurs impacts financiers sous-jacents et de leurs conséquences.
21La Cartographie des risquesJuillet 2008
Les risques à couvrir par le contrôle interne
Les banques est les établissements de crédits sont principalement soumis aux risques de crédit, de marché et aux risques opérationnels :
Le risque de crédit se définit comme l’incertitude d’une contrepartie d’accomplir ses obligations. Ce risque existe pour toute créance client.
Le risque de marché, existe dès qu’un portefeuille est exposé aux fluctuations des paramètres des marchés.
Le risque opérationnel quant à lui se divise en deux catégories : risques endogènes et risques exogènes.
Les premiers sont internes à l’établissement et comprennent les risques humains (erreurs d’opérateur de saisie par exemple), inhérents au processus (cas ou il n’y a pas de mécanisme de gestion de crise dans le processus) ou inhérents au système lui-même (cas de système d’information indisponible pendant un jour par exemple).
Les seconds sont externes à l’activité (incendie dans les locaux, inondation des salles serveurs…)
22La Cartographie des risquesJuillet 2008
Les risques à couvrir par le contrôle interne
Le tableau suivant reprend les principales catégories de risques et les causes de leurs survenances :
RISQUES DE CREDIT
RISQUES DE MARCHE RISQUES OPERATIONNELS STRATEGIES/ BUSINESS &
REPUTATIONEX
TER
NES
Défaut de paiement des:
- Clients - Contreparties
- Emetteurs - ...
Evolution défavorable des
conditions de marché :
- Taux / Change - Actions
- Matières premières - Immobilier
- ...
Survenance d’événements extérieurs: -Tiers
fraudes, malversations, contestations decréances de bonne ou de mauvaise foi,défaillance des prestataires de services,
grèves des transports ...- Evolution de l’environnement géo-
politique, légal, fiscal ou réglementaire changement de la réglementation légale ou
prudentielle, volatilité des marchés - Accidents & déprédations
incendies, inondations, pannes externes decourant ou des télécommunications ...
Evolution défavorable des volumes d’activité ou de la conjoncture économique
INTE
RN
ES
Inadaptation ou défaillance: - De l’organisation ou des procéduresnon séparation des tâches, processusdécisionnel inadapté, inexistence ou
inefficience des procédures ...- Des collaborateurs
erreurs, négligences, malveillances,comportements répréhensibles, non respect
des procédures, perte de savoir-faire ... - Des systèmes d’information
indisponibilité des systèmes d’information ou
des communications internes, erreurs detraitement...
Conduite d’une stratégie dont
la rentabilité ne s’avère pasoptimale compte tenu des
fonds propres engagés
TYPES DE RISQUES
CA
USE
S D
E R
ISQ
UES
23La Cartographie des risquesJuillet 2008
Les risques à couvrir par le contrôle interne
Exemples d’événements majeurs :
1995 OrangeCountry$ 1,6 bn
1995 Barings$ 1,3 bn
2001 AIB
$ 691 m
2001 Enron$ 63 bn
2003 Parmalat
€10 bn
1988 Ratio Cooke
(Bâle I)
CRBF 97-02
Juin 99 A new Capital
Adequacy Framework
Avril 03 Consultative
paper 3
CRBF 01-01
Juil 02 Sarbanes Oxley Act
Juin 04 Texte
définitif ?
Jan 07 Mise en
place Bâle II
Août 03 Loi Sécurité Financière
Jan 06 IAS/IFRS
85>95 Sumitomo
$ 2,6 bn
24La Cartographie des risquesJuillet 2008
Réglementation Bâle 2 / Risques OpérationnelsFocus sur les Risques Opérationnels
Définition réglementaire du Risque Opérationnel
Le Risque Opérationnel (RO) est le risque de perte:
résultant de l’inadaptation ou de la défaillance de procédures, personnes, systèmes internes,
ou résultant d’événements externes (catastrophe, incendie, agressions, changement de lois ou de réglementations, etc.),
à l’exclusion du risque de réputation* et du risque stratégique.
Le Risque Opérationnel est défini pour la première fois par la réglementation comme un risque àpart entière. Selon les enquêtes réalisées par le Comité de Bâle en 2001 auprès de 89 établissements bancaires, il se situerait en deuxième position quant à son importance en exigence de fonds propres soit :
après le risque de crédit,
mais avant le risque de marché.
* Le risque d’image est toutefois inclus dans la définition des risques opérationnels de certaines institutions.
25La Cartographie des risquesJuillet 2008
Réglementation Bâle 2 / Risques OpérationnelsFocus sur les Risques Opérationnels
les risques opérationnels sont décomposés par le comité de Bâle en sept catégories de risques:
Fraude interne ;
Fraude externe ;
Pratiques en matière d’emploi et de sécurité ;
Clients, produits et pratiques commerciales ;
Dommages aux actifs corporels ;
Dysfonctionnement de l’activité et des systèmes ;
Exécution, livraison et gestion des processus.
26La Cartographie des risquesJuillet 2008
Réglementation Bâle 2 / Risques Opérationnels Focus sur les Risques Opérationnels
Cette décomposition institue une approche différente, basée sur des évènements générateurs de pertes, et non plus sur des types de risques comme cela était le cas auparavant.
