Quantification en gestion globale des risques Enjeux et apports méthodologiques de l’industrie et de la banque Nov 2008 Laurent Condamin - Directeur Associé Elseware, +336 87 72 23 51, laurent.condamin@elseware.fr Ismail Lazrek - Directeur KXIOP, +336 76 71 05 98, ismail.lazrek@kxiop.com Patrick Naïm – PDG Elseware, +336 08 34 10 01, patrick.naim@elseware.fr
Introduction Comment quantifier le risque ? La quantification des risques est une évaluation de l’incertitude sur les objectifs. Pour être utile, cette évaluation doit être conditionnelle et donc analytique. Définition du risque Tout événement susceptible de se produire dans un horizon de temps défini et pouvant influencer de manière significative la réalisation des objectifs de l’entreprise Comment quantifier le risque ? Approche statistique Etude de la fluctuation des objectifs dans le passé Quantification = variance Approche analytique Cartographie des risques L’approche analytique permet l’action
Quantification analytique La mesure analytique du risque se base sur une cartographie. La quantification qui en résulte est une distribution conditionnelle. Cartographie Pour atteindre ses objectifs, il faut des ressources Les ressources sont exposées à des périls Péril Ressource (F,G)
Quantification statistique La quantification statistique du risque est issue de la finance, sous une hypothèse dite des « marchés efficients », qui rend l’analyse sans objet. Investissement financier Objectif = rendement à un horizon donné Risque = incertitude sur ce rendement Marchés efficients Les évolutions de marché sont imprévisibles (trop de facteurs) Dans ce cas (EMH), le rendement suit une loi normale. La mesure du risque Une seule valeur suffit Elle est inconditionnelle
Les risques opérationnels Tous les risques « de pertes provenant de processus internes inadéquats ou défaillants, de personnes et systèmes ou d’événements externes » … Accord de Bâle II Couverture par des fonds propres de 99.9 % des risques opérationnels Applicable depuis le 1er Janvier 2008 (quelques jours avant l’affaire Kerviel …) Quantification statistique ou analytique ? Approche standard = % du PNB => Analytique Approche avancée AMA = modèles internes 4 sources de données : pertes internes, externes, indicateurs, scénarios Incitation à l’approche analytique … (AMA)
Apport de la sûreté de fonctionnement Les études probabilistes de sûreté partagent les difficultés de l’ERM : situations rares ou jamais rencontrées, données ou retours d’expérience inexistants. Conditions La modélisation est nécessaire pour de systèmes non encore conçus, très fiables, très coûteux, ou critiques pour la sécurité des personnes et des biens … La statistique, basée sur des essais ou des retours d’expérience ne peut être d’aucun secours dans ces situations. Analyse du risque Le système dans son environnement Décomposition du système Quantification sur les éléments
Une démarche d’analyse des vulnérabilités Nous proposons d’aller plus loin dans la démarche analytique des risques, en étudiant les déterminants de la fréquence et de la gravité. Un opérateur travaillant sur une machine « risque » de se blesser, s’il l’utilise mal. Ce « risque » dépend de l’expérience de l’opérateur et de la complexité de la machine. Il ne dépend pas que de cela – une part d’aléatoire subsiste On a construit un Graphe Causal Probabiliste
Graphe causal probabiliste = Réseau Bayésien Il existe un objet mathématique adapté à la construction de modèles de dépendances probabilistes : le réseau bayésien Un Réseau Bayésien est défini par : Un graphe Les probabilités des variables « racines » Les probabilités conditionnelles des autres variables Le graphe définit la structure de causalité (connaissance) Les probabilités définissent la part d’aléatoire
Le réseau bayésien pour le « risque » d’accident Le réseau bayésien est construit à partir de connaissances du domaine et de données internes ou externes. La probabilité d’un accident augmente : Si l’utilisateur est peu expérimenté ou si la machine est complexe.
Prise en compte des décisions On peut augmenter un réseau bayésien en ajoutant des nœuds matérialisant des décisions. Deux nouvelles « variables » Décision de mettre en place une formation des opérateurs Choix d’un fournisseur de machines Le modèle se complète : La décision de mise en œuvre d’un programme de formation des opérateurs améliore le niveau des opérateurs. Le choix d’un fournisseur joue un rôle sur la complexité de la machine. Ces deux facteurs (niveau des opérateurs et complexité de la machine) modifient la probabilité d’un accident. Le coût du risque est égal au à la somme des coûts des décisions et des coûts liés aux accidents.
Le modèle complété : diagramme d’influence
Généralisation – le modèle XSG Le modèle XSG permet de représenter une vulnérabilité quelconque sous forme d’un réseau bayésien. Objectif : généraliser la démarche à tout type de risque Base – Notion de vulnérabilité (ARM) Ressource en risque Péril, c’est-à-dire l’événement « aléatoire » auquel la ressource est exposée. Conséquence, c’est-à-dire la gravité possible (financière ou autre) si la ressource est frappée par le péril. Décomposition à la base des démarches de cartographie : Croisement des ressources et des périls permet d’identifier les scénarios les plus probables, ou les plus graves.
Généralisation : le modèle XSG (2) La transposition en modèle XSG permet d’envisager la quantification analytique du risque. Transposition quantitative du modèle de la Vulnérabilité Objet EXPOSITION Péril SURVENANCE Conséquence GRAVITE Ces grandeurs font l’objet d’un modèle causal probabiliste : L’EXPOSITION (nombre d’objets soumis au risque) LA SURVENANCE (la probabilité qu’un objet soit touché) LA GRAVITE (coût du sinistre s’il est survenu)
Déterminants, réduction, et coût du risque La construction d’un modèle XSG permet aussi de réfléchir à des mesures de réduction – attention, le modèle ne contient pas tout … La distribution de X, S et G peut être modifiée par certains facteurs Les déterminants contrôlables sont des leviers de réduction Le contrôle de l’exposition, de la survenance et de la gravité correspond aux trois grandes approches de la réduction des risques : Contrôle de l’exposition = Evitement Contrôle de la survenance = Prévention Contrôle de la gravité = Protection Mettre en place une mesure de réduction Modifier la distribution d’un déterminant de X, S, ou G (et réduire le risque !) Supporter un coût direct Supporter un coût d’opportunité
Les différentes étapes de création d’un modèle Analyser le scénario avec les experts Transposer le scénario en modèle XSG Collecter les données permettant d’évaluer les probabilités Effectuer les simulations Etudier les sensibilités et en déduire les axes de réduction RISK MANAGER EXPERT MODELISATEUR
Exemple 1 Exemple fictif : Risque d’accident sur un tronçon de route
Exemple 2 Risque opérationnel (Bâle 2) : risque d’erreur de saisie
Exemple 3 Grippe Aviaire (inspiré des simulations de l’IVS)
Le coût du risque comme modèle causal probabiliste