Lexique | hpm-conseils

Analyse des risques

Démarche d’audit visant à recenser les risques et les sources potentielles d’anomalies concernant le « produit » / « service » audité.

Analyse qualitative

Analyse des causes, contrôles, effets et facteurs de quantification des incidents potentiels recensés dans le cadre de l’évaluation des risques opérationnels.

Analyse quantitative

Détermination de la fréquence et de la sévérité du cas vraisemblable (likely case) et du pire des cas (worst case) dans le cadre de l’évaluation des risques opérationnels.

Appétence pour le risque (risk appetite)

L’appétence d’une entité pour le risque est le reflet de son approche du management des risques . Elle influence sa culture et son style de management . La définition de la stratégie doit tenir compte et rester cohérente avec l’appétence pour le risque. L’appétence pour le risque de l’entité est un point de repère dans le cadre de la détermination de la stratégie. Elle guide l’affectation des ressources. Elle permet la mise en adéquation de l’organisation, des hommes, des processus et de l’infrastructure de l’organisation.

Archivage

Conservation d’informations pendant une durée déterminée en vue d’une éventuelle consultation ultérieure.

Assurance

Technique qui permet de transférer un risque moyennant le paiement d’une prime à un tiers qui accepte, en contrepartie, de prendre ce risque à sa charge. En matière de finance, prendre une « option » revient à prendre une assurance.

Assurance raisonnable

Concept selon lequel le dispositif de management des risques , aussi clairement défini est appliqué soit-il dans l’organisation, ne peut garantir l’atteinte systématique des objectifs en raison de ses limites inhérentes.

Audit d’efficacité (ou audit de performance)

Opinion sur la qualité des procédures. Le référentiel devient une abstraction, résultante de l’appréciation de l’auditeur.

Audit de management

Évaluation de la mise en oeuvre sur le terrain des politiques et stratégies de l’entreprise.

Audit de régularité (ou audit de conformité)

Vérification de la bonne application des règles et procédures de l’entreprise.

Audit de stratégie

Évaluation de la cohérence globale des politiques et stratégies d’entreprise

avec l’environnement de l’entreprise.

Audit interne

Le service d’audit interne a la responsabilité d’évaluer le fonctionnement du dispositif de contrôle interne et de faire toutes les préconisations pour l’améliorer, dans le champ couvert par ses missions.

Back-up

Existence d’une solution de repli en cas d’indisponibilité de la personne ou du système en charge du contrôle.

BCM (Business Continuity Management)

Ensemble des solutions permettant d’assurer la continuité des activités critiques d’une entreprise.

BCP (Business Continuity Program)

Processus continu de gestion et de gouvernance soutenu par la direction de l’entreprise et qui dispose des moyens adéquats pour garantir, en cas de survenance d’un incident, la continuité des activités à un niveau de performance conforme à ce qui a été défini. Ce processus conduit à passer par différentes étapes, et en particulier : l’identification des impacts, l’expression des besoins en continuité, la définition et la maintenance des stratégies et des plans de secours, la réalisation d’exercices.

BIA (Business Impact Analysis)

Étude qualitative et quantitative des impacts et des pertes pouvant résulter d’un incident majeur. Elle est complétée par une analyse des risques que des menaces avérées ou potentielles font peser sur l’entreprise.

Blanchiment de capitaux

Processus qui consiste à injecter de l’argent d’origine criminelle dans les circuits réels ou fictifs d’une activité en apparence respectable afin d’en dissimuler l’origine.

Cartographie des processus

Représentation de l’entreprise à travers les liens entre ces différents processus métiers, de pilotage et supports.

Cartographie des risques opérationnels

Outil indispensable de gestion des risques opérationnels dont la responsabilité et la mise à jour sont confiées au management opérationnel des entités/business unit. Processus dynamique et adapté à l’activité, à ses évolutions et au niveau de tolérance au risque que les entités ont défini (concept de risk tolerance). La cartographie des risques opérationnels constituée doit permettre de :

disposer d’une première vision macro des principales zones de risque d’une entité, par processus, grand domaine fonctionnel ou nature de risque ; mettre en regard de ces risques le dispositif de contrôle au sens large (principes organisationnels, procédures, contrôles…) et juger de son efficacité en fonction de la tolérance au risque de l’entreprise ;
fournir un outil de suivi dynamique du profil de risque de l’entreprise ;
définir les actions de prévention et de correction des risques et assurer le suivi de leur mise en œuvre.

Les grandes étapes de la cartographie des risques sont :

L’analyse des risques sous-jacents, dont l’objet est de mettre en lumière les principales zones d’exposition récurrente au risque, par grand type d’événement et d’obligations réglementaires.
L’analyse du dispositif de contrôle, qui vise à évaluer la qualité des mesures mises en place afin de réduire le niveau de risque sous-jacent.
L’analyse d’indicateurs dynamiques de risques, qui doivent permettre d’évaluer les distorsions, existantes ou à venir, par rapport aux situations évaluées lors des étapes précédentes.

Cas vraisemblable (likely case)

Cas le plus fréquent de l’incident potentiel de risque opérationnel. Il représente la situation que l’on rencontrera le plus couramment lorsque l’incident potentiel se produira.

Catégorie d’objectifs

L’une des quatre catégories d’objectifs d’une organisation, à savoir : l’atteinte des objectifs stratégiques ; la réalisation et l’optimisation des opérations ; la fiabilité des reportings ; la conformité aux lois et règlements applicables. Ces catégories se recoupent. Ainsi un objectif donné peut appartenir à plusieurs catégories.

