Caisse Nationale de Sécurité Sociale Gestion de Risques 12-13 Octobre 2009

Qu’est ce que la gestion de risque? La gestion de rique La gestion du risque est, à l'évidence, un des éléments les plus fondamentaux du gouvernement d'entreprise de toute organisation. Les institutions de sécurité sociale, qu'elles appartiennent au secteur public ou au secteur privé, doivent gérer des risques particulièrement élevés La première question qu'il faudrait poser est: "qu'est-ce que le risque"? Une définition générale du risque, pourrait être la suivante: "la possibilité de voir surgir un problème qui aura des conséquences funestes, portera atteinte aux projets de l'institution ou rendra plus improbable l'accomplissement de ses objectifs" la gestion du risque devrait consister à identifier, mesurer, maîtriser ou minimaliser les risques dans les systèmes et les processus concernés et ce, à un niveau conforme à "l'appétit pour le risque" de l'organisation ou à sa capacité à absorber le risque, à le maîtriser ou à en accepter les conséquences Une fois effectués les processus d'identification et d'évaluation, l'étape suivante consiste à établir un plan de gestion du risque qu'est-ce que le risque? Qu’est ce que la gestion de risque? 2

Management des risques : Deux facteurs conditionnent la survie d’une entreprise: Sa rentabilité: exigence de survie à long terme. (E) Sa solvabilité: exigence de survie à court terme.(var) “ Nous ne sommes pas des pompiers, mais ceux qui tentent d’éviter l’incendie ” Il ya essentiellement trois méthode de traitement de risque: La prévention: vise à diminuer ou annuler la probabilité du survenance d’un sinistre (sprinkler qui inonde un premier feu) La réduction: vise lorsqu’un sinistre s’est produit, à en diminuer l’ampleur ( porte pare-feu qui mettent à l’abri une partie du bâtiment). Le transfert: vise à reporter le risque sur un tiers. (un contrat d’assurance, garantie financière, cautionnement ou ligne de crédit) Le management des risques a pour finalité de :  Contribuer à définir de manière plus pertinente les différents objectifs du projet (en terme de délais, de coûts et de spécifications techniques), grâce à l’accroissement et à l’amélioration de la qualité des informations. Conduire à une meilleure maîtrise du projet, en ajustant son déroulement aux diverses évolutions de son environnement et en organisant la réactivité face aux divers événements susceptibles de se produire. Accroître les chances de succès du projet, grâce à une meilleure compréhension et identification des risques encourus et une meilleure définition des actions visant à s’en prémunir. Communiquer et informer les divers acteurs du niveau d’exposition aux risques du projet. Fournir une meilleure connaissance du projet et faciliter ainsi la prise de décision et la définition des priorités. Risque positif: Améliore la marge ou la valeur ajoutée net du projet Risque négatif: Dégrade la marge ou diminue la valeur ajoutée net du projet Les risques sont constitués de : aléas : Statistiquement prévisible et pouvant être modélisés par les lois de probabilité. incertitudes : Pas ou peu de données donc non modélisable. Exemple du projet « aller au travail » : En allant au travail, le matin un pneu de la voiture éclate. C’est le risque.

La gestion de rique Tolérer: Le risque a été détecté et peut être surveillé de manière satisfaisante et, après analyse appropriée, il est décidé que le risque est acceptable et qu'il ne serait pas rentable de prendre des mesures supplémentaires de contrôle du risque. Supprimer: Eliminer le risque par des mesures de contrôle, par exemple en mettant fin à un certain type d'activité, en modifiant un droit à prestation, en cessant d'offrir une garantie ou en vendant un élément d'actif. Transférer: Déplacer contractuellement le risque d'une partie vers une autre, par exemple, par un accord juridique ou au moyen d'un contrat d'assurance ou de réassurance. Transformer: Maîtriser le risque en modifiant sa nature en vue de l'atténuer ou de le rendre plus intrinsèquement gérable, par exemple, en appariant des risques qui s'annulent réciproquement (notamment par la gestion de l'actif et du passif) ou en concluant des contrats qui prémunissent contre le risque: contrats à terme, crédits croisés, positions couvertes ou contrats d'assurance ou de réassurance. Exemple typique de gestion 4

