REPUBLIQUE DU TOGO UNIVERSITE PRIVEE DE LOME eek ECOLE SUPERIEURE D'INFORMATIQUE, DE BUSINESS ET D'ADMINISTRATION (ESIBA) coerce LA GESTION DES RISQUES FILIERE : FINANCE ET CONTROLE DE GESTION NIVEAU : MASTER Cours réalisé par: Bienvenu Adama ATTIOGBE Responsable Gestion des Risques, Contrdle Permanent et Conformité/ Enseignant E-mail: [email protected] septembre-octobre 2020SOMMAIRE INTRODUCTION 3 DEFINITIONS 2 I- LES FAMILLES DE RISQUES 2 Risques réglementaires 12 Risques financiers 13 Risques opérationne!s 14 Risques stratégiques 16 Ill. LE DISPOSITIF DE GOUVERNANCE DES RISQUES 7 Roles et obligations des organes de gouvernance 7 Roles et obligations de la fonction gestion des risques 7 Roles du Responsable de la fonction gestion des risques 19 IV. _ PRINCIPES GENERAUX DE GESTION DES RISQUES 20 Principe de proportionnalité 2» Stratégies, politiques et procédures 20 Cartographie des risques 20 Culture du risque B Appétence au risque et gestion des limites 23 Systéme d information 4 Simulation de crise a Contréle interne 24 Reporting B V- GESTION DE CERTAINS RISQUES PARTICULIERS 2 Risque de crédit a Risque opérationnel 31 Vl PLAN DE CONTINUITE D’ACTIVITE (PCA) 37 Vil-_ AUTRES VISIONS DE GESTION DES RISQUES : COSO ET NORME ISO 31000 40INTRODUCTION Les institutions finan res (IF) font de plus en face & des risques surtout les plus significatifs qui les empéchent: de réaliser leurs objects afin d'assurer une efficacité voire une effcience de leurs opérations, la fabilté de leurs informations financiéres ou de leur reporting financier et le conformité avec les normes en vigueur (dispositions légales et réglementaires, codes de conduite et de déontologie intemes, codes d'associations professionnels, aulres dispositions internes notamment status, reglement ntérieur, politiques, procédures, plans, contrats et autres obligations), Les risques prennent souvent leurs origines dans la formulation des strategies et établissement ou la fixation des objeotifs et ne peuvent pas tre simplement éliminés surtout éliminés dans leur totalité puisque le risque « zéro » nexiste pas. Les risques sont done inhérents au business surtout financier quel que soit sa tail, Etre opérateur implique alors la prise de risques mais des risques calculés. En effet, plonger dans les eaux troubles et profondes des transactions financiéres doit donc se faire avec un minimum de prudence et d'attention, pour garantir a survie de lentreprise ou de institution et lui permettre d'atteindre ses objects. La gestion traditionnelle des risques surtout dans les petites et moyennes insituions financisres reste généralement effectuée avec un manque de vision transversale et peu de considération pour Tagrégation des risques ou leur renforcement. A conlrario, une approche intégrée peut réduire les risques en prenant en compte la forte interaction entre tous les aspects de la gestion et en éitant les mauvaises décisions. Pour atteindre les objectifs assignés par lorgane délibérant ou exécutif et de fagon efficace voire effciente, les entreprises procédent & une gestion de maniére dynamique (la gestion des risques n’étant pas un jeu stalique) de leurs risques du moins, les plus signticatis. Ce cours sur la gestion des risques se concentre sur la gestion des risques englobant quasiment tous les concepts y afférents, est applicable & tous les établissements (institutions financiéres, organisations, entreprises etc.) surtout aux établissements en activité dans Union Monétaire Ouest Africaine (UMOA) notamment les bangues et établissements financiers & caractére bancaire, les compagnies financigres, les compagnies d’assurance, les autres institutions financiéres comme la Poste et les Systémes Financiers Décentralisés (SFO) communément appelés Microfinance.DEFINITIONS Quelques défiitions des différents termes associés au risque et au controle. 4it- Risque « Danger possible; éventualité d'un préjudice, d'un événement malheureux » (dictionnaire). « Effet de linceritude sur Vatteinte des objectifs » (Norme ISO 31000). « Survenue possible d'un événement affectant les objects. lI est mesuré en termes dimpact et de probabilié » (glossaire des Normes). « Possibiité qu'un événement ait un impact sur Faccomplissement des objects, mesurée en termes fe Le risque est aussi effet produit par les vulnérabiltés et les menaces, pact et de probabil’ » (glossaire des Normes). La défintion des risques est souvent subjective, I nly a pas de création de valeur sans la prise de risque. Le Manager doit alors prendre certains risques calculés afin de créer de la valeur. 4.2- Environnement de contréle Atitude et actions du Conseil d'Administraton et de la Direction au regard de fimportance du dispositf de contréle dans Yorganisation. L'environnement de contréle fourit la discipline et la structure nécessaires & la réalisation des objectifs principaux du systéme de contréle interne. II comprend les ‘éléments suivants : ~ _intégrté et valeurs éthiques ; = philosophie et style de direction ; = organigramme ; ~ attribution de lautorté et de la responsabilité; = _ pratiques et politiques en matiére de ressources humaines ; = compétence du personnel (Glossaire des Normes) 1,3- Processus de contréle Régles, procédures et activités (aussi bien manuelles qu’automatisées) faisant partie d'un cadre de contre interme, congues et mises en oeuvre pour s‘assurer que les risques sont conterus dans les limites que organisation est disposée accepter (Glosseire des Normes).Incident ou, circonstance résultant de sources intemes ou exteres et qui affecte la mise en ceuvre d'une stratégie ou la realisation dobjectifs, 4.5- Impact Résultat, effet ou conséquences d'un événement, 1.6- Probabil Crest la probabiité qu'un événement se produise. Crest encore la fréquence, 4.7- Risque acceptable Type de risque lié & impact commercial que pourrait entrainer la réalisation de certains risques. La perte est estimée acceptable done aucun contréle supplémentaire n'est justifié, 1.8- Niveau de risque acceptable Niveau de risque établi en fonction des obligations de conformité juridique et réglementaire d'une organisation, de son profil de menace et de ses déclencheurs et impacts en termes d'activité économique. 1.9- Appétence pour le risque Niveau de risque qu'une organisation est préte & accepter(glossaire des Normes). Crest le niveau et le type de risque qu'un établissement est disposé & assumer dans ses expositions et ses activités pour réaliser ses objects stratégiques et ses obligations (Commission Bancaire) 1.10- Gestion des risques ~ La Gestion des risques est un processus didentification, evaluation, de gestion at de contréle @événements et de situations potentiels afin d'assurer, dans la mesure du possible, quune ‘organisation atteigne ses objects (glossaire des Normes). - La Gestion des risques de lentreprise est un processus exécuté par le Conseil Administration, la Direction et d'autres membres d'une entité qui est applique lors de la phase de définition de la stratégle et & travers toute Tentreprise, ll est concu pour identifier les évenements susceptibles d avoir une incidence sur entté et gérer le risque dans les limites de Uappétence pour le risque de celle-i, afin de fournir une assurance raisonnable quant & latéalisation des objectifs de Venité. (COSO dans Management des Risques de l'entreprise — Cadre de référence). Cette definition implique alors que la gestion des risques est un processus continu, = La Gestion des risques est également fensemble des stratégles, politiques et procédures mises fen place afin que tout risque signifcalf et toute concentration de risques associée soient détectés, mesurés, limités, meltrisés et alténués, et quil en soit rendu compte, de fagon précoce et exhaustive (Commission Bancaire), = La Gestion des risques est aussi définie comme « une approche rigoureuse et coordonnée pour évaluer tous les risques affectant la réalisation des objectifs financiers et stratégiques dune organisation et y répondre », (Enterprise Risk Management: Trends and Emerging Pratices). = institute of Intemal Auditors (IIA) définit la Gestion des risques comme « un processus structuré, cohérent et continu visant & identifier et a évaluer les opportunités et les menaces liges & la réalisation des object. Il consiste ensuite & décider des reponses & apporter et das informations & transmettre a ce sujet dans ensemble de organisation » Nota: la Gestion des risques est un dispositif du systéme de contréle interne. Rappelons que pour mettre en place un systémo de contréle inteme, il est nécessaire de choisir un référentiel. Le référentiel le plus utilisé est celui du Committee of Sponsoring Organizations (GOSO) qui s'adapte a toute entreprise et tralte les points les plus importants du contréle interne. 