Archive

Pilotage

Gouvernance par les risques : de la théorie à la pratique

Créé le

20.05.2016

-

Mis à jour le

01.06.2016

Dans une gouvernance par les risques, l’impulsion vient des instances de gouvernance qui définissent l’appétence aux risques du groupe ainsi que les modalités de communication concernant le respect de ces limites. L’audit interne joue ensuite un rôle essentiel pour faciliter la coordination des différents acteurs des risques et contrôle. Reste aux managers à s’approprier cette démarche pour que la gestion des risques devienne un outil non seulement de contrôle mais aussi de pilotage.

Gouvernance par les risques : de la théorie à la pratique
Béatrice Bon-Michel
  • Professeur associée (chaire Comptabilité financière et Audit) CNAM
  • Membre LABEX ReFi
Christian Hoarau
  • Professeur, titulaire de la chaire de Comptabilité financière et Audit CNAM
  • Membre du Conseil scientifique LABEX ReFi

La forte volatilité des marchés financiers, au cours du premier trimestre 2016, révèle l’inquiétude des investisseurs sur la solidité et la rentabilité des banques, notamment en Europe, alors que la période de taux d’intérêt négatif pourrait se prolonger et l’éventualité d’un ralentissement majeur de l’activité économique n’est pas à exclure. Cette inquiétude est-elle une reconnaissance tardive de risques insuffisamment identifiés ou un ajustement de l'émergence de nouveaux risques ? Face à la prévention des risques, la supervision a progressé en Europe notamment avec la mise en œuvre de l’Union bancaire, mais la question de la séparation des activités bancaires n’est pas encore tranchée. Dans ce débat, la Commission européenne a ouvert une voie médiane en proposant que les banques fassent la preuve que leur organisation ne recèle pas de risque systémique. Autrement dit, face aux risques, la gouvernance bancaire est-elle adaptée ? Dans ce contexte, quels sont les apports des récentes évolutions réglementaires (arrêté du 3 novembre 2014 [1] ) et du dernier document du comité de Bâle sur la gouvernance [2] ? Les notions de « risk governance » et de « risk culture » sont réaffirmées [3] . Que faut-il ajouter à tous les principes d’une saine gouvernance déjà connus ? C’est à partir des constats réalisés ces dernières années dans l’application même des principes de gouvernance que les textes cherchent à rendre explicite certaines composantes afin de faciliter la traçabilité des responsabilités des différents acteurs : le terme « gouvernance par les risques » prend forme. Pourquoi les textes doivent-ils à nouveau préciser que les risques significatifs reposent principalement sur des questions de gouvernance ? Comment mettre en œuvre dorénavant une gouvernance efficace ?

L’objectif de cet article est de préciser la portée de cette gouvernance par les risques sous-tendue par la logique inhérente à la gestion des risques et que les organisations ont trop souvent abordé sous l’angle de la conformité et donc de la traçabilité.

Le développement d’une culture du contrôle de la conformité

Depuis les années 2000, quelques évolutions réglementaires ont modifié de façon significative l’organisation de la banque, notamment son système de contrôle interne. L’intégration explicite du risque opérationnel dans la gestion des risques a permis de développer des cartographies, générant ainsi des prises de conscience sur certains types de risque. Ces prises de conscience se sont traduites bien souvent par des plans d’actions (plans de contrôle). Le régulateur a ensuite défini la notion de contrôle permanent en complémentarité avec le contrôle périodique (arrêté de mars 2005 du CRBF [4] ). Cette structuration des contrôles a amené à industrialiser (surtout dans les grands groupes) des processus de contrôle récurrents qui permettent d’identifier des anomalies de contrôle et d’en faire le reporting [5] .