27La Cartographie des risquesJuillet 2008
Réglementation Bâle 2 / Risques OpérationnelsFocus sur les Risques Opérationnels
Fraude externe
Fraude interne
Gestion des RH
Clients, Produits, etPratiques commerciales
Dommages & Sinistres
Systèmes d ’information
Traitements &Procédures
Catégories de risques Bâle II
Défaut de conseil
Violation du secret professionnel
Pratiques discriminatoiresenvers des clients
Manipulation des marchés
Non respect d’un embargo
Exemples d’événements
Inexactitude des déclarations réglementaires
Inadaptation de la rémunération variable
Délit d’initié (intentionnel)
Défaut de connaissance du client
28La Cartographie des risquesJuillet 2008
Réglementation Bâle 2 / Risques OpérationnelsApproche de couverture des Risques Opérationnels
Nouvelle réglementation Bâle 2 identifiant le Risque Opérationnel
Le Risque Opérationnel est un composant du nouvel accord dit de Bâle 2 (divisé en trois piliers) sur le Capital Réglementaire visant à définir un nouveau ratio de solvabilité pour remplacer le ratio Cooke.
PILIER 1
PILIER 1
PILIER 2
PILIER 2
PILIER 3
PILIER 3
Nouvelles exigences minimales de fonds propres
Renforcement de la surveillance prudentielle
Nouvelles exigences en matière de communication financière
Pour la première fois, le RO va :
faire l’objet d’une dotation spécifique en capital (Pilier 1 de l’Accord)
être suivi et évalué par les régulateurs qui pourront augmenter l’allocation de capital RO si la gestion des Risques Opérationnels n’est pas jugée satisfaisante (Pilier 2 de l’Accord)
être inclus dans la communication financière des banques au marché (Pilier 3 de l’Accord).
29La Cartographie des risquesJuillet 2008
Exigence de capital réglementaire (en % de la moyenne sur 3 ans du PNB de l’ensemble de la Banque) :
• 15 %
Méthode de base
Exigence de capitalréglementaire (en % de la
moyenne sur 3 ans du PNB des lignes métier) :
• 12 % pour la « Banque de détail, courtage de détail et gestion d’actif »,
• 15 % pour la « Banque commerciale et Fonction agent »,
• 18 % pour le « Financement des entreprises, négociation et vente et paiement et règlement »
• L’évaluation des risques et des contrôles (RCSA) est recommandée.
Méthode Standard
Exigence de capital réglementaire :
• La banque doit proposer un montant de capital réglementaire selon un modèle de calcul intégrant :
Les données de pertes internes et externesLes analyses de scénarii
• Elle doit par ailleurs évaluer ses risques et son environnement de contrôle via le processus RCSA** qui est obligatoire.
Méthode A.M.A *
Coû
t en
capi
tal
La réglementation Bâle 2 propose trois méthodes de calcul des exigences en Fonds Propres au titre des Risques Opérationnels
!
Réglementation Bâle 2 / Risques OpérationnelsApproche de couverture des Risques Opérationnels
Complexité de la méthode et finesse de la structure de gestion du Risque Opérationnel
* A.M.A : « Advance Measurement Approach » : Approche en méthode avancée
** RCSA : « Risk and Control Self-Assessment » : Auto-évaluation des risques et des contrôles
30La Cartographie des risquesJuillet 2008
Réglementation Bâle 2 / Risques OpérationnelsApproche de couverture des Risques Opérationnels
L’approche de mesure avancée (A.M.A) entre en vigueur au 1er janvier 2008.Dans le cadre de l’A.M.A, les éléments de mesure des Risques Opérationnels sont :
La collecte des pertes internes
La comparaison des pertes internes avec les pertes externes
L’analyse de scénarii des risques extrêmes potentiels
L’auto-évaluation des risques et du dispositif de prévention et de contrôle de ces risques (RCSA)* ou cartographie des risques
Les indicateurs clés de risque (KRI).**
Données historiques
Données prospectives
La collecte des pertes internes renseigne sur le passé. Les autres éléments du dispositif permettent d’avoir une vision prospective des risques potentiels.
(*) RCSA : Risk and Control Self Assessment(**) KRI: Key Risk Indicators
31La Cartographie des risquesJuillet 2008
Réglementation Bâle 2 / Risques OpérationnelsApproche de couverture des Risques Opérationnels
La gestion des Risques Opérationnels
Les établissements de crédits et les AMC entendent ainsi transformer cette contrainte réglementaire en une véritable opportunité d’optimisation de gestion du risque.
A cette fin, les objectifs poursuivis par les établissements de crédits dans ce domaine sont nombreux et variés, mais aussi complémentaires :
Meilleure compréhension et appropriation des risques opérationnels encourusMeilleure connaissance du niveau de maîtrise des risques opérationnels et de l’impact potentiel d’une concrétisation de ces risquesAllocation cohérente des ressources nécessaires à la réduction de ces risquesMeilleure communication externe sur les risques opérationnels, notamment auprès des investisseurs et des agences de notation, et réduction du risque d’imageAllocation des fonds propres permettant de mesurer avec pertinence la performance réelle des activités, après prise en compte des risques opérationnels.
32La Cartographie des risquesJuillet 2008
Cartographie des risques Objectifs et attentes
La cartographie des risques permet d’identifier les RO en apportant …
Une vision globale du niveau de risque opérationnel intrinsèque,
Une vision globale du niveau des risques opérationnels résiduels.
La méthodologie RCSA (ou cartographie des risques) permet d’évaluer le risque opérationnel résiduel auquel est exposé l’établissement :
2- Dispositifs de prévention
et de contrôle existants
Pour se protéger, l’AMC met en place des dispositifs de prévention et de contrôle visant àréduire ses risques opérationnels à un niveau jugé acceptable.