441+ Mesure des risques Evaluation de amplitude du risque. 442 Culture du risque Normes, attitudes et conduites d'un établissement relatives & la sensibilsation au risque, @ la prise de risque et & la gestion des risques ainsi qu’a fensemble des contrdles qui orientent les décisions en matiére de risque. 4.43 Risque inhérent Risque généré par environnement, sans les effets datténuation des contréles internes. C'est encore appelé risque absolu ou risque brut ou risque total4.14 Risque résiduel Risque restant aprés les mesures prises par la direction pour réduire impact et la probabilité d'un événement défavorable, notamment les mesures de contrdle en réponse a un risque. 4.48 Risque omniprésent Type de risque présent dans tout environnement. 416+ Profil du risque LLévaluation ponctuelle des expositions au risque brut d'un établissement, clesta-dire avec !application de toute mesure d'atténuation ou, le cas échéant, des expositions au risque net aprés attenuation, agrégées entre elles au sein des catégories de risque pertnentes, sur la base dhypothses actuelles prospectives. 1.47- Opportunité Dans le cadre du risque, événement incertain ayant des conséquences positives. 1.18 Incertitude Situation dens laquelle le résultat ne peut étre estimé, 149+ Externalisation Processus par lequel I'établissement déiocalise sous la responsabilité d'un tiers, des infrastructures ou systémes ou lui confie, de maniére durable et a ttre habituel, la réalisation de prestations de services cu d'autres tches opérationnelles essentielles ou importantes par soustraitance, mandat ou délégation. Le prestataire peut-étre un fourisseur exteme ou un membre du groupe de |'établissement, en particulier sa maison-mére, ses filiales ou ses filiales sceurs. 1.20- Actifs grevés Aotits soumis & des restrictions juridiques, notamment légales, réglementaires ou contractuelles, limitant ainsi aptitude de Iétablissement a les liquider, vendre, transférer ou affecter. 4.24- Cadre de gestion du risque de non-conformits Ensemble des structures, politiques, procédures et mesures de controle par lesquelles I’établissement gere et atténue le risque de non-conformité a échelle de son organisation.4.22 Risque de non-conformité Risque de sanction judiciaire, administrative ou discipinaie, de perte financiére, d'atteinte & la réputation, qu'un établissement peut subir en raison de finobservation des normes en vigueur régissant texercice de ses activités. 1.23 Politique de conformité Document élaboré par Vétablissement en vue d'établir les ragles et les principes directeurs régissant la gestion du risque de non-conformité au sein de I'établissement ou organisation. 1.24 Assemblée Générale Instance regroupant les détenteurs de parts sociales ou d'actions formant le capital social. Elle a le pouvoir de prendre toute décision intéressant létablissement. A cet effet, elle délibére dans les conditions de quorum définies par le droit des sociétés applicable a I'établissement et les statuts. 4.25 Organes de qouvernance Organe délibérant, y compris ses comités spécialisés et lorgane exécutif, 4.26 Organe délibérant Conseil d'Administration dans les sociétés anonymes ou organe collégial dans les sociétés constituées ous une autre forme. Il est investi de tous les pouvoirs pour agir en toutes citconstances au nom de létablissement dans la limité de l'objet social et des compétences réservées a Assemblée Générale (AG). 1.27- Organe exécutif Ensemble des structures qui concourent a la gestion courante d'un établissement et assurent application effective de forientation de activité définie par Vorgane délibérant. Sont notamment considérés comme membres de lorgane exécutif, le Directeur Général, les Directeurs Généraux Adjoints, le Secrétaire Général et les Responsables des fonctions contrdle. 1.28 Fonctions de contréle Fonctions indépendantes de la gestion opérationnelle, dont le réle est de fournir des évaluations objectives de la situation de Fétablissement dans leur domaine de compétence.4.29 Audit interne Surveillance du systéme de contre interne, du disposiif de gouvemance et du dispositf de gestion des risques, avec une évaluation indépendante du respect des politiques et procédures établies et de la conformité aux lois et & la réglementatlon 1.30- Risque d’audit Risque que les auditeurs internes arrivent aux mauvaises conclusions et & des opinions erronées & partir du travail quils ont réalisé, 4.31- Risque de contréle Possibiité que les activités de controle échouent & atténuer le risque maitrisable jusqu’8 un niveau acceptable, 4.32 Contréle exclusif Pouvoir de décider des poltiques financiéres et opérationnelles d'une entreprse afin d'en retirer des avantages. Il existe trois (3) ypes de controle exclusi,& savoir le contrle exclusi de droit, le contdle de fait et le controle exclusif conventionnel : = le contrdle exclusf de droit est exercé par une société qui détient directement ou indirectement plus de la moité des droits de vote de sa file ; - le contréle exclusif de fait est exercé par une société lorsque les deux (2) conditions ci-aprés sont réunies + elle désigne, pendant deux (2) exercices conséculifs, la majorié des membres des organes de sgouvernance ; + elle dispose, pendant deux exercices consécutifs, d'un pourcentage de droit de vote supérieur & 40% et aucun autre actionnaire ne posséde une part supérieure. = le controle exclusif conventionnel est exercé par une société, lorsqu'l existe un contrat ou une clause statutaire lui assurant le contréle exclusif de 'entreprise ou société considérée. 4.33 Contrdle conjoint Partage du contrdle d'une entreprise ou société exploitée en commun par un nombre limite Gactionnaires. Les politiques financiéres et opérationnelles sont décidées d'un commun aocord entie les actionnaires et aucun d'entre eux ne dispose d'un pouvoir lui permettant dimposer sa décision aux autres,1.34 Influence notable Pouvoir de partciper aux politiques financiéres et opérationnelles d'une structure sans en détenir le contrdle exclusif ou conjoint. L'influence notable d'une entreprise sur une autre entreprise est présumée, lorsque la premigre dispose, directement ou indirectement, de plus de 20% des droits de vote de la seconde, 1.35 Parties lides Personnes physiques et morales qui sont directement ou indirectement liges !établissement. Les parties liées regroupent notamment : ’) la maison-mére de létablissement et toute entité sur laquelle cette demiére exerce un contréle exclusf, un contrdle conjoint ou une influence notable ; il) toute entité sur laquelle Fétablissement exerce un contre exclusif, un contréle conjoint ou Une influence notable ; ii) une personne physique qui exerce un contréle exclusif, un contréle conjoint ou une influence notable sur 'établissement ; iv) “Une personne physique ou morale qui détient au moins 10% des droits de vote au sein de Tetablissement ; V) les administrateurs et les digeants de 'établissement ; V) les entreprises privées dans lesquelles les personnes physiques visées aux points i), iv) et ) cédessus exercent des fonctions de direction, d'administrtion, de gérance, ou détiennent plus de 25% du capital socal; vi) les personnes ayant un ian familial proche avec les personnes physiques visées aux points i, iv) etv) cedessus. 1.38+ Portefeuille de négociation Portefeuile consttué de toutes les oppositions sur instruments financiors et produits de base détenues des fins de négociation ou dans le but de couvrir ou de financer d'autres éléments ducit porefeuile. 1.37- Groupe de clients liés Un groupe composé de deux ou plusieurs personnes physiques ou morales liées entre elles, satisfaisant fun des critéres suivants = Tun des clients contrdle directement ou indirectement l'autre ou les autres clients. II s‘agit'du lien de contre;- sifun des clients vient & rencontrer des diffcultés fnanciéres, en particulier des problemes de financement ou de remboursement,il est probable que l'autre ou les autres clients s'exposent a des problémes de financement ou de remboursement. ll s'agit de t'nterdépendance économique, 1.38 Cartographie des risques Element central du dispositf de gestion des risques qui recense, value et higrarchise fensemble des risques de V'établissement. C'est un outil de pilotage aux fins d'assurer une bonne gestion et un suivi adéquat des risques.ll LES FAMILLES DE RISQUES Le référentiel des risques ou typologie des risques constitu la iste descriptive des différentes familles de risques utilisées dans le cadre de létabissement de la carlographie des risques. I existe plusieurs référentels des risques. Nous allons nous eppesentir sur le référentiel de la Banque Centrale des Etats de l'Afrique de Ouest (BCEAO) utlisé pour télaboration de la cartographie des risques des établissements (institutions financiéres) dans I Union Monétaire Ouest Africaine (UMOA). Quatre (4) familes de risques sont distinguées. 