Quantification en gestion globale des risquesEnjeux et apports méthodologiques de
l’industrie et de la banque
Nov 2008
Laurent Condamin - Directeur Associé Elseware, +336 87 72 23 51, [email protected]
Ismail Lazrek - Directeur KXIOP, +336 76 71 05 98, [email protected]
Patrick Naïm – PDG Elseware, +336 08 34 10 01, [email protected]
Introduction
Définition du risque Tout événement susceptible de se produire dans un horizon
de temps défini et pouvant influencer de manière significative la réalisation des objectifs de l’entreprise
Comment quantifier le risque ? Approche statistique
Etude de la fluctuation des objectifs dans le passé Quantification = variance
Approche analytique Cartographie des risques
L’approche analytique permet l’action
La quantification des risques est une évaluation de l’incertitude sur les objectifs. Pour être utile, cette évaluation doit être conditionnelle et donc analytique.
Quantification analytique
Cartographie Pour atteindre ses objectifs, il faut des ressources Les ressources sont exposées à des périls
La mesure analytique du risque se base sur une cartographie. La quantification qui en résulte est une distribution conditionnelle.
Péril
Ressource
(F,G)
Quantification statistique
Investissement financier Objectif = rendement à un horizon donné Risque = incertitude sur ce rendement
Marchés efficients Les évolutions de marché sont imprévisibles (trop de
facteurs) Dans ce cas (EMH), le rendement suit une loi normale.
La mesure du risque Une seule valeur suffit Elle est inconditionnelle
La quantification statistique du risque est issue de la finance, sous une hypothèse dite des « marchés efficients », qui rend l’analyse sans objet.
Les risques opérationnels
Accord de Bâle II Couverture par des fonds propres de 99.9 % des risques
opérationnels Applicable depuis le 1er Janvier 2008 (quelques jours avant l’affaire Kerviel …)
Quantification statistique ou analytique ? Approche standard = % du PNB => Analytique Approche avancée AMA = modèles internes
4 sources de données : pertes internes, externes, indicateurs, scénarios
Incitation à l’approche analytique … (AMA)
Tous les risques « de pertes provenant de processus internes inadéquats ou défaillants, de personnes et systèmes ou d’événements externes » …
Apport de la sûreté de fonctionnement
Conditions La modélisation est nécessaire pour de systèmes non encore
conçus, très fiables, très coûteux, ou critiques pour la sécurité des personnes et des biens …
La statistique, basée sur des essais ou des retours d’expérience ne peut être d’aucun secours dans ces situations.
Analyse du risque Le système dans son environnement Décomposition du système Quantification sur les éléments
Les études probabilistes de sûreté partagent les difficultés de l’ERM : situations rares ou jamais rencontrées, données ou retours d’expérience inexistants.
Une démarche d’analyse des vulnérabilités
Un opérateur travaillant sur une machine « risque » de se blesser, s’il l’utilise mal.
Ce « risque » dépend de l’expérience de l’opérateur et de la complexité de la machine.
Il ne dépend pas que de cela – une part d’aléatoire subsiste
On a construit un Graphe Causal Probabiliste
Nous proposons d’aller plus loin dans la démarche analytique des risques, en étudiant les déterminants de la fréquence et de la gravité.
Graphe causal probabiliste = Réseau Bayésien
Un Réseau Bayésien est défini par : Un graphe Les probabilités des variables « racines » Les probabilités conditionnelles des autres variables
Le graphe définit la structure de causalité (connaissance) Les probabilités définissent la part d’aléatoire
Il existe un objet mathématique adapté à la construction de modèles de dépendances probabilistes : le réseau bayésien
Le réseau bayésien pour le « risque » d’accident
La probabilité d’un accident augmente : Si l’utilisateur est peu expérimenté ou si la machine est complexe.
Le réseau bayésien est construit à partir de connaissances du domaine et de données internes ou externes.
Prise en compte des décisions
Deux nouvelles « variables » Décision de mettre en place une formation des opérateurs Choix d’un fournisseur de machines
Le modèle se complète : La décision de mise en œuvre d’un programme de formation des
opérateurs améliore le niveau des opérateurs. Le choix d’un fournisseur joue un rôle sur la complexité de la
machine. Ces deux facteurs (niveau des opérateurs et complexité de la
machine) modifient la probabilité d’un accident. Le coût du risque est égal au à la somme des coûts des
décisions et des coûts liés aux accidents.
On peut augmenter un réseau bayésien en ajoutant des nœuds matérialisant des décisions.
Le modèle complété : diagramme d’influence
Généralisation – le modèle XSG
Objectif : généraliser la démarche à tout type de risque Base – Notion de vulnérabilité (ARM)
Ressource en risque Péril, c’est-à-dire l’événement « aléatoire » auquel la
ressource est exposée. Conséquence, c’est-à-dire la gravité possible (financière ou
autre) si la ressource est frappée par le péril. Décomposition à la base des démarches de cartographie :
Croisement des ressources et des périls permet d’identifier les scénarios les plus probables, ou les plus graves.
Le modèle XSG permet de représenter une vulnérabilité quelconque sous forme d’un réseau bayésien.
Généralisation : le modèle XSG (2)
Transposition quantitative du modèle de la Vulnérabilité Objet EXPOSITION Péril SURVENANCE Conséquence GRAVITE
Ces grandeurs font l’objet d’un modèle causal probabiliste :
L’EXPOSITION (nombre d’objets soumis au risque) LA SURVENANCE (la probabilité qu’un objet soit touché) LA GRAVITE (coût du sinistre s’il est survenu)
La transposition en modèle XSG permet d’envisager la quantification analytique du risque.
Déterminants, réduction, et coût du risque
La distribution de X, S et G peut être modifiée par certains facteurs Les déterminants contrôlables sont des leviers de réduction Le contrôle de l’exposition, de la survenance et de la gravité correspond aux trois grandes approches de la réduction des risques :
Contrôle de l’exposition = Evitement Contrôle de la survenance = Prévention Contrôle de la gravité = Protection
Mettre en place une mesure de réduction Modifier la distribution d’un déterminant de X, S, ou G (et réduire le
risque !) Supporter un coût direct Supporter un coût d’opportunité
La construction d’un modèle XSG permet aussi de réfléchir à des mesures de réduction – attention, le modèle ne contient pas tout …
Les différentes étapes de création d’un modèle
Analyser le scénario avec les experts Transposer le scénario en modèle XSG Collecter les données permettant d’évaluer les probabilités Effectuer les simulations Etudier les sensibilités et en déduire les axes de réduction RISK MANAGER
MODELISATEUREXPERT
Exemple 1
Exemple fictif : Risque d’accident sur un tronçon de route
Exemple 2
Risque opérationnel (Bâle 2) : risque d’erreur de saisie
Exemple 3
Grippe Aviaire (inspiré des simulations de l’IVS)
Le coût du risque comme modèle causal probabiliste