Ex : Pour faire face au risque de litiges commerciaux, des procédures de contrôle des documentations contractuelles existent afin de s’assurer de leur conformité.
3- Risques opérationnels
Résiduels (RR)
Malgré l’existence de contrôles, il subsiste des risques résiduels. Pour y faire face, l’AMC pourra :
renforcer les dispositifs de prévention et de contrôle,transférer ces risques (assurances…),affecter des fonds propres pour les couvrir.
1- Risques opérationnels
Intrinsèques (RI)
L’entreprise de crédit est exposée à des risques intrinsèques à ses activités.
Ex : L’AMC, de par ses activités , est soumise au risque de litiges commerciaux.
33La Cartographie des risquesJuillet 2008
Cartographie des risques Définition de la cartographie des risques
La cartographie des risques :
« Ce processus, qui cartographie par type de risque les diverses unités, fonctions organisationnelles ou chaînes d’opérations, peut repérer les zones de faiblesse et permettre d’établir des priorités pour l’action à entreprendre par l’organe de direction »
Définition de BAM (Projet de recommandations générales relatif au dispositif de gestion des risques opérationnels
34La Cartographie des risquesJuillet 2008
Cartographie des risques Définition de la cartographie des risques
La cartographie des risques opérationnels doit permettre de :
Évaluer périodiquement les risques portés par les processus au sein des métiers,
Établir une synthèse dégageant les risques majeurs et/ou les processus les plus sensibles,
Surveiller les processus sensibles à l’aide d’indicateurs (à déterminer par filiales et métiers),
Orienter les décisions sur le plan d’actions d’amélioration de la maîtrise des risques,
Satisfaire aux critères qualitatifs d’éligibilité aux AMA Bâle II,
Compléter les éléments en entrée du modèle interne de calcul d ’allocation des fonds propres aux métiers / filiales (notamment les scénarios de risques opérationnels)
35La Cartographie des risquesJuillet 2008
Cartographie des risques Définition de la cartographie des risques
En terme des résultats elle doit fournir une gestion différenciée par nature de risque.
Fréquence
Impact
Risquenégligeable
Risque insupportable/situation de
crise
Risquerécurrent=> Pertesattendues
Risque majeur=> Pertes
exceptionnelles
Haute
Basse
Faible Fort
- Atténuation (PCA, …)- Transfert (Assurance)- Capital économique
- Suivi régulier- Prévention Gestion de crise
36La Cartographie des risquesJuillet 2008
Cartographie des risquesUtilisateurs de la cartographie des risques
La cartographie des risques est un des outils de pilotage des Risques Opérationnels. Il intéresse à terme différents acteurs…
La Direction Générale• Connaissance de l’exposition aux Risques Opérationnels• Pilotage et décisions stratégiques, suivi des plans d’action majeurs• Comparaison des profils de risque des activités
Les responsables des Branches et des Directions fonctionnelles (pour compte propre et filière : PCA, SSI...)
• Mise en évidence des principaux risques• Analyse des risques opérationnels et évaluation des contrôles• Mise en oeuvre et suivi de plans d’actions correctrices
La Direction financière • Répartition du capital réglementaire
L’Inspection Générale et l’audit interne
• Évaluation du degré de conformité avec l’approche Générale et les exigences réglementaires
• Vérification de la fiabilité et l’exhaustivité des évaluations de profils des risques• Priorisation des missions d’audit sur les entités les plus exposées
Les actionnaires • Information sur le profil des risques
Les régulateurs et contrôleurs externes • Analyse du profil de risque
Les agences de notation • Prise en compte de la qualité de gestion des risques exercée.
37La Cartographie des risquesJuillet 2008
Cartographie des risquesFondements de l’approche
La mise en place de la cartographie est un projet qui a des conséquences sur l’ensemble de l’organisation :
Il touche au cœur des métiers,
Il conduira à un nouveau système de pilotage,
Il entraînera des modifications importantes :
des systèmes d’informations
de l’organisation
de la stratégie.
Avec ce projet stratégique, les établissements seront en mesure de passer de la gestion des RO au pilotage des RO.
38La Cartographie des risquesJuillet 2008
Cartographie des risquesFondements de l’approche
Une approche participative, générique et opérationnelle…pour que les acteurs s’y reconnaissent et se l’approprient,
pour être applicable à tout type d’activité,
pour donner rapidement des résultats concrets,
…nécessitant une expérimentation préalable…pour l’ajuster et l’enrichir par rapport aux réalités et préoccupation du terrain,
pour tester son « appropriation » par les acteurs,
pour la doter d’un vecteur de communication interne et externe,
pour en tirer les conséquences pratiques en vue d’un déploiement à moindre coût,
…pour garantir le succès de son déploiementafin de faire émerger et partager les expériences et les meilleures pratiques,
pour garantir homogénéité et cohérence en vue d’une certification par le régulateur.
