Pilotage

La pandémie accélère les transformations digitales : les fonctions ‘risques-conformité’ doivent s’y préparer

Face aux défis qui les poussent à réinventer de nouveaux modèles pour exister demain, les banques et entreprises d’assurance traditionnelles vont lancer de grandes transformations à partir de nouvelles technologies. Le caractère durable de la pandémie actuelle du coronavirus devrait accélérer encore les initiatives de transformation digitale. De leur côté, les fonctions clés « Risques-Conformité » doivent aussi muter pour continuer à être le garant des risques dans un environnement numérique.

Pandémie

L'auteur

  • Chandara Ok
    • Conseil en gouvernance et maîtrise des risques
      SASU C.O. Conseil

Pour en savoir plus

images
  • Schema 1

    Schema 1

  • Schema 2

    Schema 2

Revue de l'article

Après la gestion des crises et des réformes réglementaires, le secteur bancaire se retrouve en étau entre l’arrivée de nouveaux concurrents développant des offres innovantes et un changement rapide des habitudes de consommer du public. Les nouveaux concurrents prennent les traits de néobanques, petites FinTechs ou grandes GAFA, de « wallets » issus de la directive DSP 2, avec lesquels il faut partager sa précieuse connaissance client… Quant à la manière de consommer la banque, il suffit d’observer la désaffection des agences physiques et le développement des services numériques. La riposte imaginée par les établissements consiste le plus souvent à utiliser les mêmes armes que les néobanques :

– vis-à-vis de la clientèle : applications numériques, produits innovants, convivialité et réactivité ;

– vis-à-vis du fonctionnement interne : robotisation et automatisation, circuit court, être agile et moins coûteux.

La cible passe nécessairement par des transformations en profondeur, voire par la refonte de l’écosystème qui, parfois, pourra aussi inclure des néobanques dans une nouvelle chaîne de valeur.

Pour le secteur des assurances, les défis sont assez comparables à ceux des banques, peut-être avec une pression concurrentielle un peu moindre à court terme car non soumis à des réglementations telles que DSP 1/DSP 2.

Projets digitaux : implication généralement insuffisante des fonctions clés

D’abord employées pour digitaliser les processus de middle et back-office, les nouvelles technologies couvrent désormais aussi le front-office et les besoins des fonctions clés « Risques-Conformité » [1]. Souvent moins coûteuses et plus rapides à installer que les systèmes traditionnels, les solutions telles que les API peuvent donner lieu assez rapidement à des POC ou des tests. Sans être exhaustif, on peut citer :

– des technologies récentes : intelligence artificielle, Big Data, architecture microservice distribuée/API, blockchain, applications de cryptomonnaie, etc. ;

– des technologies plus anciennes mais améliorées depuis : gestion électronique de documents, reconnaissance vocale et de l’écriture, etc.

Les collaborateurs des fonctions clés n’ont généralement pas une bonne connaissance de ces techniques, ce qui risque de réduire leur contribution. On relève aussi que certains tests de robotisation, parfois très avancés, sont réalisés sans intégrer les directions Risques ou Conformité ou alors trop tardivement pour qu’elles puissent être réellement utiles. Quant au contrôle permanent de 2nd niveau, déjà souvent parent pauvre, il intervient une fois la cible déjà définie, voire la découvre lors de missions de contrôle réalisées bien longtemps après !

Une approche de maîtrise des risques obsolète

À ce jour, les dispositifs déployés par les fonctions clés n’ont pas toujours l’efficacité escomptée car trop statiques. De plus, ils deviendront caducs puisque bâtis à partir de processus et d’outils qui seront demain totalement différents. Par rapport aux anticipations d’évolution numérique, on peut relever deux types d’écueils à corriger :

– la plupart des mesures mises en place jusqu’ici deviendront inopérantes, car le dispositif existant repose sur une logique de fonctionnement assez manuelle et d’outils anciens : natures de contrôles permanents de 1er ou de 2nd niveau, place prépondérante des vérifications manuelles et des sondages aléatoires, sécurités ou requêtes informatiques utilisées, systèmes de limites-délégations, reportings et indicateurs, etc. ;

– la démarche et la posture généralement adoptées par les fonctions clés ne conviennent plus dans un environnement très digital. Elles connaissement mal les processus opérationnels et informatiques des métiers, voire les contrôles permanents de 1er niveau en place. Cette lacune ne leur permet donc pas de challenger efficacement les options d’automatisation ou de robotisation envisagées ; elles opèrent le plus souvent a posteriori (en correctif) et trop peu en a priori (en conception/prévention), ce qui découle en partie du point précédent. Or, cette démarche n’est plus possible dans un fonctionnement digitalisé où tout s’enchaîne et va vite ; une mauvaise conception ou un mauvais fonctionnement se traduisant par un grand nombre d’anomalies constatées trop tard. Enfin, les interactions entre les fonctions clés sont trop limitées, ce qui limite leur efficacité aujourd’hui et encore davantage demain. Sauf dans de rares cas, les différentes fonctions clés opèrent généralement en ordre dispersé avec des méthodologies différentes (par exemple en ce qui concerne la cartographie des risques, le contrôle permanent, les cotations-notations) et des redondances, débouchant sur un discours brouillé perçu par les métiers.

