FORUM DE LA CARTOGRAPHIE 2008

VISUALISATION DES RISQUES OPERATIONNELS DANS L’ENTREPRISE

EXPERIENCE EN EUROCLEAR SA

Jocelyne Cujard

EUROCLEAR SA/NV• Le plus grand système mondial de règlement/livraison pour les transactions domestiques et internationales sur : obligations, actions, produits dérivés fonds d’investissement.

•Groupe Euroclear: • Euroclear Bank basé à Bruxelles, • les Dépositaires centraux nationaux de titres :

• Euroclear Belgium, • Euroclear France, • Euroclear Nederland • Euroclear UK & Ireland

•Chiffres clefs:• Valeur totale des transactions sur titres dénouées par le groupe Euroclear :

560 000 milliards d’euros par an. • Valeur des titres détenus pour le compte des clients :

19 000 milliards d’euros.• Euroclear Bank notée AA+ par Standard & Poor’s et Fitch Ratings.

Acteur marché financier

Activités

Chiffres clefs en 2007

Projets

Environnement

Système leader du Règlement Livraison de titres

Obligations

Actions

Produits dérivés

Fonds d'invertissement

structure

Dépositaires centrauxnationaux

Euroclear Belgium

Euroclear France

Euroclear Nederland

Euroclear UK&Ireland

Dépositaire international Euroclear Bank

Règlement Livraison

Refinancement auprès de la BCE

Codification des valeurs

Conservation

Opérations sur titres

Nombre de transactions dénouées: 155,5 millions

Capitaux dénoués: 561 800 milliards €

Conservation titres: 19,2 trillions €

Employés : 3000 personnes

Programme Euroclear Settlement of Euronext zone Securities (ESES)

Accès domestique à tout titres Euronext

Carnet d'ordre unique Ensemble des dépositaires nationaux

Plate-forme unique européenne

RégulateursAutorité des Marchés Financiers

Banques Centrales nationales

Centrale de règlement

Banque Centrale Européenne (Target2)

Bourses

ClientsBanques

Sociétés de boursesite www.Euroclear.com

GROUPE EUROCLEAR

Le nouveau dispositif Bâle II

Les objectifs : • aligner les exigences en fonds propres sur les risques supportés par les banques • assurer de meilleures conditions de concurrence au niveau international• promouvoir une plus grande transparence fondée sur la publication par les banques, d’informations quantitative et qualitative sur la nature et le suivi de leurs risques.

Les moyens:• mettre en place un dispositif de recensement et de résolution des incidents, • décrire les activités de la banque par processus métier, • identifier les risques opérationnelles, de les décrire • évaluer les pertes potentielles liés à ces risques, • définir des indicateurs de suivi des risques

AUDIT

Risques & Incidents

Contrôle interne

Brainstorming Auto-évaluation

Cartographie des risques

ReportingSuivi des plans d’action

GESTION DES RISQUES

Bases de données

Procedures d'évaluation

Règlementation

Continuité de l'activité

Les outils de la gestion des risques

Escalade

Procédures

IncidentRapport

Suivi

Risques

Procedures

Balanced Scorecard

Détection et suivi des risques opérationnels

Base de données

Méthodologie d'évaluation des risques

Suivi des risques

Résolution

Acceptation

Transfert (ex assurances)

Indicateurs clefs de risques

Metadata

Auto-évaluation

Risques et contrôles Questionnaire

Rapport

Revue du système de contrôle interne

Gestion de projet

Gestion des risques projets Checklists

des risques

Comité d'évaluation des risques des nouveaux projets

Directives et procédures

Directives du Conseil

Procédures de gestion, de mise en place et d'opération

Sécurité

Sécurité de l'information

Directives groupe sur la sécurité

Règlements et usages pour gestion de sécurité de l'information

One Minute Security Manager

Base de scenarios catastrophes

Dual Office

Continuité de l'activité

Plans de continuité de l'activité

Analyses des impacts

RISK MANAGEMENT

Tableau de 20 pages

• Auto-évaluation des risques faite lors de deux séances annuelles de « brainstorming » organisées dans chaque département de chaque entité du groupe

• Questionnaire structuré par type et origine des risques opérationnels potentiels (Cf. Bâle II)

Questionnaire

Questionnaire

Risques & Incidents

1° CartographieBrainstorming Auto-évaluation

2° Cartographie des risques

MISE EN ŒUVRE DE LA CARTOGRAPHIE

1- CARTOGRAPHIE DU BRAINSTORMING

Hypothèses:• Carte = liberté d’association d’idées• Intuition ; pas de mode d’emploi• Digression par l’image, par l’émotion