39La Cartographie des risquesJuillet 2008
Cartographie des risquesFondements de l’approche
La cartographie a pour but d’évaluer la qualité du dispositif de prévention et de contrôle et de quantifier l’exposition aux risques opérationnels. Pour ce faire, il s’agit de :
1. Identifier et évaluer les risques intrinsèques auxquels est exposée chaque activité : risques inhérents à la nature d’une activité, en faisant abstraction de son environnement de prévention et de contrôle,
2- Dispositifs de prévention
et de contrôle existants
3- Risques opérationnels
résiduels (RR)
1- Risques opérationnels
intrinsèques (RI)
2. Évaluer la qualité des dispositifs de prévention et de contrôle en place permettant de réduire ces risques (existence et efficacité de ces dispositifs en termes de détection et de prévention des risques et/ou de leur capacité à en diminuer les impacts financiers),
3. En déduire l’exposition aux risques résiduels de chaque activité(après prise en compte de l’environnement de prévention et de contrôle mais sans prise en compte des couvertures d’assurance),
4. Pour identifier les zones de faiblesse des mesures de prévention et de contrôle et mettre en œuvre des plans d’actions correctrices.
40La Cartographie des risquesJuillet 2008
Cartographie des risquesFondements de l’approche
En pratique, la démarche de la cartographie des risques consiste à rencontrer les acteurs des risques au quotidien et leur demander :
De quelle activité s’agit-il ? Domaine/Processus/Acteurs
Quel est le « problème » redouté (avéré ou potentiel) ? Risque
Quelles sont les principales causes ? Cause
Quelle est la nature des préjudices induits ? Conséquences
Avec quelle fréquence ce problème peut-il survenir ? Combien cela coûte -t-il en moyenne par an et combien cela pourrait-t-il coûter dans un scénario pessimiste mais plausible ? Cotation
Que pourrait-on faire pour mieux anticiper, détecter et gérer ce problème (plans d’actions) ? Indicateurs/ Mesures
41La Cartographie des risquesJuillet 2008
Cartographie des risquesFondements de l’approche
42La Cartographie des risquesJuillet 2008
Cartographie des risquesFondements de l’approche
Cotation du Risque Opérationnel Récurrent Évalué, en tenant compte du niveau des contrôles permanents :
par le montant des pertes récurrentes attendues à horizon d ’un an, évaluées en s’aidant des pertes historiques
et / oudu niveau de nuisance des impacts non financiers
Il est coté par l’évaluateur en fonction des éléments dont il dispose : base pertes, indicateurs, alertes…
Combien cela a t-il coûté et combien cela pourrait-il
coûter l’année prochaine ?
Cotation du Risque Opérationnel ExceptionnelÉvalué, en cas de défaillance grave des contrôles permanents ou d’événement(s) externe(s) exceptionnel(s) :
par le montant de la perte potentielle maximale et / ou
par l ’importance de l’impact non financier , dont la Fréquence varie de moins d’une fois par an à une fois tous les 10 ans. Il est coté par l’évaluateur en fonction des pertes exceptionnelles passées, de la veille/benchmarks, anticipation de risques futurs …
Cotation de la Qualité des Contrôles PermanentsAppréciation de la qualité des contrôles pour assurer la maîtrise de leurs risques.
Combien de fois ce scénario exceptionnel pourrait-il
survenir à l’avenir et combien cela pourrait-il coûter ?
Ces risques sont-ils bien ou mal maîtrisés?
43La Cartographie des risquesJuillet 2008
Cartographie des risquesFondements de l’approche
44La Cartographie des risquesJuillet 2008
Cartographie des risquesRéférentiels utilisés
L’exercice de la cartographie des risques s’appuie sur :
Le référentiel RO, i.e. la classification des catégories et sous-catégories d’évènementde RO déjà mise en œuvre dans l’entreprise pour la collecte des pertes internes.
Le référentiel Cartographie des risques, i.e. le référentiel des questionnaires métier, également appelés « scorecards métier », spécifiques à chaque métier ou fonctionnel, regroupant les facteurs de risque pertinents pour le métier considéré et les questions d’évaluation associées.
Référentiel RCSARéférentiel des Risques Opérationnels
Se déclinant en…
8 catégories d’évènement
Ex : Litiges commerciaux
sous-catégories d’évènement
Ex : Inadéquation des produits proposés
Facteurs de risqueEx : Insuffisance ou inadéquation du
partage d'information entre les équipes
Questions d’évaluationEx : Comment évaluez-vous l'efficacité des
dispositions en vigueur afin de faciliter le partage d'informations sur les clients au sein de l'entité ?
