Assemblée annuelle de l’ICA

Assemblée annuelle de l’ICAAssemblée annuelle de l’ICA

UN REGARD EN ARRIÈRE…axé sur le futurUN REGARD EN ARRIÈRE…axé sur le futur

Risque opérationnelRisque opérationnelSéance 1602Séance 1602


• Présentateur• Michel Desmarais

• Présentateur• Michel Desmarais



RISQUE

OPÉRATIONNEL



Développement d'un cadre de gestion du risque

opérationnel



Table des matières

o Introductiono Catégorie de risques opérationnelso Cadre de gestion du risque opérationnelo Conclusion



L'univers des risques pour une compagnie d'assurance de personnesL'univers des risques pour une compagnie d'assurance de personnes

Crédit

Opérationnel

Assurance

Stratégique

Liquidité

Marché

Réputation



Gestion des risques• Les risques financiers sont habituellement

adéquatement gérés dans les compagnies d'assurance de personnes grâce à la mise en place de contrôles tels que

• Politiques de placement• Politiques d'appariement• Politiques de tarification• Etc…



Gestion des risques (suite)

• Les risques opérationnels sont habituellement gérés de façon réactive (un événement se produit et l'entreprise réagit en introduisant un contrôle).

• Le but de mettre en place un cadre de gestion du risque opérationnel est de viser à gérer proactivement tous les risques opérationnels.





Définition du risque opérationnel

Le risque d'une inadéquation ou d'une défaillance attribuable à des processus, des personnes, des systèmes internes ou à des événements extérieurs résultant en pertes, en non atteintes des objectifs ou en impacts négatifs sur la réputation.

Il inclut le risque légal mais exclut les risques stratégiques et de réputation. Il prend toutefois en considération l’impact des défaillances qui affectent l’atteinte des objectifs stratégiques et la réputation de l'entreprise.



Exemples d'événements récents de pertes opérationnelles:

• XXX a perdu les données personnelles de 3,9 millions de clients de YYY.

• Des accusations sont portées contre des dirigeants de ABC Valeurs mobilières.

• Valeurs mobilières XYZ et son président condamnés à 2 millions de pénalités.



Pourquoi parle-t-on de risques opérationnels?

Suite aux scandales financiers, des lois ont été adoptées

• Sarbanes-Oxley aux États-Unis• Loi 198 au Canada• Mais aussi les Accords de Bâle II qui régissent les

institutions bancaires mondiales et définissent le capital réglementaire en fonction de la gestion des risques de crédit, de marché ET OPÉRATIONNELS



7 catégories de risques opérationnels selon Bâle II

1. Fraudes internes• Ex: transactions non autorisées;

détournement de biens;imitation de signature.

2. Fraudes externes• Ex: vol qualifié;

chèques volés.faux billets.



7 catégories de risques opérationnels selon Bâle II (suite)

3. Pratiques en matière d'emploi et sécurité sur le lieu de travail

• Ex: activité syndicale, grève; discrimination;responsabilité civile.

4. Client, produits et pratiques commerciales• Ex: atteinte à la vie privée;

blanchiment d'argent;utilisation abusive d'informations confidentielles.



7 catégories de risques opérationnels selon Bâle II (suite)

5. Dommages aux actifs corporels et sécurité publique

• Ex: catastrophe naturelle; terrorisme;

vandalisme.6. Dysfonctionnements de l'activité et des

systèmes• Ex: pannes;

défaillance de logiciel;perturbation d'un service public.



7 catégories de risques opérationnels selon Bâle II (suite)7. Exécution, livraison et gestion des

processus• Ex: erreurs de saisie;

non respect de délais ou d'obligations;

conflit avec fournisseurs.





Qu'en est-il des compagnies d'assurances de personnes?

Les Accords de Bâle II ne s'appliquent pas directement aux compagnies d'assurances de personnes.

Le BSIF et l'AMF au Québec envisagent la possibilité de modifier la formule de calcul du MMPRCE pour tenir compte spécifiquement du risque opérationnel plutôt que de façon implicite.



Éléments importants pour mettre en place un cadre de gestion du risque opérationnel

• Encadrement et politiques;• programme d'AERC;• indicateurs de risques• base de données;• divulgation, communication et reddition de

compte.



Encadrement et politiques• Permet de contrôler la gestion du risque

opérationnel par toutes les unités d'affaires de l'entreprise.

• Permet d'outiller les gestionnaires et les employés pour gérer le risque opérationnel.



Programme d'AERC• Auto-Évaluation des Risques et des Contrôles.• Permet de comprendre les risques auxquels

l'entreprise fait face.• Développe une meilleure compréhension et

appréciation de l'environnement de contrôle.