2.1+ Risques réglementaires 2.4.4- Risque légal et réglementaire Risque qu'une disposition légale ou réglementaire ne soit pas respectée entrainant une sanction judiciaire, administrative ou disciplinaire, de perte financiére pour un établissement. - Non-respect des obligations légales et réglementaires (Loi, Décret, Arrétés, Circulaires, Instructions, Reéférentiel Comptable, et.) ; -Non-conformité des statuts, du réglement intérieur, politiques, procédures, et du dispositf de contle interne (non existence, faible qualité fable fréquence des contrbles, absence ou faible mise en couvre des recommandations) ; = Non-respect des dispositions relatives & la Lutte contre le Blanchiment de Capitaux et le Financement du Terrorisme (LBCIFT), & la transparence de la tarfication, au taux de Vusure, au reporting (indicateurs périodiques, ratios prudentiels, rapport, ete.) ; - Absence ou dysfonctionnement des fonds spéciaux & doter notamment le fonds de sécurité ou de solidarits; Non application ou inexistence de sanctions. 2.4.2+ Risque contractuel ~ Non-respect des obligations contractuelles, des conventions, des relations avec les fournisseurs. —2.2- Risques financiers 2.2.4- Risque de crédit Crest le risque résutant de fincertitude quant & la capacité ou la volonté des contreparties ou des clients de remplir leurs obligations. L'événement risqué correspond au non-respeet, par un client ou par une contrepatie, de ses obligations financiéres ou, dune meniére générale, & la détérioration de la qualité du crédit de cette contrepartie. + Insuffisance dans l'étude du dossier de crédit, la mise en place du prét, la tenue du dossier de crédit, le suivi et le recouvrement, ec, ~ Concentration et mauvaise qualité du portefeuille (qualité du débiteur, qualité du PAR) ~ Mauvaises praiques de rééchelonnement des préts et de refinancement (montant des engagements sur le client au jour de la défallance) ~ Absence ou défaut de garantie = Absence ou défaut d'assurance + Récupération incertaine des valeurs attendues de la réalisation des garanties et de la liquidation des actfs non gagés de la contreparte. 2.2.2. Risque de marché Crest le risque de pertes sur les positions de bilan et hors bilan liges & la vatiation des prix du marché. Les sous risques génériques des risques génériques « risque de marché » sont: Ie risque de taux inter, le risque de change, le risque de position sur titre de proprité et le risque sur produits de base. - Niveau du taux d’intérét (risque de taux d’intérét) ; + Fluctuation du taux ou du cours de change lorsque Fétablissement détient ou prend des positions en devises y compris lor (risque de change). ; ~ Portefeulle dinvestissement non diversifié (participations ou des titres financiers) ; = Probléme de refinancement (accés difficile au marché des capitaux) 2.2.3. Risque de liquidité C'est le risque que l'établissement ne puisse pas faire face & ses engagements ou qu'l ne puisse dénouer ou compenser une positon, dans un délai déterminé et & un codt raisonnable, en raison de la situation du marché ou des facteurs particullrs, + Problématique lige & la gestion des flux de trésorerie (écart entre les sommes prétées et celles disponibles)- _ Non-respect des dispositions liées a la collecte des ressources, 2.24 Risque de solvabilité - Problématique lige au niveau des fonds propres (capitalisation) ; + Etablissement en dificulté ; Non solvabité des garants, impossibilté de réaliserlexercer (uridiquement) la garantie, 2.3. Risques opérationnels Ce sont les risques de pertes résultant de carences ou de défaillances attribuables 4 des processus, des personnes, des systémes internes ou a des événements extemes. Cette notion inclut le risque Juridique mais exclut les risques stratégiques et de réputation. 2.3.4- Risque de Transaction - Activités non-autorisées ou nouveaux produits/activités 2.3.2- Risque do Fraudes ot atteinte lintégrité - Informations inexactes, falsification, vol, dit commis par un employe ; = Utiisation frauduleuse d'informations confdentielles ; - Blanchiment de capitaux ; - Opération malhonnéte pour le comple d'un client, - Mauvaise comptabiisation des opérations 23.3- Risque de systéme d'information - Niveau de la technologie et du systéme dinformation (inadéquation, disponibiité insufisante, niveau utlisation, degré dautomatisation, dysfonctionnement, maintenance, architecture des systémes mel adaptée, inadéquation des développements informatiques avec les processus et les besoins métiers, fragilité aux attaques virales, faiblesses dans la gestion des habilitations, garanties insuffisances dans la continuité d'activité) ; + Insufisances dans la gestion de linformation (piste c'audit ou tragablité, confidentialité, conformité réglementaire, production et conservation des données) ue de ressources humaines ~ Gestion des compétences (inadéquation qualitative et quantitative), éthique (melveilance, fraude) ;= Conditions inappropriées de travail (santé et sécurité du personnel, discrimination, manque dattractivité de tEtablissement, recrutement inefficace, démotivation des employés, besoin en ccompétences particuligres non pourvu etc); - Gestion inadéquate de la paie(salaire, charges sociales et iscales) ; = Non-conformité au droit social, discrimination/favoritsme lors dun recrutement ou d'une promotion, harcélement, risques liés aux conditions en matiére dhygiéne et de sécurité, non-respect de régalite professionnelle, non-respect des informations confidentilles des salariés, instances du personnel non mises en piave (délégues, syndicats...); - Défailance dans la gestion administrative et de la paie : préparation de la paie, gestion des données du personnel, des absences et dela pale 2.3.5- Risque de politiques et procédures - Exécution, livraison et gestion des processus (erreurs denregistrements des données, défailances dans la gestion des garanties, lacune dans la documentation juridique, etc), - Manuels de procédures et diverses poliiques (inexistence ou insuffisance) ; - Non-respect ou mauvaise interprétation des procédures 2.3.6- Risque de comptabilité - Non-respect des dispositions du RCSFD, exactitude dans la comptabilsation des opérations (erreur, actes de malveillance, etc.) ; ~ Comptes non réguliers et non sincéres 2.3.7- Risque d’administration Gestion administrative non adéquate ; - Insuffisance dans larchivage et le classement de documents ; + Erreurs humaines involontaires dans la seisie ou fa manipulation des informations (montant erroné transfert d'argent, paiement fournisseur, retrait d'épargne) ; ~ Absence ou retard dans le traitement dune opération ; - Défaut de communication interne ; + Relations avec les prestataires extemes : indisponibilté, problémes de livraison, dépassement de budget, cificuté 4 étabir une relation de long terme, 2.3.8+ Risque de sécurité des actifs et du personnel - Dommages suite & des actes de vandalisme, des inondations et des incendies ;~ Non-espect des dispositions légales relalives a la sécurité des personnes sur le lieu de travail (cispositif de sécurité, maintenance, des équipements et des locaux) 2.4 Risques stratégiques Ce sont les risques que les stratégies d'affaires de rétablissement soient inefficaces, ne soient pas bien mises en ceuvre ou adaptées aux changements touchant le contexte commercial. 2.4.4- Risque de réputation ou de déontologie Crest Ie risque qu'une information négative sur les pratiques commerciales ou sur les relations de Tetablissement, qu'elle soit fondée ou non ait une incidence défavorable sur ses revenus, ses activités ou sa clientéle ou entratne des ltiges ou d'autres procédures juridiques onéreuses. - Crédibilté entachée ; = Falble qualité des services et produits offerts; ~ Perte de cliente et pressions concurrentelles ; ~ _ Atteinte aux intéréts des diigeants, 2.4.2+ Risque de qouvernance + Profil inadéquat des fondateurs et principaux dirigeants (Manque de compétences etiou @honorabilté des élus / administrateurs / organes de gouvernance) ; = Non fonctionnement ou inexistence des organes notamment sociaux ; + Structure organisationnelle inappropriée (délégation inadéquate) ; ~ Vision mitgée, non atteinte des objects et orientations stratégiques incohérentes ; ~ Dispos inefficace de gestion des risques (Indépendance des fonctions de contréle non systématique) ; ~ _ Diffcultés de financement auprés dun partenaire institutionne! ; = Relations tendues avec les Partenaires Techniques et Financiers (PTF). 