Causés par plusieurs …
Évalués par…
Pouvant chacun causer plusieurs…
45La Cartographie des risquesJuillet 2008
8 CATEGORIES D’EVENEMENT
LITIGES COMMERCIAUX
LITIGES AVEC LES AUTORITES
ERREURS DE « PRICING » OU
D’EVALUATION DU RISQUE
ERREURS D’EXECUTION
FRAUDE ET AUTRES ACTIVITES
CRIMINELLES
ACTIVITES NON AUTORISEES SUR
LES MARCHES (ROGUE TRADING)
PERTES DES MOYENS
D’EXPLOITATION
DEFAILLANCE DES SYSTEMES
D’INFORMATION
SOUS-CATEGORIES D’EVENEMENT 1. Litiges sur activités
de conseil2. Pratiques
commerciales inappropriées
3. Insuffisance du service au client
4. Autres litiges avec un tiers
5. Contrat ou clauses contractuelles inapplicables
7. Non-respect de la loi bancaire
8. Non-respect des lois contre la discrimination
9. Non-respect de la réglementation du travail
10. Non respect des exigences réglementaires locales
11. Non-respect des exigences comptables ou de la communication financière
12. Non-respect de la législation fiscale
18. Défaillance dans le dispositif de gestion et de suivi des autorisations et des limites
19. Evaluation incorrecte ou inexistante de la position
20. Données de marché et informations publiques fausses ou insuffisantes
21. Modèle de calcul de prix ou de valorisation erroné
22. Défaillance dans le processus de livraison et/ou de règlement de la banque
23. Défaillance dans les processus de gestion des confirmations d’opérations
24. Défaillance dans la gestion administrative d’une opération jusqu’à son échéance
25. Erreurs dans la transmission, la saisie ou la compréhension d’une instruction
26. Absence ou inexactitude des données nécessaires àla gestion des activités
33. Piratage informatique et autres attaques malveillantes des systèmes informatiques de la banque par des tiers
34. Autre forme d’actes criminels contre les actifs de la banque
35. Vols/escroqueries /fraudes commis par des tiers
36. Vols par le personnel ou des prestataires internes
37. Fraude sur des transactions par le personnel ou avec sa complicité
39. Activités non autorisées sur les marchés
40. Défaut de personnel
41. Pertes des donnés
42. Perte de services
44. Mauvaise gestion de projet
45. Défaillance des software
Exemple de référentiel RO : Les 8 catégories d’événements représentent les manifestations concrètes possibles des risques opérationnels. Chaque catégorie d’événement est ensuite déclinée en une ou plusieurs sous-catégories d’événements mutuellement exclusives.
Cartographie des risquesRéférentiels utilisés
46La Cartographie des risquesJuillet 2008
Cartographie des risquesRéférentiels utilisés
Détail du référentiel de risques de l’entreprise : Le référentiel des risques métier est élaborépar les experts des métiers et fonctions (exemples : Déontologie, Plan de Continuité d’Activité, Achats, etc.) à partir :
du référentiel commun de facteurs de risque : un facteur de risque est un élément de l’environnement et/ou de l’organisation qui contribue à la survenance d’un risque opérationnel. Il doit toujours être considéré en fonction de la sous-catégorie d’événement / catégorie d’évènement à laquelle il se rapporte.
de la bibliothèque commune de questions d’évaluation de ces facteurs de risque.
Référentiel des Risques Opérationnels Référentiel RCSA
Scorecard métier Banque de détail• Insuffisance ou inadéquation du partage d'information entre les équipes• Émission des confirmations
Scorecard métier Ressources Humaines• Formation • Concentration de la connaissance et des compétences• Gestion des engagement sociaux
Un scorecard métier (référentiel) permet d’évaluer un métier ou une fonction.
Le principe des questionnaires métier (bancaires ou fonctionnels) est applicable à l’ensemble des entités. Il permet d’assurer la cohérence du dispositif vis-à-vis du régulateur.
8 catégories d’évènementEx : Litiges commerciaux
sous -catégories d’évènement
Ex : Inadéquation des produits proposés
Facteurs de risqueEx : Insuffisance ou inadéquation du
partage d'information entre les équipes
Questions d’évaluationEx : Comment évaluez-vous l'efficacité des
dispositions en vigueur afin de faciliter le partage d'informations sur les clients au sein de l'entité ?
Causés par plusieurs …Se déclinant en…
Évalués par…
Pouvant chacun causer plusieurs…
47La Cartographie des risquesJuillet 2008
Cartographie des risquesRéférentiels utilisés
Détail du référentiel : les questions d’évaluation des Facteurs de RisquesLes questions d’évaluation doivent permettre de noter les facteurs de risques. La démarche d’auto-évaluation met notamment en évidence :
l’existence de processus de contrôle interne,leur efficacité,l’existence de la piste d’audit permettant de vérifier les 2 premiers points.
Le barème de réponse associé à une question s’étend de 1 à 4 (cf. Exemple ci-dessous).
8 CATEGORIES D’EVENEMENT RISQUES OPERATIONNELS / SOUS-CATEGORIES
LITIGES COMMERCIAUX
Élevé 3
Les dispositifs de prévention et de contrôle, en place dans votre entité, couvrent-ils ce risque ?
1-Très faiblement ? 2- Faiblement ? 3- Assez bien ? 4 – Bien ?
Les dispositifs de prévention et de contrôle, en place dans votre entité, couvrent-ils ce risque ?
1-Très faiblement ? 2- Faiblement ? 3- Assez bien ? 4 – Bien ? Facteur de risque
Insuffisance ou inadéquation du partage d'information entre les équipes Lorsqu'ils sont en place, quelle est la qualité d'exécution de ces dispositifs ?
1-Très insuffisante ? 2- Insuffisante ? 3- Assez satisfaisante ? 4 – Satisfaisante ?
Lorsqu'ils sont en place, quelle est la qualité d'exécution de ces dispositifs ?
1-Très insuffisante ? 2- Insuffisante ? 3- Assez satisfaisante ? 4 – Satisfaisante ?
Ces dispositifs sont-ils documentés et auditables ?
1-Très faiblement? 2- Faiblement ? 3- Assez bien ? 4 – Bien ?
Ces dispositifs sont-ils documentés et auditables ?
1-Très faiblement? 2- Faiblement ? 3- Assez bien ? 4 – Bien ?
