2. Sommaire
2
1 Introduction : Pourquoi cette intervention ?
2 Les risques ont évolué…
3 La perception des risques a évolué…
4 Les régulateurs ont évolué…
5 La fonction de risk manager a elle-aussi évolué
3. 3
Evolution des risques opérationnels et de leur perception via Google
Introduction : pourquoi cette intervention ?
Source : Presenter Media sur la base des données Google
4. 4
L’environnement change, les dispositifs et méthodologies ont évolué…
Introduction : pourquoi cette intervention ?
• L’importance de prendre du recul et de rester en veille
• L’évolution de l’environnement : économique, technologique, réglementaire,
criminel…
• L’évolution de l’entreprise et/ou de son marché :
• Une pression concurrentiel qui pèse sur les marges
• Des barrières à l’entrée qui tombe (accord de branche) d’autres qui émergent (niveau de
fonds propres recquis pour opérer dans le secteur),
• Des business model remis en question : B for bank du Crédit Agricole, L’ANI…
• De nouveaux entrants : Crédit Agricole sur l’assurance santé collective.
• Disruption : Désigne un changement de concept pour les clients sur un marché : Elle se manifeste par un
accès massif et simple à des produits et services auparavant peu accessibles ou coûteux (latribune.fr) : le
crownfunding en est un bon exemple, des entrepreneurs et des investisseurs se passent des banques pour
financer un projet.
• Pour tous ceux qui sont ou vont passés du projet, à la gestion pour aboutir au
pilotage du dispositif : accepter de sortir de sa zone de confort
6. 6
Nouveauté, évolution, transformation…
Les risques ont évolué…
• La protection de la clientèle : MIF, DIA…
• Et dans le même temps l’apparition des actions de groupe le 1er octobre 2014
• Les conséquences de certaines erreurs ne sont plus les mêmes :
• défaut de paramétrage dans un système d’information (notamment sur la tarification),
• Défaut de conception des formules de calculs tarifaires
• Plaquettes commerciales non conformes
• Défaut d’information (prospectus OPCVM, TEG, reportings…)
• Défaut de conseil (MIFID I et II)
• Négligence dans la recherche des bénéficiaires
• Discrimination dans le processus de recrutement
• …
• A cela s’ajoute le renforcement de la connaissance client
demandé par le 3ième directive en matière de LCB/FT et
prochainement la 4ième directive
7. 7
Nouveauté, évolution, transformation…
Les risques ont évolué…
• Des risques encore plus systémiques : Des processus informatisés avec des accès
multicanal impliquant filiales spécialisées et sous-traitants
• Des problématiques liées aux données qui ne sont plus forcément physiquement
chez nous et qui ont des niveaux de contraintes différents (données personnelles,
santé et médicale, bancaire, stratégiques, non publiques…) alors que dans le
même temps elles sont utilisées à plus grandes échelles (Datimining, Big data)
• Des hommes issus de différentes générations (X, Y, Z), de différentes cultures,
positionnés sur des processus internationaux…
Source : www.3hcoaching.com
8. 8
Nouveauté, évolution, transformation…
Les risques ont évolué…
• Des risques qui se déplacent et des menaces de plus en plus sophistiquées (du
hold-up, aux fraudes à la carte bancaire vers aujourd’hui les vols d’identité)
• Un contexte et des évolutions socio-culturelles qui repoussent les limites de la
fraude (limite entre l’abus et la fraude sur les frais d’optique, les milliards de fraude
à la TVA)
9. 9
Nouveauté, évolution, transformation…
Les risques ont évolué…
• La cybercriminalité : « En dehors des risques classiques, le plus grand est le
cyber-risque «le seul qui puisse m’empêcher de dormir» » (Henrie de Castries,
PDG du Groupe AXA dans « Le Temps »).