2.4.3- Risque Pays et politique ou Risque-pays Le risque pays est le risque de pertes résultant du contexte économique et politique d'un Etat, dans lequel létabissement effectue une partie de ses activités. II provient de incapacité ou du refus d'un pays & foumir les devises nécessaires pour satisfare les engagements financiers de Etat, ou des agents économiques privés opérant dans ce pays, = Environnements économique et réglementaire peu favorables (guerre civil, terorisme, violences diverses ou de corruption systématisée,)Ill LE DISPOSITIF DE GOUVERNANCE DES RISQUES Cest une composante du dispositf global de gouvernance dans laquelle sinscrivent la stratégie et la politique de risque de l’établissement. Ce dispositf encadre les decisions de Vorgane délibérant en matiére de risque, explicte et surveille le respect de lappétence pour le risque et des limites de risque par rapport & la stratégie de I'établissement. Il permet également de détecter, de mesurer, de gérer et do maitriser ensemble des risques auxquels I'établissement est ou pourrait étre exposé. 3.1- Roles et obligations des organes de gouvernance Les organes de gouvernance doivent notamment : = voir 2 ce que létablissement soit doté d'un dispositf de gestion des risques conforme aux dispositions des normes en vigueur; = mettre en place une fonction gestion des risques couvrant tous les risques significatifs, & Péchelle de létablssement et disposent attributions distinctes de celles des unités opéretionnelles = préserver Vexistence d'une fonction gestion des risques indépendante et dotée des ressources nécessaires (compétentes et suffisantes) ainsi que dune autorité suffisante (Indépendance) pour rmener & bien ses missions ; = exercer pleinement les responsabiités qui leur sont dévolues en matiére de risque, conformément ‘aux normes en vigueur dans le secteur notamment la Circulate relative & la gouvernance des tablissements de crédit et des compagnies financiéres de FUMOA ; = _ raltacher la fonction gestion des risques a la direction générele ; - mettre en place un comité de risques, 3 Dans un sens, tous les employes ou tous les agents sont des gestionnaires des risques, qu'ls en soiant ligation: fonction gestion des risques conscients ou pas. lls gérent chaque jour des risques afin d’atteindre leurs objectifs. Ceperidant, ils deviennent des gestionnaires des risques plus performants lorsqu'ls ont pleinement conscience de cette fonction et qu’ils 'exercent de maniére cohérente et rigoureuse, Les agents de la fonction contrdle notamment les auditeurs interes, les gestionnaires des risques, les contréleurs permanents, les agents de la Conformité sont les meilleurs gestionnaires des risques. Du point de vue de organisation, il est possible d’en tirer les avantages importants si les responsables ne gérent pas uniquement leurs propres risques dans leurs périmétres organisationnels. lI faut noter que si le méme processus rigoureux d’évaluation des risques est appliqué a travers toute organisation et que les résultats sont remontés aux niveaux hiérarchiques supérieurs (notamment la DirectionGénérale), Fencadrement supérieur est alors en mesure dobtenir une image compléte du risque pour Forganisation, A cette « vue globale » du risque en téte, les cadres peuvent prendre de mailleures décisions stratégiques et allouer des ressources avec davantage d'efficacité. Parfout dans le monde, des organisations (institutions, entreprises ou établissement) développent des programmes de gestion des risques de Fentreprise (ERM) pour profiter de ces avantages, La fonction gestion des risques doit notamment : + appliquer la stralégie de risque approuvée par Forgane délibérant et veiller 2 'élaboration de toutes les politiques et procédures afférentes & la gestion des risques ; = contribuer & la mise en place effective, au sein de 'tablissement d'un dispositf intégré des risques {qui solt soutenu par une gouvernance fiable impliquant les organes de gouvernance ; ~ identifier, évaluer, suivre et meitriser, en temps opportun, tous les risques significatifs; = améliorer les systémes, les politiques, les processus et les rapports relatifs 4 la gestion des risques’; = Glaborer et mettre en ceuvre, sous réserve de examen et de 'approbation par lorgane délibérant, le disposi de gestion des risques, qui comprend la culture du risque & "échelle de Vétablissement, Tappétence pour le risque ainsi que les limites ; = mettre en place un systéme d'alerte précoce visant & détecter les cas d'infraction & l'appétence au risque et aux limites fixées par Vorgane déibérant ; = ofienter, voire récuser, toute décision qui engendre une prise de risque importante pour Fetablissement, rendre compte aux organes de gouvemance de toutes ces questions et proposer des mesures appropries pour atténuer oss risques Nota: La fonction gestion des risques ne doit pas s'impliquer dans les activités opérationnelles, en particulier celles qui sont génératric de revenus. Elle doit garder son indépendance vis des entités opérationnelies, tout en travaillant en étroite collaboration avec celles-ci, Les ressources humaines affectées la fonction de contréle gestion des risques doivent posséder un niveau élevé de connaissance des activités de I'établissement, de tout risque auquel il est exposé ainsi que de la maniére dont ces risques sont gérés. L’établissement est tenu de prendre les dispositions pour que ces ressources humaines maintiennent & jour leurs connaissances on matiare de gostion des risques.3.3- Réles du Responsable de la fonction gestion des risques Le Responsable de la fonction gestion des risques doit étre doté d'une expérience avérée en la matiére. la notamment la charge : - de surveiller 'élaboration et la mise en couvre du dispositf de gestion des risques ; + de renforcer constamment les compétences de ses équipes ; ~ dapporter son assistance & lorgane délibérant ou au comité de risques, le cas échéant, lorsquiil détermine et surveille 'appétence pour le risque et les limites ; ~ de participer, conjointement avec lorgane exécutf, au suivi des performances en matiére de risques et de respect des limites, Nota: Le Responsable de la fonction gestion des risques doit étre impliqué dans les processus clés de prise de décision relatifs notamment a la planification stratégique, a la planification des fonds propres et de la liquidité, 'élaboration et la mise en couvre du systime de rémunération, les nouveaux produits et services ainsi que les initiatives et les opérations stratégiques importantes.IV. LES PRINCIPES GENERAUX DE GESTION DES RISQUES Pour que le dispositif de gestion de risques soit efficace voire efficient, 'établissement doit disposer : 4.4- Principe de proportionnalité Létablissement est tenu de disposer d'un dispositif de gestion de risques adapté a sa taille, sa structure, la nature et la complexité de ses activités ainsi qu’a son profil de risque et, le cas échéant, & celui du groupe euquel il appartient. 4.2- Stratégies, politiques et procédures Le dispositif de gestion des risques doit étre basé sur des stratégles, politiques et procédures bien documentées qui permettent d'identifier, de mesurer, d'évaluer, de suivre, de déclarer et de contrdler ou d'atténuer ensemble des risques significalls de I'établissement, Les stratégies, politiques et procédures doivent étre dynamiques, de maniére a refléter lévolution du degré d'appétence au risque de létablissement, son profil de risque ainsi que les conditions de marché et environnement macroéconomique, Létablissement doit veiller & la mise en oeuvre de stratégies, politiques et procédures permettant d’avoir Une vision globale, a 'échelle de Forganisation, de ses expositions sur chaque type de risque. 