Cause

Le ou les facteurs internes ou externes à l’entreprise qui sont à l’origine d’événements avérés ou potentiels de pertes. L’étude et la résolution des causes permettent de diminuer la fréquence d’occurrence des événements et la sévérité de leurs impacts lorsqu’ils surviennent.

Comité d’audit

Groupe de travail issu de l’organe de contrôle d’une société (le conseil d’administration ou le conseil de surveillance) chargé de surveiller la gestion confiée au dirigeant (le directeur général ou le directoire). Il est souvent chargé d’analyser les comptes et le dispositif de contrôle arrêtés par le dirigeant.

Commissaire aux comptes

Personne habilitée par la loi à vérifier la régularité, la sincérité et l’image fidèle des comptes en certifiant les documents comptables.

Confidentialité (C)

Propriété qui assure la tenue secrète des données d’un système d’information avec accès aux seules entités autorisées.

Contrefaçon

Reproduction à l’identique. Elle consiste à refabriquer entièrement un support non authentique, différent de l’original qui contient des signes de sécurité. Les éléments de sécurité peuvent être imités, mais les faux sont assez aisément repérables pour les initiés de base. Aux yeux de la loi, la contrefaçon constitue un délit.

Contrôle

« Vérification de la conformité des opérations et des processus à une ou à des normes ou règles ainsi que de la bonne mise en œuvre des procédures internes ». Le contrôle consiste en une vérification qui peut être le résultat d’un processus automatisé ou non réalisé préalablement à l’exécution de l’opération ou du processus (contrôle a priori, permettant d’éviter la matérialisation d’un risque ou un incident) ou postérieurement (contrôle a posteriori, permettant de limiter, voire d’annihiler, l’impact d’un incident). La mise en place d’un contrôle découle de l’identification et de l’analyse en profondeur d’un risque, de ses causes et de ses effets. Les contrôles sont mis en place pour assurer que les opérations ou les processus sont conformes aux standards, règlements ou procédures internes. Les principaux objectifs des contrôles sont :

la prévention ou la mitigation d’un risque est prise en compte conformément à la tolérance au risque de l’entité ;
la prévention d’un risque ou la limitation de son impact en le détectant précocement ;
le positionnement de chaque contrôle au meilleur endroit du processus ;
l’organisation du contrôle de façon formelle et décrite en détail dans une procédure, démontrant l’existence d’un dispositif formalisé de mitigation du risque.

Un contrôle est forcément lié à un risque quelle qu’en soit la nature. Un contrôle doit être proportionné au risque considéré et à la tolérance au risque définie par l’entité. Les contrôles doivent être : en adéquation avec les plans de contrôle définis par les responsables opérationnels et fonctionnels ; adaptés à leur environnement ; décrits dans des procédures.

Contrôle et preuves (P)

Faculté de vérifier le bon déroulement d’une fonction d’un système d’information . Non-répudiation : impossibilité pour une entité de nier avoir reçu ou émis un message.

Contrôle de troisième niveau

Contrôles exercés par l’audit interne. On parle de contrôle périodique.

Contrôle interne

Dispositif de l’entreprise défini et mis en œuvre sous sa responsabilité qui vise à assurer :

la conformité aux lois et règlements ;
l’application des instructions et des orientations fixées par la direction générale ou le directoire ;
le bon fonctionnement des processus internes de la société, notamment ceux concourant à la sauvegarde de ses actifs ;
la fiabilité des informations financières et, d’une façon générale, qui contribue à la maîtrise de ses activités, à l’efficacité de ses opérations et à l’utilisation efficiente de ses ressources.

En contribuant à prévenir et maîtriser les risques de ne pas atteindre les objectifs que s’est fixés la société, le dispositif de contrôle interne joue un rôle clé dans la conduite et le pilotage de ses différentes activités. Toutefois, le contrôle interne ne peut fournir une garantie absolue que les objectifs de la société seront atteints. Le contrôle interne est donc un processus mis en œuvre par le conseil d’administration ou le conseil de surveillance, les dirigeants et le personnel d’une organisation qui est destiné à fournir une assurance raisonnable quant à la réalisation d’objectifs.

Les grands principes du contrôle interne :

Le contrôle interne est un processus ; il est assuré par des personnes et il est l’affaire de tous.
Le contrôle interne ne peut fournir qu’une assurance raisonnable.
Le contrôle interne est adapté à la réalisation d’objectifs. Le contrôle interne est complété par le contrôle externe (régulateurs, commissaires aux comptes …).

Contrôle majeur (ou contrôle clé)

Un contrôle sera dit « majeur » s’il couvre un risque majeur, c’est-à-dire un risque dont la matérialisation aurait un effet important sur les résultats, les actifs ou la réputation de l’entreprise ou de l’une de ses entités. Les contrôles permettent de répondre à un risque sous-jacent évalué lors de l’exercice de cartographie des risques .

Contrôle périodique

Il est assuré par l’audit interne qui conduit des missions d’investigation dans tout domaine, résultant soit du plan d’audit, soit d’une demande de la direction générale ou d’un responsable opérationnel ou fonctionnel, soit de son autosaisine ; qui évalue le dispositif de contrôle permanent du groupe ; qui évalue la bonne mise en œuvre des stratégies définies par le groupe ; plus généralement, qui formule toute recommandation permettant d’améliorer le fonctionnement de l’entreprise

Contrôle permanent

Contrôle au quotidien réalisé par les opérationnels et leur hiérarchie dans le cadre du traitement des opérations ; par le contrôle interne (deuxième niveau), la gestion des risques et le contrôle de la conformité.