Démarche de management des risques

Identifier et analyser les risques Des critères qui permettent de classifier et d’analyser les risques : Détectables ou indétectables Risques choisis ou subis Impact majeur du risque: budget planning coût du produit Performance de la ligne Exemple Contrôlabilité : projet partir en vacances à la réunion. Origine du risque : Client, environnement, équipe locale, Hager, fournisseur

Hiérarchiser et évaluer les risques Des critères qui permettent de mesurer les risques : Gravité : Faible, normal, Important, niveau projet Grave. niveau entreprise. Probabilité d’occurrence : Rare, < 20% probable, 50% certain. > 80% Impact = Gravité * Fréquence Mise en place d’une fiche de risque O

Hiérarchiser les risques Impact = Gravité * Fréquence Risques à prévenir Risques intolérables * Le travail précédent peut facilement faire ressortir une centaine voire plusieurs centaines de risques. Avant d’évaluer de manière quantitative les risques, on va les évaluer et les classer de manière qualitative ou intuitive suivant les critères de gravité et de Probabilité d’occurrence. * La classification est faite en accord avec la politique de l’entreprise et dépend fortement de celle-ci. L’intérêt de faire cette analyse qualitative est de garder une vision globale des risques du projet et de ne pas tomber dans le pointillisme, source de perte de temps. Mise en place de plan d’actions pour les risques hors évaluation statistique: Risques négligeables: ils seront gardés en mémoire au niveau de l’équipe projet mais ils ne nécessitent pas d’action spécifique. Risques à prévenir: l’objectif est de diminuer la probabilité d’occurrence. La prévention par la prise de conscience, la diffusion de l’information et la suppression des causes est le meilleur choix. Le coût de ces actions est généralement faible surtout au démarrage du projet. Risques à assurer : nous sommes ici clairement dans le domaine de l’assurance. Typiquement les assurances couvrant les cas de force majeur (incendie, guerre, un bateau coulé, …) Risques intolérables : A éliminer absolument, pouvant remettre en cause le projet. Il faut les externaliser (clauses contractuelles vis à vis de son client ou de ses fournisseurs/partenaires, assurances financières (ex.: risque de change : achat à terme, la faillite du client : crédit documentaire, provisionner entièrement). Il faut ajouter que le transfert contractuel n’élimine pas complètement le risque. Si on sous-traite un risque technique important, que le fournisseur à terme s’aperçoit de son incapacité à le résoudre, le risque revient vers l’entreprise avec un facteur multiplicatif! Un suivi de ce partenaire est important. Risques à assurer Risques négligeables

Mise en place des plans d’actions Impact = Gravité * Fréquence Il faut d’abord jouer sur la fréquence puis sur la gravité. Gravité = protection IMPACT Fréquence = Prévention Après l’estimation de chaque risque, il est indispensable de mettre en place un plan d’action par risque. On retrouve  Fréquence Mise en place d’actions de prévention fondées sur la communication et la prise de conscience. Prise de décision technique ou étude approfondie du risque. Analyse d’expert. Le coût de ses actions sont généralement faibles.  Gravité Mise en place de précautions ou d’actions préventives pour limiter la gravité du risque. Anticipation par prise de décision ou changement de solution technique. Assurer les conséquences du risque. Externaliser le risque en utilisant des clauses contractuelles vis à vis de son client ou de ses fournisseurs/partenaire ou en utilisant des assurances financières. Ces solutions ont souvent un impact non négligeable sur le budget, le planning ou la qualité. Pour la capitalisation, il est important de suivre le dossier des risques tout le long du projet. Il est alors indispensable d’avoir : 1 risque = 1 responsable

Suivi et contrôle des risques Revue des plans d’actions lors des réunions hebdos Evaluation du taux de couverture pour chaque risque : Pas de plan d’action 0% Définition du plan d’action 25% Mise en œuvre du plan d’action 50% Plan d’action bien avancée 75% Plan d’action finalisé 100% Calcul du taux de risque du projet :  (gravité*fréquence * taux de couverture ) / nombre de risques Mise à jour du fichier mensuellement 0