4.3- Cartographie des risques Le dispostf de gestion des risques doit comporter une cariographie des risques (CDR). Cette COR doit tre adoptée par Forgane délibérant. La CDR recense, évalue et higrarchise ensemble des risques de Tétablissement. Crest donc un outil de pilotage stratégique aux fins d'assurer une bonne gestion sécurisée et un suivi adéquat des risques. Lexigence de la réglementation et la nécessité de mieux maitiser les risques inhérents aux activités d'ntermédiation financiére explique la mise en couvre, La COR doit étre dynamique avec une revue globale périodique de préférence au moins une fois par an. 4.3.1- Les phases de la cartographie des risques La méthodologie d'élaboration de la cartographie des risques, synthétisée comprend les principales phases suivantes : 1, Elaboration d'une cartographie des activités, point de départ du processus. En effet, les risques sont identifiés par activité et sous ectivté;2. Identification par les opérationnels des risques inhérents; 3. Evaluation en dehors de tout disposiif de controle des risques inhérents ou du dispostif de maitrse des risques (DMR) inhérents; 4, Evaluation du dispositif de contrdle. ll s‘agit du dispositif en vigueur afin d'apprécier sa pertinence et sa capacité a réduire la critcté du risque brut; 5. Evaluation des risques résiduels, entendu comme résultante de l'action du dispositf de maitrise des risques sur le risque brut; 6. Treitement du risque résiduel ; apres le traitement des risques un rapport sur les risques doit tre envoyé aux destinataires appropriés au sein de la société 7. Mise a jour ou actualsation de la cartographic selon la périodicité définie = Cartographle des activités v 2 Identification des risques inhérents « 3 Evaluation des risques inbérents « 4 Evaluation du DMR «€ 5 Evaluation des risques résiduels € 6- Traitement des risques résiduels 7 Rapport sur les risques 4.3.2- Evaluation des risques inhérents Des différentes phases du processus, il convient de s’appesantir sur ’évaluation des risques inhérents. Les principaux outils suivants sont requis dans le cadre de félaboration de la cartographie des risques : = le éférentil des risques organisé en famlles (ou typologies) de risques et en risques yénériques ; a= lafiche de risque qui est un document de base du processus. Il est uilisé lors de identification des risques ; échelle des probabiltés : elle sert & mesurer la fréquence ou Foccurrence du risque ; - Téchelle des impacts: elle permet de déterminer timpact (quantitatif ou qualitatif) de la matérialsation du risque ; la matric de hiérarchisation qui sert a higrarchiser les différents scores (différentes cotalions) que le risque peut prendre en raison de sa probabiité et de son impact Nota: On peut avoir des échelles a quatre (4) pas ou & cing (6) pas. Le risque est caractérisé par sa probabilié de survenance et la conséquence de sa malérialsation ou impact. Le risque brut est évalué en dehors de tout disposit de contréle. On suppose que le dispositf est inexistant ou totalement inopérant. La determination de la probabilté de survenance d'un risque est un exercice complexe & plus d'un titre, I peut étre réalisé sur la base de plusieurs hypothises : ~ Interrogation de historique des événements constitués de la base des incidents et élablissement & ide d'outils statistiques appropriés, d'une probabillé de reproduction des événements; ~ Définiton d'une probabilté d'occurrence de fagon intuitive ou empirique; ~ Attribution de la méme probabilté de survenance & tous les risques identifiés; ~ _Eteblissement d'une hypothése d'apparition d'un risque lors de 'accomplissement des activites. Cette demigre approche d'établissement de la probabilté de survenance des risques constitue une hypothése trés forte. Elle requiert un affinement au fur et 8 mesure de [élaboration de la base des incidents. En 'absence d'une base des incidents, cette demiére hypothése a été celle retenue dans le cadre des travaux d'élaboration de la cartographie des risques, A cet égard, téchelle des fréquences retenue comporte cing niveaux et se présente comme sult: EXEMPLE : ECHELLES DE SURVENANCE ET D'IMPACT DES RISQUES ECHELLE DE PROBABILITE SURVENANCE DU RISQUE Is cénatio wraisemblable mais rarement Tres rare Pu plus une fos tous les 3 ans, Rare JAuplus une fois par an _[Soénario pouvant survenir une fois par an eu fréquent Jau plus une fois par timestre [Scénario pouvant survenir plusieurs fois par an) Fréquent fau plus une fois par mois _Scénario pouvant survenir réguligrement Na (on applicable i le SFD rest pas concemé par le risqueECHELLE D'IMPACT DES RISQUES iquaniiatis Limits Modéré b 5% et <=20% du chitre dafares Fort 5 20% et <=50% du chitfe dattaires [Tres fort > 50% du cite dafares a Non applicable 4.4 Culture du risque ’établissement doit encourager le développement de la culture du risque a tous les niveaux de son organisation @ travers notamment la formation et les actions de sensbilsation. Tout membre du personnel doit comprendre approche des risques de létablissement ou du groupe. 4.5- Appétence au risque et gestion des limites Uétablssement doit mettre en place un disposi d'appétence au risque approuvé, supervisé et révisé annuellement par Vorgane délibérant et mis en oouvre par lorgane exécuti. L’établssement est également tenu de ~ Fixer les limites globales et des limites opérationnelles au niveau de ses différentes entits. Ces limites doivent étre établies de maniére cohérente, conformément au degré dappétence au risque de Tétablissement, 2 son profil de risque et @ son assise financiére ; = Stassurer d'une bonne appropriation de ces limites par le personnel concemé et d'une communication inteme réguiiére ; = Se doter d'un dispositf didentifcation et de gestion des dépassements au niveau higrarchique approprié, de régularisation, de suivi de la régularisation et de sanction en cas de dépassement persistant ; = Définircleirement la procédure a suivre en vue de soumettre, de maniére diigente, & examen et a fautorisation des organes habiltés, les cas d'exceptions aux polliques, procédures et limites établies, 34.6+ Systéme d'information L’établissement doit étre doté d'un dispositif de gouvemance des données sur les risques, d'une architecture de données relatives aux risques et d'une infrastructure informatique. 1! doit mettre en place un systéme d'information : - _Offrent des capacités d'agrégation des données de risques et de notification les risques & échelle de organisation ; = _Adapté, aussi bien en situation normale qu'en période de tensions, pour mesurer et évaluer la tall, la composition et la qualité de exposition au risque & Vchelle de létablissement pour ensemble des types de risques, des produits et des contreparties ; ~ Assurant la disponibilté, la qualité, la fiabilté et lintégrte des données ; ~ Garantissant la transmission en temps opportun, aux organes de gouvernance, de toutes informations pertinentes et utiles @ leur prise de décision. 4.7- Simulation de crise Létablssement doit établir des programmes de simulations de crise, aux fins de la gestion des risques, en vue d'évaluer impact potentiel de scenari adverses sévéres mais plausibles sur sa soldté financiére conformément aux normes en vigueur. Ces programmes doivent inclure tous les risques importants auxquels I'établissement est exposé, lls doivent en outre prévoir des mesures correctives lorsque les résullats des simulations de crise décélent des fragiltés potentieles qui pourraient avoir une incidence négative sur la solidi financiére de tétablissement, 4.8- Control femme Le dispositf de gestion des risques de I'établissement doit intégrer des contrdles interes rigoureux, adaptés a lampleur,@ la nature et a la complexité de ses expositions et ce, conformément aux normes en vigueur dans le secteur. Le dispositif de gestion des risques doit également faire objet d'examen annuel par dudit interne et les commissaires aux comptes qui apprécient de maniére indépendante lefficacité des systémes et processus d évaluation et de mesure des risques de létablissement, auDispositif de syst8me de contréle inteme Pour une bonne gestion des risques V'établissement doit mettte en place d'autres disposiis prévus dans le systéme de contre interne, Le systéme de contiée interne porte sur ~ a verification de ta conformité des opérations réalisées et de organisation avec les dispositions légales, réglementaires et prudentieles en vigueur, les normes et usages professionnels et déontologiques, les orientations et décisions des organes dirigeants, notamment en matiére de risques, de pouvoir, de signature et de taux diintérét ainsi que les procédures internes ; = la sureeillance de la qualité de Finformation comptable et financiére, en particulier les conditions d'enregistrement, de conservation et de disponibilté; ~ la protection des ressources humaines, de la clentéle et des actfs de Finsttuion ; ~ la prévention, la détection et la gestion des risques ; ~ la Verification du respect de la conformité des procédures avec les dispositions de la loi uniforme relative & la jtte contre le blanchiment de capitaux et le financement du terrorisme et leurs textes d application. Le manuel de controle interne précise les deux (2) grandes composantes de contrle inteme décomposées généralement en quatre (4) lignes de defense, Les deux (2) grandes composantes du contre interme sont: ~ le contrdle permanent (les deux premiéres lignes de défense) ; = Ie contrale périodique (les deux demniéres lignes de défense), Les quatre (4 lignes de défense (niveaux de contrdles) sont i ligne de défense: _contréles réalisés par les unités opérationnelles et leur hiérarchie dans le cadre du traitement des opérations quotidiennes ; 2éne ligne de défense : contrdles exécutés par les fonctions de support indépendantes des unités opérationnelles appelés contréleurs permanents, les gestionnaires de risques et agents de la Conformité ; 3 