Contrôler

Verbe désignant l’action de réguler, d’établir ou mettre en place une politique qui génère un ou plusieurs contrôles.

Contrôles de premier niveau

Autocontrôles exercés par les opérationnels sur leurs opérations/Transactions :

Les contrôles indépendants : contrôles exercés par d’autres opérationnels (middle office et back office , contrôles croisés…).
Les contrôles hiérarchiques : contrôles exercés par la hiérarchie.

Les contrôles de premier niveau relèvent du contrôle permanent. Ils sont du ressort des directions opérationnelles, commerciales et financières. Ils font partie intégrante des procédures des directions concernées. Ils sont constitués de bonnes pratiques, d’autorisations préparées (tiers, opérations, ressources, conditions…) et d’autocontrôles sélectionnés pour assurer à eux seuls la bonne régularité et la bonne fin des opérations. Ils sont effectués et documentés systématiquement et au fil de l’eau par les collaborateurs dans le cadre de leur travail et par certains collaborateurs à qui la hiérarchie peut les déléguer. Ces contrôles peuvent s’appuyer sur les applications de traitement, grâce notamment aux éléments de sécurité logique (profils utilisateurs, gestion des droits…). La hiérarchie assure le management opérationnel des contrôles de premier niveau (analyse de risque, proposition de contrôles de premier niveau, documentation des procédures, recherche des validations nécessaires, attribution/formation /surveillance des contrôles de premier niveau, enregistrement et analyse des incidents, exploitation des reportings des risques et de contrôle de second et troisième niveaux). Ce dispositif de premier niveau doit s’ajuster en fonction de l’organisation, de l’activité et de la stratégie de l’entreprise.

Contrôles de deuxième niveau

Ce sont les contrôles exercés par des fonctions de contrôle permanent indépendantes des entités. Ils permettent de vérifier la conformité, la sécurité et la validation des opérations réalisées ainsi que le respect des autres diligences liées à la surveillance des risques de toute nature qui leur sont associés. Ces contrôles portent sur l’ensemble des directions opérationnelles, commerciales et financières. Le seuil et la fréquence de ces contrôles de second niveau sont fondés sur une évaluation des risques et ajustés aux moyens de contrôle à disposition. Le plan de contrôle annuel est présenté aux organes de gouvernance de l’entreprise. Les contrôles sont effectués au travers d’investigations indépendantes, à l’aide d’outils spécifiques si nécessaire, portant :

Soit sur les procédures (vérification par sondage de l’application des contrôles de premier niveau prévus aux procédures), dans le cadre de programmes de contrôles déterminés ou dans celui de revues plus globales aboutissant à un rapport sur telle ou telle activité. L’objectif est de tenir à disposition des managers opérationnels, de la direction et de la gouvernance une photo d’ensemble du fonctionnement du dispositif de contrôle interne .
Soit sur les opérations elles-mêmes (analyse de la nature et des conditions de réalisation de certaines opérations), au fil de l’eau ou dans le cadre de l’analyse d’alertes développées au sein du dispositif de contrôle interne ou d’enquêtes appropriées à la compréhension d’incidents éventuels, à leur remédiation et à leur suivi. Le contrôle de deuxième niveau peut prendre la forme d’un « deuxième regard » sur des opérations, transactions et activités. Ce « deuxième regard » permet à la fonction qui l’exerce d’« escalader », si nécessaire, les décisions à un niveau supérieur de l’organisation.

Contrôles de troisième niveau

Ce sont les contrôles exercés par l’audit interne.

COSO

Committee of Sponsoring Organizations of the Treadway Commission.

Criticité d’un risque

Produit de la fréquence par la sévérité. Elle correspond à l’espérance mathématique de la gravité. La criticité d’un risque est donc un indicateur de l’acuité du risque.

Criticité des contrôles

Elle se fait sur une échelle de 1 à 3 de façon cohérente avec l’évaluation des risques correspondants. Pour les contrôles de premier niveau : on aura une distinction majeur/non majeur. Pour les contrôles de deuxième niveau, on appliquera cette notion de criticité du contrôle selon une échelle de 1 à 3 (élevé, moyen, faible).

Crise

Situation caractérisée par son instabilité qui remet en cause le fonctionnement normal d’une organisation et qui oblige à adopter une gouvernance spécifique dite de gestion de crise pour revenir au mode normal.

Critique

Niveau d’un risque qui entraînerait des pertes financières, commerciales et organisationnelles importantes, voire inacceptables, ou des préjudices majeurs d’ordre judiciaire, et qui obligerait à prévoir des mesures de sécurité.

Culture du risque

Attitudes et croyances partagées caractérisant la perception du risque au sein des activités d’une entreprise. Elle est le reflet des valeurs de l’entité. Elle influence sa culture au sens large et son style de management . Elle impacte la façon dont les éléments du management des risques sont mis en oeuvre. Elle impacte également la manière dont les événements sont identifiés, le type de risques qui sont acceptés et la façon dont ils sont gérés. Elle doit être déployée et comprise, et bénéficier de l’adhésion de tous les collaborateurs de l’organisation. Elle transparaît dans les politiques, les communications orales et écrites, ainsi que dans le processus de prise de décision. Le management véhicule cette culture non seulement par ses paroles mais également par ses actions quotidiennes. Attitudes et croyances partagées par la direction d’une entreprise caractérisant sa stratégie.