48La Cartographie des risquesJuillet 2008
Cartographie des risquesÉtapes clés
3- Cartographie des
risques résiduels
Livrable
3- Risques opérationnels
Résiduels (RR)
Évaluation
2- Dispositifs de prévention
et de contrôle existants
1- Risques opérationnels
Intrinsèques (RI)
1- Cartographie des
risques intrinsèques
2- Questionnaires entité notés
(ou scorecards entité)
1
2
3
Processus de la cartographie : chacune des 3 étapes se concrétise par un livrable.
Ces 3 étapes peuvent être effectuées à des niveaux de granularités différents, l’évaluation des risques opérationnels intrinsèques et résiduels étant faite généralement à un niveau plus élevé que l’évaluation du dispositif de prévention et de contrôle.
Les Branches et Directions Fonctionnelles commencent l’exercice de la cartographie en désignant les acteurs en charge de chacune de ces étapes.
49La Cartographie des risquesJuillet 2008
Cartographie des risquesÉtapes clés
2.1
2.2
2.3
Processus de Cartographie : détail des 3 étapes et acteurs concernés
Mise en place de plans d’actions correctrices
Plans d’actions correctrices4
Cartographie des risques intrinsèques
Référentiel des RO : catégories d’évènement1 - Évaluation des Risques
Intrinsèques1
Étapes Livrables Acteurs Référentiels métiers utilisés
Scorecard entitéà noter
Scorecard entiténotée et justifiée
Scorecard entitévalidée
Référentiel :Facteurs de risques et questions d’évaluationScorecards métier (bancaires ou fonctionnels)
2 2 - Évaluation du dispositif de prévention et de contrôle
Évaluation des Risques Résiduels
Cartographie des risques résiduels3
Noteur
Valideur
Modélisateur de la scorecard
Responsable de l’entitéévaluée
Responsablede l’entitéévaluée
2.1 – Élaboration de la scorecard entité en identifiant :
• le périmètre• les facteurs de risques pertinents (et leur pondération)• le mode d’évaluation des questions• les noteurs et valideurs
2.2 – Notation et justification de la scorecard entité
2.3 – Validation de la scorecard entité
sous-catégories d’évènement
Référentiel Entités :
Entités OrganisationnellesLignes Métier Entités JuridiquesProcessus
Noteur
Valideur
50La Cartographie des risquesJuillet 2008
Cartographie des risquesActeurs de la cartographie
Les acteurs sont désignés par les Branches et les Directions fonctionnelles.
Les acteurs de l’exercice Cartographie
Le noteurLes noteurs sont les responsables d’entité en charge de noter les cartographies de risques intrinsèques et /ou les scorecards entité :
Le noteur de la cartographie des risques intrinsèques évalue son niveau d’exposition aux risques face aux catégories ou sous-catégories d’événement.
Le noteur d’une scorecard entité reçoit pour notation la scorecard entité élaborée par le modélisateur. Le noteur évalue son dispositif de prévention et de contrôle en répondant aux questions d’évaluation associées à ces facteurs de risque. Il justifie sa note par l’existence de procédures de prévention et de contrôle ou d’indicateurs clés de risque.
Le valideurLes cartographies des risques intrinsèques et les scorecards entité notées sont envoyées par les noteurs àleur hiérarchie pour validation. Le valideur est la personne en mesure de valider les notes et les justifications associées avant consolidation en vérifiant notamment la cohérence des notes pour l’ensemble des entités de son périmètre.
Le valideur doit être différent du noteur.
51La Cartographie des risquesJuillet 2008
Cartographie des risquesActeurs de la cartographie
Le modélisateurIl élabore la scorecard entité.
Le modélisateur est un expert métier qui est en mesure d’identifier l’ensemble des risques internes et externes auxquels est exposée l’entité évaluée. Pour le premier exercice, il peut s’agir de l’ORM (responsable des risques opérationnels) de l’entité en concertation avec les responsables des entités ; à la cible, le modélisateur pourra être le responsable de l’entité.
Lors de l’élaboration des scorecards entité, le modélisateur identifie :le périmètre à couvrirles facteurs de risques pertinents (en les pondérant éventuellement) au vu de la cartographie des risques intrinsèques : le modélisateur de la scorecard entité doit vérifier la cohérence de la scorecard entité avec la cartographie des risques.les responsables des activités en charge de la notation des scorecards entité… et leur hiérarchie, en charge de valider ces notations ainsi que les justifications associées.
L’Inspection et l’AuditL’Inspection et l’Audit revoient périodiquement l’ensemble du système d’évaluation et sa conformité aux exigences réglementaires, en s’attachant notamment à vérifier les points suivants :
l’application effective du processus de la cartographie dans l’entreprise,la fiabilité et l’exhaustivité des évaluations des profils des risques,la cohérence entre la notation et sa justification.
Les acteurs de l’exercice de la cartographie
Remarque : Réglementairement, les acteurs de l’exercice de la Cartographie ne doivent appartenir ni aux services d’Audit Interne ni à l’Inspection Générale, afin de préserver l’indépendance de ces derniers. Toutefois, l’Audit Interne peut apporter son expertise lors de la mise en place initiale du dispositif de gestion des RO.
