Maîtrise du risque opérationnel et RSE : même combat

Si l’on en croit Aristote, toutes les substances ou éléments naturels sont un mélange de matière et de forme, et l’argent ne fait pas exception à la règle, puisqu’il est un potentiel qui ne s’actualise, c’est-à-dire qui ne devient réel, qu’avec son association avec le travail et l’effort. Dans cette vision hylémorphique du monde, il est contre nature que l’argent se reproduise par parthénogenèse, ce qui est en soi une dénonciation de la financiarisation de l’économie. Mais ce couplage ontologique entre l’argent et le projet qu’il finance explique aussi pourquoi la maîtrise des risques est l’enjeu majeur de la banque.

Établir une classification des risques

Gérer le risque, c’est en effet s’assurer :

• que l’on connaît et comprend les menaces auxquelles on s’expose, en les recensant de façon claire et structurée ;
• que l’on met en œuvre un dispositif visant, au mieux à prévenir les sinistres, au pire à en réduire l’incidence.

Ainsi, depuis les travaux du Comité de Bâle sur le contrôle bancaire, les professionnels du risque bancaire ont pris l’habitude de classer les risques par type/nature, et de distinguer trois causes matérielles :

• le risque de crédit ou risque de contrepartie, qui est le risque que l'emprunteur ne rembourse pas sa dette à l'échéance fixée ;
• le risque de marché, qui est le risque de perte qui peut résulter des fluctuations des prix des instruments financiers qui composent un portefeuille ;
• et le risque opérationnel, qui est le risque de pertes directes ou indirectes dues à une inadéquation ou à une défaillance des procédures de l'établissement, de son personnel, des systèmes internes, ou à des risques externes.

Si cette classification a le mérite d’être claire, elle a pour inconvénient de ne voir le risque que sous l’angle de son impact direct sur la banque, lorsqu’il se matérialise. A contrario, dans la mesure où l’immatériel représente 60 à 80 % de la valeur d’une entreprise, on peut analyser le risque lorsqu’il se forme, en prenant en compte sa dimension extrafinancière. Ce prisme de lecture élargi permet de mesurer l’impact potentiel des parties prenantes (clients, salariés, fournisseurs, milieu naturel…) sur la banque, et du coup, en sens inverse, de s’intéresser aussi aux risques que cette dernière fait peser du fait de son activité sur ses parties prenantes et son environnement. C’est cette approche qui a été creusée par le Club Finance de l’ ORSE [1] en s’inspirant des expertises développées par les analystes extrafinanciers et les responsables RSE. Comme, jusqu’à présent, on a surtout fait référence à la RSE en termes d’enjeux ou de défis, on n’a pas l’habitude de la voir associée à la gestion du risque, mais si on rapproche les référentiels des uns et des autres, en l’occurrence Bâle II et ISO 26000, on constate une meilleure compréhension de certaines catégories de risque, notamment au niveau des risques opérationnels.

Une autre vision des risques opérationnels

Les référentiels RSE permettent ainsi de mieux cerner les risques de fraude interne et externe (catégories 1 et 2 de Bâle II) qui restaient encore flous aux yeux de certains responsables métiers. En effet, l’ISO 26000 accorde une place importante à la lutte contre la corruption et la loyauté des pratiques (gouvernance responsable, « éthique des affaires », etc.), permettant au champ de la fraude et à ses implications en termes de réputation de considérablement s’élargir, allant bien au-delà du risque financier unitaire et de la conception juridique de la « fraude ». De même, les référentiels RSE permettent d’intégrer de nouveaux risques de type catastrophe naturelle et changement climatique, impliquant la mise en place de plans d’adaptation ad hoc, à l’approche des dommages aux actifs corporels (catégorie 5 de Bâle II) qui se limite actuellement à l’implantation physique du siège social et des centres informatiques.