4ene ligne de défense : contrles périodiques des extemes (CAC, CAS-IMEC, BCEAO, CB-UMOA). ligne de défense : contrdles périodiques réaiisés par audit interne ;4,9- Reporting 49.1- AVorgane délibérant Un rapport sur la nature et le niveau d'exposition & chaque type de risques encourus par létablissement ainsi que ses besoins de fonds propres et de liquidité doit ére produit et soumis & Forgane délibérant ou a forgene en tenant leu, au moins une fois par semestre. Le rapport basé sur les informations flables et & jour, dolt également rendre compte notamment des concours consentis et les garanties recueilies, en précisant linstance ayant accordé les concours et ls limites de ses pouvoirs, de la qualité du portefeille de crédits et des provisions correspondantes ; de la nature et de exposition au risque de concentration de l'étabissement, y compris notamment les expositions par contrepartie, par secteur et par zone géographique, des principaux événements de pertes opérationnelies ; des transactions avec les parties liées, y compris les créances en souffrance et les créances iécouvrables ; des faits saillants relatifs & cheque type de risques identifiés dans la cartographic des risques de létablissement 4.9.2- Au Superviseur LEtablissement transmet & la Commission Bancaire de 'Union Monétaire Quest Afticaine ou a Vinstitution en tenant lieu, (le 30 avril au plus tard), un rapport annuel sur son dispositif global de gestion des risques. Ce rapport, élaboré par le Responsable de la fonction gestion des risques, doit élre validé par forgane delibérant avant sa transmission a la Commission Bancaire. 26V- GESTION DE CERTAINS RISQUES PARTICULIERS 5.1- Risque de crédit Principes Cheque établissement d'une certaine taille doit metire place un dispositif de gestion du risque permettant d'avoir une vision globale, l'échelle de organisation, de ses expositions au risque de crédi, sur la base de critéres prudents d'octroi, dévaluation, d'administration ou de distribution et de suivi des crédits. LLétablissement doit disposer de pollques, procédures et pratiques de gestion du risque de crédit ‘appropriées intégrant des contréles interes rigoureux, adaptés a 'ampleur, @ la nature et & la complexité de ses expositions. L'établissement doit se doter également d'un syst8me d'information et de gestion (SIG) intagre et flable de classification et de comptabllisation desdites expositions (crédits). renouvellement et restru Le processus d'octroi ou d'approbation de nouvelles expositions, de renouvellement ou de restructuration des expositions existantes doit étre encadré per des politiques et procédures bien formalisées adoptées par ! Assemblée Générale ou par délégation par Forgane déiibérant. Les décisions issues des délibérations lors de approbation, renouvellement ou de restructuration de crésits ne devront pas faire fobjet de confit dintéréts et doivent respecter les régles prudentielles et correspondre aux conditions de marché. Déléaations de pouvoirs de décistons Les politiques et procédures d'octroi, de renouvellement et de restructuration de crédits doivent inclure tun dispositif de délégations de pouvcirs de décisions. L'établissement doit alors identifier le niveau approprié de délégation, en fonction de la tallle, de la complexité de ses expositions, Le Directeur de la Gestion des risques ou le Responsable en charge de la gestion des risques doit Sassurer, & tout moment, que les limites de délégation approuvées par Forgane délibérant sont diment respectées par les différents niveaux identifies ”Nota Les expositions ci-aprés doivent relever d'une décision de Forgane délibérant: - Les expositions qualifiées de grands risques ou de risques élevés conformément aux disposttions prévues par le disposi prudentie! applicable aux étabissements de cxédits, aux compagnies financiéres et aux Systémes Financiers Décentralisés (SFD) de TUMOA; ~ Les expositions sortant du cadre habituel des activités de Tétabiissement, Appréciation du risque it Avant le montage d'une opération ou dun dossier de crédit, "'établissement doit effectuer des Vérifications préalables pour bien comprendre le profil de risque et les caractéristiques de chaque contreparte (client), et réguliérement parla sulte, au moins une fois par an, L'eppréciation du risque crédit se repose notamment sur analyse approfondie de la situation financiére du bénéfciaite, en particulier sa capacité de remboursement et, le cas échéent, sur les garanties recues (inanciére et matérielle) Les dossiers rolatifs aux créances en souffrance doivent étre actualisés et revus, au moins une fois le trimestre, de maniére & apprécier la capacité de remboursement des clients concernés. Les politiques et procédures de crécit doivent notamment : ~ comporter des modalités de suivi de la documentation, des avenants, des obligations contractuelles, des siretés et autres formes datténuation des risques ainsi qu'un systéme de notation ou de classement des crédits ~ permettre de suivre 'endettement total des emprunteurs et les facteurs de risque qui peuvent aboutir a des défauts de paiement ; = prévoir des mécanismes appropriés permettant une évaluation au moins annuelle de la valeur des suretés reques par |'établissement. L'évaluation des siretés doit refléter la valeur nette de réalisation, compte tenu des conditions de marché en vigueur ; ~ intégrer des mécanismes clairs et rigoureux destings & stassurer que toutes les Conditions juridiques requises en vue de la réalisation d'une garantie sont observées et dament documentées. Revue globale du portefeuille de cr établissement est tenu de procéder & une révision une fois le semestre (au 30 juin et au 31 décembre) de son portefeuille de crédits. Cette révision semestrielle permettra & létablissement dianalyser volution de la qualité des engagements de I'établissement ainsi que la rentabilité de ses opérations a Fs —travers des ratios prudentiels, des indicateurs financiers notamment de portefeuile& risque (PAR) et de rentabilté, Les informations issues de cette revue porteront notamment sur la cotation éventuellement accordée aux diverses signatures, le niveau de créances en soutfrance, les provisions y afférentes, les résultats du demier examen des crédis, une évolution de la qualité globale des créances en souffrance et une estimation de la dégradation présente ou attendue de la qualité du portefeulle de crédt Processus, systémes outils et données Létablissement doit recourir & des processus, des systémes, des outils et des données pour évaluer ‘son risque de crédit et estimer par ricochet ses provisions ainsi que ses exigences en fonds propres (prudentiets). Les processus, systémes, outils et données doivent notammer ~ inclure Fidentité (nom et prénoms) du débiteur, son encours de crédit, son statut de crédit en souffrance, le ratio préivaleur, le taux de perte historique, le type de produit (crédit), Péchéancier de remboursement, les exigences d'apport personnel (garantie financiére), le segment de march, la localisation, le type de streté (garanti) ainsi que la valeur des siretés ; = _permettre de regrouper adéquatement les expositions en fonction des caractéristiques de risque de orédit communes, en vue de d'assurer une mellleure survellance de la qualité du porteteville de crécits de 'établissement. Créances en souffrance ot Provisions Les politiques et procédures de gestion du risque de crécit doivent permettre la détection précoce des créances en voie de dégradation (8 travers les PAR), le traitement sans délai desdites créances, le maintien d'un niveau adéquat de provisions ainsi que le recouvrement des amiérés, Le systéme de classement des créances en souffrance et de constitution des provisions doit étre documenté et inclure les engagements hors-bilan. Les engagements hors-bilan par rapport a leur nature peuvent étre provisionnés dans les autres, débiteurs conformément au rétérentiel utlsé par ltablissement En somme, 'tablissement doit se doter de processus d'évaluation et de mesures permettant dassurer tne estimation fiable et une prise en compte totale et rapide des provisions & constituer conformément au référentel comptable applicable & fétablissement, & ses polliques et procédures et aux exigences prudentielles requises dans le secteur de 'établissement. Le provessus d’estimation des provisions requises doit combiner a la fois une analyse précise sur le niveau du risque de crédit afférent aux 2crédits et une prise en compte dinformations prospectives, y compris les facteurs macroéconomiques (en cas de besoin). Nota: La Commission Bancaire peut exiger la constituon de provisions complémentaires par tetablissement notamment dans les cas cl-aprés : - la classification des actifs effectuée par l'établissement est