Nous sommes le 10 juin et l’activité de la banque bat son plein. Ses objectifs prévus au 30 juin sont déjà atteints et les résultats sont conformes à la feuille de route fixée par les dirigeants. Le 25 juin, l’établissement bancaire reçoit une assignation pour défaut de conseil suite à la plainte d’un client. En fait, l’assignation fait suite à deux courriers envoyés en janvier par le client à sa banque ; le premier en courrier simple et le second en recommandé avec avis de réception. Le client s’est trouvé confronté à un redressement fiscal dont l’origine provient d’un montage patrimonial. Après recherches, il s’avère que les courriers envoyés n’ont pas été reçus au service destinataire ; il est vrai que le service courrier était en pleine restructuration à cette époque et que des courriers ont certainement été perdus. De plus, mécontent de cette absence de réponse, le client, par ailleurs membre d’une association réputé d’actions de promotion, a alerté les médias. Face à la véracité des propos, ceux-ci ont contacté l’agence bancaire concernée.
Malgré l’intervention de la banque auprès du client, celle-ci a dû se résoudre à indemniser son client avec des dommages-intérêts. De plus, l’image de la banque a été atteinte puisqu’un article au détriment de cette dernière a été publié dans un journal régional. Pour terminer, outre le client concerné, d’autres clients, membres de l’association, ont également quitté l’enseigne.
Le préjudice total reprend donc l’indemnisation, mais aussi le manque à gagner d’une clientèle « haute gamme » qui décide de quitter l’établissement. Il est également à prendre en considération une dégradation de la réputation de l’établissement du fait que son image a été ternie.
Ce scénario est bien sûr virtuel, mais pourrait très bien se réaliser dans n’importe quelle entreprise financière. L’absence de maîtrise du risque sur un acte de gestion banal, comme la gestion d’un courrier, peut induire des impacts financiers et d’image importants.
Pouvions-nous anticiper ce scénario ? Revenons sur les fondamentaux du risk management.
Les fondamentaux du risk management
Le risk manager est avant tout un expert en gestion des risques, quelle que soit la nature du risque. Même si pour le secteur bancaire, les risques de crédit et financiers sont gérés de manière autonome, ces derniers dépendent du risque opérationnel. Le risk manager ne se substitue pas aux experts métiers en place au sein de l’entreprise, mais il doit avoir une vision transversale de l’ensemble des activités et donc des risques associés. Dans ce cadre, il doit être le partenaire indispensable des autres fonctions pour les aider à maîtriser, évaluer et optimiser leurs risques. Enfin, il doit pouvoir communiquer aux dirigeants de l’entreprise l’exposition aux risques de celle-ci.
Une fonction proche des dirigeants
La fonction se positionne comme proche des dirigeants de l’entreprise afin d’assurer sa crédibilité et sa neutralité. Son champ d’application est illimité : il réunit l’ensemble des activités de l’entreprise, mais également les interactions avec les intervenants externes (partenaires, prestataires, sous-traitants). Son principal objectif : réduire le facteur d’angoisse du dirigeant !
En fait, ce dernier doit être rassuré sur le fonctionnement de son entreprise pour pouvoir la développer en toute sérénité et en toute connaissance de cause. Il a besoin d’obtenir une visibilité de l’ensemble des activités actuelles ainsi que l’état des lieux du fonctionnement de ces dernières. Pour cela, il s’appuie essentiellement sur les contrôles réalisés au sein de l’entreprise et dont les résultats sont présentés dans des comités spécifiques, mais également sur les résultats du dispositif de maîtrise des risques.
Développer en toute connaissance de cause
Pour que le dirigeant puisse prendre toutes les décisions nécessaires au bon développement de son entreprise, il doit, d’une part, s’assurer qu’il n’y a pas d’obstacle majeur aux décisions prises et, d’autre part, anticiper tout dysfonctionnement potentiel de par la mise en place des décisions prises. Ainsi, il faut que soit envisagée, dans la mesure du possible, l’exhaustivité des scénarios de risque associés au développement. Ces scénarios doivent s’appuyer sur les fondamentaux des risques opérationnels potentiels, à savoir :
- les processus associés ;
- les moyens humains qui accompagnent le projet ;
- l’adéquation du système d’information ;
- les dangers extérieurs éventuels.
Le risk manager et les contrôles au sein de l’entreprise
Le risk manager joue un rôle de « consultant » au sein de l’entreprise. Son expertise, sa vision transversale et son expérience permettent, d’une part, de mettre à profit un savoir-faire – et ainsi de transmettre pédagogiquement des valeurs de risk management au sein des activités – et d’autre part, d’apporter sa contribution aux résultats de l’entreprise. De ce fait, le risk manager s’appuie sur une gestion « anticipative » et non sur une gestion de « contrôle ».
Conformément au sens du règlement 97-02 de Bâle II, sachant que les contrôles de 1er niveau appartiennent au management des opérationnels, les contrôles de 2e niveau sont réalisés soit par des structures exclusivement dédiées, telles que la conformité, la révision comptable ou la sécurité informatique, soit par des structures qui permettent d’assurer la stricte séparation des tâches, telles que les ressources humaines, la production bancaire, l’informatique ou les moyens généraux. Les contrôles de 3e niveau, appelés également contrôles périodiques, sont du ressort de l’audit ou de l’inspection générale.