52La Cartographie des risquesJuillet 2008
Cartographie des risquesÉtapes d’élaboration
La méthodologie de réalisation d’une cartographie des risques se déroule généralement en 5 étapes:
Définition des listes dedomaines et de processus
identification Du risque opérationnel
Matrice d’aversion(pour cotation)
Identificationprocessus sensibles
étape 1étape 1
étape 2étape 2
étape 3étape 3
étape 4étape 4
Plan d’action proposé
Validation parle Comité du contrôle interne
Cotation du risque
étape 5étape 5
53La Cartographie des risquesJuillet 2008
Cartographie des risquesÉtapes d’élaboration
Étape 1 : Définition des processus
Cette étape consiste à instaurer un référentiel de processus, avec un objectif de trouver le meilleur compromis entre le niveau de granulation, le travail rendu et la qualité des résultats. En effet, après avoir rattaché les activités aux 8 Métiers Bâle II découpés en domaines d’activités (exemples : Crédits, Dépôts, Placements, Moyens de paiement, Moyens généraux, Comptabilité, Informatique, Juridique et Fiscal, Organisation, etc.), il est primordial de dresser l’inventaire des processus par métier.
Un processus est défini comme étant un enchaînement d’étapes ayant une même finalité (exemple : Remises de valeurs, virements, ordres d’achat / vente de titres, gestion des GABs, tarification, comptes débiteurs, réalisation d’un crédit …).
Nous pouvons distinguer trois types de processus :
Relatifs à la relation avec les clients,
Relatifs à des transactions,
Spécifiques au Management et aux fonctions supports.
54La Cartographie des risquesJuillet 2008
Cartographie des risquesÉtapes d’élaboration
Étape 2 : Identification des risques opérationnels
Afin de pouvoir identifier les risques opérationnels le Responsable du Risque Opérationnel doit disposer de trois éléments à savoir :
La liste et la description des processus identifiés par ligne métier ou entité,
La liste des risques opérationnels et des événements génériques y associés,
La matrice préliminaire des risques opérationnels renseignée par les responsables des entités,
En pratique, les risques sont rattachés à 7 Catégories de Risques Bâle II, détaillées en évènements générateurs de risques (exemple pour la fraude externe : Vols, Hold-up, Contrefaçons et falsifications, détournements de fonds, fraude par carte bancaire etc.)
55La Cartographie des risquesJuillet 2008
Cartographie des risquesÉtapes d’élaboration
Étape 3 : Matrice d’aversionAu niveau de cette étape le responsable R.O a pour mission d’établir la matrice d’évaluation des risques sur la base de trois composantes : Les risques survenus ou avérés, les risques exceptionnels et le niveau de maîtrise des risques.
Les échelles de cotation de la gravité du risque sont représentative de l’ « aversion pour le risque opérationnel » de l’unitéLes intervalles de l’échelle de fréquence et de l’échelle d’impact sont définis en valeur absolue et communs à l’ensemble de l’entreprise (unités du Groupe)
Les Les ééchelles de cotation de la gravitchelles de cotation de la gravitéé du risque sont reprdu risque sont repréésentative de lsentative de l’’ «« aversion aversion pour le risque oppour le risque opéérationnel rationnel »» de lde l’’unitunitééLes intervalles de lLes intervalles de l’é’échelle de frchelle de frééquence et de lquence et de l’é’échelle dchelle d’’impact sont dimpact sont dééfinis en finis en valeur absolue et communs valeur absolue et communs àà ll’’ensemble de lensemble de l’’entreprise (unitentreprise (unitéés du Groupe)s du Groupe)
0 - 1K€
1 - 5K€
5 - 10 K€
10 - 50 K€
50 - 100 K€
100 - 500 K€
500 K€1 M€
1 - 5 M€
5 - 10 M€
10 - 50 M€
> 50 M€ Image Fort
Image Majeur
Client Fort Client Majeur
Sanction pénale *
Sanction Réglementaire
Un cas tous les 2 à 3 ans
Un cas tous les 3 à 5 ans
Un cas tous les 5 à 10 ans
Impact financier Impact non financier
56La Cartographie des risquesJuillet 2008
Cartographie des risquesÉtapes d’élaboration
0 - 1KDH
1 - 5KDH
5 - 10 KDH
10 - 50 KDH
50 - 100 KDH
100 -500 KDH
500 KDH1 MDH
1 - 5 MDH
5 - 10 MDH
10 - 50 MDH > 50 M
Vert Vert Vert Jaune Jaune Orange Orange Rouge Rouge Rouge Rouge
Vert Vert Vert Jaune Jaune Orange Orange Orange Rouge Rouge Rouge
Vert Vert Vert Vert Jaune Jaune Orange Orange Orange Rouge Rouge
Vert Vert Vert Vert Vert Jaune Jaune Jaune Orange Orange Rouge
Pertes annuelles
potentiellesR i s q u e e x c e p t i o n n e l
Un cas tous les 5 à 10 ans
Un cas tous les 3 à 5 ans
Un cas tous les 2 à 3 ans
R i s q u e Récurrent A partir de quel niveau de gravité un risque doit-il être considéré comme « Fort » ou « Majeur » ?
A partir de quel niveau de risque devons-nous être informés et prendre les décisions adaptées ?
57La Cartographie des risquesJuillet 2008
Cartographie des risquesÉtapes d’élaboration
Étape 4 : Cotation des risques opérationnelsLes risques futurs associés aux processus font l’objet d’une évaluation appelée cotation.
On cote deux catégories de risques futurs en fonction de leur fréquence :
Les Risques Attendus (récurrents à court terme) ;
Les Risques Exceptionnels (à moyen et long terme).
On distingue deux catégories de risques en fonction de leur impact :
Les Risques Financiers (cotés en fonction de leur fréquence et de leur impact financier, au moyen d’une matrice d’aversion aux risques) ;
Les risques Non Financiers.