Pour les fonctions clés, il ne s’agit donc pas « simplement » de modifier les réglages ou les seuils existants mais de repenser totalement le pilotage des risques.

La récurrence de pandémies va accélérer la relation à distance et la transformation digitale

La pandémie que nous vivons avec le coronavirus provoque un choc totalement imprévu avec un impact fort sur les risques. Il n’est que très partiellement couvert par les PCA existants car ceux-ci ne prévoient que des scénarios de dégradation d’une partie de l’entreprise, pour un temps limité et avec l’hypothèse que le reste du monde fonctionne normalement.

Si à court terme, les fonctions clés doivent être particulièrement attentives aux risques accrus de sécurité du S.I., de fraude ou de risque opérationnel en général, à plus long terme, elles auront à préparer l’entreprise à fonctionner durablement en mode dégradé en retravaillant les PCA.

Les autres conséquences seront très certainement une généralisation du travail à distance pour les collaborateurs et un développement plus fort du mode de consommation numérique pour les clients. Cela poussera les entreprises à lancer ou accélérer la digitalisation de l’offre et du fonctionnement interne.

Comment faire muter les fonctions clés « Risques-Conformité » ?

Deux finalités peuvent être attendues d’une transformation des fonctions clés :

– atteindre une « regulatory and risks compliance by design », c'est-à-dire orienter les efforts sur la vigilance en amont – au moment de la phase de conception des processus métier – afin d’obtenir le niveau de conformité et de risque accepté lors de la mise en production ;

– pousser la digitalisation de la surveillance a posteriori des risques en s’appuyant sur les contrôles déjà intégrés dans les processus métier et vérifier le bon fonctionnant des traitements automatisés. Les technologies comme l’intelligence artificielle associée au Big Data pourront améliorer les contrôles de 2nd niveau en détectant les signaux faibles et les écarts par rapport aux trajectoires attendus concernant le risque de contrepartie, le risque de marché, le risque opérationnel et notamment de fraude. C’est aussi une solution efficace pour compléter le dispositif de LCB-FT traditionnelle basé sur les scénarios. Le temps dégagé par un volume de contrôles manuels plus réduit serait consacré à des analyses à valeur ajoutée.

Pour y parvenir 4 leviers d’actions prioritaires se dégagent comme l’illustre le Schéma 1, avec la mise en œuvre de quelques facteurs clés pour assurer le succès de la mutation des fonctions « risques-conformité » : la connaissance des processus métier actuels (axe n° 1) avant de travailler sur la cible (axe n° 2) parait un préalable indispensable. La maîtrise suffisante des aspects technologiques (axe n° 3) par les collaborateurs des fonctions clés est un enjeu crucial de ressources humaines pour réussir la transformation ; le portrait-robot cible étant un bon expert métier, comprenant la logique des S.I. et ayant une culture risques/réglementations… Enfin sur le plan organisationnel, une intégration plus forte des fonctions clés (axe n° 4) afin de mieux répondre aux besoins d’un environnement digital pourrait passer par :

– la désignation d’un responsable en charge d’assurer la coordination des différentes directions au niveau le plus élevé de l’établissement ;

– une mutualisation intelligente du contrôle permanent de 2nd niveau ;

– et la création d’un département commun « méthodes, MOA et S.I. risques ». L’adoption d’un corpus méthodologique commun à toutes les fonctions clés pourra suivre le Schéma 2.

En conclusion, il s’agit d’anticiper la transition des fonctions clés vers une configuration digitale, comme le reste de l’établissement. C’est une mutation longue et complexe, donc à lancer dès maintenant.

 

[1] Les fonctions « risques-contrôles » ou « fonctions clés » – terme plus utilisé dans l’assurance – désignent ici les fonctions centrales de « 2nd niveau » : gestion des risques, actuariat (assurance), conformité et contrôle permanent. Par extension, il englobe aussi le RCCI/RCSI et le RSSI ainsi que des fonctions associées. Bien que non directement ciblé, le contrôle périodique (audit-inspection) est concerné par les mêmes enjeux que le 2nd niveau.

 

Sur le même sujet