inadéquate (cas de restructuration des crédits par exemple) ; ~ les provisions sont insuffisantes & des fins prudenticlies et ne refldtent pas adéquatement les pertes prévisibles (non prise en compte de certains aspects de risques). Uétablssement doit alors constituer sans délai les provisions complémentalres demandées per le superviseur (la Commission Banceire). Transactions avec les parties liges Elles ne doivent pas étre assortes de conditions plus favorables que les transactions correspondantes avec des contreparties non liges, en termes d'évaluation du crédit, de teneur du contrat, de taux prendre en compte ridentiication et evaluation des risques Inhérents aux nouveaux Produits, aux nouvelles activités, aux grandes opérations d’acquisition ainsi que ceux découlant des changements de systémes, de processus ou de modéle économique ; ~ _ permettre d'identifier les plus signifcatis d'entre eux et d'apprécier la vulnérabilté de Tétablissement & ces risques ; ~ prendre en compte a la fois des facteurs internes et externes qui pourraient empcher "étabissement datteindre ses object, ‘établissement doit se doter de politiques et procédures afin de permettre aux organes de gouvernance de comprendre et de gérer ces nouveaux risques. Ce processus doit prendre en compte notamment ~ les risques inheérents y relatifs; ~ les modifications du profil de risque, de "appétence au risque qui en découlerat ; ~ les réponses aux risques identiiés notamment les controles nécessaires, les stratégies et processus d'atténuation des risques alnsi quo les risques résiduels, Nota : dans le cadre du processus d'approbation des nouveaux prodults, processus, systémes et activités, le consell d'administration ou le conseil collégial ou 'organe en tenant lieu doit également veiller & ce que les investissements appropriés en ressources humaines, matérielles et technologiques aient été faits avant leur lancement ou leur mise en ceuvre, De méme, une Equipe de pilotage et une équipe de suivi pourront étre mises en place de prime abord, 5.2.2- Externalisation En faisant recours Texternatisation, les organes de gouvernance de I'établissement ne sont pas exemotés de leurs obligations relatives a la conformité des contrats/conventions aux exigences légales et réglementaires applicables aux activités externalisées. De plus, le recours & lextemalisation ne les exonere pas de leurs obligations vis-d-vis de toutes les parties prenantes, notamment la clientéle, les 4Commsaires aux comptes, les Autoiés monétaires, de conte et de supervision. II ne mole pas les conditions d’exercice de leur agrément. Avant de stengeger dans un conrat dexteralsation, Pétablissement doit en évaluertopportunié et Drocéder & une évaluaton approfondie des risques y relaifs. Ce contrat doit tre soumis& faporobation préalable de Forgane délibérant qui doit notamment: ~ examiner, au moins deux (2) fois par an, la liste compléte des contrats @'extemalisation ; ~ _Simprégner des rapports 'exécution desdits contrats qui sont transmis par Forgane exécuti Gestion des risques liés a 'externalisation Pour mieux gérer les risques lis & fextemalsation, 'établissement est tenu notamment de ~ $e doter de politiques et procédures qui définissent les modaltés d’extemalisation et lui permettent d'identiier, de mesurer, @'aénuer et de contler adéquatement les risques yrelatis; ~ _ingrer les activités externalisées dans son dispostf de contrde interne ; ~ Se doter de compétences interes iui permettant de suivre le piitage opéralionnel du Contrat d'externalisation et 'appréciation des prestations regues ; ~ de disposer <'un plan de secours et de continuté des activités exteralisées visant & assurer la continuté dexplotation de fétablissement A la suite de la résilation de Contrat c'externalisaton, ou de Iincapacité du prestataire & honorer ses engagements, 04 duno décision volontaire de Fétabissement de rapatier les activites exteralisdes ~ dassurer un suivi adéquat des activités extemalisées et vel & ce que le prestataire Procéde au contrOle régulier de son plan de continuté des activités en cas de 4éfallance et quil dispose des compétences et moyens requis pour les corriger ; ~ de produire, dans le rapport de contre interme, un résumé du résultat des contréles effectués lés aux activités extemalisées. iz Ie E ~ tout projet de contrat d'externalisation doit respecter la réglementation de FUMOA Notamment fa soumission dudit projet & 'appréciation préalable du Secrétariat Général de la Commission Bancaire avant sa mise en ceuvre : ~ _ Fexternalisation d'une activité doit se reposer sur des contrats etlou des conventions de service solides ; 38~ _ préalablement ala conolusion de tout contrat d'externalsation,létablissement est tenu de procéder & une évaluation approfondie ou due diligence et documentée de la ccapacité technique, financiére et opérationnelle du prestaaire; - les activités de fonctions de contrdle notamment des filiales des établissements de crédit, des compagnies financiéres peuvent étre extemalisées auprés de la maison- mére ou d'une autre enfité du groupe implantée dans [UMOA.. Les quatre techniques ou mesures du COSO pour la gestion des risques évalués Une fois que ta Direction a identiié et évalué les risques pertinents, elle doit décider des réponses & leur apporter, Outre les contrles, la Direction de Fétablissement a d'autres techniques de réponse aux risques a sa disposition. Selon le référentiel COSO ces mesures sont: - laprévention - la réduction ~ Ie partage - Pacceptation De maniére générale les réponses données aux risques pertinents évalués consistent a les © taiter(réduire) + transférer (partager) + terminer (éviter) © tolérer (accepter)Vi-_ PLAN DE CONTINUITE D’ACTIVITE (PCA) Le monde est bouleversé notamment ces demiéres années par une succession inattendue de catastrophes et de crises diverses dont la nature et limpact ont considérablement évolué dans le temps. Ce constat nécessite que les entreprises se préparent davantage & fee face & ces sinistres qui peuvent interrompre de facon brutale le cours normal de leurs activités. Aucun établissement n’est & "abri de ce fléau, Des politiques, procédures et outs ont été mis en place afin de minimiser les risques. Certalnes de ces procédures ont méme pour object déviter certains risques, Mals lidéal « risque zéro » n’existe pas uisque les risques sont liés aux activités. Par conséquent, aussi efficace soitelle la stratégle de Prévention des risques ne peut en gerantirla non survenance, Ils'avére done indispensable d'envisager la possibilté de survenance de ces types de risques afin de mettre au point une organisation réactive dans le but de maintenircertaines fonctions jugées ertiques pour fétablissement. Cette preoccupation Sinscrt dalleurs dans les exigences légales et réglementaires des établissements relatives au contrdle interne. Selon le Comité de la réglementation bancaite et financiére, le Plan de Continuité d’Activté (PCA) est Composé d'un « ensemble de mesures visant a assurer, selon divers scénarii de crises, y compris face des chocs extrémes, le maintien, le cas échéant de fagon temporaire selon un mode dégradé, des prestations de services essentiels de I'entroprise, puis la reprise planifiée des activités » (CRBF 2004/02), Le PCA, un grand dispositif de gestion des risques, a donc pour objet de maintenir une continuité de services essentials ou critiques de Vétablissement sulle & un sinistre majeur, Le PCA ou le Plan de secours vise & garantir une exploitation sans interruption et limiter les pertes en cas de perturbations graves de lactivité, & savoir un incident qui peut endommager ou rendre inaccessible les installations, les infrastructures technologiques et de télécommunioations de Veétablissement et entrainer d'importantes pertes financiéres, ainsi que des inondations, des séismes, dos épidémies, des pandémies ou autres catastrophes naturelles. Le PCA décrit entre autres l'ensemble des actions coordonnées nécessaires pour permettre a "etablissement sinistré un retour & la situation intiale (normale) mais aussi a préserver ensemble des ressources humaines et matérielles, des aléas lis & la survenance du sinistre. L'établissement doit notamment : ~ désigner un responsable du PCA chargé d'élaborer, de mettre & jour et de tester ce plan ; ”mettre en place un comité de crise (ou une cellule de crise) et de gestion du PCA ; definir es principaux roles, obligations et pouvoirs, incluant des substituts ou collaborateurs remplagants, en matiére de continuité de l'activité ; veiller & ce que les ressources humaines critiques, y compris des intérimaires ou des experts externes soient identifiées ainsi que les modalités dlexercice des responsabiités ; prendre les mesures nécessalres pour