Modélisa)on des risques opéra)onnels dans le cadre de Solvency II Ins)tut des Actuaires & S.A.C.E.I Le 18 Septembre 2009 1. Objectifs de la quantification des risques opérationnels 2. Définition du capital réglementaire selon Solvency II 3. Les deux approches de quantification des risques opérationnels 4. Limites et solution 5. Evaluation des risques à dire d’experts: une démarche pas à pas – – – – – Contenu Profil de risque opérationnel d’une compagnie d’Assurance Deux types de risque opérationnels Etapes de l’analyse en scénarios Etapes de l’analyse des défaillances de processus Livrables de l’évaluation des risques à dire d’experts 6. Etude comparative des résultats en fonds propres 7. Approche statistique et approches mixtes 8. Exemples de situations de risque – – – Pandémie Attaque virale Blanchiment d’argent 9. La gestion des risques opérationnels au sein du Groupe AXA 10. Le développement de modèles internes d’allocation de fonds propres au risque opérationnel au sein du Groupe AXA 11. Conclusion 2 Objectifs de la quantification des risques opérationnels Objectifs de Solvency II / Bâle II: protéger les institutions financières et le système financier dans son ensemble contre des événements de risque catastrophiques, au travers: – – – L’exercice d’évaluation du risque opérationnel est donc une mesure de la résilience de l’organisation face à la survenance de risques catastrophiques et permet de : – – – – connaître les risques auxquels elle est exposée définir le niveau de tolérance par rapport au risque en fonction des perspectives de croissance et de rentabilité des activités améliorer les dispositifs de maîtrise des risques ajuster le périmètre du transfert de risques L’évaluation des fonds propres peut se faire: – – 3 d’une identification et un suivi des risques les plus critiques de la mise en œuvre de dispositif de prévention et de protection d’une allocation de capital dédiée au risque opérationnel selon une approche forfaitaire, à partir de modèles internes July 2008 -­‐ Group Risk Management Défini&on du capital réglementaire selon Solvency II Selon Solvency II le capital réglementaire représente la perte maximale générée par le risque opérationnel à l’horizon d’un an avec un niveau de confiance de 99,5% Elle est évaluée au niveau de l’évènement unitaire au travers d’une composition de deux distributions: – une distribution de fréquences – une distribution d’impacts Distribu&on de fréquence Distribu&on de pertes unitaires Distribu&on de pertes globale Quantile à 99.5 % de la distribution globale - médiane = montant de fonds propres réglementaires à allouer à un risque opérationnel au niveau unitaire: – les fonds propres représentent une réserve spécifique destinée à couvrir des pertes inattendues – la médiane correspond à la perte attendue peut être déduite de la perte inattendue pour calculer les fonds propres L’agrégation de l’ensemble des calculs de fonds propres au niveau unitaire représente la charge en capital global Cette agrégation peut tenir compte d’un effet de diversification 4 Les approches de quantification des risques opérationnels Approche statistique: - - - Collecter les pertes opérationnelles de l’entité par type de risque, éventuellement à partir d’un seuil prédéfini (exemple 10 000 €) Puis créer une distribution de fréquences et d’impacts par couple [type de risques/ligne métier] La Loss Distribution Approach (LDA) inscrite dans les textes de Bâle II et a été documentée par le Groupement de Recherche Opérationnelle du Crédit Lyonnais en 2003 Approche à dire d’expert: - - Obtenir une estimation à dire d’expert de la fréquence moyenne devenant le paramètre de la distribution de fréquences Obtenir une estimation de l’impact d’un évènement unitaire dans les cas typique (impact le plus courant) et extrême afin d’évaluer les paramètres des distributions d’impacts Limites des deux approches Approche statistique: – – – Applicable aux évènements récurrents, Inopérante pour les évènements rares, Approche faisant l’hypothèse implicite que le passé permet d’expliquer l’avenir: o o o Approche à dire d’expert: – – – Subjective en particulier pour l’estimation de la fréquence Difficile à justifier Des experts métier peu familiers avec l’univers des probabilités La solution: – – – 6 fortement pénalisante en cas de survenance d’un évènement majeur, ne tient pas compte de l’amélioration des dispositifs de maitrise des risques, approche inopérante pour les évènements qui ne se sont jamais produit. Utiliser une méthodologie robuste d’évaluation des risques à dire d’expert pour les évènements rares Documenter les évaluations d’expert Combiner données statistiques et données à dire d’expert pour les évènements courants. July 2008 -­‐ Group Risk Management Evaluation à dire d‘expert: une démarche pas à pas Profil de risque opéra)onnel d’une compagnie d’assurance en France Trois types d’exposi)on au risque opéra)onnel sont à considérer: • Exposi)on