B : L'élaboration de la cartographie des
risques
Sachant que l'élaboration de la cartographie des risques
est une démarche qui se compose d'un ensemble d'étapes, nous
estimons qu'un passage obligé ou non par toutes ces étapes n'est
pas un objectif en soi. Toutefois, la cartographie des risques, de par sa
nature de document descriptif, doit ressortir les risques (I)
et les éléments de maîtrise (II)
pour pouvoir donner par la suite une cotation objective
(III).
I. Identification des risques
Généralement les entreprises d'assurances ou de
réassurance sont exposées à quatre grandes familles de
risques : les risques financiers, les risques d'assurances, les
risques opérationnels et les risques stratégiques, de
réputation et environnementaux. S'agissant des risques de
non-conformité, il est à préciser qu'il s'agit
principalement d'un sous-ensemble des risques opérationnels.
Considérée comme la première
étape, l'identification des risques cherche à définir les
risques « brut »60 c'est-à-dire les risques
intrinsèques ou inhérents aux processus indépendamment des
mesures de mitigation et de contrôle mis en place. Et pour être
efficace, l'identification des risques nécessite deux prérequis,
à savoir, le référentiel des processus61 et le
référentiel réglementaire.
Pour son objet, l'identification des risques consiste à
recenser l'ensemble des risques de non-conformité inhérents
à différentes activités de l'entreprise, définir
leurs foyers et localiser les points de vulnérabilité de
l'entreprise.
Dans la pratique, il s'agit de dresser une liste de tous les
risques de non-conformité aux quels l'entreprise fait ou peut faire
face. L'architecture de cette liste doit révéler un nombre de
niveaux pouvant aller à cinq ou même à six, avec chaque
niveau exprime la déclinaison du niveau précédent.
L'ensemble de ces niveaux reflète le niveau de la granularité
retenu par l'entreprise.
Le premier niveau ce n'est que la famille des risques
opérationnels, il est donc commun à toutes les entreprises,
tandis que les autres niveaux expriment en quelque sorte les
spécificités de chaque entreprise.
60 Par opposition à la notion du risque «
Net » qui correspond au niveau du risque après avoir être
traité en mettant en place les mesures d'atténuation et de
contrôle adéquates.
61 (Processus métiers, processus supports et
processus managériaux).
Après avoir listé les risques d'une
manière arborescente, il est nécessaire de les
qualifier62 et de détailler leurs causes et
conséquences63, puis enfin, les rattacher aux processus pour
pouvoir déployer au mieux les éléments de
maîtrise.
L'ensemble des risques recensés doivent faire l'objet
d'une évaluation en mesurant le niveau de leur criticité en terme
d'impact (perte éventuelle en unités de valeur) et le niveau de
leur criticité en terme de fréquence (l'occurrence possible en
une année) (moyen, élevé et certain)
II. Evaluation des éléments de
maîtrise de risques
La deuxième phase de la démarche de
l'élaboration de la cartographie des risques consiste à
identifier les composants du dispositif de contrôle interne dans son
globalité et évaluer les éléments
dédiés aux risques de non-conformité afin de
déterminer les risques nets ou résiduels.
En fait, le dispositif de maîtrise des risques regroupe
plusieurs éléments qui visent à réduire
l'exposition aux risques et qui sont soit de nature
préventive agissant sur les causes pour réduire la
probabilité d'occurrence soit de nature curative
agissant sur les conséquences pour réduire
l'impact.
Parmi les éléments composants du dispositif de
maîtrise de risque on peut citer : > Le manuel de procédures,
méthodes, normes et règles de gestion.
> Les structures de contrôle permanent de premier et de
deuxième niveau.
> Les outils de pilotage et de reporting comme les
indicateurs de risques, les tableaux de bord...
> Audit interne et externe.
> Habilitation, qualification et formation des ressources
humaines. > L'organigramme, fiche de poste.
Dans la pratique la rigidité/flexibilité du
dispositif de maîtrise de risques reflète l'appétence pour
le risque (généralement formulée quantitativement et
qualitativement) comme elle est définie par les organes de gouvernance
et de direction.
Le rôle des éléments de maîtrise se
manifeste pratiquement dans la gestion quotidienne de l'entreprise64
et consiste dans l'encadrement de la prise de risque en fixant les seuils de
tolérance
Une fois listés dans un document
référentiel, les éléments de maîtrise doivent
faire l'objet d'une évaluation rigoureuse, il faut interroger le
dispositif de contrôle mis en place et vérifier s'il est
formalisé65 ? S'il est supervisé66 ? S'il
est pertinent67 ? S'il est efficace68 ?
62 Attribuer à chaque risque une nomenclature
adéquate.
63 Définir les causes et déterminer
les conséquences ça va servir de base pour quantifier la
fréquence et l'impact et construire les matrices inhérentes.
64Exemple : La politique de souscription
définie les produits autorisés à la vente, ou les
conditions de souscriptions acceptables, ou les engagements maximaux.
57
Bien que le dispositif de contrôle doit être
formalisé, supervisé, pertinent et efficace, il est à
noter que seules l'efficacité et la pertinence sont
considérées comme échelles pour l'évaluation de sa
performance.
L'évaluation du dispositif de contrôle et les
éléments qu'ils le composent et au coeur de l'élaboration
de la cartographie des risque dans la mesure où elle permet le profilage
des risques nets.
Figure 5 : Matrice d'évaluation des
éléments de maîtrise des risques
65 La formalisation consiste à
élaborer un plan de contrôle détaillant l'objet de
contrôle et son étendue ainsi que son niveau, sa
périodicité et les personnes en charge.
