Les dispositifs de maîtrise des risques entrent dans une nouvelle phase de maturité – Épisode 3
11 mai 2023Les risques…un vaste continent que les acteurs concernés, régulateurs comme acteurs économiques et notamment les banques, continuent d’explorer.
L’objectif : avoir une vue exhaustive au juste niveau, mettre en place des dispositifs de décision, prévention, mise sous contrôle et remédiation sans bloquer l’activité cœur et en rationalisant les investissements. Le stress test grandeur nature de ces derniers mois avec la faillite de SVB et le rachat de Crédit Suisse et la résistance du système sont un 1er résultat positif. Une crise similaire à celle de 2008 ne devrait pas arriver.
SpinPart dresse, en 3 articles, un panorama de la situation, du foisonnement des régulations aux approches et des dispositifs mis en place par les banques.
Épisode 3 – Les dispositifs de maîtrise des risques entrent dans une nouvelle phase de maturité.
En conformité, la courbe d’apprentissage a atteint un palier qui permet aujourd’hui de prendre du recul
La notion de compliance prend son essor avec Bâle II et le règlement 97-02 du Comité de la réglementation bancaire et financière (CBRF).
En réponse au niveau d’exigence des régulateurs, la conformité devient une discipline à part entière et s’émancipe du giron des risques opérationnels, pour permettre aux banques d’y consacrer des moyens importants, focalisés et de définir des règles propres à ce domaine. Appétence aux risques, modèles de scoring, processus, organisation, expertises, outils, gouvernance, etc., c’est tout un monde qui se met en place. L’exercice n’est pas simple car il faut monter en compétence, interpréter les réglementations pour les mettre en application, trouver l’équilibre entre la volonté d’une mise sous contrôle complète des risques et le maintien d’un niveau de granularité suffisamment haut pour ne pas faire perdre la notion même du risque.
Un point d’inflexion se dessine aujourd’hui. Non pas que les risques diminuent, au contraire ils continuent de se diversifier et de s’intensifier.
Cependant, après une phase d’investissement et de construction intense, les banques arrivent à un niveau de maturité qui leur permet de capitaliser sur des premiers retours d’expériences et de se poser la question du juste équilibre, voire de l’optimisation avec quelques objectifs comme :
- Mettre en cohérence toutes les briques déjà en place : la taxonomie (architecture sur laquelle est construit le dispositif de contrôle et d’évaluation des risques), le référentiel d’activités qui représente l’organisation à définir à la juste maille, les méthodes de scoring et le reporting qui donnent une vue d’ensemble
- Alléger les activités de conformité : contrôles et autres actions de mitigation, Exercices d’Évaluation, Déclaration des incidents, etc.
- In fine, assurer la mise sous contrôle des risques : juste niveau de granularité assurant l’identification des facteurs de risque à la maille opérationnelle tout en construisant une vue exhaustive qui ait du sens pour tous les niveaux de l’organisation.
Aujourd’hui les banques attaquent les prochain challenges : rationaliser et simplifier
La montée en efficacité est aujourd’hui indispensable car les mécanismes restent très consommateurs de bande passante pour les équipes de conformité comme pour les équipes métier. Quatre leviers doivent être considérés :
Pilier 1 – La Culture du risque – Au sein des lignes de défense, la LOD1 joue un rôle critique. Nous pourrions faire le parallèle avec les « gestes barrières » contre le COVID : plus les gestes simples et peu coûteux sont rendus naturels au sein de l’ensemble de la population, moins « l’hôpital » sera saturé. Plusieurs angles d’attaque sont combinables pour la renforcer, par exemple :
- La politique RH: mettre en cohérence des objectifs individuels et collectifs des collaborateurs, en incluant l’évitement des risques dans la rémunération
- La formation et les modes de diffusion de l’information : systématiser les modules d’e-learning de sensibilisation sur les nouveaux risques, comme cela se fait sur les cyber risques, pour étendre les réflexes aux nouvelles problématiques à moindre coût et innover sur les mécanismes permettant la diffusion de la culture du risque, en favorisant entre pairs l’échange de bonnes pratiques et d’approches terrain
Pilier 2 – La Gouvernance – Le 2ème pilier est la gouvernance associée à la gestion des risques. En effet culture et gouvernance s’alimentent réciproquement :
- L’exemplarité : donner toute leur place aux responsables des Risques et Conformité au sein des instances d’arbitrage, veiller à leur profil qui doit inclure une compréhension des enjeux stratégiques et opérationnels des activités métier et obtenir ainsi des décisions qui permettent de construire une gestion du risque au service de la performance
- Une approche différenciée selon l’impact: la mise en place de seuils et de critères qui vont déclencher des processus différenciés de remontée d’alerte, est fondamentale. Elle permet d’activer à bon escient la 2ème ligne de défense et de mettre en place des reporting partagés et lisibles par tous
Pilier 3 – La Donnée -Pour appuyer l’ensemble du dispositif, la donnée est encore le maillon faible et le déclaratif garde une place importante. Les solutions sont bien sûr déjà à l’étude :
- Créer une donnée de qualité, à la bonne fréquence : en grande partie, la donnée relative à de nouveaux risques n’existe pas. Il faut la construire, intégrer sa collecte aux processus existants avec la gouvernance associée pour lui donner corps, assurer sa qualité et sa remontée à la bonne fréquence
- Mettre en commun entre les acteurs : un autre angle d’attaque de ce problème tient également à la mise en commun entre les acteurs de certaines données transverses, afin de mutualiser les coûts tout en sécurisant la donnée elle-même
- Avoir recours à des tiers de confiance : à l’image des offres qui se développent sur le screening des fournisseurs ou de tiers en général, les banques pourraient s’appuyer sur de nouveaux acteurs digitaux pour agréger et valider de certaines données nécessaires à l’évaluation des risques
Pilier 4 – La Digitalisation – Enfin la digitalisation des processus et le développement du Risk automation (les outils analytiques et prédictifs déployés en appui à la décision) permettent d’améliorer significativement les travaux sur les risques, en efficacité mais aussi en qualité.
Cependant, avant de se jeter dans les différents travaux, un vrai travail de prise de recul est nécessaire. Comment utiliser au mieux ce qui a déjà été mis en place, comment faire converger les différentes approches entre les risques de conformité, les risques opérationnels, les risques financiers, etc. pour construire une vision globale et pertinente des risques pour chacun des acteurs, ce qui constitue le prochain défi.
Article rédigé par :
Stéphanie THIERRY