Ce même arrêté a précisé le risque de non-conformité en réponse notamment à l’augmentation potentielle des risques de réputation qui naîtrait d’une non-conformité (dont les conséquences sont amplifiées par la médiatisation des affaires). Préciser ce risque et le gérer de manière efficace était devenu essentiel. Cependant, les exigences de conformité ont parfois été perçues comme des obligations de moyens (par exemple en matière de prévention du blanchiment et de déontologie) ; c’est-à-dire pouvoir prouver, en cas d’atteinte à la réputation, que les dispositifs demandés sont néanmoins en place. C’est dans ce contexte que tout reporting faisant état de non-conformité des dispositifs de contrôle devient un risque en soi, nécessitant de renforcer ou de repréciser certains contrôles. Une culture de contrôle s’est alors parfois progressivement installée et les dispositifs mis en place, significatifs en termes de ressources notamment humaines et système, finissaient par rassurer les directions générales, voire les organes délibérants. La confiance s’inscrit alors dans une logique institutionnelle décrite par Zucker [6] (1986) supportée par une structure formelle qui facilite le partage de l’information de manière permanente et régulière : les dispositifs de contrôle permanent jouent un rôle dans le maintien de cette confiance dans les dispositifs mis en place. Loin d’être une culture, la conformité a développé des réflexes défensifs qui se sont appuyés sur des éléments perçus comme des réducteurs d’incertitude quant aux conséquences d’un éventuel risque de non-conformité.

Une évolution qui réduit la vision des risques à la qualité des contrôles

La culture de la conformité évoquée par Visnovsky (2015) [7] , se traduit bien souvent dans les faits par une culture du contrôle dont la matérialisation se mesure grâce aux indicateurs de qualité des contrôles. Les taux d’anormalité de ces derniers s’auditent facilement par la qualité des systèmes mis en place qui permettent de vérifier l’exhaustivité du périmètre couvert, le respect des périodicités des contrôles et la production d’états de suivi récurrents.

Demander au contrôle permanent de vérifier que le contrôle de 1er niveau a bien été réalisé est légitime. Aller jusqu’à refaire les mêmes contrôles que le 1er niveau pour s’assurer que celui-ci a bien réalisé son travail est une incitation à la déresponsabilisation. Sauf à ce que d’autres indicateurs incitent à recontrôler les travaux. Si le contrôle du contrôle est essentiel en cas de risque significatif, il peut s’avérer contre-productif dans une vision récurrente des contrôles et amener progressivement une perte de la vision même du risque. Les contrôleurs tendent alors à devenir des spécialistes du contrôle avec une vision parfois éloignée des préoccupations managériales, chacun se spécialisant dans son domaine. Or, comme toute démarche Enterprise Risk Management [8] le préconise, les contrôles doivent se piloter par les risques, ceux-ci guidés par l’activité elle-même.

La réaffirmation du pilotage des risques à partir de la déclinaison opérationnelle de la stratégie

L’arrêté du 3 novembre 2014 ainsi que les préconisations du comité de Bâle insistent sur la nécessaire implication des instances de gouvernance dans la définition et la supervision du dispositif de maîtrise des risques. Ces instances sont « accountable » de la gestion des risques inhérents aux objectifs. La première étape pour la direction, en tant que décisionnel, et pour l’organe délibérant pour validation est de définir et de préciser, à partir de la stratégie et de sa déclinaison opérationnelle, l’appétence pour les risques et la tolérance aux risques. Le Financial Stability Board (FSB), repris dans le document du BCBS, parle du Risk Appetite Statement (RAS) [9] qui vient en soutien de l’activité (voir Encadré 1).

Ce n’est pas nouveau puisque l’organe délibérant se prononce depuis de nombreuses années sur les limites de crédit, de marché, de taux et de liquidité. Cependant, le périmètre se concentrait principalement sur les risques dits financiers, sans doute plus simple à définir que pour les autres risques dits opérationnels dont le risque de non-conformité. Dorénavant, c’est bien l’ensemble du périmètre des risques qui est concerné par cette approche par les risques en prenant en compte les facteurs de risque internes et externes. L’organe de surveillance doit également définir les modalités de communication et la périodicité des informations relatives au respect de ces limites.

Le dispositif de maîtrise des risques au sein de l’organisation se décline ainsi selon une approche « top-down » sous la surveillance directe des interlocuteurs risque-contrôle [10] .

