Paragraphe 2 : La cartographie des risques
Dans son article 13, la décision n°1-2016 du
CGA prévoit qu'en plus du contrôle du respect des
dispositions législatives et réglementaires et des exigences
déontologiques et professionnelles afférentes à l'exercice
de l'activité d'assurance, la fonction conformité est
appelée également à identifier et évaluer le risque
de non-conformité. Pour ce faire, le RCC doit
formaliser et maintenir à jour une cartographie des risques de
non-conformité.
Par définition, la cartographie de risques est une
démarche qui consiste à identifier, évaluer,
hiérarchiser et gérer les risques inhérents aux
activités de l'entreprise, c'est un élément clé
pour la gestion des risques de non-conformité. Elle constitue un outil
qui permet à la fonction de conformité d'avoir une vision
dynamique des foyers d'exposition aux risques et d'agir en temps réel
sur les incidents générateurs de risques pour en atténuer
soit l'impact soit la fréquence, compte tenu de l'appétence au
risque de l'entreprise.
En sa qualité d'outil de gestion, la cartographie des
risques permet d'appréhender l'ensemble des facteurs susceptibles
d'affecter les activités et leur performance et d'investiguer de
façon approfondie l'ensemble des processus managériaux, support
et opérationnels que les activités exigent de mettre en oeuvre
afin de définir les actions nécessaires pour se prémunir
au maximum des risques. Il s'agit d'un levier indispensable au pilotage des
risques et constitue le socle de la stratégie de gestion des risques.
L'élaboration de la cartographie des risques de
non-conformité relève parmi les prérogatives de la
fonction conformité, mais la complexité de cette mission
nécessite l'adhésion de multiples parties prenantes en interne,
notamment le comité d'audit et le comité de risques au niveau du
conseil d'administration, la direction générale, le comité
de direction...etc.
Sur le plan méthodologique, l'élaboration de la
cartographie des risques (B) doit prendre en
considération un ensemble d'éléments
méthodologiques (A) pour lui assurer la pertinence et
la fiabilité.
A : Préconisations méthodologique
Pour qu'elle soit pertinente, la cartographie des risques doit
présenter certaines caractéristiques (I) qui
dépendent largement de l'approche adoptée
(II).
I. Caractéristiques de la cartographie des risques
a) Cartographie exhaustive et précise
Pour établir la cartographie des risques, le RCC doit
répertorier préalablement les différents processus
(métier, managérial et support) mis en oeuvre par l'entreprise
dans le cadre de son activité afin de rendre plus facile le recensement
des risques inhérentes, un tel procédé nécessite
l'implication de l'ensemble des acteurs concernés notamment les
dirigeants et les experts métier.
52
Il est à noter dans ce cadre que la recherche de
l'exhaustivité à l'occasion de l'élaboration de la
cartographie ne doit pas affecter le travail de recensement, certains de ces
risques s'avérant au final non significatifs.
b) La granularité de la cartographie
Renvoyant au niveau de détail que peut retenir
l'entreprise pour construire la cartographie des risques, la granularité
est essentielle dans la mesure où la finesse du détail rend
l'identification des risques plus importante et permet de calibrer la
démarche aux moyens déployés et au planning mis en
place.
Pour une société d'assurances, cinq niveaux de
granularité peuvent être définis :
? Métier : assurance Auto,
IARDS58, Vie...
? Famille ou domaine IARDS : Incendie,
assistance en voyage... ? Processus : souscription, sinistres...
? Opération : règlement de sinistre, recours
inter-compagnies... ? Tâche élémentaire : nomination d'un
expert...
c) Cartographie formalisée et
accessible
La cartographie des risques est un document structuré,
comprenant une présentation synthétique des informations
relatives aux risques de non-conformité que peut encourir l'entreprise
d'assurances ou de réassurance. Ce document peut être
organisé selon les niveaux de granularité retenus par
l'entreprise, une telle organisation fait de la cartographie une
présentation arborescente des risques.