Les avantages du management des risques Les avantages du management des risques sont : Meilleure maîtrise des objectifs La hiérarchisation permet de concentrer ses efforts Réflexion collective Culture de gestion du risque Amélioration de la communication et de la concertation La méthodologie de management des risques présentent les avantages suivants :  Elle conduit à une meilleure maîtrise des objectifs de spécifications techniques, de coûts et/ou de délais d’un projet grâce à l’analyse systématique et/ou à l’évaluation des risques susceptibles de conduire à leur dégradation ou à leur remise en cause. Meilleur utilisation des forces de l’agent ou des acteurs extérieurs à l’entreprise. Travail en partenariat. Elle permet une hiérarchisation des risques et de ne pas tous les traiter de manière homogène. Elle permet également de concentrer ses efforts sur les points sensibles du projet Elle favorise la mise en commun d’expériences, l’accumulation de connaissances et la constitution de bases historiques. Elle constitue un effort intéressant de réflexion collective et est utilisée comme support d’animation de groupes d’experts. Elle souligne l’importance du développement d’une culture de gestion du risque. Elle contribue à l’amélioration de la communication et à la concertation entre les différents acteurs du projet sur les travaux à réaliser.

Classification des événements générateurs de risques Fraude interne Fraude externe Pratiques en matière d’emploi et sécurité sur le lieu de travail Clients, produits et pratiques commerciales Dommages aux actifs corporels Interruptions d’activités et dysfonctionnements des systèmes Exécution, livraison et gestion des processus

Cartographie des risques opérationnels - Méthodologie Les risques opérationnels inhérents aux processus Mesure du risque (impact) Qualité de l’environnement de contrôle Indicateurs d’alerte Hiérarchisation et reporting Plan d’action / diminution du niveau de risque

Apports de la cartographie La cartographie apporte les éléments suivants : Inventaire des risques par processus : vision globale sur une chaîne de traitement et risques potentiels tout au long du processus Risques liés au pilotage des flux entre les entités Mesure quantitative du risque : Hiérarchisation Qualité des dispositifs de contrôle de chaque événement de risque Référentiels de contrôle cibles Dispositifs de contrôles existants Évaluation de la qualité des dispositifs existants selon deux axes : Pertinence : conception du contrôle Réalité :les dispositifs de contrôle existants sont-ils réellement appliqués : Chaque contrôle fonctionne-il conformément à ce qui est prévu ? Chaque contrôle est-il appliqué régulièrement tout au long de l’année ? Grille d’audit

Les risques opérationnels - Définition "Les risques opérationnels se définissent comme les risques de pertes résultant de l'inadaptation ou de la défaillance de procédures, de personnes ou de systèmes internes ou résultant d'événements extérieurs" Fraude des employés Absences / Mouvements sociaux Compétences… Conformité des opérations Erreurs manuelles… Fraude externe Catastrophes Réglementation… Pannes / défaillances des systèmes… Personnes Processus Risque opérationnel Systèmes Événements extérieurs

La gestion de risque Le risque perationel Défaillance du système informatique. Erreurs dans la tenue des documents. Défaut de déclaration des revenus et de paiements des cotisations par les membres/les employeurs. Déclaration de revenus inférieurs aux revenus réels par les employeurs/employés. Transmission tardive des cotisations déduites par les employeurs. Risque moral - des employeurs ou des employés exerçant des options contre le régime. Effectif insuffisant pour maintenir l'activité de manière satisfaisante, notamment suite à des problèmes d'embauche ou à des salaires non concurrentiels. Pénurie de compétences parmi les actifs ou formation et formation continue inadaptées. Faiblesse de la gestion. Grèves et autres troubles sociaux. Incidences du SIDA ou d’autres épidémies (H1N1) sur le personnel de l’institution. Incendie, tremblement de terre, ouragan ou inondation affectant les bâtiments du siège social. Corruption. Piratage de la base de données informatique principale. Non-exécution d'un élément de la législation. Non notification aux assurés d'un changement imminent de la couverture ou du niveau des prestations dues. Dettes fiscales inattendues. Litiges concernant les décisions d'octroi du statut d'incapacité. Absence de contrôles des risques auxquels sont exposées les autorités déléguées. Mauvaise gestion du risque. 16