Repenser la communication sur les risques

La qualité de l’information et de la communication se trouve ainsi au cœur des enjeux de gouvernance. La dynamique doit venir des instances de gouvernance, ceux-là mêmes qui approuvent la stratégie afin de redonner du sens à la gestion des risques. Cette gestion n’est pas une exigence réglementaire mais un support de la performance dans une vision constructive de l’organisation. Cela suppose que la structuration de l’information sur les risques gagne en crédibilité par rapport à ce rôle. Il ne s’agit pas de rapporter des dysfonctionnements, causes des risques ; la vision doit être apportée sur les liens entre l’évolution de l’activité, des facteurs de risque tant externes qu’internes et le dispositif de maîtrise des risques. La démarche SREP [11] de l’Autorité Bancaire Européenne au titre du pilier II s’inscrit tout à fait dans cette logique : partir du business model pour évaluer la qualité du dispositif de maîtrise des risques dont le capital interne (ICAAP) et la gestion de la liquidité (ILAAP) [12] sont des composantes significatives de réduction des risques.

La vision bien souvent en silo des différents acteurs de ce dispositif doit se consolider pour devenir compréhensible. L’audit interne a alors un rôle essentiel à jouer pour faciliter la coordination des différents acteurs des risques et contrôle ; il facilite la vision consolidée du dispositif en y apportant sa valeur ajoutée et l’indépendance qui le caractérise. C’est également à ce titre que l’audit interne, comme le précise D. Nouy [13] , devient un acteur incontournable dans la relation établissement-régulateur.

Retrouver le sens du business et de la performance

La première ligne de défense repose sur l’activité. Les acteurs en première ligne en sont bien conscients mais ne comprennent pas toujours le renforcement des structures notamment de deuxième ligne (fonction risque, contrôle permanent et conformité par exemple). Pour les opérationnels, le renforcement des différents contrôles est perçu comme une contrainte, parfois encore inapplicable par rapport à leurs objectifs opérationnels. Il s’agit alors de décliner de manière beaucoup plus précise les liens entre l’activité et les risques, non pour freiner l’activité, mais dans un souci d’éclairer le manager sur les perspectives futures, compte tenu du dispositif de maîtrise des risques.

La communication même sur les risques doit partir des données relatives à l’activité (notamment les informations en provenance du contrôle de gestion). La première tâche de l’interlocuteur des risques, c’est de comprendre les sous-jacents de la performance. Quel serait l’intérêt d’un management d’être non conforme pour une rentabilité négative ? Les zones d’ombre se décèlent à partir de l’activité et de sa rentabilité. Il y a bien évidemment une corrélation forte entre le gain lié à un comportement et le coût du risque. Si le management se focalise en grande partie sur l’activité, cela doit être le cas également des risques qui vont chercher à anticiper l’incertitude en termes de probabilité et d’impact quant à l’évolution de la performance du métier/de l’activité. Que la stratégie soit d’aller sur une clientèle par nature risquée mais plus rentable peut être louable. Il est alors essentiel que les risques accompagnent l’activité pour donner régulièrement une visibilité d’une part sur la qualité du dispositif de maîtrise des risques (dont le contrôle permanent est un des éléments clés) et d’autre part sur des indicateurs potentiels de risque (réclamation client, avertissement du régulateur, intérêts payés en hausse, etc.). Un raisonnement qui s’appuie sur les liens activité-risque doit pouvoir se schématiser via un graphe, parfois plus parlant que des slides trop détaillés (voir Encadré 2).

Les fonctions risque et contrôle n’ont pas pour seule vocation d’identifier les risques passés et d’en faire l’analyse pour éviter leur survenance demain. Il s’agit de les positionner comme de réels copilotes de l’activité, facilitant ainsi l’appropriation par le management de leur périmètre de risque. C’est principalement une question de structuration des informations et de communications. Tout le contenu est déjà bien souvent présent dans les organisations. C’est en amont, dans la compréhension des zones où se situe la performance de demain, que le gestionnaire va puiser la significativité du risque. C’est également à partir de cette performance qu’il axe sa communication future.

