Comment réaliser une cartographie des risques et des contrôles associés
La cartographie des risques est un processus par lequel les organisations évaluent et examinent les risques opérationnels et l’efficacité des contrôles utilisés pour les atténuer. S’il n’est pas obligatoire, il s’agit de l’un des outils les plus efficaces de l’arsenal de gestion des risques. Comment construire cette cartographie ? Quels sont les points d’attention et les bonnes pratiques ?
Cadre général
Le but est de garantir que tous les objectifs commerciaux seront atteints dans un cadre sécurisé et ainsi éviter la survenance de risques opérationnels majeurs.
Une cartographie des risques encourage la direction et le personnel à assumer et à partager la responsabilité des contrôles internes en face des risques identifiés. Elle sera un outil précieux et utile pour les auditeurs internes, les commissaires aux comptes, le corps d’inspection et les régulateurs.
Elle permet également d’identifier, d’améliorer et de répartir plus équitablement les responsabilités au sein d’une organisation afin de renforcer la sensibilisation et la responsabilisation face aux risques inhérents.
La réalisation d’une cartographie des risques va considérablement améliorer l’environnement de contrôle au sein d’une institution financière. Elle sensibilise davantage aux objectifs organisationnels et motive le personnel à concevoir et à mettre en œuvre plus soigneusement le processus de contrôle permanent.
Prérequis au lancement d’une campagne de cartographie : la présence d’un référentiel mis à jour et de modes opératoires précis permettant de réaliser une évaluation des risques. Ce référentiel permet d’avoir une vision uniforme et précise des risques portés par l’organisation cartographiée.
Comment faire ?
1. L’approche par ateliers
L’approche la plus fréquente en matière d’évaluation des risques opérationnels consiste à réaliser des ateliers avec l’ensemble des opérationnels. Il est important, lors de l’évaluation, de vérifier les contrôles mis en place pour mitiger ces risques et vérifier leur efficacité. La qualité de la piste d’audit est un élément essentiel pour les vérificateurs, que ce soit le régulateur ou l’audit interne.
Les ateliers seront animés par un collaborateur de la direction des risques qui a été formé et qui connaît les processus, les risques et les contrôles propres à l’entité concernée.
2. Quel périmètre doit couvrir la cartographie des risques ?
Toutes les directions et les départements d’une entité quelle qu’elle soit feront l’objet d’une cartographie précise de leurs risques inhérents liés à la typicité de leur activité.
En ce qui concerne les risques opérationnels identifiables autour des produits ou des activités qui doivent être traités, les rapports d’audit écrits, l’expérience des pertes réelles et les examens réglementaires seront suffisants. Après identification, les risques devront être classés par ordre de priorité – élevé, moyen ou faible. Cette classification est établie de manière subjective par les opérationnels. Il s’agit d’un exercice d’auto-évaluation qui sera challengé par les équipes du contrôle interne. Les risques inhérents et les risques résiduels sont traités séparément.
Toutes les étapes de réalisation des contrôles doivent être documentées. Un système d’auto-évaluation devra être mis en place sous forme d’un questionnaire rédigé par les équipes de gestion des risques. Des notations discriminantes types : « Insuffisant », « A améliorer », « Satisfaisant » seront utilisées pour sanctionner les résultats des contrôles.
Les personnes chargées de cette cartographie devront être en mesure de fournir à la direction générale et aux autres parties prenantes, lors d’un comité de contrôle interne, les résultats et la cotation globale des contrôles réalisés. En cas de défaillance identifiable des contrôles, les équipes risques pourront proposer en collaboration avec les directions cartographiées des axes d’amélioration pour faire évoluer ces contrôles.
Enfin, lorsqu’une faiblesse de contrôle est constatée par le contrôleur de 1er niveau (Direction opérationnelle) et confirmée par les équipes du contrôle interne, hors de la cartographie la direction opérationnelle concernée devra prendre rapidement des mesures correctives à travers un plan d’action précis. Ce plan devra être suivi en comité de contrôle interne par exemple, afin qu’il y ait une information précise de la gouvernance de l’entreprise.
Parmi les points d’attention, il faudra éviter la mise en place de contrôles qui ne sont pas liés à des risques majeurs et qui s’apparenteraient à du suivi d’activité.
3. Le Plan global d’actions correctives
Après avoir identifié les faiblesses et défini les actions nécessaires, une étape cruciale de toute cartographie des risques consiste à développer et enregistrer un plan global d’actions correctives.
Ce plan doit généralement comprendre les éléments suivants :
- Le nom de la direction cartographiée
- Le nom d’un responsable de mise en œuvre
- La date du test et la période couverte par le test
- La description claire de chaque faiblesse du contrôle
- Un plan d’action pour résoudre la déficience
- Une date cible pour la résolution
- Une évaluation de la gravité du problème
Les gestionnaires du risque opérationnel doivent ensuite évaluer périodiquement les progrès et les résultats des tests et des mesures correctives prises. Cette périodicité pourra être définie en Comité de contrôle interne, après discussion avec les directions concernées.
Les preuves de ce suivi doivent être conservées en cas d’audit interne et de transmission vers le régulateur via les rapports réglementaires.
4. Les écueils à éviter
L’écueil principal dans la création et le suivi d’une cartographie des risques consiste à intégrer des risques qui ne sont pas majeurs, en y associant les contrôles qui y sont attachés. Conséquence évidente : une augmentation du nombre de contrôles et donc une efficacité relative du dispositif de contrôle permanent. Les régulateurs pourront de ce fait sanctionner un dispositif de contrôle permanent qui n’aura pas démontré son efficience.
Il est important pour les institutions financières de bien différencier ce qui est contrôle d’un risque majeur et ce qui relève du pilotage d’une activité.
Nous préconisons ainsi lors de l’exercice de cartographie des risques, d’intégrer les contrôles qui permettent d’atténuer ces risques majeurs, ce qui permettra de faire le lien directement avec la mise en place du plan de contrôle permanent.
Quels seuils de déclenchement ?
Dernière étape clé : intégrer dans les risques des seuils de déclenchement de déclaration de risque opérationnel. Certains ont fait ce choix-là. C’est notamment le cas des grandes banques françaises. Les provisions pour risques passifs ainsi que l’utilisation par la gouvernance du FRBG (Fonds pour Risques Bancaires et Généraux) sont aussi un outil de gestion des ROP.