Défaillance de processus

Rupture ou défaut dans les chaînes de traitement ou dans les enchaînements d’activités ayant pour conséquence la non-réalisation de l’objectif attendu.

Degré d’automatisation

Caractère plus ou moins automatisé d’un contrôle, en général via une solution informatique ; l’automatisation peut être complète ou partielle.

Délégation de pouvoir

Signifie que la direction générale abandonne le contrôle de certaines décisions à des niveaux hiérarchiques inférieurs, c’est-à-dire aux personnes plus directement impliquées dans les transactions quotidiennes. La délégation de pouvoirs fixe la mesure dans laquelle les individus et les équipes sont autorisés et encouragés à faire preuve d’initiative afin de résoudre certaines questions ou problèmes. Par ailleurs, elle permet de définir les limites du pouvoir délégué. Ces délégations déterminent les relations hiérarchiques et les protocoles d’autorisation. Les politiques décrivent les pratiques professionnelles appropriées, le savoir-faire et l’expérience des collaborateurs clés ainsi que les ressources nécessaires. Les individus savent de quelle manière leurs actions sont liées les unes aux autres et contribuent à l’atteinte des objectifs.

Développement durable

Développement qui répond aux besoins du présent sans compromettre la capacité des générations futures de répondre aux leurs. Deux concepts sont inhérents à cette notion : le concept de besoins, et plus particulièrement des besoins essentiels des plus démunis, à qui il convient d’accorder la plus grande priorité, et l’idée des limitations que l’état de nos techniques et de notre organisation sociale impose sur la capacité de l’environnement à répondre aux besoins actuels et à venir.

Disponibilité (D)

Aptitude des systèmes d’information à remplir une fonction dans des conditions prédéfinies d’horaires, de délais et de performances.

Dispositif de maîtrise des risques (DMR)

Réponses prudentielle (limites d’activités), organisationnelles, de procédures et de systèmes visant à réduire un risque.

Données historiques (historical data)

Elles regroupent les incidents avérés de risque opérationnel qu’ils soient internes ou externes. Elles constituent l’un des piliers de l’infrastructure de gestion du risque opérationnel. L’analyse de leurs causes et effets doit permettre de prendre des mesures correctrices, avec l’objectif d’améliorer et de sécuriser les processus.

Données prospectives (forward looking)

Ce sont des informations sur l’exposition aux événements et risques potentiels.

Échantillon

Petite quantité d’une marchandise ou de toute autre chose, destinée à faire apprécier le tout. L’échantillon est donc une fraction représentative d’un certain type de population. L’échantillonnage est réalisé pour des raisons de coûts ou de délais. L’objectif est alors de construire un échantillon tel que les observations pourront être généralisées à l’ensemble de la population. Deux méthodes pour constituer un échantillon :

Méthode probabiliste : sélection de l’échantillon par tirage aléatoire dans la population-mère. Chaque individu statistique doit avoir exactement la même chance que les autres de participer à l’enquête.
Méthode non probabiliste : identifier dans la population mère, quelques critères de répartition significatifs puis essayer de respecter cette répartition dans l’échantillon d’individus interrogés.

Effectif

Se dit d’un contrôle, conçu et maintenu.

Effet

Conséquence d’un événement de risque opérationnel, se matérialisant par un impact financier (perte, gain, manque à gagner).

Efficacité d’un contrôle

Capacité à maîtriser un risque (en limiter sa survenance et/ou ses effets). Les deux principaux facteurs de mesure de cette efficacité sont son adéquation au risque du contrôle (ses caractéristiques permettent-elles de maîtriser le risque ?) et la qualité de sa mise en œuvre (le contrôle est-il exécuté conformément à la procédure qui le définit ?).

Environnement de contrôle

Environnement dans lequel les personnes accomplissent leurs tâches et assument leurs responsabilités ainsi que les qualités individuelles des collaborateurs et surtout leur intégrité, leur éthique et leurs compétences constituent le socle de toute organisation.

Évaluation des risques

Lors celle-ci, le management prend en compte à la fois les événements prévisibles (du fait d’une occurrence certaine) et potentiels (du fait d’une occurrence possible mais incertaine).

Événement

Le management identifie les événements potentiels susceptibles d’avoir un impact (négatif, positif ou les deux) sur la mise oeuvre de la stratégie ou sur la réalisation des objectifs. Même les événements dont la probabilité d’occurrence est faible sont pris en compte s’ils ont un impact significatif sur la réalisation d’un objectif majeur. L’événement de risque opérationnel est au coeur d’un incident. Il s’agit de ce qui survient, ce qui arrive, en interne à la suite d’une défaillance de processus interne, ou d’un événement extérieur. Il a pour conséquence un impact financier. L’événement peut être lui-même une défaillance de processus, dans le cadre des réactions en chaîne.

Événement avéré

Événement ayant réellement eu lieu et dont il faut identifier les causes et les effets. Les événements avérés font parties des données historiques.

Événement extérieur

Événement délibéré, accidentel ou naturel qui est externe au groupe mais qui l’impacte financièrement. Sous certaines conditions, ces événements extérieurs constituent des incidents de risque opérationnel pour le groupe. Il peut s’agir par exemple de fraudes externes, de catastrophes naturelles, d’émeutes, etc.

