200 likes | 344 Views
Quantification en gestion globale des risques Enjeux et apports méthodologiques de l’industrie et de la banque Nov 2008. Laurent Condamin - Directeur Associé Elseware , +336 87 72 23 51, laurent.condamin@elseware.fr
E N D
Quantification en gestion globale des risques Enjeux et apports méthodologiques de l’industrie et de la banque Nov 2008 Laurent Condamin - Directeur Associé Elseware, +336 87 72 23 51, laurent.condamin@elseware.fr Ismail Lazrek - Directeur KXIOP, +336 76 71 05 98, ismail.lazrek@kxiop.com Patrick Naïm – PDG Elseware, +336 08 34 10 01, patrick.naim@elseware.fr
Introduction La quantification des risques est une évaluation de l’incertitude sur les objectifs. Pour être utile, cette évaluation doit être conditionnelle et donc analytique. • Définition du risque • Tout événement susceptible de se produire dans un horizon de temps défini et pouvant influencer de manière significative la réalisation des objectifs de l’entreprise • Comment quantifier le risque ? • Approche statistique • Etude de la fluctuation des objectifs dans le passé • Quantification = variance • Approche analytique • Cartographie des risques • L’approche analytique permet l’action
Quantification analytique La mesure analytique du risque se base sur une cartographie. La quantification qui en résulte est une distribution conditionnelle. • Cartographie • Pour atteindre ses objectifs, il faut des ressources • Les ressources sont exposées à des périls
Quantification statistique La quantification statistique du risque est issue de la finance, sous une hypothèse dite des « marchés efficients », qui rend l’analyse sans objet. • Investissement financier • Objectif = rendement à un horizon donné • Risque = incertitude sur ce rendement • Marchés efficients • Les évolutions de marché sont imprévisibles (trop de facteurs) • Dans ce cas (EMH), le rendement suit une loi normale. • La mesure du risque • Une seule valeur suffit • Elle est inconditionnelle
Les risques opérationnels Tous les risques «de pertes provenant de processus internes inadéquats ou défaillants, de personnes et systèmes ou d’événements externes» … • Accord de Bâle II • Couverture par des fonds propres de 99.9 % des risques opérationnels • Applicable depuis le 1er Janvier 2008 • (quelques jours avant l’affaire Kerviel …) • Quantification statistique ou analytique ? • Approche standard = % du PNB => Analytique • Approche avancée AMA = modèles internes • 4 sources de données : pertes internes, externes, indicateurs, scénarios • Incitation à l’approche analytique … (AMA)
Apport de la sûreté de fonctionnement Les études probabilistes de sûreté partagent les difficultés de l’ERM : situations rares ou jamais rencontrées, données ou retours d’expérience inexistants. • Conditions • La modélisation est nécessaire pour de systèmes non encore conçus, très fiables, très coûteux, ou critiques pour la sécurité des personnes et des biens … • La statistique, basée sur des essais ou des retours d’expérience ne peut être d’aucun secours dans ces situations. • Analyse du risque • Le système dans son environnement • Décomposition du système • Quantification sur les éléments
Une démarche d’analyse des vulnérabilités Nous proposons d’aller plus loin dans la démarche analytique des risques, en étudiant les déterminants de la fréquence et de la gravité. • Un opérateur travaillant sur une machine « risque » de se blesser, s’il l’utilise mal. • Ce « risque » dépend de l’expérience de l’opérateur et de la complexité de la machine. • Il ne dépend pas que de cela – une part d’aléatoire subsiste • On a construit un Graphe Causal Probabiliste
Graphe causal probabiliste = Réseau Bayésien Il existe un objet mathématique adapté à la construction de modèles de dépendances probabilistes : le réseau bayésien • Un Réseau Bayésien est défini par : • Un graphe • Les probabilités des variables « racines » • Les probabilités conditionnelles des autres variables • Le graphe définit la structure de causalité (connaissance) • Les probabilités définissent la part d’aléatoire
Le réseau bayésien pour le « risque » d’accident Le réseau bayésien est construit à partir de connaissances du domaine et de données internes ou externes. La probabilité d’un accident augmente : • Si l’utilisateur est peu expérimenté • ou si la machine est complexe.
Prise en compte des décisions On peut augmenter un réseau bayésien en ajoutant des nœuds matérialisant des décisions. • Deux nouvelles « variables » • Décision de mettre en place une formation des opérateurs • Choix d’un fournisseur de machines • Le modèle se complète : • La décision de mise en œuvre d’un programme de formation des opérateurs améliore le niveau des opérateurs. • Le choix d’un fournisseur joue un rôle sur la complexité de la machine. • Ces deux facteurs (niveau des opérateurs et complexité de la machine) modifient la probabilité d’un accident. • Le coût du risque est égal au à la somme des coûts des décisions et des coûts liés aux accidents.
Généralisation – le modèle XSG Le modèle XSG permet de représenter une vulnérabilité quelconque sous forme d’un réseau bayésien. • Objectif : généraliser la démarche à tout type de risque • Base – Notion de vulnérabilité (ARM) • Ressource en risque • Péril, c’est-à-dire l’événement « aléatoire » auquel la ressource est exposée. • Conséquence, c’est-à-dire la gravité possible (financière ou autre) si la ressource est frappée par le péril. • Décomposition à la base des démarches de cartographie : • Croisement des ressources et des périls permet d’identifier les scénarios les plus probables, ou les plus graves.
Généralisation : le modèle XSG (2) La transposition en modèle XSG permet d’envisager la quantification analytique du risque. • Transposition quantitative du modèle de la Vulnérabilité • Objet EXPOSITION • Péril SURVENANCE • Conséquence GRAVITE • Ces grandeurs font l’objet d’un modèle causal probabiliste : • L’EXPOSITION (nombre d’objets soumis au risque) • LA SURVENANCE (la probabilité qu’un objet soit touché) • LA GRAVITE (coût du sinistre s’il est survenu)
Déterminants, réduction, et coût du risque La construction d’un modèle XSG permet aussi de réfléchir à des mesures de réduction – attention, le modèle ne contient pas tout … • La distribution de X, S et G peut être modifiée par certains facteurs • Les déterminants contrôlables sont des leviers de réduction • Le contrôle de l’exposition, de la survenance et de la gravité correspond aux trois grandes approches de la réduction des risques : • Contrôle de l’exposition = Evitement • Contrôle de la survenance = Prévention • Contrôle de la gravité = Protection • Mettre en place une mesure de réduction • Modifier la distribution d’un déterminant de X, S, ou G (et réduire le risque !) • Supporter un coût direct • Supporter un coût d’opportunité
Les différentes étapes de création d’un modèle • Analyser le scénario avec les experts • Transposer le scénario en modèle XSG • Collecter les données permettant d’évaluer les probabilités • Effectuer les simulations • Etudier les sensibilités et en déduire les axes de réduction RISK MANAGER MODELISATEUR EXPERT
Exemple 1 • Exemple fictif : Risque d’accident sur un tronçon de route
Exemple 2 • Risque opérationnel (Bâle 2) : risque d’erreur de saisie
Exemple 3 • Grippe Aviaire (inspiré des simulations de l’IVS)