66 La supervision désigne la nomination d'un
responsable pour assurer l'exécution et la continuité du
contrôle et par conséquent la fiabilité des
résultats à remonter.
67 La pertinence réside dans l'application
stricte des directives du plan de contrôle d'une part et dans la
mobilisation des moyens adéquats pour l'exercice du contrôle
d'autre part, la pertinence renvoie à l'adéquation du
contrôle par rapport son objet.
68 L'efficacité désigne la
capacité du dispositif de contrôle à détecter les
incidents, à filtrer les risques et rejeter ceux qui dépassent
les seuils de tolérance acceptés par l'entreprise,
l'efficacité renvoie à la bonne application du contrôle.
58
III. La cotation des risques
Au départ, l'évaluation des risques consiste en
une analyse qualitative dont l'objet est d'identifier et de décrire les
trois facteurs suivant : les causes des risques, le dispositif de
maîtrise et les conséquences.
Comme expliqué plus haut, en entend par cause,
l'élément générateur direct de
l'évènement nuisible et par dispositif de maîtrise,
l'ensemble des éléments (procédures, systèmes,
indicateurs de suivi et autres) mis en place afin de réduire
l'occurrence de l'évènement de risque et de limiter les impacts
en cas d'occurrence.
La conséquence est un effet consécutif à
l'occurrence de l'évènement générateur de risque.
Elle peut être définie quantitativement ou qualitativement.
Une fois ces trois facteurs sont bien identifiés et
analysés, des échelles d'évaluation doivent être
établies et mises en place pour pouvoir concevoir par la suite les
matrices relatives à :
? La criticité : les deux
paramètres de la criticité sont la fréquence et la
gravité des risques. D'habitude chaque paramètre se manifeste sur
quatre à cinq niveaux comme illustrée dans la matrice suivante
:
Figure 6 : Matrice de criticité
59
? L'évaluation des risques bruts
: Il s'agit de hiérarchiser les risques et de les classer
dans des catégories selon les degrés de leur criticité
(voir la matrice de criticité)
? La performance du dispositif de
contrôle et les éléments de maîtrise de risques
afférents : c'est-à-dire la capacité du dispositif
à contrôler et à maîtriser les risques (voir la
matrice d'évaluation des éléments de maîtrise)
? L'évaluation des risques nets
: il s'agit mesurer les risques résiduels ou les risques
persistants après mise en oeuvre des éléments de
maîtrise, cette évaluation consiste dans la combinaison de la
performance du dispositif de maîtrise et le risque brut.
Figure 7 : Matrice d'évaluation du risque
net
Bien que ces matrices visent au final à quantifier
l'impact des risques sur l'activité de l'entreprise et à
évaluer la perte financière qui en résulte, il importe de
souligner que la cotation des risques d'image semble difficile voire même
impossible, c'est un risque non quantifiable notamment pour le paramètre
« impact ». Face à cette limite, nous qualifions
d'indispensable l'enrichissement de la cartographie en signalant chaque risque
présentant en plus de l'impact financier un risque de
réputation.
Relevant de la démarche de gestion des risques, la
cartographie des risques est un outil indispensable pour mener au mieux la
gouvernance de l'entreprise d'assurances. Elle permet d'une part le partage
d'un même référentiel de risques afin d'unifier la
perception des risques et leur évaluation par l'ensemble du personnel et
d'autre part l'amélioration du reporting et de la communication en
donnant la possibilité de visualiser en temps réel des risques.
En tant que
60
telle, la cartographie des risques est un outil de mise en
conformité qui peut agir positivement sur la perception de l'image de
l'entreprise par l'ensemble des parties prenantes. Son intérêt est
loin d'être un simple recensement et évaluation d'un ensemble
d'évènements préjudiciables, son rôle de levier de
performance doit être appréhendé et confirmé dans la
prise des décisions stratégiques et dans la gestion quotidienne
des activités de l'entreprise.
En conclusion de ce chapitre nous tenons à rappeler que
la conformité est définie comme l'ensemble des processus qui
permettent d'assurer le respect des normes applicables à l'entreprise
par ses parties prenantes, mais aussi des valeurs et d'un esprit éthique
insufflé par les dirigeants. C'est aussi, et surtout, une action
proactive qui vise à organiser les procédures et les moyens
nécessaires au respect de la réglementation par l'entreprise
d'assurances ou de réassurance. Elle est donc un sujet
multidimensionnel.
Ce sujet soulève ainsi de nombreuses interrogations
chez les dirigeants. Comment les nouvelles obligations vont-elles impacter les
entreprises dans leur organisation, leur gouvernance et leur business model ?
Comment faire de la compliance un outil de performance économique et de
compétitivité ? Quels rôles le responsable
conformité et son équipe vont-ils endosser pour accompagner cette
évolution et comment doivent-ils s'y préparer ? Comment concilier
transparence et secret des affaires ?
Au plan business et opérationnel, c'est en effet, la
conformité est un outil incomparable en matière d'organisation et
de développement interne et externe de l'entreprise, qui assure la
cohésion des parties prenantes autour de valeurs communes. On estime
qu'arriver à démontrer l'efficacité du dispositif de
conformité est un véritable avantage compétitif.
On pense que la question est de savoir comment être
conforme demain, comment établir un plan d'action efficace et se
questionner à nouveau sur la façon d'organiser sa
conformité. les bons plans de conformité contribuent à
préserver une image positive de l'entreprise, facteur de confiance pour
les clients et les fournisseurs et gage de bon fonctionnement et de bonne
gouvernance pour les actionnaires, tout en limitant les risques auxquels
l'entreprise peut être exposée.
61
| 