Une implication réelle

La gestion des risques ne vaut que par son implication réelle. Les dispositifs formels fixent les règles du jeu au sein desquelles chaque acteur pourra utiliser sa marge de manœuvre à condition de respecter les règles. Il s’agit bien pour les instances de gouvernance de réduire la « cosmétique » au profit de l’efficacité, en un mot mettre en phase ce qui est dit avec ce qui est fait. La réglementation doit certes faire évoluer les règles du jeu en fonction des libertés utilisées, mais c’est dans l’exercice même de cette liberté que chacun pourra faire l’exercice de sa responsabilité, les instances de gouvernance se trouvant renforcées dans leur rôle d’arbitre du jeu. À trop préciser certaines composantes réglementaires, c’est l’ensemble du dispositif qui perd en crédibilité alors même que la réglementation est essentielle et qu’il reste encore de vastes champs d’action peu explorés…

 

1 Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contrôle de l'Autorité de contrôle prudentiel et de résolution (ACPR).
3 Se référer à la conférence de D. Nouy lors de la conférence de l’ECIIA à Paris (22 septembre 2015) et au document du FSB, Guidance on Supervisory Interaction with Financial Institutions on Risk Culture, avril 2014.
4 Arrêté du 31 mars 2005 modifiant le règlement du Comité de la réglementation bancaire et financière n° 97-02 du 21 février 1997 relatif au contrôle interne des établissements de crédit et des entreprises d'investissement.
5 Cf Règlement n° 2004-02 du 15 janvier 2004 modifiant le règlement n° 97-02 (repris dorénavant dans l’arrêté du 3 novembre 2014).
6 Zucker L. (1986), « Production of trust : institutional sources of economic structure :1840-1920 », Organization Behaviour, 8, pp 53-111
7 F. Visnovsky, secrétaire général adjoint ACPR, Rôle de l’administrateur dans le cadre du nouveau contexte règlementaire, 18 novembre 2015.
8 Enterprise Risk Management - Integrated Framework (Le management des risques de l’entreprise – Cadre de référence), COSO, septembre 2004.
9 FSB, Thematic Review on Risk Governance, févr. 2013 : (www.fsb.org).
10 Responsable de la conformité, responsable de la fonction gestion des risques et responsable contrôle permanent, qui peuvent être une seule personne selon la taille de l’établissement.
11 Supervisory Review and Evaluation Process (processus de contrôle et d’évaluation prudentielle).
12 Internal Capital Adequacy Assessment Processes (ICAAP) et Internal Liquidity Adequacy Assessment Processes (ILAAP).
13 D. Nouy (2015), Conférence de l’ECIIA, Paris, 22 septembre 2015.

À retrouver dans la revue
Revue Banque Nº797
Notes :
11 Supervisory Review and Evaluation Process (processus de contrôle et d’évaluation prudentielle).
12 Internal Capital Adequacy Assessment Processes (ICAAP) et Internal Liquidity Adequacy Assessment Processes (ILAAP).
13 D. Nouy (2015), Conférence de l’ECIIA, Paris, 22 septembre 2015.
1 Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contrôle de l'Autorité de contrôle prudentiel et de résolution (ACPR).
2 Corporate governance principles for banks, BCBS, juillet 2015.
3 Se référer à la conférence de D. Nouy lors de la conférence de l’ECIIA à Paris (22 septembre 2015) et au document du FSB, Guidance on Supervisory Interaction with Financial Institutions on Risk Culture, avril 2014.
4 Arrêté du 31 mars 2005 modifiant le règlement du Comité de la réglementation bancaire et financière n° 97-02 du 21 février 1997 relatif au contrôle interne des établissements de crédit et des entreprises d'investissement.
5 Cf Règlement n° 2004-02 du 15 janvier 2004 modifiant le règlement n° 97-02 (repris dorénavant dans l’arrêté du 3 novembre 2014).
6 Zucker L. (1986), « Production of trust : institutional sources of economic structure :1840-1920 », Organization Behaviour, 8, pp 53-111
7 F. Visnovsky, secrétaire général adjoint ACPR, Rôle de l’administrateur dans le cadre du nouveau contexte règlementaire, 18 novembre 2015.
8 Enterprise Risk Management - Integrated Framework (Le management des risques de l’entreprise – Cadre de référence), COSO, septembre 2004.
9 FSB, Thematic Review on Risk Governance, févr. 2013 : (www.fsb.org).
10 Responsable de la conformité, responsable de la fonction gestion des risques et responsable contrôle permanent, qui peuvent être une seule personne selon la taille de l’établissement.