Facteurs de risque
Considérant chaque risque unitaire au croisement des référentiels des pro-cessus et des risques et considérant les effets du dispositif de maîtrise en vigueur sur ce risque, il est procédé à l’auto-évaluation du risque sur une échelle à 7 niveaux de fréquence et 9 niveaux de gravité.
Cette démarche couvre l’ensemble des activités du Crédit Mutuel Arkéa. Les activités support font également l’objet d’une modélisation de leurs processus et des risques associés. Compte tenu du niveau d’informatisation des proces-sus, l’efficacité des dispositifs de maî-trise des risques touchant au système d’informations est examinée avec une attention particulière.
Déclaration des incidents survenus Le Crédit Mutuel Arkéa collecte ses incidents dans un outil interne dédié.
Cet outil s’appuie sur le référentiel de processus et de risques décrit ci-des-sus et intégrant à la fois :
■
■le référentiel CNCM (Confédération Nationale du Crédit Mutuel), appelé socle commun, comprenant la typolo-gie des risques Bâle II ;
■
■le référentiel propre au Crédit Mutuel Arkéa, issu de la démarche PRDC (référentiel des processus « P » et des risques « R »).
Le montant global des incidents décla-rés en 2013 est en nette baisse par rapport à 2012. En effet, les incidents déclarés en 2013 ont représenté un montant total (pertes avérées et pro-visions) de 17,4 millions d’euros contre 41,1 millions d’euros pour les incidents déclarés en 2012. Cette baisse est pour partie expliquée par la survenance d’incidents significatifs en 2012.
La référence à la norme CNCM en ma-tière de référentiel des processus et des risques opérationnels permet au Crédit Mutuel Arkéa de remonter l’ensemble des incidents survenus sur la totalité de son périmètre à la CNCM pour, in fine, alimenter :
■
■la série chronologique des sinistres enregistrés au titre des risques opéra-tionnels par le groupe Crédit Mutuel, servant au calcul des risques pondé-rés sur les risques opérationnels dits
« de fréquence » ;
■
■les déclarations réglementaires Bâle II au titre du risque opérationnel.
4.6.3 Modélisation des risques opérationnels
Organisation
Depuis le 1er janvier 2010, le groupe Crédit Mutuel est autorisé à utiliser son approche de mesure avancée pour le calcul des exigences de fonds propres réglementaires au titre du risque opéra-tionnel, ainsi que l’application de la dé-duction des assurances depuis 2012.
Le Crédit Mutuel Arkéa participe acti-vement aux chantiers engagés au plan national par le groupe Crédit Mutuel.
Dans ce cadre, des ressources dédiées sont affectées à la revue annuelle des cartographies des risques et des modèles à dire d’experts ainsi qu’à la modélisation statistique et au calcul de l’exigence de fonds propres. Ceci per-met de garder en interne le niveau de compétence et la réactivité nécessaires à la modélisation des risques opération-nels et à la quantification de leur exi-gence en fonds propres.
Par ailleurs, le Crédit Mutuel Arkéa alimente le calcul de l’exigence de fonds propres ef-fectué à l’échelle du Crédit Mutuel en
indi-cateurs de risque pour les risques dits « de gravité » et en distribution de sinistres pour les risques dits « de fréquence ».
Analyse des pertes externes Le groupe Crédit Mutuel est abonné à une base de données externes permet-tant d’enrichir et diversifier l’alimenta-tion du système de mesure et d’analyse du risque opérationnel. L’utilisation de cette base et les modalités de prise en compte de ces données font l’objet d’une procédure nationale.
Quantification
Pour la quantification du risque opéra-tionnel, deux approches de modélisa-tion ont été retenues :
■
■pour les risques dits « de fréquence » qui ont pu être constatés dans les his-toriques de pertes et dont la gravité anticipée par les experts n’est pas de nature à engendrer une perte inatten-due trop conséquente, la technique de Loss Distribution Approach (LDA) est utilisée ;
■
■pour les autres risques dits « de gra-vité », l’analyse réalisée par les experts du groupe aboutit à la mise en place de scénarios nécessitant la fourniture d’indicateurs de risque. Ces indica-teurs servent aux modèles de proba-bilité conditionnelle basés sur chaque scenario.
L’approche est complétée d’une prise en compte des corrélations entre les différents risques afin d’aboutir à l’exi-gence de fonds propres.