La gestion de rique l'éventail des risques liés à un système de sécurité sociale: Risque de longévité - le risque que les retraités aient à l'avenir une durée de vie plus longue que par le passé. Risque de vieillissement de la population - le risque qu’une population de bénéficiaires toujours croissante, avec des niveaux de prestations atteignant régulièrement leur régime de croisière, soit financée par un nombre d’adhérents égal ou en baisse dans la population active. Risque d'inflation - le risque que l'inflation amoindrisse la valeur des prestations ou qu'il devienne trop coûteux de respecter l'engagement d'adapter les prestations au rythme de l'inflation. Risque de retraite pour incapacité ou problèmes de santé - le risque d'accorder prématurément des montants élevés de retraite à des personnes qui ont droit à des pensions pour incapacité ou problèmes de santé. Risques de structures incitatives déficientes - la structure des prestations du régime peut encourager les départs en préretraite ou inciter à déclarer des revenus inférieurs aux revenus réels. Les employeurs peuvent être incités à déclarer des demandes de prestations d’accident du travail comme demandes de prestations d’incapacité et se livrer à d’autres formes de fausses déclarations. Risque lié aux dépenses - le risque de dépenses administratives excessives. Il peut résulter d’une productivité insuffisante, d’une gestion inefficace, d’un manque de contrôle financier ou de versements, pensions et autres prestations trop généreux accordés au personnel. Risque législatif ou réglementaire - le risque que les règles qui régissent le fonctionnement du système soient modifiées par des mesures législatives ou par des décisions de l'organe de réglementation. 17

La gestion de risque l'éventail des risques liés à un système de soins de santé: Risque du vieillissement démographique - le risque de voir les coûts unitaires croître rapidement en raison du vieillissement de la population bénéficiaire. Risque lié aux dépenses médicales - le risque d'un gonflement excessif des dépenses pour les soins médicaux à cause de facteurs comme l'augmentation du prix des médicaments et autres produits pharmaceutiques, les améliorations de la technologie existante et la rareté des professionnels spécialisés. Risque d'obsolescence - le risque que les hôpitaux et cliniques deviennent obsolètes et que leur modernisation ou leur remplacement nécessite de lourds investissements. Risque d'épidémie - le risque de voir une vaste épidémie, telle que le VIH et le SIDA, H1N1, menacer d'engloutir les ressources disponibles. Risque de prévalence - accélération systémique de la prévalence de certaines affections, entraînant des coûts considérables pour le système de soins de santé. Risque moral - risque de voir rejoindre le système, des membres qui sont plus susceptibles que la moyenne de faire valoir des droits, suite à l'accès non limité ou à l'application inexistante ou insuffisante de mécanismes de contrôle du risque similaires à ceux appliqués dans le secteur privé (examens médicaux, périodes d'attente, exclusions, etc.); concerne également le risque d'un recours excessif au système suite à l'absence de ticket modérateur pour le traitement, la consultation du médecin, etc. 18

Recommandations maîtrise des risques 1 Recommandations maîtrise des risques Pilotage des analyses de consommation de soins par une entité non opérationnelle Mise en place d'un système de veille des médecins conventionnés Maîtrise des risques Renforcement de l'équipe de contrôle interne Intensification des contrôles médicaux 19

Recommandations Axe : maîtrise des risques Mise en place d'un système de veille des médecins conventionnés Pilotage des analyses de consommation de soins Approche des risques d'abus et de fraudes Elaboration de normes de consommation de soins Projet transversal de mise en place d'un système de veille des médecins conventionnés Objectif de généralisation des contrôles médicaux physiques sur les cas d'hospitalisation Renforcement de l'équipe de contrôle interne Suivi des indicateurs de contrôles médicaux en comité fréquence par nature et par enjeu retour des cas de fraudes éventuels détectés Organisation de la filière médicale en perspective Risques de coordination sur la production à prévenir Mission d'inspection médicale à envisager Renforcement des contrôles médicaux Renforcement de l'équipe de contrôle interne Pilotage des analyses de consommation de soins par une entité non opérationnelle 20

Merci pour votre attention 26/03/2017 Merci pour votre attention