Le risk manager, hormis une base de données qu’il exploite à des fins d’analyse anticipative dans le cadre de ses propres contrôles de 1er niveau, ne réalise pas à proprement dit de contrôle de 2e niveau. En revanche, les résultats des contrôles de 2e niveau des métiers concernés lui permettent d’enrichir sa base de données et donc l’historique des dysfonctionnements. Au même titre que les risques opérationnels, des métiers situés en dispositif de protection peuvent réaliser des actions de risk management de par la détection d’anomalies – à savoir le recouvrement, le contentieux, le juridique, les réclamations clientèles, ou la qualité – qui intervient dans l’amélioration du système d’information de l’entreprise.
Une gestion anticipative
Une gestion anticipative consiste à imaginer des scénarios pour identifier les situations à risque, mais également optimiser l’existant.
Imaginer des scénarios de risque, c’est tenter de répondre aux questions susceptibles d’être porteuses de risques : « que peut-il se passer si… ? », « comment seront perçus la création ou le changement de… ? » seraient les questions principales que doit se poser tout risk manager pour enrayer d’éventuels dysfonctionnements futurs, ou tout du moins les décaler dans le temps.
- Pour des intervenants « externes » à l’entreprise (clients, fournisseurs, partenaires, prestataires) : il faut avoir constamment un rôle critique vis-à-vis du projet de lancement d’un nouveau produit, se positionner dans le rôle d’un « client » et essayer de trouver les failles potentielles susceptibles de représenter un désaccord ultérieur ou une relation tendue avec son banquier. Lors de partenariat avec des prestataires, il faut envisager toutes les situations de conflit éventuelles. De même, lors d’évolution ou de changement d’organisation au sein de l’entreprise, il faut comprendre qu’elle serait la perception externe de ce changement et de la communication associée.
- Pour les intervenants « internes » dans l’entreprise (dirigeants, collaborateurs) : lors de lancement de nouveaux produits, il faut évacuer tout risque d’interprétation, adapter les formations et la communication associée. Lors de changement d’organisation au sein de l’entreprise, il faut clarifier la nouvelle situation, détecter les points sensibles, assurer une conduite du changement ciblée.
Identifier les situations à risque
Imaginer les scénarios de risque permet ainsi d’identifier les situations potentiellement délicates et vulnérables. La détection des points de faiblesse éventuels apporte des éléments précieux pour l’entreprise puisqu’elle l’oblige à remettre en cause et infirmer ou confirmer les choix. Constater ou détecter des dysfonctionnements est une richesse pour une entreprise. En effet, si on ôte le sentiment de culpabilité face à une erreur, ce qui est avéré aujourd’hui permet de renforcer le dispositif pour qu’elle ne se reproduise plus demain.
En cas de dysfonctionnement avéré, il est nécessaire de décortiquer la situation afin d’en isoler le fait générateur et, ainsi, optimiser les moyens pour d’une part, réduire le ou les impacts générés et, d’autre part, renforcer le dispositif pour éviter ou décaler ce type de dysfonctionnement.
Le temps, danger irréversible
Imaginer, identifier, optimiser, sensibiliser sont des actions de risk management nécessaires et indispensables pour la gestion anticipative d’un dispositif de maîtrise des risques. Mais son efficacité est dépendante de la réactivité des acteurs de l’entreprise et donc du « temps » qui représente un danger au quotidien. En fait, dans tout scénario de risque, lors de constat ou de détection de dysfonctionnements, le temps joue un rôle primordial. En effet, lorsqu’un client « marque » le temps par un courrier, surtout si celui-ci est matérialisé par une preuve (par exemple, un recommandé), le scénario joue systématiquement en sa faveur et toute action ultérieure de la banque réduit son impact au fur et à mesure que le temps passe. En fait, dans tout traitement d’actes de gestion au sein de l’entreprise, qu’ils soient simples ou complexes, le temps est un danger irréversible qu’il faut anticiper et, en cas d’insuffisance de moyens à disposition pour une maîtrise des risques optimum, la solution reste une hiérarchisation des scénarios de risque afin de prioriser les activités en fonction des risques associés.
Des valeurs indispensables
Imaginer des scénarios et anticiper les risques et les impacts associés sont les principales valeurs du risk manager. Elles sont indispensables dans le cadre d’un passage à une méthode avancée pour une homologation. En revanche, l’exploitation de ces valeurs doit être en priorité au profit du dispositif de maîtrise des risques et donc de l’optimisation du résultat, et non pas simplement au montant calculé de l’allocation des fonds propres.
Même si la fonction reste soumise à la politique de l’entreprise et aux priorités qui lui sont données, la gestion anticipative des risques commence à s’installer durablement dans les entreprises. En effet, de plus en plus d’établissements se posent désormais la question : « faut-il qu’un sinistre, qui plus est, très important, se réalise pour s’assurer du besoin et de l’importance du risk management au sein d’une entreprise ? ». La réponse s’impose par elle-même.