Contraintes:• Respect du questionnaire pour les besoins de Bâle II

organisation par domaine organisation par type de risque

• Résultats transposables dans les outils du Risk Management

Execution - delivery - process Fraud

Clients-products-business practices

Technology-infrastructure failure

REGLEMENTLIVRAISON

journée comptable

dead lines respect planning

gestion de crise communication

réglementation régulateur

facteurs humains

compétence formation

management

responsabilités

communication

anticipation

motivation

sécurité physique

procéduresrédaction

application

mise à jour

interaction externe

participants

contributeurs

systèmes exogènes

contrat / SLA

interaction interne

collecte / émetteurs

production informatique

support clientslogistique clients

raccordement

SLA

malicious damage

facteurs humains

identification

procédure

détection

fraude interne

facteurs humains

effectifprestation

recrutement

managementcontrôle

aspects techniquesprocédurecontrôle

autorisation d'accès

fraude externeenvironnement

règlement

technique

surveillance

règlementation

documentation juridique

veille juridiquesuivi réformes

lobbying

marché étranger

régulateur

protection de l'information

gestion des impacts sur produits

participants

émetteurs

négociateurs

compensateurs

autres

contributeurs

groupe EOCCSD

EB

correspondants

agents payeurs

LCH Clearnet

Banque de France

services financiers

gestion des produitsmise en place

pratiques de marché

contrats

communicationréseaux

reporting

applications

évolution

maintenance

gestion des incidents

projetsanalyse besoins

tests

mise en place

bases de données

accèscertification

évolutioncapacité

intégrité

gestion de crise

alerteescalationgestion des incidents

contingency

déclenchement

tests

EF

Groupe

Place

dual officeorganisation

retour à la normale

systèmes exogènesPF Cristal

PF

EVALUATION DES RISQUES BRAINSTORMING

2- CARTOGRAPHIE DES RISQUES

• Sous-produit des outils du RM Alimentation automatique des cartes à partir de la base de données Risques (pas de re-saisie)

• Vue globale instantanée de la base de données Risques• Niveau de détails suffisant• Code couleurs efficace• Icônes récurrentes

• Arborescence:par domaine de gestion par type de risque (Cf. Bâle II)

• Utilisation:Simplicité de lecture intuitive et émotionnelle

*

* Données factices

Euroclear France

Euroclear SA/NV

Légende

Risques ouverts au 09/02/58

Issuer ServicesInadaptation de deux états d'OST impliquant un contrôle insuffisant

4029820

Operations Division Management

Obsolescence del'application Untel

1000639

Procédure d'escalation inadaptée en cas de problème sur la non réception de fax

4030101

Securities Settlement Operations

Dépendance du traitement des réclamations aux mouvements internationaux

1000737

Messages non trasmis par le Pilotage

4028721

Etats erronés concernat la justification des transactions

4029849

Disparition de messages4029850

Pénalité non appliquée

4029851

Mauvais traitement de messages durant la phase de préparation des mouvements

4030060

Corporate Technology

IT Security Management

Improve Network Security (1)

4027520

ManagementLake of production stability

4030117

Legacy Roadmap & Development Services

LR & DS Division Management

Improve risk awareness, avoidance measures and controls

4028725

Resource and Skill Mgt & Evolution

Weaknesses in the unit testing execution

4029357

Financial

Financial Division Management

No sufficient empowerment/awarnesess creation from top management to lower layers

4029549

Group Management Reporting

No automatic links with master data in HR. Risk of errors and delays in processing changes.

4029970

Need to define all end-to-end processes: a) Roles & responsibilities, b) approval flow allowing to set ownership & accountability.

4029975

Allocation of headcount expenses to projects is not transparent and not fully accurate.

4029992

Human Resources

HR Division Management

Need to comply with the French legislation

4030092

HR Operations France

l'augmentation de l'absentéisme

1000571

Risque fort

Risque moyen

Risque faible

Cartographie des risques d'Euroclear France

* Données factices

*

Euroclear France

Euroclear SA/NV

Légende

Risques acceptés au09/02/58

Client Support Obsolescence application Untel1000601

Issuer ServicesUnclear application maintenance capabilities and strategy applications

1000643

Operations Division Management

Informations tardives sur les admissions de valeurs

1000723

Délais d'admission sur les Opérations Sur Titres.

1000724

Manque de procédures dans le cadre de nouveaux produits

1000726

Stress des personnes lié aux impacts des projets

1000727

Securities Settlement Operations

Manque de convention 1000107

Non prise en compte des DMF, des projets forcés dans le contexte des projets stratégiques

1000635

Contrainte business d'accepter des délais réduits ou des docs réduites

1000734

Absence de procédure de rétrorefection 1000011

Absence d'un outil de tracking du temps passé à effectuer les traitements manuels induits par des services de plus en plus complexes.

1000409

Absence de rapprochement automatisé entre les positions du mainframe

1000410

Non automatisation de l'information à communiquer

1000481

Instabilité des environnements de tests1000733

Corporate Technology

IT Security Management

ABC is not included in BCP tests4028502

Lake of security review of operational activity

4028504

Manque de tests d'intrusion sur l'ensemble des types des plates-formes actuelles

1000467

Gestion non sécurisée des droits d'accés

1000483

Technical ServicesMultiples erreurs de connexion 1000492

ESES Programme and LR France

ESES ProgrammeLimited progress on operability requirements analysis

4027674

Legacy Roadmap Francemanque de la sécurité des accès sous application XXX

1000340

Legacy Roadmap & Development Services

Legacy Roadmap BE/NLExternal parties involved in project can jeaopardise the delivery of the project

4027845

Legacy Roadmap ESAmanque d'optimisation de la transaction GC8C

1000594

Risk ManagementContingency

BC procedures missing to tackle loss of messages4026880

Human Resources HR Division Management

Inconsistency in headcount definition remains across entities

4029716

Financial

Corporate Procurement

Dépendance vis à vis des fournisseurs de logiciels externes

1000471

FacilitiesPhysical infrastructure failure due to human acts

4028429

Risque fort

Risque moyen

Risque faible

Cartographie des risques d'Euroclear France

PERSPECTIVES

• Expérience lancée dans une entité du groupe (Euroclear France)

• Présentation aux managers des autres Dépositaires Centraux Nationaux

• Mise en place des cartes dans les rapports mensuels du Risk Management