structurelle à l’échelle de l’entreprise: – – – – Fraude externe Ressources humaines Réglementa)on Clients • Exposi)on liée aux ac)vités / processus: – – – – Fraude interne Interrup)on d’ac)vité Technologie Exécu)on • Exposi)on organisa)onnelle et stratégique: – Prestataires – Ges)on du changement 8 Comité Sujets Transversaux -­‐ 20 juillet 2009 Profil de risque d’une compagnie d’assurance en France Exposition à l’échelle de l’entreprise – – – – Une exposition significative au risque d’attrition client Exposition liée aux activités / processus – – – – Un risque de fraude externe très élevé Un risque modéré de litige avec les collaborateurs et une faible dépendance par rapport aux personnes clé Un environnement réglementaire relativement souple mais susceptible de devenir plus contraignant dans le contexte de fusion ACAM – Commission bancaire Une exposition moyenne au risque de fraude interne Peu de processus réellement exposées au risque d’interruption d’activité Une exposition moyenne aux risques systèmes Une forte exposition à des risques d’exécution (leakage) Exposition stratégique – – Une exposition forte aux risques liés aux tiers (réassureurs, prestataires informatiques) Une exposition au risque de gestion du changement dépendant des cas individuels Deux types de risques opérationnels Analyse en Scénarios 1 Risque déterminé par sa cause: Défaillance de processus Cause Défaillance de processus Types d’impact Types d’impact Types d’impact Types d’impact Part du profil de risque à l’échelle de l’entreprise, identifie les principales causes de risque transversales et analyse les conséquences de chaque cause pour l’organisation sous forme de : Perte de productivité, Perte d’efficacité commerciale, Augmentation des taux de d’erreur d’exécution… Non respect de délais… Analyse en arbres de défaillance 2 Risques déterminés par une défaillance de processus: Cause Cause Défaillance de processus Types d’impact Types d’impact Part d’une analyse de l’organisation pour identifier le profil de risque des processus, étudie les causes et les modes de défaillance: Organisationnelle, Humaine Système Tiers 10 Etapes de l’analyse en scénarios Sélection des scénarios de risques critiques correspondant au profil de l’organisation Identification des actions correctrices et défaillances de processus associées Exemples de scénarios Classe 3 – Pandémie – Grève Classe 5 – Incendie – Crue Casse 6 – Défaillance réseau – Attaque virale Exemples de conséquences d’un l’évènement sur l’organisation 1. 2. 3. 4. 11 July 2008 -­‐ Group Risk Management Actions correctrices Activation du PCA Réhabilitation des locaux Location d’un site de remplacement Allocation de ressources supplémentaires Heures supplémentaires pour les personnels critiques Consultants & travail temporaire Dégradation de la performance des processus/ augmentation des taux de défaillances Erreurs d’exécution Leakage Pertes d’exploitation Perte de clients existant en cas de mauvaise gestion de la crise Perte de chiffre d’Affaires (nouveau clients) Analyse de la robustesse des dispositifs de maîtrise des risques Efficacité du PCA Score basé sur les éléments suivants: Exhaustivité de la couverture du PCA (activités critiques) Qualité de la coordination des équipes Qualité de la gestion de la crise… Etapes de l’analyse centrée sur les processus Identification des modes de défaillance des processus clé Identification des processus clé Contribuant à la chaîne de valeur de l’entreprise Processus métier Fonctions support Distribution Selon les facteurs de vulnérabilité de l’organisation 1. 2. 3. 4. 12 July 2008 -­‐ Group Risk Management Défaillance organisationnelle processus mal conçus processus inefficace niveau de ressources inapproprié Erreur humaine compétences insuffisantes encadrement insuffisant incompétence/malveillance Défaillance de système informatique systèmes mal conçus mauvaise maintenance Défaillance de tiers Erreurs, délais de livraison Evènement catastrophe Faillite Identification des facteurs déclencheurs & évènements générateurs de pertes Evénements associés Facteurs déclencheurs ou révélateurs d’une défaillance ex: sinistre, contrôle de l’autorité de tutelle,… Evènement générateur de perte: variation adverse des marchés financiers…, Livrables de l‘évaluation des risques Histoire • Elle représente une situation de risque qui associe : – une ou plusieurs causes – avec une ou plusieurs défaillances de processus – aboutissant à un ou plusieurs types d‘impacts • Spécifique et non générique • Focus sur l‘étude du scénario extrême, • Identification de l‘enchainement de phénomènes qui conduit aux scénarios extrêmes Description détaillée de la survenance du risque Représentation graphique Critères d‘impacts Causes potentielles Défaillances de Processus Critères de fréquence Types d‘impact • Approche homogène de l‘évaluation des risques • Méthode d‘évaluation des critères de fréquence et d‘impact Analyse quantitative • Facteurs de fréquence o Evènement déclencheur o Défaillance (Humaine de l‘organisation, système ou tiers) o Evènement générateur de perte • Facteurs d‘impact o Sanction réglementaire o Perte de chiffre d‘affaire o Pénalité financière... Le risque en perspective Distribution de fréquences Distribution de pertes unitaires Distribution de pertes globale 13 Etude comparative des résultats en fond propres Approche statistique et approche mixte Approche statistique: – Basée sur les évènements de pertes constatées – Combinaison de deux distributions: – une distribution de fréquences basée sur la loi de Poisson – une distribution d’impacts basée sur une loi LogNormale et des lois alternatives en fonction de tests d’adéquation (Weibull, Pareto) Deux approches mixtes: – Approche par intégration : o la distribution à dire d’experts est considérée comme une distribution a priori o elle va être progressivement corrigée par la distribution de pertes constatées o si on a beaucoup de données statistique la distribution converge vers la LDA – Approche par combinaison : deux distributions de pertes o une distribution basée sur les évènements de pertes constatées, o une distribution à dire d’experts, o un paramètre de combinaison permet de régler la pondération de l’une des distribution par rapport à l’autre o approche plus équilibrée Exemples de situations de risque Pandémie Janvier 2009 Attaque virale 16 Blanchiment de capitaux Pandémie AYaque virale Blanchiment d‘argent Vue d‘ensemble de la ges)on des risques opéra)onnels du Groupe AXA Mesure Identification Evaluation des risques opérationnels Collecte des pertes opérationnelles Résultats Evaluation top-down Basée sur l’opinion d'experts des lignes métiers Approche pragmatique Collecte des pertes dans les entités Management Approche prospective Destinée à tester la résilience de l’organisation face à la survenance de scénarios catastrophe Evaluation statistique Calcul d’une Charge en capital au niveau Groupe Impacts financiers, juridiques et réputationnels Réduction et transfert des risques opérationnels Validation par le sénior management local Actions de réduction des risques potentiels Coordination avec d’autres fonctions de pilotage des risques et des contrôles Plans d’actions et de gestion des risques critiques avec les instances de gouvernance & Calcul du capital économique et réglementaire Développement de modèles internes au sein d’AXA Un projet transversal: – Animé par AXA Group – 20 entités participantes dans 15 pays Objectifs du projet: – Conserver une avance significative en matière de pratique de gestion des risques (Notation du – – – – – dispositif de gestion des risques d’AXA "excellent " par les agences de rating), Etre force de proposition vis-à-vis des autorités de tutelle, Disposer d’une évaluation des risques homogène entre les différentes entités du groupe, Pouvoir justifier des évaluations qualitatives auprès d’auditeurs ou de régulateurs, Mieux connaître le profil de risque du groupe afin de mettre en œuvre des plans d’actions adaptés, Optimiser la résilience de l’entreprise face à la survenance de risques majeurs. 21 Conclusion Quantifier le risque opérationnel est non seulement possible mais nécessaire La quantification des risques opérationnels à partir de conventions communes à l’échelle d’un groupe permet : – de s’assurer de l’homogénéité des approches et de la cohérence des résultats – de pouvoir justifier de l’ensemble des hypothèses retenues vis-à-vis d’un auditeur ou d’un – – – – – régulateur, de réfléchir aux risques les plus critiques en fonction de leur plausibilité, d’évaluer la robustesse de l’organisation face à la survenance de "cygnes noirs", de mettre en œuvre des dispositifs de prévention et de protection cohérents par rapport aux enjeux en terme de réduction des fonds propres, d’ajuster les couvertures d’assurance, de mettre en perspective le couple rendement / risque des activités. A propos de Metametris Société de conseil spécialisée sur l’identification, l’évaluation, la maîtrise et le transfert des risques opérationnels Assistance au déploiement de projets d’évaluation des risques opérationnels et de dispositifs de maîtrise des risques de grands établissements financiers: – cartographies des risques – analyse en scénarios – assistance au déploiement de bases incidents – insurance gap analysis Editeur de la méthode d’évaluation des risques opérationnels ORMERA ® (Operational Risk Modelling and Enterprise Resilience Analysis) Editeur de la solution ORMERA ® Quant Objects, outil de calcul du capital économique à allouer au risque opérationnel conçu en partenariat avec le spécialiste de l’inférence bayésienne et de la programmation probabiliste Probayes SAS www.probayes.com (une version d’évaluation d’ORMERA ® Quant Objects est téléchargeable) 23 Contact Hélène DUFOUR Associée [email protected] 00 33 6 07 91 04 29 METAMETRIS 151, Rue Montmartre 75 002 PARIS www.metametris.com 24