Falsification

Elle consiste à voler des documents originaux via des réseaux organisés. Les documents sont authentiques mais certains éléments en sont modifiés. Les éléments de falsification les plus courants sont la photo et les dates (naissance, émission du document). Aux yeux de la loi, la falsification est un crime. Aujourd’hui, la falsification est plus courante que la contrefaçon, qui reste réservée aux opérations avec des enjeux plus importants. Elle est également plus repérable.

Formalisation des contrôles

Les contrôles doivent être formalisés dans une ou des procédures qui en définissent l’objectif, les modalités de mise en oeuvre, de matérialisation et de suivi par le management via, notamment, une information de gestion. Le niveau de formalisation doit être proportionné à la criticité des risques concernés. Un contrôle doit être spécifié selon deux axes :

Caractéristiques générales : statut (contrôle majeur ou non) ; périmètre couvert ; caractère a priori ou a posteriori ; niveau du contrôle (1 ou 2) et personnes ou services responsables de l’exécution ; personnes ou services en charge de l’analyse des résultats.
Mode opératoire (degré d’automatisation) : sélectivité (intégralité ou échantillon avec ses modalités de détermination) ; fréquence ; spécification fonctionnelle du contrôle, tâches à exécuter ; matérialisation du résultat ; évaluation des résultats du contrôle (grille de notation/scoring ) ; diffusion des résultats.

Fréquence (ou probabilité)

Probabilité de survenance d’incidents. La fréquence permet de déterminer le taux d’occurrence. Multipliée par la sévérité, elle permet de mesurer la criticité d’un risque.

Gain

Incident de risque opérationnel se traduisant par un impact financier positif.

Gestion des risques (risk management)

« Processus mis en oeuvre par le conseil d’administration d’une entité, pas ses dirigeants et par d’autres employés, utilisé pour la mise en œuvre de la stratégie et conçu pour identifier des événements potentiels qui pourraient affecter l’entité, pour gérer le risque dans les limites fixées, et pour fournir une assurance raisonnable quant à l’atteinte des objectifs » (COSO). Les principaux objectifs de la gestion des risques sont la mobilisation de tous les acteurs, la réduction de la probabilité de survenance d’événements de risque, la mise en place d’un dispositif homogène et le juste équilibre entre les risques pris et le coût du dispositif.

Gestion du risque opérationnel (operational risk management)

Identification, évaluation, contrôle et maîtrise de l’exposition aux pertes de risque opérationnel.

Gestionnaire de risque

Responsabilité conceptuelle visant d’une part à identifier, expliciter et estimer le risque et à concevoir et mettre en place un dispositif de contrôle et de reporting sur le risque et, d’autre part, à exploiter les reportings et alertes issues du dispositif.

Gravité

Mesure de l’impact de la survenance d’un risque (1/100/1 000 K euros – effet sur l’image sensible ou désastreux…).

Impact

Résultat ou effet d’un événement. Un même événement peut se traduire par différents impacts possibles. L’impact d’un événement peut avoir un effet positif ou négatif sur la réalisation des objectifs de l’organisation.

Impact financier

L’impact financier engendré par un incident de risque opérationnel peut être : une perte, un gain, un manque à gagner, un near-miss.

Incertitude

Incapacité de connaître à l’avance, avec exactitude, la probabilité ou l’impact des événements futurs.

Incident de risque opérationnel (operational risk incident) ou incident historique

Un événement avéré résultant de l’inadéquation ou de la défaillance de processus internes ou d’événements extérieurs, qui a, pourrait ou aurait pu entraîner une perte, un gain ou un manque à gagner.

Incident potentiel (potential incident)

Événement de risque opérationnel qui résulterait de l’inadéquation ou de la défaillance de processus internes ou d’événements extérieurs et entraînerait une perte, un gain ou un manque à gagner. Les principaux incidents potentiels sont étudiés aux différents niveaux du groupe : une analyse qualitative (analyse des causes, des contrôles et des effets) et une analyse quantitative (estimation de la fréquence et de la gravité) sont réalisées. Les incidents potentiels, une fois analysés, constituent des données prospectives utilisées dans la gestion et la mesure du risque opérationnel. Les incidents potentiels participent à l’élaboration de la cartographie des risques des métiers et des fonctions. À la différence des incidents historiques (avérés), les incidents potentiels sont des risques identifiés et quantifiés mais qui ne se sont pas nécessairement produits par le passé et dont l’occurrence est aléatoire.

Incidents potentiels majeurs (major potential incidents)

Incidents potentiels dont l’impact sur l’exposition du Groupe au risque opérationnel serait majeur.

Indicateurs clés de risques (key risk indicator)

Indices numériques, sélectionnés via l’expertise des managers, qui donnent une indication avancée de l’exposition au risque opérationnel pour une entité donnée. Pour être « clé », un indicateur doit soit fournir aux managers une information essentielle pour la gestion quotidienne du risque, soit être particulièrement sensible au risque de pertes.

Indicateurs d’analyse des contrôles. La mise en œuvre des contrôles s’analyse par deux indicateurs homogènes : un indicateur de réalisation des contrôles, mesurant la proportion de réalisation effective des contrôles, dans le respect des modalités prévues, rapportée à la réalisation attendue ; un indicateur de résultat des contrôles, évaluant la conformité de l’opération ou du processus vérifié, sur la base d’une cotation ou d’une grille de scoring prédéfinie.

Infrastructure de gestion du risque opérationnel (operational risk framework)

Ensemble des éléments qui permettent de gérer et de mesurer le risque opérationnel : politiques, processus, organisation, ressources, procédures, méthodologies et systèmes dédiés.