• La manipulation des clients qu’il faut avertir, protéger, sécuriser : phishing, fraude
au président…
Nota : c’est aussi une opportunité
puisque les cyber assurances
représentent en 2014 aux USA,
2,2 Mds de primes
10. 10
Nouveauté, évolution, transformation…
Les risques ont évolué…
• Les réseaux sociaux : pour le meilleurs et pour le pire !
• « Les banques s'organisent face aux buzz négatifs » : Gigantesques caisses de
résonance, les réseaux sociaux demandent la vigilance constante d'entreprises
aussi exposées que les banques. Pour maîtriser les risques, les banques
s'organisent.
source : www.lesechos.fr
11. 11
Nouveauté, évolution, transformation…
Les risques ont évolué…
• Évenements extérieurs :
• les risques de catastrophes naturelles sont des phénomènes en augmentation et
amplifiés par l'homme en fréquence (réchauffements climatiques) et en impact
(concentration urbaine),
• et les risques terroristes se sont aussi amplifiés en changeant de forme (électrons
libres, enlèvement…)
• les risques géopolitiques amènent à revoir les stratégies des entreprises et les plan de
développement (Ukraine, printemps arabe…)
Les scénarios de catastrophes naturelles extrêmes se
multiplient ces dernières années. En parallèle aux
politiques de prévention et de reconstruction, il est
vital de contrôler la pérennité des solutions de
couverture financière existantes au regard de
l’évolution de la sinistralité sur ces types de risques.
(source : Catnat.net)
12. 12
Une appréhension différente…
La perception des risques a évolué…
• Les marges ont diminué… on peut nettement moins se permettre de laisser courir
certains risques…
• Les problématiques de conformité sont beaucoup plus retentissantes : « Après
Honda, deux autres japonais lancent un méga-rappel et portent à plus de 26 millions le nombre des
véhicules touchés. (lepoint.fr) »
• La réputation des entreprises est essentielle face à une clientèle de plus en plus
volatile et disposant de barrière au changement qui tombe peu à peu (changement
de banque facilité, changement d’assureur avec la loi Hamon…)
• Une gouvernance que les régulateurs cherchent à mettre au centre des décisions
en terme de risques (Bâle III, Solvabilité II)
• Une historisation des incidents – quand le dispositif fonctionne - qui permet aussi
de marquer les esprits.
• Des outils pour appréhender les risques qui s’affinent en terme de méthodologie,
de déploiement et de technologie (SaaS…).
13. 13
ACPR
Les régulateurs ont évolué…
• Une logique d’accompagnement de la profession dans le cadre des nouvelles
réformes (conférence ACPR, lettre de l’ACPR…)
• Des exigences nouvelles sur les groupes prudentiels et sur les groupes
systémiques
• Un droit de regard sur la nomination des gouvernants et fonctions clés, sur la
compétence et l’honorabilité :
• « Le collège de supervision de l’ACPR peut s’opposer à une désignation s’il
constate que les dirigeants / les responsables de fonctions clés ne remplissent pas
les conditions d’honorabilité, de compétence et d’expérience qui leur sont
applicables » conférence ACPR, juin 2015
14. 14
ACPR
Les régulateurs ont évolué…
• Un pouvoir de sanction qui a évolué :
• Les sanctions encourues par les assujettis sont l’avertissement, le blâme, l’interdiction
d’effectuer certaines opérations pour une durée maximale de 10 ans et toute autre
limitation dans l’exercice de l’activité, la suspension temporaire de dirigeants pour une
durée maximale de 10 ans, la démission d’office de dirigeants, le retrait partiel ou total
d’agrément ou d’autorisation, la radiation de la liste des personnes agréées. Soit à la
place, soit en sus de ces sanctions, une sanction pécuniaire de 100 millions
d’euros peut être également prononcée.