s'assurer que l'ensemble du personnel est informé du contenu du PCA et de ses différentes r Les éléments essentiels du PCA Un PCA doit contenir notamment les stratégies et les procédures ddentifcation des fonctions, activités, processus ot systémes critiques de établissement qui doivent prirtairement étre repris en cas de Perturbations majeures, en particulier ceux qui dépendent de prestatalres extemes ou d'autres tiors les strategies et les procédures de protection et de récupération des données, avec Une attention particuliére & la capacité de restaurer les archives électroniques ou Physiques nécessaires ala reprise de I activité (Attentes ou stratégies de contnuité) des objects de continuté et de reprise d'actfs, notamment la durée maximale pour Testaurer les fonctions critiques (DIMA), les niveaux de reprise jugées acceptables des services fouris et le délai admis pour la reprise de activité normale aprés une perturbation grave ; les procédures de secours pour les données, les applications et les matériels importants ; les sites alteratifs de remplacement ou centres de secours (sites de repli, qui doivent étre situés a une distance prudente des locaux principaux ; les ressources minimales pour le rétabissement des fonctions essentielles (ressources critiques); les processus pour la restauration ou le remplacement des informations importantes sous forme électronique et papier ; les niveaux et les délais de reprises attendus ; un dispositif dalerte et de communication continue avec les prestataires et toutes les parties prenantes, en cas d'nterruption de Pactivitsla validation de la capacité de reprise de lactivité des prestataires d'actvites externalisées ; les conditions dans lesquelles un état d'urgence doit étre déclenché ainsi que des programmes de formation et de sensibilsation pour sassurer que le personnel peut effectivement exécuter les plans y afférents ; un budget identifiant les moyens nécessaires & la mise en couvre du PCA ; les plans de communication et de gestion de crise avec le personnel et les divers partenaires extemes ; la simulation de crise ou la maintenance ou les tests d’efficacité du PCA de méme que sa périodicté; la révision du PCA,Vil- AUTRES VISIONS DE LA GESTION DES RISQUES : COSO ET NORME ISO 31000 4+ Vision de la Gestion des Risques selon COSO COSO est un référentiel de contrdle interne défini par le Committee of Sponsoring Organizations of the Treadway Commission. Depuis mai 2016, le référentiel COSO suggérait une vision en trois (3) dimensions du management des risques représenté sous forme de cube avec ses cing (5) composantes du systéme de contréle interme. Rappelons que selon les objectifs du COSO, le contre interne fourit & une organisation (ntreprise), une assurance raisonnable quant la réalisation des objects dans trois (3) domaines ou dimensions. Les tris (3) dimensions du management des risques sont alos : - Efficacité et efficience des opérations Cette catégorie conceme les objectifs commerciaux de base d'une organisation, y compris les performances, la rentabillé et la protection des ressources, ~ _ Fiabilite des informations financiéres ou du reporting financier Le reporting financier englobe la préparation tats financiers flables et d'autres états sélectionnés (par exemple, les publications de résultats) tirés des données des états financiers et communiqués publiquement. = Conformité aux Loi et aux Réglements applicables Cette catégorie regroupe les Lois et Réglements qui s‘appliquent & forganisation (entreprise). Les cing (5) composantes du systéme de contrdle interne dont disposait COSO sont : - Environnement interne favorable a la maitrise des risques II détermine le ton donné par une organisation (entreprise, institution, etc.) en sensibilisant son personnel aux questions de contrdle. Il constitue le fondement de toutes les autres composantes du Contréle interne et fournit discipline et structure. - Evaluation des risques Cest Identification et analyse des risques pertinents liés a la réalisation des objectifs. Elles forment la base sur laquelle repose la détermination de la facon de gérer les risques, 0~ Activités de contrdle Les politiques et les procédures qui contrbuent & la mise en oeuvre des directives prises au niveau de ‘a Direction, Elles aident a s'assurer que les mesures nécessaires sont prises pour faire face aux risques afin de réaliser les objectifs de entits. = Informations et communication Les informations pertinentes doivent étre identifiées, recueillies et communiquées sous un format et dans un délai qui permettent aux individus de s'acquitter de leurs responsabiltés. Une communication efficace doit également étre assurée dans toute organisation, de fagon ascendante, descendante et ‘transversale. + Surveillance (pilotage du contréle interne) Les systémes de conirdle inteme doivent étre survellés par un processus qui évalue la qualité de la performance du systéme dans le temps. Pour y arriver, on peut avoir recours @ des activités de suneilance continue, des évaluations indépendantes ou une combinaison des deux. Le COSO révisé parle de quatre (4) dimensions et de sept (7) composantes. Les quatre (4) dimensions sont = Stratégie - Opérations = Reporting - Conformite Les sept (7) composantes sont énumérées ci-dessous : + definition des objectts "+ identification des événements = évalvation des risques = réponse aux risques ~ activites de contile = _ Informations et communication - surveillance 2. Vision de Ia Gestion des Risques suivant la Norme ISO 31000 ISO est une organisation intemationale non gouvemementale compose de 162 organisations nationales de normalisations. 180 a publé plus de 22000 Normes internationales.SO 31000 désigne une famille de normes de gestion des risques codifés par Organisation internationale de normalisation. Le but de la Norme ISO 31000 est de fournir des principes et des lignes directrices du Management des risques ainsi que le processus de la mise en couvre au niveau stratégique et opérationnel. 180 31000 a été publié en 2009 et a été révisé en 2018 en tenant comple des nouveaux risques émergeants notamment ceux afférents & la monnaie électronique ou numérique, LISO 31000 est un cadre pour le développement systématique de la gestion des risques de lentreprise qui peut étre utlisé par tout type dorganisme sans distinction de tale ou d'activté parce que organisation peut adapter le cadre au périmétre approprié et au contexte environnemental. Principes de la Norme ISO 31000 LIS 31000 est un document succinct fondé sur des principes, qui vise A mettre accent sur la transparence et la orédibilté au niveau de la fonction de gestion des risques. Ces principes stipulent que la gestion des risques ~ _estune activité valeur ajoutée ; = ne peut se dissocier des opérations et des processus de prise de décision de organisation ; + tate de tincerttude de fagon structurée, ordonnée, sans ambiguité et en temps ‘opportun ; ~ _ utlise les meiloures informations disponibles ; + est adaptée & environnement exploitation, la culture et les objectiis de Forganisation ; "+ est transparente, verifiable et inclut les parties prenantes ; - _utlise un cycle iterati pour favoriser une améloration continue, les connaissances au niveau organisationnel et fa cepacité s'adapter rapidement aux changements en termes d'environnement. ‘2Sigles et Acronymes CB-UMOA : Commission Bancaire de Union Monétaire Quest Africaine (ou Commission Banceire) CDR : Cartographie des Risques COSO : Committee of Sponsoring Organizations (ofthe Treadway Commission) DIMA: Délai dInterruption Maximale Admissible ERM : Enterprise Risk Management A: Institute of Internal Auditors IF : Institution financiére 180 : Intemational Organization for Standardizalions (Organisation Intemationale de Normalisation) PAR : Portefeuille a risque PCA : Plan de Continuité d’Activité RCSFD : Référentiol Comptable des Systémes Financiers Décentralisés SIG : Systéme d'information et de Gestion ‘SFD ; Sysiémes Financiers Décentralisés UMOA ou Union : Union Monétaire Ouest AfticaineBibliographie 1 Le Management des Risques de lentreprise - cadre de référence (Enterprise Risk Management ~ Integrated Framework) / Publication du COSO; 2 Enterprise Risk Management: Trends and Emerging Pratices (Gestion des Risques de Tentreprise : tendances et pratiques émergentes) publié en 2001; 3 The Role of intemal Auditing in Enterprise-wide Risk Management (Role de rauait interne dans le management des risques de entreprise) ; 4- La Norme ISO 31000 :2009 « Management du risque — Principes et lignes directrices » 5- La Norme ISO 31000 :2018 « Management du risque -Principes et lignes directrices » 6 Manuel de gestion des risques en microfinance (Craig Churchill et Dan Coster, CARE 2001) ; “