Les facteurs d’évolution impactant les systèmes d’information (SI) de l’industrie bancaire sont en train de connaître une accélération et les inducteurs traditionnels de changement que sont les évolutions comptables, prudentielles, réglementaires ou bien encore les évolutions produit qui jalonnaient jusqu’à présent les SI sont complétés par de nouveaux facteurs liés au numérique et à l’Intelligence Artificielle (IA). Ces nouveaux facteurs d’évolution viennent impacter le SI de manière orthogonale, par bourgeonnement, faisant évoluer la manière même dont étaient et sont conduites les évolutions actuelles.
Conjointement à ces mouvements à l’œuvre, des contraintes réglementaires ayant un impact direct sur les données (BCBS #239, IFRS9, GDPR) ou bien encore sur le cadre de contrôle interne s’imposent et doivent être respectées par l’industrie.
L’état des lieux
Les SI de l’industrie bancaire sont en train de vivre les prémices de changements profonds. Aux facteurs traditionnels d’évolution viennent se joindre des facteurs plus diffus, la mise en œuvre de briques d’un nouveau type (fonctionnalités numériques, IA, machine learning…), qui gagnent par capillarité les différentes branches des SI.
Ces évolutions sont rendues nécessaires par la compétition que se livrent les acteurs existants, par l’arrivée de nouvelles formes de concurrence avec les FinTechs et par la digitalisation des activités. Certaines banques organisent en outre la production de nouvelles idées au travers d’initiatives comme l’intreprenariat également pourvoyeur d’évolution des SI. Les établissements de la Place sont impactés progressivement, en ordre dispersé, mais la tendance de fond est là.
Au regard de ces évolutions profondes, de nombreuses questions se posent pour les métiers du contrôle.
Du point de vue du maintien d’un dispositif de contrôle interne efficient et pertinent, les établissements bancaires avancent de manière disparate. Les plus avancés en la matière s’équipent de cellules spécialisées et dédiées aux approches data, qui vont jusqu’à investir des zones de données de contrôle restées grises jusqu’à présent – la voix par exemple –, quand le reste de la place reste sur des approches plus traditionnelles. Néanmoins se dessinent en filigrane des questions portant sur l’évolution des pratiques, sur la manière d’appréhender ces nouvelles briques ou bien encore sur les possibilités qu’offriraient ces nouvelles technologies.
Du point de vue de la qualité des données, dont la maturité de la mise sous contrôle est plus jeune, et où la Place avance en ordre dispersé mais rythmé par les exigences réglementaires, les questions posées par ces briques d’un nouveau type se posent avec le déploiement des dispositifs de mise en qualité et peuvent bénéficier d’un effet page blanche et d’un domaine où les bonnes pratiques s’écrivent doucement. La préoccupation centrale restant l’optimisation du ratio efficacité/coût du dispositif de contrôle de qualité des données.
À l’instar des bénéfices apportés aux SI et aux métiers, ces nouvelles technologies sont-elles à même d’accompagner les métiers du contrôle dans l’atteinte de leurs objectifs respectifs et d’apporter des réponses pratiques aux défis qu’elles portent intrinsèquement ?
L'enjeu concernant le dispositif de contrôle interne
Au regard de la tectonique disruptive à l’œuvre au sein des SI bancaires de la Place, s’approprier ces algorithmes et technologies d’IA ou de machine learning pour en tirer parti paraît donc pour le moins opportun.
L’enjeu concernant le dispositif de contrôle interne – retenons ici plus particulièrement le cas du contrôle périodique, mais la logique est la même en ce qui concerne le contrôle permanent – est de se repositionner sur de la valeur ajoutée, pour capitaliser sur sa capacité de prise de recul et d’analyse critique afin qu’il puisse jouer son rôle à plein. Ce repositionnement devant néanmoins s’opérer à iso-efficience pour les processus ou activités sous contrôle. L’enjeu est également d’accompagner ces changements profonds qui agitent l’industrie bancaire.
La démarche traditionnelle de l’auditeur interne va le conduire à cartographier le processus, à en évaluer la conception, puis à en évaluer l’efficacité opérationnelle par le biais de tests réalisés sur un échantillon d’opérations. D’un point de vue pratique, quelle réponse pourrait lui apporter l’IA ?
