Maîtriser les risques opérationnels

• Identifier les différents risques opérationnels et leurs indicateurs.
• Étudier les catégories d’incidents opérationnels et cartographier les risques.
• Mettre en place le dispositif de couverture du risque opérationnel, de gestion et de suivi des incidents opérationnels.

Définir le risque opérationnel

• Situer le risque opérationnel parmi les autres risques.
• Cerner l’aspect réglementaire (Bâle II).
• Appréhender les évolutions réglementaires (rappel Bâle II / Bâle III / Bâle IV).
• Gérer le risque opérationnel, calculer le niveau de fonds propres, zoom sur l’activité private banking (MiFID, AML/F, risques légaux, risque de conformité…).

Identifier les indicateurs des différents risques opérationnels

• Le risque de crédit: risque de défaillance et coût du risque, risque règlement-livraison, risque de crédit aux particuliers, sociétés et entreprises, système de suivi des risques.
• Le risque de marché: risque de position, risque de change.
• Le risque de taux: le risque de taux d’intérêt, plusieurs suivis de la sensibilité, sensibilité de la valeur économique, sensibilité de la marge nette d’intérêt.
• Le risque de réputation.
• Le risque de rentabilité.
• Le risque IT/cyber Risk / sécurité informatique et les mesures de mitigation du risque IT.
• Le risque de liquidité: coussin de liquidité, ratio de levier, LCR, NSFR…

Maîtriser les catégories d’incidents opérationnels

• Étudier la classification Bâle II.
• Étude de cas.

Déterminer les exigences en fonds propres pour le risque opérationnel

• Indicateur à identifier.
• Calcul à réaliser.

Étudier la cartographie des risques / RCSA (Risk Control Self Assessment)

• Risque inhérent.
• Risque résiduel.
• Mesures migratrices.
• Key Risk Indicator.

Mettre en place le dispositif de gestion et le suivi des incidents opérationnels

• Recensement permanent des incidents opérationnels.
• Tracking / identification sur les comptes internes dédiés aux incidents.
• Identifier les incidents récurrents.
• Mettre en place une classification par gravité des incidents.
• Se concentrer dans un premier temps sur les plus critiques.
• Mettre en place des actions correctrices avec le business.
• Challenger les contrôles proposés.
• Mettre en place un plan de contrôle interne sur zones les plus risquées.
• Mettre en place un Comité Risque Opérationnel.
• Produire des reportings sur les risques opérationnels à l’attention de la Direction.

BCP/DRP

• Identifier toutes les applications opérationnelles nécessaires à la conduite du business.
• Vérifier en interne ou en externe avec les prestataires leur mode de secours.
• S’assurer de disposer de locaux de secours suffisamment éloigné du site principal.
• S’assurer des équipements disponibles et de leur fonctionnement.
• Réaliser des tests régulièrement.
• Identifier les activités les plus critiques et définir un temps raisonnable de redémarrage.
• S’assurer de disposer de Datacenter de secours.
• Tester régulièrement le basculement et l’accès aux données de ces Datacenter "Bis".
• Développer des scénario catastrophes (ex: coupure de courant, pertes de données, incendie…).

Mettre en place une couverture du risque opérationnel

• Développer un plan de contrôle interne sur base des résultats des RCSA et des incidents.
• Réaliser régulièrement des formations et actions de sensibilisation.
• Utiliser les incidents les plus critiques pour en faire des "Case Study" / Scénarios.
• Simuler les scénarios au sein des divers entités du groupe / départements.
• Analyser comment le cas échéant ces incidents seraient gérés.
• Communiquer régulièrement sur le risque opérationnel.

Promouvoir et maintenir une culture de risque opérationnel

• Mise en place de contrôle préventif (2nd level).
• Formation.