Parmi les outils nécessaires à la conformité, la cartographie des risques demeure l’outil essentiel de base pour renforcer la culture du risque au sein de l’établissement financier.
Si la cartographie des risques est une exigence règlementaire, elle constitue un moyen pour aider les organes de gouvernance (organe délibérant et organe exécutif) à déterminer le dispositif de surveillance du risque à mettre en place, mais surtout d’arrêter une vision partagée au sein de l’établissement afin d’hiérarchiser les sujets à traiter en mettant en place une stratégie de gestion des risques.
C’est un élément clé dans la gestion des risques de non-conformité en ce sens qu’elle apporte la visibilité nécessaire et confère à l’entreprise la capacité à connaître et comprendre les risques prioritaires.
Considérant la diversité des risques (crédit, marché, liquidité, opérationnelle, non-conformité, blanchiment d’argent et financement du terrorisme, conflit d’intérêt, corruption, etc.) mais également des destinataires tel qu’indiqué dans les instructions de la banque centrale et les circulaires de la commission bancaire, il convient de la traiter différemment selon la nature du risque, d’autant plus que les usages sont différents. C’est le cas par exemple de la cartographie globale de risques destinée au conseil d’administration afin d’avoir une vision globale qui lui permettra d’identifier les sujets majeurs pouvant avoir un impact significatif sur le fonctionnement et la stratégie de l’entreprise, a contrario d’une cartographie des risques plus opérationnels comme celle du risque des conflits d’intérêts, de la corruption, de la lutte contre le blanchiment de capitaux et le financement du terrorisme, toutes basées sur les processus, les zones géographiques, l’impact sur le business de l’entreprise.
En réalité, l’enjeu d’avoir plusieurs cartographies est de pouvoir naviguer entre une version agrégée globale, nécessaire pour la gouvernance de l’entreprise, et une version opérationnelle détaillée pour la gestion efficace du risque.
L’objectif premier de la cartographie des risques est bien connu : elle consiste à hiérarchiser tous les risques identifiés, puis de déterminer les plans d’action nécessaires pour les réduire voire les maîtriser en fixant des priorités. Sa réalisation repose sur la combinaison de deux critères primordiaux : la probabilité de survenance du risque d’une part et la gravité de la conséquence de la survenance de ce risque d’autre part. D’autres critères sont également pris en compte afin d’affiner l’évaluation du risque, il s’agit de la fréquence, l’occurrence, l’impact et les conséquences.
La combinaison de ces critères permettra d’évaluer dans un premier temps ce qui correspond à la vision du risque dans l’absolu : c’est le risque brut. Ensuite, en considérant tous les éléments de maitrise effectivement mis en œuvre afin de réduire, voir maîtriser le risque brut, il en ressortira le risque net. C’est ce risque qu’il faudra retenir et dont il faudra tenir compte dans la détermination du plan d’actions.
De manière plus pratique, la cartographie des risques de non-conformité se fait selon les étapes ci-après illustrées :