390 likes | 504 Views
Assemblée annuelle de l’ICA. UN REGARD EN ARRIÈRE…axé sur le futur. Présentateur Michel Desmarais. RISQUE OPÉRATIONNEL. Développement d'un cadre de gestion du risque opérationnel. Table des matières Introduction Catégorie de risques opérationnels Cadre de gestion du risque opérationnel
E N D
Assemblée annuelle de l’ICA UN REGARD EN ARRIÈRE…axé sur le futur
Présentateur • Michel Desmarais
RISQUE OPÉRATIONNEL
Développement d'un cadre de gestion du risque opérationnel
Table des matières • Introduction • Catégorie de risques opérationnels • Cadre de gestion du risque opérationnel • Conclusion
L'univers des risques pour une compagnie d'assurance de personnes
Gestion des risques • Les risques financiers sont habituellement adéquatement gérés dans les compagnies d'assurance de personnes grâce à la mise en place de contrôles tels que • Politiques de placement • Politiques d'appariement • Politiques de tarification • Etc…
Gestion des risques (suite) • Les risques opérationnels sont habituellement gérés de façon réactive (un événement se produit et l'entreprise réagit en introduisant un contrôle). • Le but de mettre en place un cadre de gestion du risque opérationnel est de viser à gérer proactivement tous les risques opérationnels.
Définition du risque opérationnel Le risque d'une inadéquation ou d'une défaillance attribuable à des processus, des personnes, des systèmes internes ou à des événements extérieurs résultant en pertes, en non atteintes des objectifs ou en impacts négatifs sur la réputation. Il inclut le risque légal mais exclut les risques stratégiques et de réputation. Il prend toutefois en considération l’impact des défaillances qui affectent l’atteinte des objectifs stratégiques et la réputation de l'entreprise.
Exemples d'événements récents de pertes opérationnelles: • XXX a perdu les données personnelles de 3,9 millions de clients de YYY. • Des accusations sont portées contre des dirigeants de ABC Valeurs mobilières. • Valeurs mobilières XYZ et son président condamnés à 2 millions de pénalités.
Pourquoi parle-t-on de risques opérationnels? Suite aux scandales financiers, des lois ont été adoptées • Sarbanes-Oxley aux États-Unis • Loi 198 au Canada • Mais aussi les Accords de Bâle II qui régissent les institutions bancaires mondiales et définissent le capital réglementaire en fonction de la gestion des risques de crédit, de marché ET OPÉRATIONNELS
7 catégories de risques opérationnels selon Bâle II • Fraudes internes • Ex: transactions non autorisées; détournement de biens; imitation de signature. • Fraudes externes • Ex: vol qualifié; chèques volés. faux billets.
7 catégories de risques opérationnels selon Bâle II (suite) • Pratiques en matière d'emploi et sécurité sur le lieu de travail • Ex: activité syndicale, grève; discrimination; responsabilité civile. • Client, produits et pratiques commerciales • Ex: atteinte à la vie privée; blanchiment d'argent; utilisation abusive d'informations confidentielles.
7 catégories de risques opérationnels selon Bâle II (suite) • Dommages aux actifs corporels et sécurité publique • Ex: catastrophe naturelle; terrorisme; vandalisme. • Dysfonctionnements de l'activité et des systèmes • Ex: pannes; défaillance de logiciel; perturbation d'un service public.
7 catégories de risques opérationnels selon Bâle II (suite) • Exécution, livraison et gestion des processus • Ex: erreurs de saisie; non respect de délais ou d'obligations; conflit avec fournisseurs.
Qu'en est-il des compagnies d'assurances de personnes? Les Accords de Bâle II ne s'appliquent pas directement aux compagnies d'assurances de personnes. Le BSIF et l'AMF au Québec envisagent la possibilité de modifier la formule de calcul du MMPRCE pour tenir compte spécifiquement du risque opérationnel plutôt que de façon implicite.