Programme d'AERC

Définition: processus continu utilisé par les entreprises afin d'identifier et d'évaluer les risques inhérents à leurs activités, la qualité des contrôles associés aux risques afin d'établir le niveau de risque résiduel.



Programme d'AERC (suite)

Programme en 6 étapes

1. Identifier et documenter le secteur ou la ligne d'affaires à évaluer

2. Évaluer les facteurs de risque et identifier les risques inhérents




Facteur

de risque

Risque

inhérent

condition opérationnelle inhérente qui expose le secteur ou

la ligne d'affaires au risque

niveau estimé d'un RO sans tenir compte

des contrôles pertinents



Programme d'AERC (suite)3. Évaluer les risques inhérents et leur tendance.

Appréciation de la fréquence/probabilité et de la

sévérité/impact de chaque situation de risque

Très élevée 5 5 10 15 20 25Élevée 4 4 8 12 16 20

Modérée 3 3 6 9 12 15Faible 2 2 4 6 8 10

Très faible 1 1 2 3 4 51 2 3 4 5 Fréquence

SévéritéT

rès

faib

le

Fai

ble

Mo

dér

ée

Éle

vée

Trè

s él

evée



Programme d'AERC (suite)4. Documenter et évaluer les contrôles pour

déterminer leur efficacité• Utilisation d'un modèle COSO, (Committee Of

Sponsoring Organisations), COCO, COBIT, etc.• Il est possible d'évaluer les contrôles à divers

niveaux; de l'environnement de contrôle aux contrôles spécifiques.

• Plus on vise l'évaluation de contrôles spécifiques, plus il est important de la réaliser avec des personnes qui ont une connaissance approfondie des opérations et des pratiques de contrôle en place.



Programme d'AERC (suite)5. Déterminer les risques résiduels

Risque résiduel : Niveau estimé d'un RO après l'effet des contrôles pertinents


Modérée 3 3 6 9 12 15Faible 2 2 4 6 8 10

Très faible 1 1 2 3 4 51 2 3 4 5 Fréquence

Sévérité

Trè

s fa

ible

Fai

ble

Mo

dér

ée

Éle

vée

Trè

s él

evée





Modérée 3 3 6 9 12 15Faible 2 2 4 6 8 10

Très faible 1 1 2 3 4 51 2 3 4 5 Cote de

l'environnement de contrôle

Exposition au risque

Trè

s fa

ible

Fai

ble

Mod

érée

Éle

vée

Trè

s él

evée





Programme d'AERC (suite)6. Développer des plans d'actions pour

Sûrement l'étape la plus importante du programme.

gérer les expositions aux

risques jugées inacceptables.



Programme d'AERC (suite)• Extrants du programme

1. Profil de risque (tableaux ou cartes de risques)

2. Indicateurs de risques clés

3. À plus long terme, optimisation du processus d'allocation du capital relié aux risques opérationnels



Programme d'AERC (suite)• Rôles et responsabilités

La fonction gestion du risque opérationnel coordonne et facilite la réalisation du programme d'AERC.

Les secteurs d'affaires participent par leur expertise à déterminer et mesurer les risques ainsi qu'à évaluer les contrôles et leur efficacité. Ils développent et réalisent les plans d'action.



Indicateurs de risques• Permettent une gestion proactive des risques• Représentent un outil de contrôle important

Définition: élément d'information reflétant une évaluation, un constat ou des données permettant d'identifier ou prévoir un risque, sa tendance ou sa probabilité d'occurrence.

Il est important de déterminer

les bons indicateurs



Base de données• Permet de recueillir et de documenter les

événements ayant générés des pertes opérationnelles

• Permet d'évaluer les pertes opérationnelles de l'entreprise

• Permet de documenter les quasi-pertes ou les pertes évitées



Base de données (suite)• Permet de documenter les lacunes

opérationnelles• Permet de modéliser les pertes opérationnelles• Permet de développer des indicateurs clés• Peut inclure des données de pertes

opérationnelles externes



Divulgation, communication et

reddition de compte• La communication doit aller dans les 2 sens:

Top-down:

La direction fixe les limites de tolérance

Bottom-up:

Les gestionnaires et employés informent la direction des risques et des contrôles



CONCLUSION

Éléments clés pour implanter un cadre

de gestion du risque opérationnel• Adhésion de la haute direction • Communication• Rapport sur les risques• Encadrement et politiques• Temps requis: minimum 3 ans





QUESTIONS

Documents

Assemblée annuelle de l’ICA