1. Modélisa)on
des
risques
opéra)onnels
dans
le
cadre
de
Solvency
II
Ins)tut
des
Actuaires
&
S.A.C.E.I
Le
18
Septembre
2009
2. 2
1. Objectifs de la quantification des risques opérationnels
2. Définition du capital réglementaire selon Solvency II
3. Les deux approches de quantification des risques opérationnels
4. Limites et solution
5. Evaluation des risques à dire d’experts: une démarche pas à pas
– Profil de risque opérationnel d’une compagnie d’Assurance
– Deux types de risque opérationnels
– Etapes de l’analyse en scénarios
– Etapes de l’analyse des défaillances de processus
– Livrables de l’évaluation des risques à dire d’experts
6. Etude comparative des résultats en fonds propres
7. Approche statistique et approches mixtes
8. Exemples de situations de risque
– Pandémie
– Attaque virale
– Blanchiment d’argent
9. La gestion des risques opérationnels au sein du Groupe AXA
10. Le développement de modèles internes d’allocation de fonds propres au
risque opérationnel au sein du Groupe AXA
11. Conclusion
Contenu
3. July
2008
-‐
Group
Risk
Management
3
July
2008
-‐
Group
Risk
Management
3
Objectifs de Solvency II / Bâle II: protéger les institutions financières et le système financier dans son
ensemble contre des événements de risque catastrophiques, au travers:
– d’une identification et un suivi des risques les plus critiques
– de la mise en œuvre de dispositif de prévention et de protection
– d’une allocation de capital dédiée au risque opérationnel
L’exercice d’évaluation du risque opérationnel est donc une mesure de la résilience de l’organisation
face à la survenance de risques catastrophiques et permet de :
– connaître les risques auxquels elle est exposée
– définir le niveau de tolérance par rapport au risque en fonction des perspectives de croissance et de
rentabilité des activités
– améliorer les dispositifs de maîtrise des risques
– ajuster le périmètre du transfert de risques
L’évaluation des fonds propres peut se faire:
– selon une approche forfaitaire,
– à partir de modèles internes
Objectifs de la quantification des
risques opérationnels
4. 4
Selon Solvency II le capital réglementaire représente la perte maximale générée par le risque
opérationnel à l’horizon d’un an avec un niveau de confiance de 99,5%
Elle est évaluée au niveau de l’évènement unitaire au travers d’une composition de deux
distributions:
– une distribution de fréquences
– une distribution d’impacts
Quantile à 99.5 % de la distribution globale - médiane = montant de fonds propres
réglementaires à allouer à un risque opérationnel au niveau unitaire:
– les fonds propres représentent une réserve spécifique destinée à couvrir des pertes
inattendues
– la médiane correspond à la perte attendue peut être déduite de la perte inattendue pour
calculer les fonds propres
L’agrégation de l’ensemble des calculs de fonds propres au niveau unitaire représente la charge
en capital global
Cette agrégation peut tenir compte d’un effet de diversification
Défini&on
du
capital
réglementaire
selon
Solvency
II
Distribu&on
de
fréquence
Distribu&on
de
pertes
globale
Distribu&on
de
pertes
unitaires
5. Les approches de quantification des
risques opérationnels
Approche statistique:
- Collecter les pertes opérationnelles de l’entité par type de risque,
éventuellement à partir d’un seuil prédéfini (exemple 10 000 €)
- Puis créer une distribution de fréquences et d’impacts par couple
[type de risques/ligne métier]
- La Loss Distribution Approach (LDA) inscrite dans les textes de
Bâle II et a été documentée par le Groupement de Recherche
Opérationnelle du Crédit Lyonnais en 2003
Approche à dire d’expert:
- Obtenir une estimation à dire d’expert de la fréquence moyenne
devenant le paramètre de la distribution de fréquences
- Obtenir une estimation de l’impact d’un évènement unitaire dans
les cas typique (impact le plus courant) et extrême afin d’évaluer
les paramètres des distributions d’impacts
6. July
2008
-‐
Group
Risk
Management
6
July
2008
-‐
Group
Risk
Management
6
Approche statistique:
– Applicable aux évènements récurrents,
– Inopérante pour les évènements rares,
– Approche faisant l’hypothèse implicite que le passé permet d’expliquer l’avenir:
o fortement pénalisante en cas de survenance d’un évènement majeur,
o ne tient pas compte de l’amélioration des dispositifs de maitrise des risques,
o approche inopérante pour les évènements qui ne se sont jamais produit.
Approche à dire d’expert:
– Subjective en particulier pour l’estimation de la fréquence
– Difficile à justifier
– Des experts métier peu familiers avec l’univers des probabilités
La solution:
– Utiliser une méthodologie robuste d’évaluation des risques à dire d’expert pour les évènements
rares
– Documenter les évaluations d’expert
– Combiner données statistiques et données à dire d’expert pour les évènements courants.