La cotation des risques opérationnels est effectuée sur la base des historiques des pertes recueillies au niveau de la base de données. Elle sert à établir une carte sommaire des risques, en identifiant les risques potentiels et les niveaux de contrôle y afférents.
Ainsi, la cotation des Risques Financiers est parfaitement normée grâce à une matrice d’aversion aux risques.
58La Cartographie des risquesJuillet 2008
Cartographie des risquesÉtapes d’élaboration
Etape 5 : Identification des processus sensibles et plans d’action.
Cette phase consiste à produire le rapport sommaire de la gestion du risque en mettant en relief les risques majeurs ou les zones de faiblesse. Comme elle doit définir aussi bien les recommandations que les plans d’action pour prévenir et réduire le risque opérationnel.
59La Cartographie des risquesJuillet 2008
Cartographie des risquesÉtapes d’élaboration
Recommandations
Conseil en placement V O ++ Efficace
Gestion des relations clients V R + Acceptable
Gestion du risque de marché O R - Défectueux
Mandat de trading actions J O + Acceptable
Produits structurés J R + Acceptable
Risque Attendu
Risque Exceptionnel
Contrôle Permanent
A prévoir : meilleur contrôle sur les règles ISDA
Créer une mission d'audit sur les délits d'initié
Bascule du système de gestion des limites
Former les conseillers de façon périodique
Vérification approfondie du KYC Tableau de synthèse
RA V V V V V V V VRE J J V V J J V JCP + + ++ ++ + + ++ +
RA V V V V V V V VRE O V J O V J O OCP ++ ++ ++ ++ ++ ++ ++ ++
RA V V V V V V V VRE R V J O V V O RCP + + ++ + ++ ++ + +
RA V J V V V V O ORE O O V J V J R RCP - - ++ ++ ++ + - -
RA V V V V V V V VRE J V V J V V J JCP + ++ ++ + ++ ++ + +
RA V V V V V V J JRE J V J V V J J JCP + + ++ ++ ++ ++ + +
RA V V V V J V J JRE J V V O O V O OCP ++ + ++ ++ + ++ + +
RA J V J J V V J JRE O V V R V V R RCP + ++ ++ + ++ ++ + +
RA V V V V V V V VRE J V V V V J J JCP + ++ ++ ++ ++ + + +
RA V V V V V V J JRE J V V J V V V JCP + ++ ++ + ++ ++ + +
Gestion Financière
Ressources Humaines
Prat. Comm.
CommentairesDésas & Sinis
SYNTHTrait.S.I
Gestion des relations clients
Fraude Int.
Fraude Ext.
Gest. Perso.
Conseil en placement
Caisse
A Prévoir : Meilleur contrôle sur les règles ISDA
Activité Trésorerie
Mandat de trading actions
Produits structurés
Bascule du système de gestion des limites
Vérification approfondie du KYC
Gestion du risque de crédit
Gestion du risque de marché
Cartographie par processusCotation des trois
composantes pour chaque croisement Processus / Catégories de risques
Sélection des processus sensibles, des processus sensibles, àà savoir:savoir:Niveau de risque majeur « rouge » ou fort « orange »
et / ouNiveau de maîtrise des risques « défectueux » ou « à améliorer »
60La Cartographie des risquesJuillet 2008
Cartographie des risquesÉtapes d’élaboration
Une fois le processus de la cartographie des risques est intégralement réalisé, le responsable des risques opérationnels doit s’assurer que:
La cartographie est réalisée de manière exhaustive (couvrant toutes les activités en concertation avec les opérationnels de l’entité),
Les résultats sont à priori cohérents,
Les processus/risques « préoccupants » ont déclenché des actions correctives,
Les processus jugée prioritaire à l’égard d’un PCA ont été correctement identifiés,
La cartographie est présentée à la Direction Générale.
61La Cartographie des risquesJuillet 2008
Cartographie des risquesClés de réussite
• Avoir le soutien de la Direction
• Faire adhérer les participants / créer un climat de confiance
– Communiquer sur la démarche et sa valeur ajoutée
– Faire le lien avec les objectifs personnels des participants
– Garantir qu’aucune information ne soit remontée sans en avoir
préalablement discuté avec les intéressés
– Respecter la confidentialité
• Prendre en compte le temps
– Procéder à l’évaluation sur un délai court, avec présentation rapide des
résultats
• Profil du Risk Manager
– Faire preuve d'écoute et de créativité
62La Cartographie des risquesJuillet 2008
Cartographie des risquesÉcueils à éviter
• Démarrer la démarche par la recherche d’un système d’informations
• Absence de rigueur :
– Remontée d’informations partielles à la Direction avant la fin de l’exercice
– Maximisation de risques pour obtenir des ressources, sous-estimation par
crainte de représailles / jugements
– Considérer la gestion des risques comme le réceptacle des doléances
– Ne pas objectiver les risques « biens connus » qui sont finalement sous-estimés
– Mauvais libellé des risques
• Effet mode : faire une cartographie pour être à la mode
63La Cartographie des risquesJuillet 2008
Cette prCette préésentation rsentation rééalisaliséée par le Cabinet e par le Cabinet ATTITUDES CONSEIL pour le compte des AMC ATTITUDES CONSEIL pour le compte des AMC marocaines est inspirmarocaines est inspiréée de nombreux ouvrages e de nombreux ouvrages
et baset baséée sur des sources diverses et varie sur des sources diverses et variééeses