Les risques…un vaste continent que les acteurs concernés, régulateurs comme acteurs économiques et notamment les banques, continuent d’explorer.
L’objectif : avoir une vue exhaustive au juste niveau, mettre en place des dispositifs de décision, prévention, mise sous contrôle et remédiation sans bloquer l’activité cœur et en rationalisant les investissements. Le stress test grandeur nature de ces dernières semaines avec la faillite de SVB et le rachat de Crédit Suisse et la résistance du système sont un 1er résultat positif. Une crise similaire à celle de 2008 ne devrait pas arriver.
SpinPart dresse, en 3 articles, un panorama de la situation, du foisonnement des régulations aux approches et des dispositifs mis en place par les banques.
Épisode 2 – La taxonomie des risques, clef de voûte de tous les dispositifs de mise sous contrôle
La taxonomie des risques est le squelette sur lequel vont se construire tous les éléments du dispositif de maîtrise des risques, que ces derniers soient opérationnels, de non-conformité ou financiers. Elle est d’ailleurs le sujet de nombreuses discussions, voire de tractations au sein des banques entre ces différentes disciplines de risque.
Pourquoi mettre en place une taxonomie des risques ?
Construire et partager une taxonomie des risques permet d’assurer l’exhaustivité et la cohérence des actions de l’entreprise sur ce domaine et donc la maîtrise des risques susceptibles d’affecter son activité.
La taxonomie est la colonne vertébrale autour de laquelle va se structurer le dispositif d’évaluation et de mise sous contrôle des risques : organisation, processus, méthodes, outils, reporting et communication.
Les différents éléments du dispositif de contrôle s’organisent sur trois niveaux en fonction de leur proximité avec le risque :
- Niveau 1: les contrôles bloquants ou non, les actions de mitigation (formations, sensibilisation, certifications, etc.) qui permettent directement d’atténuer ou supprimer les risques selon le degré d’appétence qui aura été défini par la filière
- Niveau 2: les campagnes d’évaluation des risques qui vont donner une vue des risques résiduels une fois les contrôles et actions mitigantes en place et fournir des éléments de reporting pour les différents acteurs de l’organisation ainsi que les régulateurs
- Niveau 3: les actions de l’Audit, de l’Inspection Générale ou des régulateurs pour le contrôle du dispositif même de contrôle
Vis à vis de l’externe, cette taxonomie devient un outil de partage de la politique d’entreprise. En effet la décision d’articuler sa politique de risques autour de certaines typologies est un véritable choix stratégique : elle est révélatrice de l’importance donnée par l’entreprise aux activités génératrices de risques mais aussi de l’appétence ou du focus de l’entreprise sur certains risques.
Quelles sont les difficultés rencontrées dans la mise en place d’un taxonomie des risques ?
Établir une taxonomie n’est pas aussi simple qu’il y paraît. Elle doit répondre à 4 exigences qui déjà prises séparément sont un challenge. Par définition, une taxonomie des risques est un ensemble commun et fixe de catégories de risques utilisées au sein d’une organisation :
- Son caractère commun permet de faciliter le regroupement des risques relevés dans l’ensemble de l’organisation
- Son caractère fixe facilite l’analyse comparative des risques de l’organisation au fil du temps
En outre, cette taxonomie doit être à la fois exhaustive et exclusive.
- Exhaustive afin de permettre aux responsables de l’identification des risques d’envisager tous les types de risques susceptibles d’avoir des répercussions sur les objectifs et le fonctionnement de l’organisation
- Exclusive afin d’éviter les recoupements et donc la double évaluation d’un risque par des méthodes différentes (et le risque d’arriver à des résultats différents)
1er challenge – Commune et Exclusive. Dans les banques, où le sujet est déjà exacerbé, la difficulté vient :
- D’une part du fait que plusieurs filières de risques, comme les Risques Opérationnels et la Conformité, peuvent avoir à traiter des mêmes activités ou des mêmes sujets comme la responsabilité sociétale et environnementale ou la protection des données. Chacune des disciplines ayant des approches différentes, c’est la représentation consolidée et cohérente du risque qui peut en pâtir.
- D’autre part du fait que les règlementations ne sont justement pas exclusives mais peuvent cibler certaines activités (comme les activités de marché), ou des thématiques transverses comme ESG ou la Protection des données.
Toute la difficulté est alors de construire des contrôles et des modèles d’évaluation qui n’évaluent pas deux fois le même risque. La taxonomie doit y contribuer.
2ème challenge – Exhaustive et Fixe. Le périmètre d’activité d’une entreprise change (produit, pays, organisation, etc.), le contexte dans lequel elle exerce ses activités évolue également, et enfin les réglementations s’enrichissent et se multiplient. Faut-il alors jouer sur une taxonomie à plusieurs étages dont seuls les niveaux de granularité les plus bas s’enrichiront et permettront de ne pas bousculer sans cesse la taxonomie à son niveau le plus consolidé, au risque cependant de ne pas avoir des choses comparables. Rapprocher les nouvelles règlementations avec les contrôles existants peut déjà permettre de limiter la complexité de la taxonomie et d’éviter des doublons de contrôles par exemple.
Pour les établissements bancaires, il s’agit donc de s’assurer d’avoir un dispositif de gestion des risques exhaustif tout en restant au juste niveau de granularité. Implémenter un processus de traitement du risque à la fois global sans être trop consommateur de temps pour les collaborateurs représente donc un vrai challenge de conception.
Les 1ers éléments d’approche pour construire une taxonomie « vertueuse » sont :
- Définir une clef d’entrée: souvent des catégories de risques comme Sanction & Embargo, Protection des données ou la Responsabilité Sociétale et Environnementale. Ces catégories peuvent être la consolidation de plusieurs réglementations ou des événements à l’origine du risque ou encore une partie des activités de la banque.
- Identifier les usages : contrôles à plusieurs niveaux, évaluation, reporting, déclaration des incidents, suivi des plans d’actions et des recommandations, etc.. ainsi que le niveau de granularité nécessaire pour chacun de ces usages. Ces usages permettront notamment d’identifier les sous-catégories à la juste maille
Dans tous les cas, faire évoluer la taxonomie est inévitable. Tout l’enjeu est de jouer sur la granularité pour limiter les évolutions de structure et de mettre en évidence les écarts à périmètre constant.
Article rédigé par :
Stéphanie THIERRY & Emilie LORY