Limites des deux approches
8. 8
Comité
Sujets
Transversaux
-‐
20
juillet
2009
Trois
types
d’exposi)on
au
risque
opéra)onnel
sont
à
considérer:
• Exposi)on
structurelle
à
l’échelle
de
l’entreprise:
– Fraude
externe
– Ressources
humaines
– Réglementa)on
– Clients
• Exposi)on
liée
aux
ac)vités
/
processus:
– Fraude
interne
– Interrup)on
d’ac)vité
– Technologie
– Exécu)on
• Exposi)on
organisa)onnelle
et
stratégique:
– Prestataires
– Ges)on
du
changement
Profil
de
risque
opéra)onnel
d’une
compagnie
d’assurance
en
France
9. Exposition à l’échelle de l’entreprise
– Un risque de fraude externe très élevé
– Un risque modéré de litige avec les collaborateurs et une faible dépendance par rapport aux
personnes clé
– Un environnement réglementaire relativement souple mais susceptible de devenir plus
contraignant dans le contexte de fusion ACAM – Commission bancaire
– Une exposition significative au risque d’attrition client
Exposition liée aux activités / processus
– Une exposition moyenne au risque de fraude interne
– Peu de processus réellement exposées au risque d’interruption d’activité
– Une exposition moyenne aux risques systèmes
– Une forte exposition à des risques d’exécution (leakage)
Exposition stratégique
– Une exposition forte aux risques liés aux tiers (réassureurs, prestataires
informatiques)
– Une exposition au risque de gestion du changement dépendant des cas individuels
Profil
de
risque
d’une
compagnie
d’assurance
en
France
10. 10
Cause
Défaillance de
processus
Types d’impact
Types d’impact
Défaillance de
processus
Types d’impact
Types d’impact
1
Risques déterminés par une défaillance de processus:
Risque déterminé par sa cause:
Deux types de risques opérationnels
Analyse en
Scénarios
Analyse en arbres
de défaillance
Cause Défaillance de
processus
Types d’impact
Types d’impactCause
2
Part du profil de risque à l’échelle de
l’entreprise, identifie les principales causes
de risque transversales et analyse les
conséquences de chaque cause pour
l’organisation sous forme de :
Perte de productivité,
Perte d’efficacité commerciale,
Augmentation des taux de d’erreur
d’exécution…
Non respect de délais…
Part d’une analyse de l’organisation pour
identifier le profil de risque des processus,
étudie les causes et les modes de
défaillance:
Organisationnelle,
Humaine
Système
Tiers
11. Etapes de l’analyse en scénarios
Classe 3
– Pandémie
– Grève
Classe 5
– Incendie
– Crue
Casse 6
– Défaillance réseau
– Attaque virale
Exemples de conséquences d’un
l’évènement sur l’organisation
Efficacité du PCA
Score basé sur les éléments
suivants:
Exhaustivité de la
couverture du PCA
(activités critiques)
Qualité de la coordination
des équipes
Qualité de la gestion de la
crise…
1. Actions correctrices
Activation du PCA
Réhabilitation des locaux
Location d’un site de remplacement
2. Allocation de ressources supplémentaires
Heures supplémentaires pour les
personnels critiques
Consultants & travail temporaire
3. Dégradation de la performance des
processus/ augmentation des taux de
défaillances
Erreurs d’exécution
Leakage
4. Pertes d’exploitation
Perte de clients existant en cas de
mauvaise gestion de la crise
Perte de chiffre d’Affaires (nouveau
clients)
Analyse de la robustesse
des dispositifs de maîtrise
des risques
Identification des actions
correctrices et défaillances
de processus associées
July
2008
-‐
Group
Risk
Management
11
Sélection des scénarios de
risques critiques correspondant
au profil de l’organisation
Exemples de scénarios
12. Etapes de l’analyse centrée sur les processus
Processus métier
Fonctions support
Distribution
Selon les facteurs de vulnérabilité de
l’organisation
Evénements
associés
Facteurs déclencheurs ou
révélateurs d’une défaillance
ex: sinistre, contrôle de
l’autorité de tutelle,…
Evènement générateur de perte:
variation adverse des marchés
financiers…,
1. Défaillance organisationnelle
processus mal conçus
processus inefficace
niveau de ressources inapproprié
2. Erreur humaine
compétences insuffisantes
encadrement insuffisant
incompétence/malveillance
3. Défaillance de système informatique
systèmes mal conçus
mauvaise maintenance
4. Défaillance de tiers
Erreurs, délais de livraison
Evènement catastrophe
Faillite
Identification des facteurs
déclencheurs & évènements
générateurs de pertes
Identification des
modes de défaillance
des processus clé
July
2008
-‐
Group
Risk
Management
12
Identification des
processus clé
Contribuant à la chaîne de
valeur de l’entreprise
13. Représentation graphique
Critères de
fréquence
Défail-
lances de
Processus
Types
d‘impact
Causes
potentielles
Critères
d‘impacts
• Approche homogène de
l‘évaluation des risques
• Méthode d‘évaluation
des critères de
fréquence et d‘impact
Histoire Analyse quantitative
• Elle représente une situation de
risque qui associe :
– une ou plusieurs causes
– avec une ou plusieurs
défaillances de processus
– aboutissant à un ou
plusieurs types d‘impacts
• Spécifique et non générique
• Focus sur l‘étude du scénario
extrême,
• Identification de l‘enchainement
de phénomènes qui conduit aux
scénarios extrêmes
• Facteurs de fréquence
o Evènement déclencheur
o Défaillance (Humaine de
l‘organisation, système
ou tiers)
o Evènement générateur
de perte
• Facteurs d‘impact
o Sanction réglementaire
o Perte de chiffre d‘affaire
o Pénalité financière...
