Assemblée annuelle de l’ICA UN REGARD EN ARRIÈRE…axé sur le futur

Présentateur Michel Desmarais

RISQUE OPÉRATIONNEL

Développement d'un cadre de gestion du risque opérationnel

Table des matières Introduction Catégorie de risques opérationnels Cadre de gestion du risque opérationnel Conclusion

L'univers des risques pour une compagnie d'assurance de personnes

Gestion des risques Les risques financiers sont habituellement adéquatement gérés dans les compagnies d'assurance de personnes grâce à la mise en place de contrôles tels que Politiques de placement Politiques d'appariement Politiques de tarification Etc…

Gestion des risques (suite) Les risques opérationnels sont habituellement gérés de façon réactive (un événement se produit et l'entreprise réagit en introduisant un contrôle). Le but de mettre en place un cadre de gestion du risque opérationnel est de viser à gérer proactivement tous les risques opérationnels.

Définition du risque opérationnel Le risque d'une inadéquation ou d'une défaillance attribuable à des processus, des personnes, des systèmes internes ou à des événements extérieurs résultant en pertes, en non atteintes des objectifs ou en impacts négatifs sur la réputation. Il inclut le risque légal mais exclut les risques stratégiques et de réputation. Il prend toutefois en considération l’impact des défaillances qui affectent l’atteinte des objectifs stratégiques et la réputation de l'entreprise.

Exemples d'événements récents de pertes opérationnelles: XXX a perdu les données personnelles de 3,9 millions de clients de YYY. Des accusations sont portées contre des dirigeants de ABC Valeurs mobilières. Valeurs mobilières XYZ et son président condamnés à 2 millions de pénalités.

Pourquoi parle-t-on de risques opérationnels? Suite aux scandales financiers, des lois ont été adoptées Sarbanes-Oxley aux États-Unis Loi 198 au Canada Mais aussi les Accords de Bâle II qui régissent les institutions bancaires mondiales et définissent le capital réglementaire en fonction de la gestion des risques de crédit, de marché ET OPÉRATIONNELS

7 catégories de risques opérationnels selon Bâle II Fraudes internes Ex: transactions non autorisées; détournement de biens; imitation de signature. Fraudes externes Ex: vol qualifié; chèques volés. faux billets.

7 catégories de risques opérationnels selon Bâle II (suite) Pratiques en matière d'emploi et sécurité sur le lieu de travail Ex: activité syndicale, grève; discrimination; responsabilité civile. Client, produits et pratiques commerciales Ex: atteinte à la vie privée; blanchiment d'argent; utilisation abusive d'informations confidentielles.

7 catégories de risques opérationnels selon Bâle II (suite) Dommages aux actifs corporels et sécurité publique Ex: catastrophe naturelle; terrorisme; vandalisme. Dysfonctionnements de l'activité et des systèmes Ex: pannes; défaillance de logiciel; perturbation d'un service public.

7 catégories de risques opérationnels selon Bâle II (suite) Exécution, livraison et gestion des processus Ex: erreurs de saisie; non respect de délais ou d'obligations; conflit avec fournisseurs.

Qu'en est-il des compagnies d'assurances de personnes? Les Accords de Bâle II ne s'appliquent pas directement aux compagnies d'assurances de personnes. Le BSIF et l'AMF au Québec envisagent la possibilité de modifier la formule de calcul du MMPRCE pour tenir compte spécifiquement du risque opérationnel plutôt que de façon implicite.

Éléments importants pour mettre en place un cadre de gestion du risque opérationnel Encadrement et politiques; programme d'AERC; indicateurs de risques base de données; divulgation, communication et reddition de compte.

Encadrement et politiques Permet de contrôler la gestion du risque opérationnel par toutes les unités d'affaires de l'entreprise. Permet d'outiller les gestionnaires et les employés pour gérer le risque opérationnel.

Programme d'AERC Auto-Évaluation des Risques et des Contrôles. Permet de comprendre les risques auxquels l'entreprise fait face. Développe une meilleure compréhension et appréciation de l'environnement de contrôle.

Programme d'AERC Définition: processus continu utilisé par les entreprises afin d'identifier et d'évaluer les risques inhérents à leurs activités, la qualité des contrôles associés aux risques afin d'établir le niveau de risque résiduel.

Programme d'AERC (suite) Programme en 6 étapes Identifier et documenter le secteur ou la ligne d'affaires à évaluer Évaluer les facteurs de risque et identifier les risques inhérents

Programme d'AERC (suite) Facteur de risque Risque inhérent condition opérationnelle inhérente qui expose le secteur ou la ligne d'affaires au risque niveau estimé d'un RO sans tenir compte des contrôles pertinents

Programme d'AERC (suite) Évaluer les risques inhérents et leur tendance. Appréciation de la fréquence/probabilité et de la sévérité/impact de chaque situation de risque

Programme d'AERC (suite) Documenter et évaluer les contrôles pour déterminer leur efficacité Utilisation d'un modèle COSO, (Committee Of Sponsoring Organisations), COCO, COBIT, etc. Il est possible d'évaluer les contrôles à divers niveaux; de l'environnement de contrôle aux contrôles spécifiques. Plus on vise l'évaluation de contrôles spécifiques, plus il est important de la réaliser avec des personnes qui ont une connaissance approfondie des opérations et des pratiques de contrôle en place.

Programme d'AERC (suite) Déterminer les risques résiduels Risque résiduel : Niveau estimé d'un RO après l'effet des contrôles pertinents

Programme d'AERC (suite)

gérer les expositions aux risques jugées inacceptables. Programme d'AERC (suite) Développer des plans d'actions pour Sûrement l'étape la plus importante du programme. gérer les expositions aux risques jugées inacceptables.

Programme d'AERC (suite) Extrants du programme Profil de risque (tableaux ou cartes de risques) Indicateurs de risques clés À plus long terme, optimisation du processus d'allocation du capital relié aux risques opérationnels

Programme d'AERC (suite) Rôles et responsabilités La fonction gestion du risque opérationnel coordonne et facilite la réalisation du programme d'AERC. Les secteurs d'affaires participent par leur expertise à déterminer et mesurer les risques ainsi qu'à évaluer les contrôles et leur efficacité. Ils développent et réalisent les plans d'action.

Il est important de déterminer Indicateurs de risques Permettent une gestion proactive des risques Représentent un outil de contrôle important Définition: élément d'information reflétant une évaluation, un constat ou des données permettant d'identifier ou prévoir un risque, sa tendance ou sa probabilité d'occurrence. Il est important de déterminer les bons indicateurs

Base de données Permet de recueillir et de documenter les événements ayant générés des pertes opérationnelles Permet d'évaluer les pertes opérationnelles de l'entreprise Permet de documenter les quasi-pertes ou les pertes évitées

Base de données (suite) Permet de documenter les lacunes opérationnelles Permet de modéliser les pertes opérationnelles Permet de développer des indicateurs clés Peut inclure des données de pertes opérationnelles externes

Divulgation, communication et reddition de compte La communication doit aller dans les 2 sens: Top-down: La direction fixe les limites de tolérance Bottom-up: Les gestionnaires et employés informent la direction des risques et des contrôles

Éléments clés pour implanter un cadre CONCLUSION Éléments clés pour implanter un cadre de gestion du risque opérationnel Adhésion de la haute direction Communication Rapport sur les risques Encadrement et politiques Temps requis: minimum 3 ans

QUESTIONS