Éléments importants pour mettre en place un cadre de gestion du risque opérationnel • Encadrement et politiques; • programme d'AERC; • indicateurs de risques • base de données; • divulgation, communication et reddition de compte.
Encadrement et politiques • Permet de contrôler la gestion du risque opérationnel par toutes les unités d'affaires de l'entreprise. • Permet d'outiller les gestionnaires et les employés pour gérer le risque opérationnel.
Programme d'AERC • Auto-Évaluation des Risques et des Contrôles. • Permet de comprendre les risques auxquels l'entreprise fait face. • Développe une meilleure compréhension et appréciation de l'environnement de contrôle.
Programme d'AERC Définition: processus continu utilisé par les entreprises afin d'identifier et d'évaluer les risques inhérents à leurs activités, la qualité des contrôles associés aux risques afin d'établir le niveau de risque résiduel.
Programme d'AERC (suite) Programme en 6 étapes • Identifier et documenter le secteur ou la ligne d'affaires à évaluer • Évaluer les facteurs de risque et identifier les risques inhérents
Programme d'AERC (suite) Facteur de risque Risque inhérent condition opérationnelle inhérente qui expose le secteur ou la ligne d'affaires au risque niveau estimé d'un RO sans tenir compte des contrôles pertinents
Programme d'AERC (suite) • Évaluer les risques inhérents et leur tendance. Appréciation de la fréquence/probabilité et de la sévérité/impact de chaque situation de risque
Programme d'AERC (suite) • Documenter et évaluer les contrôles pour déterminer leur efficacité • Utilisation d'un modèle COSO, (Committee Of Sponsoring Organisations), COCO, COBIT, etc. • Il est possible d'évaluer les contrôles à divers niveaux; de l'environnement de contrôle aux contrôles spécifiques. • Plus on vise l'évaluation de contrôles spécifiques, plus il est important de la réaliser avec des personnes qui ont une connaissance approfondie des opérations et des pratiques de contrôle en place.
Programme d'AERC (suite) • Déterminer les risques résiduels Risque résiduel : Niveau estimé d'un RO après l'effet des contrôles pertinents
Programme d'AERC (suite) • Développer des plans d'actions pour Sûrement l'étape la plus importante du programme. gérer les expositions aux risques jugées inacceptables.
Programme d'AERC (suite) • Extrants du programme • Profil de risque (tableaux ou cartes de risques) • Indicateurs de risques clés • À plus long terme, optimisation du processus d'allocation du capital relié aux risques opérationnels
Programme d'AERC (suite) • Rôles et responsabilités La fonction gestion du risque opérationnel coordonne et facilite la réalisation du programme d'AERC. Les secteurs d'affaires participent par leur expertise à déterminer et mesurer les risques ainsi qu'à évaluer les contrôles et leur efficacité. Ils développent et réalisent les plans d'action.
Indicateurs de risques • Permettent une gestion proactive des risques • Représentent un outil de contrôle important Définition: élément d'information reflétant une évaluation, un constat ou des données permettant d'identifier ou prévoir un risque, sa tendance ou sa probabilité d'occurrence. Il est important de déterminer les bons indicateurs
Base de données • Permet de recueillir et de documenter les événements ayant générés des pertes opérationnelles • Permet d'évaluer les pertes opérationnelles de l'entreprise • Permet de documenter les quasi-pertes ou les pertes évitées
Base de données (suite) • Permet de documenter les lacunes opérationnelles • Permet de modéliser les pertes opérationnelles • Permet de développer des indicateurs clés • Peut inclure des données de pertes opérationnelles externes
Divulgation, communication et reddition de compte • La communication doit aller dans les 2 sens: Top-down: La direction fixe les limites de tolérance Bottom-up: Les gestionnaires et employés informent la direction des risques et des contrôles
CONCLUSION Éléments clés pour implanter un cadre de gestion du risque opérationnel • Adhésion de la haute direction • Communication • Rapport sur les risques • Encadrement et politiques • Temps requis: minimum 3ans