Distribution de
fréquences
Distribution de pertes globale
Le risque en perspective
Description détaillée de la
survenance du risque
Distribution de
pertes unitaires
Livrables de l‘évaluation des risques
13
15. Approche statistique:
– Basée sur les évènements de pertes constatées
– Combinaison de deux distributions:
– une distribution de fréquences basée sur la loi de Poisson
– une distribution d’impacts basée sur une loi LogNormale et des lois alternatives en fonction de tests
d’adéquation (Weibull, Pareto)
Deux approches mixtes:
– Approche par intégration :
o la distribution à dire d’experts est considérée comme une distribution a priori
o elle va être progressivement corrigée par la distribution de pertes constatées
o si on a beaucoup de données statistique la distribution converge vers la LDA
– Approche par combinaison : deux distributions de pertes
o une distribution basée sur les évènements de pertes constatées,
o une distribution à dire d’experts,
o un paramètre de combinaison permet de régler la pondération de l’une des distribution par rapport à
l’autre
o approche plus équilibrée
Approche statistique et approche mixte
16. Pandémie
Janvier
2009
16
Exemples de situations de risque
Attaque virale
Blanchiment de
capitaux
20. Vue
d‘ensemble
de
la
ges)on
des
risques
opéra)onnels
du
Groupe
AXA
Evaluation top-down
Basée sur l’opinion d'experts des
lignes métiers
Approche pragmatique
Identification
Validation par le sénior
management local
Actions de réduction des
risques potentiels
Coordination avec d’autres
fonctions de pilotage des
risques et des contrôles
Mesure Management
Approche prospective
Destinée à tester la résilience de
l’organisation face à la
survenance de scénarios
catastrophe
Evaluation statistique
Calcul d’une Charge en capital au
niveau Groupe
Collecte des pertes dans les
entités
Impacts financiers, juridiques et
réputationnels
Plans d’actions et de gestion
des risques critiques avec les
instances de gouvernance
Evaluation des
risques
opérationnels
Collecte des
pertes
opérationnelles
&Réduction et transfert des
risques opérationnels
Calcul du capital
économique et réglementaire
Résultats
21. Développement
de
modèles
internes
au
sein
d’AXA
21
Un projet transversal:
– Animé par AXA Group
– 20 entités participantes dans 15 pays
Objectifs du projet:
– Conserver une avance significative en matière de pratique de gestion des risques (Notation du
dispositif de gestion des risques d’AXA "excellent " par les agences de rating),
– Etre force de proposition vis-à-vis des autorités de tutelle,
– Disposer d’une évaluation des risques homogène entre les différentes entités du groupe,
– Pouvoir justifier des évaluations qualitatives auprès d’auditeurs ou de régulateurs,
– Mieux connaître le profil de risque du groupe afin de mettre en œuvre des plans d’actions
adaptés,
– Optimiser la résilience de l’entreprise face à la survenance de risques majeurs.
22. Conclusion
Quantifier le risque opérationnel est non seulement possible mais nécessaire
La quantification des risques opérationnels à partir de conventions communes à
l’échelle d’un groupe permet :
– de s’assurer de l’homogénéité des approches et de la cohérence des résultats
– de pouvoir justifier de l’ensemble des hypothèses retenues vis-à-vis d’un auditeur ou d’un
régulateur,
– de réfléchir aux risques les plus critiques en fonction de leur plausibilité,
– d’évaluer la robustesse de l’organisation face à la survenance de "cygnes noirs",
– de mettre en œuvre des dispositifs de prévention et de protection cohérents par rapport aux
enjeux en terme de réduction des fonds propres,
– d’ajuster les couvertures d’assurance,
– de mettre en perspective le couple rendement / risque des activités.
23. A
propos
de
Metametris
23
Société de conseil spécialisée sur l’identification, l’évaluation, la maîtrise et le
transfert des risques opérationnels
Assistance au déploiement de projets d’évaluation des risques opérationnels et de
dispositifs de maîtrise des risques de grands établissements financiers:
– cartographies des risques
– analyse en scénarios
– assistance au déploiement de bases incidents
– insurance gap analysis
Editeur de la méthode d’évaluation des risques opérationnels ORMERA ®
(Operational Risk Modelling and Enterprise Resilience Analysis)
Editeur de la solution ORMERA ® Quant Objects, outil de calcul du capital
économique à allouer au risque opérationnel conçu en partenariat avec le spécialiste
de l’inférence bayésienne et de la programmation probabiliste Probayes SAS
www.probayes.com (une version d’évaluation d’ORMERA ® Quant Objects est
téléchargeable)