Lorsque le contexte s’y prête – hors processus ou activité manuelle –, le machine learning peut apporter une réponse pratique et efficiente à cette analyse du caractère opérationnel d’un cadre de contrôle donné. Les processus et les activités de nos établissements bancaires sont en effet pour la majeure partie matérialisés dans les SI. Ils reposent et s’expriment via des données structurées ou non. En tant que tels, ils sont donc exploitables via des approches pouvant s’appuyer sur ces données et en tirer parti.
Un processus peut par exemple être analysé via des algorithmes de machine learning dits « de classification » préalablement entraînés et ainsi faire ressortir d’éventuels « outliers » – ces configurations de données au sein d’une opération en écart avec le reste de la population – permettant ainsi de cibler le cas échéant les opérations et les contrôles ayant été déficients pour les analyses détaillées. Tout en sécurisant le reste de la population. Ce faisant, la charge de travail de l’auditeur est repositionnée sur l’analyse de la conception du dispositif de contrôle, sur l’analyse de ces éventuels dysfonctionnements et sur la formulation de recommandations d’amélioration.
L’évaluation de la qualité des données
En ce qui concerne la qualité des données, au cœur de nombreuses préoccupations réglementaires (BCBS #239, IFRS9, GDPR), s’approprier ces nouvelles approches disruptives offre ici encore des accélérateurs.
La qualité des données, dans sa dimension « cohérence », est un sujet complexe à appréhender, chronophage et nécessitant une forte expertise. En effet, la vérification de cette assertion, la « cohérence », passe par la compréhension fine de la donnée analysée, de son sens métier, de sa provenance, de son contexte, de son (ses) utilisation(s)... C’est au prix de cette compréhension fine et approfondie que les tests et analyses que l’on veut construire seront pertinents.
En la matière, les algorithmes de machine learning proposant des approches non supervisées de par leur capacité à opérer des regroupements de données ou de population, permettent de préparer le terrain de l’analyse. Ils offrent une grille de lecture à la fois spécifique et exhaustive de la cohérence des jeux de données qui leur sont soumis. La nature du travail d’évaluation de la cohérence s’en trouve optimisée.
D’une première approche – chronophage, exigeante en expertise fonctionnelle (pour définir les données sous-jacentes mais également les contraintes de cohérence à vérifier) et sans garantie quant à la complétude des règles de cohérence vérifiées –, on passe alors à une approche demandant certes de définir les features (données qui auront une utilité a priori pour l’analyse) mais dont l’expertise sera dirigée vers l’analyse/la lecture fonctionnelle du modèle produit par l’algorithme – a priori complet, au regard des features utilisés – et délimitant l’univers de cohérence dans lequel graviteront les données analysées. Ce modèle appliqué à l’ensemble de la population à analyser permettra d’identifier d’éventuelles incohérences fonctionnelles (problème de qualité de données donc) et, si besoin, pourra être utilement complété pour intégrer des cas de figure initialement non captés ou nouveaux.
Ces approches, on le voit, constituent donc des facteurs d’optimisation et d’efficience supplémentaires dans le cadre d’une implémentation ponctuelle.
Conclusion
Au regard des profondes mutations que vivent les SI des établissements bancaires du fait de l’émergence des nouvelles technologies et des contraintes opérationnelles qu’engendrent les différentes réglementations, les banques sont amenées à développer des solutions de rupture à même de garantir l’atteinte des objectifs des dispositifs de contrôle.
Ces solutions de rupture peuvent utilement s’appuyer sur ce que peut proposer l’IA, facteur d’efficience et d’efficacité. Ces approches présentent en outre un autre atout particulièrement appréciable : elles sont industrialisables par définition et donc utilisables de façon récurrente et/ou transactionnelle. Dans le cadre d’un dispositif d’évaluation de la qualité des données, cela est souhaitable. Cependant, dans le contexte du dispositif de contrôle interne périodique, ne pourrait-on pas imaginer capitaliser sur cette capacité pour envisager un glissement de ce qui a été créé à l’occasion d’un contrôle périodique vers le dispositif de contrôle permanent ?
Plus largement, s’approprier ces technologies pour les fonctions de contrôle n’est-il pas simplement le meilleur moyen de se mettre en capacité de relever le défi posé par ces briques d’un nouveau type ?
Stratégiquement, en tout cas, une évolution progressive mais organisée doit donc se construire, afin de garantir que les fonctions de contrôle sont en position et en situation d’accompagner l’évolution technologique qui se dessine et de répondre aux attentes et exigences des régulateurs.