Instructions aux collaborateurs

Terme générique pour décrire les procédures détaillées d’application de la politique générale de gestion des incidents rédigées par les analystes risque opérationnel et applicable au périmètre qui les concerne.

Intégrité

Principes moraux tels que l’honnêteté, l’incorruptibilité, la probité, le souhait de bien faire, d’exprimer et de respecter un ensemble de valeurs et d’attentes.

Intégrité (I)

Propriété qui assure que les données d’un système d’information sont identiques en deux points, dans le temps et dans l’espace.

Key risk indicator (KRI)

Voir indicateurs clés de risques.

Les 4 « T »

Ils représentent les quatre comportements que l’on peut adopter face à un risque en fonction de sa nature :

Tolérer : décider d’accepter le risque en l’état, autrement dit endosser les conséquences
si le risque se transforme en sinistre.
Terminer : cesser l’activité qui est à l’origine du risque.

Ces deux comportements relèvent de la stratégie de l’entreprise.

Transférer : confier le risque à quelqu’un d’autre, notamment à une compagnie d’assurances,
un client ou un fournisseur. Ce comportement relève essentiellement du
domaine de l’assurance de l’entreprise.
Traiter : amener le risque au niveau décidé par la fonction de pilotage de l’entreprise.

C’est sur ce comportement qu’agit principalement le contrôle interne.

Lignes de défense

Caractéristique d’un dispositif de contrôle interne composé de contrôles de premier degré, deuxième degré et troisième degré.

Manque à gagner (opportunity cost)

Incident de risque opérationnel se traduisant par une perte de revenue. Ils peuvent par exemple être provoqués par l’indisponibilité pendant une journée d’un système critique de l’entreprise (tel qu’un système de traitement des instructions clients).

Matérialisation des contrôles

Existence d’une trace matérielle de la réalisation du contrôle ou d’un ensemble de contrôles. La matérialisation peut être partielle (une signature, une check-list cochée, etc.), ou complète, via un rapport de contrôle formalisé incluant une piste d’audit. Le degré de matérialisation est fonction de la criticité du contrôle, définie au regard du risque qu’il couvre. Menace – Relation entre, d’une part, un événement d’origine naturelle, accidentelle ou volontaire et, d’autre part, un élément du système d’information susceptible d’en subir les atteintes.

Mesure de prévention

Mesure de sécurité qui agit sur la probabilité d’un sinistre (ex. : chiffrement).

Mesure de protection

Mesure de sécurité qui agit sur l’impact d’un sinistre (ex. : back-up).

Mesure du risque opérationnel

Quantification du risque opérationnel à travers diverses données quantitatives y compris les données chiffrées sur le capital économique et réglementaire, élaborées à partir des données historiques et prospectives.

Near-miss

Incident de risque opérationnel où l’événement a eu lieu mais pour lequel, par chance, aucun impact financier ne s’est matérialisé.

Objectifs opérationnels associés

Les objectifs opérationnels sont déclinés des objectifs stratégiques et contribuent à la mise en œuvre de la stratégie choisie. Chaque niveau d’objectifs stratégiques est précisé par des objectifs plus spécifiques. Les objectifs stratégiques sont ainsi déclinés au sein de l’ensemble de l’organisation. Les objectifs sont compréhensibles et mesurables. Ils sont en adéquation avec l’appétence pour le risque.

Objectifs stratégiques

Les objectifs stratégiques de l’organisation fixent les lignes directrices en accord avec la mission/vision de l’organisation. Ils reflètent les choix stratégiques du management quant à la manière dont l’organisation cherche à créer de la valeur pour ses parties prenantes. Le management identifie les risques associés aux choix stratégiques et étudie les impacts.

Opportunité

Possibilité qu’un événement se produise et ait une incidence positive sur la réalisation des objectifs.

Périodicité des contrôles

Fréquence de réalisation d’un contrôle (annuelle, hebdomadaire…) ou, dans le cas d’un contrôle exécuté en continu, délai maximum entre l’exécution du contrôle et l’opération.

Perte (loss)

Incident de risque opérationnel qui a un impact financier négatif.

Pire des cas (worst case)

Le pire des cas est le cas le plus adverse qui puisse être raisonnablement envisagé dans le cadre de l’incident potentiel considéré.

Plan d’action

Ensemble d’actions structurées préventives et/ou correctives visant à corriger une ou des défaillances(s) constatée(s). Il doit être distingué de l’« action immédiate » qui correspond, quant à elle, à une correction ponctuelle de la défaillance, sans planification dans le temps. Les caractéristiques principales sont les suivantes : nom, description, BU propriétaire du plan d’actions, dates clés, le ou les déclencheurs, responsable du suivi, décisionnaire, niveau de criticité, le ou les sponsors du plan d’action, famille de risque. Les différents statuts d’un plan d’actions (cycle de vie) : en cours de documentation, initialisé, clôturé, abandonné, supprimé.

Plan de contrôle

On entend par « plan de contrôle » un ensemble organisé de contrôles à exécuter couvrant l’ensemble des processus propres à une entité ainsi que les processus partagés ou délégués par une autre entité. L’identification des contrôles qui forment le plan de contrôle d’une entité doit obéir à une approche systématique d’analyse des risques liés à chaque processus dont l’entité est responsable. Elle s’appuie donc sur un exercice de cartographie des risques . Les contrôles sont documentés et formalisés au sein de plans de contrôles : la constitution de plans de contrôle structure le dispositif (homogénéisation). Ce plan comprend un nombre raisonnable de contrôles majeurs ; une validation formelle par le management de l’entité est obligatoire. Une mise à jour périodique est nécessaire pour suivre l’évolution des risques.