Bien que ce document soit à la base un outil de
management, rien n'empêche de le présenté à
l'ensemble du personnel pour des fins de sensibilisation et de conduite de
changement, la cartographie des risques est un support pour la diffusion de la
culture de risques dans l'entreprise.
d) Cartographie évolutive
Compte tenu de l'évolution de l'entreprise et de sa
réactivité avec les changements soit interne (nouveau processus,
évolution du modèle économique, restructuration ...) soit
externe (changement du cadre réglementaire, mutations économique
profondes...). Il est indispensable de faire vivre la cartographie des risques
en l'actualisant régulièrement, une évaluation annuelle
rend cet outil plus opérant. En tout état de cause, la
cartographie des risques doit être mise à jour en fonction de
l'évolution de l'organisation de l'entreprise, de l'évolution de
son activité et des mutations qui surgirent dans son environnement. La
fiabilité de la cartographie des risques de non-conformité se
mesure par sa capacité à refléter l'évolution de
l'entreprise.
II. Le choix d'une approche
En plus des préconisations méthodologiques
citées plus haut, l'élaboration d'une cartographie de risques
nécessite le choix d'une méthode parmi plusieurs possibles. Dans
ce cadre, nous allons passer en revue l'approche Top Down (a)
et l'approche Bottom up (b). Mais pour des
raisons relatives à la pertinence de la cartographie et sa
fiabilité, nous proposons de combiner (c) ces deux
approches.
53
58 Incendie, accidents, risques divers et
spéciaux.
a) L'approche Top Down
Utilisée souvent lors d'une démarche de
recensement par thématique, l'approche descendante consiste à
faire détecter et identifier les risques par les dirigeants effectifs de
l'entreprise, elle se base sur un inventaire des risques formulé soit
à partir de l'historique des incidents rencontrés soit des
rapports d'audit interne et d'inspection ou des reporting du contrôle
permanent. Selon cette approche, le risque est appréhendé dans
une vision générale puis il est soumis à une analyse
d'experts.
Bien qu'elle présente l'avantage d'impliquer vivement
les dirigeants de l'entreprise, l'approche Top Down peut se trouver en
difficulté pour établir le rattachement des risques aux processus
et pour remplir la double condition de l'exhaustivité et de la
granularité de la cartographie des risques.
b) L'approche Bottom Up
Cette approche reconnait aux opérationnels un
rôle crucial dans l'identification des risques, il s'agit de faire la
remontée des risques de leurs foyers vers les personnes en charge de
l'élaboration de la cartographie. Pour se faire, cette approche
nécessite la tenue intensive des réunions de groupes de travail
et des comités de réflexion, cette approche dite ascendante,
nécessite comme point de départ le recensement des processus.
L'approche Bottom Up permet, d'une part, l'analyse
systématique et concomitante des risques et des éléments
déployés par l'entreprise pour les maîtriser et d'autre
part l'implication satisfaisante des opérationnels et favorise
significativement l'exhaustivité et la granularité de la
cartographie des risques. Cette approche parait plus adéquate pour
l'élaboration d'une cartographie générale des risques
inhérents à l'activité de l'entreprise
c) L'approche combinée
Ce passage en revue nous a révélé que ces
deux approches ne s'opposent pas, elles sont complémentaires. La vision
globale de l'approche Top Down facilite l'identification des actions à
entreprendre selon l'approche Bottom Up et définie ce qui remonte en
priorité. L'approche Bottom Up permet de combler les lacunes de la
vision globale de l'approche Top Down et de décliner ensuite cette
vision dans tous les niveaux des processus de l'entreprise.
Ces deux approches peuvent être menées soit
successivement, soit simultanément, et la conduite concomitante nous
donne une nouvelle approche dite combinée.
Cette approche consiste dans la conciliation des deux
méthodes précédentes et de les faire cohabiter lors de
l'élaboration de la cartographies des risques.
La mise en oeuvre de cette méthode permet de :
? définir le niveau de granularité opportune
pour l'entreprise en conciliant la vision globale des risques que
procède l'approche Top Down et la redondance59 qui
caractérise l'approche Bottom Up.
54
59 La recherche du niveau le plus fin de la
granularité.
55
56
? Construire la cartographie qui reflète la
stratégie de l'entreprise en matière de gestion de risque et qui
exprime son appétence au risque. Pour cette fin, il faut
considérer la vision globale des dirigeants comme une
référence pour déterminer l'étendue de
l'exhaustivité de la cartographie.
? Faire vivre au mieux la cartographie des risque et la
maintenir à jour dans la mesure où, d'un côté,
l'approche Top Down permet aux dirigeants d'intervenir le cas
échéant sur la base des de l'inventaire des incidents
rencontrés soit des rapports d'audit interne et d'inspection ou de
reporting du contrôle permanent et d'un autre côté,
l'approche Bottom Up permet une maîtrise parfaite des processus et les
risques y rattachés.
| 