• En outre, l’article L. 612-40 du Code monétaire et financier prévoit qu’en cas de
manquement prudentiel au règlement (UE) n° 575/2013 du parlement européen et du
conseil du 26 juin 2013 concernant les exigences prudentielles applicables aux
établissements de crédit et aux entreprises d’investissement, les sanctions encourues
par les personnes morales sont de 10% du chiffre d’affaires ou de deux fois
l’avantage retiré de l’infraction lorsqu’il peut être évalué et d’un montant maximal
de 5 millions d’euros pour les dirigeants responsables.
• Elles peuvent par ailleurs être rendues publiques dans les publications, journaux ou
supports dans un format proportionné à la faute commise et à la sanction infligée
Source : Code monétaire et financier / ACPR
15. 15
Un positionnement qui commence à prendre ses marques…
La fonction de risk manager a elle-aussi évolué
• Le cumul de casquette avec d’autres fonctions liées (contrôle interne, conformité,
surveillance permanente, continuité d’activité…) ou le lien renforcé avec d‘autres
fonctions (RSE, qualité…)
• Le positionnement est à la fois plus opérationnel…(focus sur certains risques tels
que la fraude) et plus stratégique (Cartos tous risques)
• Des silos qui tombent pour parler de risques frontières au sein des risques majeurs
• Des réflexions plus avancées sur les programmes d’assurances comme levier face
à certains risques majeurs
16. 16
Des cadres de référence qui se sont renforcés
La fonction de risk manager a elle-aussi évolué
Gestion du contrôle interne
(Internal Control – Integrated
Framework)
Gestion des risques de
l’entreprise
(Enterprise Risk Management
Framework)
COSOI
Evolution du référentiel
COSOII
17. 17
Des cadres de référence qui se sont renforcés
La fonction de risk manager a elle-aussi évolué
ISO 31000 en quelques mots….
ISO 31 000 a aussi mis en place une démarche ERM très semblable au COSO II. Elle définit des principes,
un cadre et un processus itératif:
18. 18
Un dispositif cible qui parait clair…
La fonction de risk manager a elle-aussi évolué
Vision prospective des risques
Cartographie des risques,
Analyse de risques majeurs en
scénario, veille risques émergents
Encentral
Structuration du dispositif
(animation filière, outils, méthodologie, normes, référentiels, politiques…)
Gestion du présent
Revue et analyse critique des
informations transmises, Suivi des
KRI, Analyses ORSA occasionnel
(nouveau produits, partenariats…),
suivi du cadre de tolérance,
Risque de réputation, veille
réglementaire risques opérationnels
Enseignement du passé
Collecte des incidents
Plans d’actions
Veille Incidents externes
Pilotage global et consolidé
Comex / Comité des risques
Echanges avec les
autres filières qui
interviennent sur les
leviers face aux
risques opérationnels :
Contrôle interne et
conformité
Programme
assurances (RC Pro,
Fraudes, Pertes
d’exploitation…)
PCA / Gestion de crise
…
Filière Correspondants:
Correspondants Directions et filiales Responsables structures
Les Opérationnels
Filière
Autres filières
19. 19
Clas
La fonction de risk manager a elle-aussi évolué
• Des filières plus structurées et formées (certes, pas encore dans toutes les
entreprises !)
• Des certifications qui se mettent en place : PRMIA ORM Certificate, Certificat risk
manager FERMA…
FERMA’s plans for European Certification of Risk
Managers have moved forward to a testing phase for
the application and examination process by
volunteers and the finalisation of the first set of exam
questions. The project is on track for a launch during
the FERMA Forum on 4-7 October 2015.
Beginning in early 2015, The Operational Risk
Manager Certificate is designed to deliver a
deep, practical understanding of operational risk
management frameworks and measurement
methodologies in financial institutions.
Successful candidates will be better prepared to
implement meaningful risk assessment
initiatives, produce useful risk management
information and understand basic modeling
techniques for operational risk measurement.
20. 20
Evolution des risques opérationnels, plongée dans un nouvel environnement !
Conclusion
Merci pour votre attention
… Questions ?
… Précisions ?
Échangeons