Politique

Ensemble des directives du management sur ce qui doit être fait pour mettre en place un contrôle. Une politique sert de fondement aux procédures destinées à sa propre mise en œuvre.

Probabilité

Possibilité qu’un événement donné se produise. La probabilité indique un pourcentage ou une mesure quantitative telle qu’une fréquence de survenance d’un événement ou toute autre mesure numérique.

Procédure

Action permettant la mise en oeuvre d’une politique. Une procédure est un document : actant une (ou plusieurs) instructions(s) permanente(s) et de toute nature aux collaborateurs d’une entité ou de plusieurs entités, de leur hiérarchie directe ou supérieure ; décrivant un (ou plusieurs) processus détaillé(s) de traitement. Les procédures sont une preuve évidente de l’organisation et de la structuration des activités. Elles jouent un rôle clé dans l’organisation du groupe, dans l’encadrement de ses activités dont elles sont un des supports, et dans la formation par leur exemplarité. Elles sont un facteur essentiel de la maîtrise des risques, de la qualité du service client, de la protection de la réputation du groupe et de ses résultats. Elles répondent à une obligation réglementaire. Les procédures doivent être exhaustives, à jour et de qualité, et couvrir l’ensemble du périmètre d’activités.

Processus (process)

Un processus est une série de tâches coordonnées qui font appel à des ressources humaines, une infrastructure, de la technologie et des procédures, et ayant pour but d’atteindre un objectif donné. Les processus sont gérés par les métiers et les fonctions supports. Ils peuvent entre autre avoir des objectifs liés à une rentabilité ou à la qualité du service aux clients. Un processus a un commencement (souvent dénommé facteur ou événement déclencheur) et une fin. Un processus doit être transversal et indépendant de l’organisation de l’entité.

Processus clé (key process)

Un processus critique à la réalisation des objectifs d’une entité, et/ou pour lequel on estime que le niveau de risque opérationnel est significatif. C’est un processus dont la défaillance mettrait en danger ou perturberait gravement la réalisation des objectifs de l’entreprise. L’appréciation des processus clés se fait sur appréciation à dire d’experts et sur la base de données comme :

le montant du chiffre d’affaires en jeu ;
l’importance des clients concernés en nombre ou en revenu généré ;
le niveau des obligations réglementaires attachées ;
l’impact en termes d’image et de réputation ;
le nombre de collaborateurs impliqués et/ou le montant de coûts engendrés ;
le processus ou activité critique au titre de la continuité d’activité.

Processus de pilotage

Ils définissent la stratégie, organisent l’action et contrôlent les réalisations.

Processus opérationnels (appelés aussi processus « métier »)

Ils contribuent directement à la réalisation du produit ou de la prestation. Ils délivrent un produit à un client final externe à l’entreprise.

Processus support

Ils contribuent au bon déroulement des processus métier en leur apportant les ressources et informations nécessaires.

Profil de risque d’une entreprise

Positionnement d’une entreprise sur son marché se traduisant par un niveau de risques connu et accepté (rapport « opportunités/risques »).

Profil de risque opérationnel (risk profile )

Le profil de risque d’une entité ou de l’ensemble du groupe représente l’exposition globale de tous les processus de l’entité à des incidents potentiels.

Réduction des risques

Actions permettant de réduire la fréquence de survenance d’un risque (ex. : principe des quatre yeux) ou d’en atténuer la gravité (ex. : PCA, assurance).

Référentiel des processus

Inventaire exhaustif des processus d’une entreprise en distinguant différents niveaux d’agrégation.

Référentiel des produits et services

Inventaire exhaustif des produits et services commercialisés par une entreprise.

Reporting

Ensemble des informations de gestion qu’un responsable rend disponible à un niveau supérieur pour mesurer sa performance et/ou la qualité du dispositif de contrôle interne de son périmètre. Le terme se rapporte à la fiabilité du reporting de l’organisation, y compris la communication externe ou interne, des informations financières ou non financières. On distingue les reportings internes (à usage interne) et les reportings réglementaires (à destination des régulateurs). Les principaux objectifs de tout reporting sont de :

fournir une vision transparente au niveau du groupe et de l’ensemble des entités en
matière de risques et de dispositif de contrôle permanent ;
mettre en avant les points d’attention ;
permettre la consolidation dans un cadre homogène ;
matérialiser l’engagement du responsable de l’entité.

Un reporting doit être exhaustif et fiable et une validation formelle par le management doit être obtenue.

Responsabilité sociale de l’entreprise (RSE)

La responsabilité sociale des entreprises (RSE) est un concept dans lequel les entreprises intègrent les préoccupations sociales et environnementales dans leurs activités et dans leur interaction avec leurs parties prenantes sur une base volontaire.

Risk appetite/risk tolerance

Voir tolérance au risque.

Risk management

Voir gestion des risques.

Risque

Possibilité qu’un événement se produise et ait une incidence défavorable sur la poursuite et/ou contrarier l’atteinte des objectifs et/ou les actifs de l’entreprise. L’événement doit être potentiel et sa potentialité de survenance doit être évaluée. Le risque peut être considéré comme la combinaison d’un aléa et d’une conséquence. Un risque est à la fois un aléa, une incertitude, une vulnérabilité, mais aussi une opportunité… Dans le secteur bancaire , les trois grandes catégories de risques sont les risques de crédit, les risques de marché et les risques opérationnels.