L’exigence de fonds propres globale est ensuite répartie entre les différentes entités du groupe Crédit Mutuel. Pour le Crédit Mutuel Arkéa, l’exigence de fonds propres réglementaires au titre du risque opérationnel est de 132 mil-lions d’euros à fin 2013.
4.6 risque opérationnel
Assurance
Le groupe Crédit Mutuel a obtenu l’auto-risation de l’Autorité de contrôle pruden-tiel et de résolution (ACPR) pour mettre en œuvre le bénéfice de la déduction des assurances souscrites en couver-ture de ses risques opérationnels.
L’assurance est ainsi complètement intégrée dans la démarche de gestion des risques :
■
■l’évaluation des risques opérationnels conduit à la production de scénarios pour les risques de gravité ;
■
■les asymétries entre les couvertures d’assurance et les scénarios produits sont analysées ;
■
■les programmes d’assurance peuvent ainsi être mieux adaptés au profil de risque déterminé (périmètre couvert, plein de garantie).
Les couvertures par assurance rete-nues à ce jour dans le processus de déduction sont celles relatives :
■
■aux dommages aux biens mobiliers et immobiliers (multirisque) ;
■
■à la fraude (assurance « globale de banque ») ;
■
■à la responsabilité civile profession-nelle (RCP).
Les programmes d’assurance du Cré-dit Mutuel Arkéa respectent les critères d’éligibilité Bâle II (notation, durée initiale, durée résiduelle, préavis de résiliation, …).
4.6.4 Gestion de crise et continuité de l’activité
Le plan de continuité d’activité (PCA)
crise afin de minimiser les impacts d’un sinistre majeur sur les activités du Cré-dit Mutuel Arkéa et sur sa clientèle. Les activités visées sont les prestations de service ou opérations essentielles ou importantes telles que définies par la réglementation.
Ce dispositif est déclenché lors de la survenance de crises majeures : chaque PCA est appelé à être mis en œuvre lorsqu’un incident provoque l’arrêt d’une activité essentielle dont la durée prévisible ou certaine dépasse le délai maximal d’interruption admissible de cette activité.
Le plan de continuité des activités groupe s’articule autour des deux plans suivants :
■
■le « plan de management de la crise » ;
■
■le « plan de continuité des activités » métiers et fonctions support.
Le plan de management de la crise traite des aspects organisationnels, en cas de sinistre, en définissant les rôles et responsabilités des acteurs des dif-férentes cellules de crise :
■
■la cellule de crise décisionnelle (res-ponsable : le Directeur général du Crédit Mutuel Arkéa) ;
■
■la cellule de crise opérationnelle (res-ponsable : le Directeur des risques du Crédit Mutuel Arkéa) ;
■
■la cellule de sortie de crise (respon-sable : le Directeur en charge de réta-blir la ressource défaillante).
Chaque « plan de continuité des activi-tés » métiers et fonctions support est placé sous la responsabilité du direc-teur de l’entité ou activité concernée.
Celui-ci désigne un responsable de PCA qui prend en charge la mise en
La cohérence globale de l’ensemble des PCA est assurée par une animation confiée au Département risques opé-rationnels, au sein de la Direction des risques du groupe Crédit Mutuel Arkéa.
A ce titre, le responsable du PCA groupe est le responsable du Départe-ment risques opérationnels.
Un plan de continuité d’activité métier est bâti pour répondre à cinq scénarios de crise :
1 : indisponibilité des locaux :
Locaux détruits, inutilisables ou inaccessibles.
2 : indisponibilité des systèmes d’infor-mations :
Incident système central, serveur, réseau ou logiciel.
3 : indisponibilité du personnel :
Personnel en incapacité de travail-ler (quel que soit le lieu, y compris à domicile).
4 : indisponibilité de l’énergie et des télécommunications :
Panne d’alimentation électrique ou des moyens de télécommunication.
5 : indisponibilité des fournisseurs clé : Fournisseurs -externes et internes- indispensables aux activités essen-tielles.
Chaque scénario comprend trois phases : 1. Les mesures d’urgence.
2. Le contournement.
3. Le retour à la normale.
Le PCA débute à partir du moment où les opérations sont confiées à la cellule de crise opérationnelle sur décision de la cellule de crise décisionnelle. Il se termine lorsque le retour à la normale est constaté par la même cellule de
Facteurs de risque 4.7 risque juridique