Risque acceptable (ou seuil de tolérance ou risque)

Risque acceptable dans l’atteinte des objectifs définis par la direction générale . Ce sont les objectifs qui déterminent les risques acceptables et en conséquence le dispositif de contrôle à déployer pour circonscrire les risques.

Risque brut (ou inhérent)

Risque évalué avant tout dispositif de maîtrise des risques . Exposition de l’organisation à son univers des risques intrinsèques à ses activités.

Risque de conformité

Risque de pertes résultant de l’inadaptation ou de la défaillance de procédures internes, de personnes et de systèmes ou résultant d’événements extérieurs.

Risque de réputation

Risque d’atteinte portée à la confiance dans l’entreprise de ses clients, de ses fournisseurs ou contreparties, de ses actionnaires ou collaborateurs, de ses régulateurs et plus généralement de toute personne dont la confiance, à quelque titre que ce soit, est une condition nécessaire à la poursuite normale de l’activité.

Risque majeur

Risque dont la matérialisation aurait un effet important sur les résultats, les actifs ou la réputation de l’entreprise ou de l’une de ses entités.

Risque maximum tolérable

Événement unitaire ou addition d’événements qui, a un moment donné, dépasse ce que l’entreprise peut supporter. Le risque maximum tolérable est de nature à remettre en cause l’existence même de l’entreprise.

Risque net (ou résiduel)

Risque évalué après avoir apprécié le dispositif de réponses aux risques maîtrisables. Évaluation du risque tenant compte des différentes étapes de l’exercice de cartographie des risques : risque sous-jacent ; qualité du dispositif de contrôle permanent ; indicateurs de risques . Il peut faire l’objet d’une cotation reflétant l’appréciation globale du management.

Risque opérationnel

Le risque opérationnel se définit comme le risque résultant de l’inadéquation ou de la défaillance de risque opérationnel. L’étude et la résolution des causes permettent de diminuer la fréquence d’occurrence des événements et la sévérité de leurs impacts lorsqu’ils surviennent.

Scénario

Description narrative d’une situation hypothétique représentative d’un incident. Remarque : Les scénarios retenus permettent d’évaluer les vulnérabilités, de guider les business cases et les exercices.

Sélectivité

Quote-part d’opérations que le contrôle doit couvrir (on parle dans ce cas d’échantillon). Si le contrôle ne couvre pas toutes les opérations, les modalités de sélection des opérations doivent être spécifiées : le contrôle peut couvrir une proportion fixée, choisie de façon aléatoire, ou une proportion variable, selon une modalité de sélection fixée (dépassement d’un montant de transaction, etc.).

Self-audit

Dispositif de contrôle mettant à disposition des opérationnels un moyen d’évaluer la manière dont ils emploient le dispositif de contrôle et donc leur exposition au risque et leurs axes d’amélioration.

Sensible

Niveau d’un risque qui entraînerait des pertes financières, commerciales et organisationnelles significatives, ou des préjudices mineurs d’ordre judiciaire, et qui obligerait à prévoir des mesures de sécurité.

Séparation des tâches

Le principe de séparation des tâches consiste à attribuer, à des personnes ou à des services distincts des fonctions qui, si elles étaient accomplies par la même personne ou le même service augmenteraient les risques d’erreur ou de fraude.

Seuil de tolérance au risque

Voir risque acceptable.

Sévérité (ou gravité)

Elle correspond à la gravité d’un incident. Elle mesure les conséquences pour l’entreprise.

Spécifications

Définition concrète des caractéristiques du contrôle (organisation et mode opératoire), dans une procédure.

Stratégique

Niveau d’un risque qui entraînerait la perte d’une activité de l’entreprise ou des poursuites judiciaires à l’encontre d’un haut responsable de l’entreprise, et qui obligerait à prévoir des mesures de sécurité.

Taxonomie des risques

Bibliothèque des risques possibles pouvant concerner une entreprise.

Tolérance au risque (risk tolerance ou risk appetite)

Niveau de variation acceptable dans l’atteinte d’un objectif. Le niveau de tolérance au risque doit être mesurable. Sa mesure s’effectue de préférence à l’aide des mêmes unités que celles utilisées pour mesurer les objectifs opérationnels. Elle doit être en adéquation avec l’appétence pour le risque. La tolérance au risque opérationnel correspond au niveau de pertes de risque opérationnel auquel l’entreprise accepte d’être exposée aux divers échelons de l’organisation. L’expression de la tolérance au risque opérationnel ne suit pas le chemin classique utilisé pour les autres risques. Si la tolérance au risque opérationnel ne se formalise pas sous forme de limites, elle s’exprime à travers divers actes et décisions de management, dont :

les politiques générales, formalisées sous forme de procédures ;
les comités de validation des nouvelles activités, nouveaux produits, nouvelles organisations
ou processus ;
les différents reportings sur l’état des risques opérationnels ;
les processus de délégation et/ou d’escalade.

Traitement des risques

Le management sélectionne le mode de traitement du risque parmi les alternatives suivantes : évitement, réduction, partage et acceptation du risque.

Type d’événement (event type)

Catégories dans lesquels les événements sont classés. Dans le cadre d’une analyse cause/événement/effet, l’événement de l’incident doit être identifié et catégorisé en fonction de la liste des types d’événements.