Une lecture élargie des risques bâlois

Le rapprochement des référentiels permet également un renforcement du champ d’application et du poids des risques bâlois, en les considérant du point de vue de « l’impact sur autrui » et non plus seulement du point de vue de « l’impact sur la banque/l’établissement financier ». Ainsi, alors que l’approche retenue par Bâle II des pratiques en matière d’emploi et de sécurité sur le lieu de travail (catégorie 3) porte principalement sur le respect de la réglementation et du droit du travail, l’optique RSE englobe les questions liées à la promotion de la diversité et de l’égalité professionnelle et, d’une manière générale, le respect de « normes internationales » (conventions de base de l’ OIT [2] , déclaration universelle des droits de l’homme et International Covenant on Civil and Political Rights…), ce qui doit se traduire par la mise en place de politiques prenant en compte les droits de l’homme, de démarches de promotion de la diversité ou d’engagement au respect des conventions de l’OIT, pouvant aller jusqu’à l’instauration de chartes spécifiques.

Pour de bonnes pratiques commerciales

De même, dans la catégorie 4 relative aux clients et pratiques commerciales, les bonnes pratiques RSE confortent la lecture bâloise de ces risques en soulignant l’importance de la connaissance du client, de son écoute et de sa protection. Les bonnes pratiques comprennent la prise d’engagements en faveur de l’intérêt du client, la mise en place de processus de médiation ou d’un dialogue avec les associations de consommateurs [3] , ainsi que la diffusion de politiques sectorielles permettant de prendre en compte et de prévenir les impacts sociaux et environnementaux du financement des secteurs sensibles.

Dans la catégorie 6, qui concerne l’interruption et la défaillance des systèmes, l’approche RSE permet de sortir d’une vision exclusivement technique et de considérer ces risques sous l’angle de la fourniture d’un « service essentiel », à savoir d’une part, la capacité à assurer la continuité de ce service dans le temps, c’est-à-dire par exemple des distributeurs automatiques de billets disponibles sans discontinuité et, d’autre part, la fourniture de services bancaires de base et la garantie donnée à tout un chacun de pouvoir y accéder.

Les interactions entre l’entreprise et ses parties prenantes externes

Enfin, dans la catégorie 7, qui concerne l’exécution, la gestion et la livraison des processus, l’approche ESG [4] permet d’enrichir les interactions entre l’entreprise et ses parties prenantes externes (contreparties, fournisseurs), puisque la diffusion des principes de RSE dans la chaîne de valeur permet :

• de se prémunir contre les pratiques inadéquates de fournisseurs qui, par ricochet, impacteraient l’entreprise ;
• de ne pas imposer de conditions d’achats léonines qui déséquilibreraient la relation entre les deux parties (responsabilité des donneurs d’ordre/fournisseurs).

De plus en plus de banques proposent ainsi à leurs fournisseurs des chartes Achats et mettent en place un processus d’audit ad hoc permettant de s’assurer que cette charte est bien respectée. Ces démarches peuvent être complétées d’une notation des fournisseurs ou d’un score par prestation qui seront ensuite intégrés dans une grille d’analyse multicritères, voire de l’organisation de trophées pour récompenser les fournisseurs faisant preuve d’une démarche développement durable « remarquable ».

Une meilleure gestion du risque de réputation

In fine, on constate que l’approche ESG conduit à une vision étendue du risque d’image susceptible d’affecter la réputation des établissements bancaires et pouvant aller jusqu’à la remise en cause de leur « licence to operate ». La réputation étant devenue l’un des actifs immatériels majeurs des entreprises bancaires, dans un secteur où la confiance est reine, on mesure toute l’importance d’une démarche visant à préserver ce capital en se protégeant des risques qui pourraient l’impacter, qu’ils soient financiers ou extrafinanciers.

Le tableau I donne une vision synoptique des référentiels correspondants aux deux approches. Il propose une revue synthétique des risques opérationnels de niveau 2 de Bâle II, une mise en regard avec les principes de l’ISO 26000 et les indicateurs répertoriés par la  GRI [5] , et une classification par les causes finales qui donnent le sens de la gestion des risques.

La mécanique de prise en compte des risques ESG définie a pour ambition d’aider le management à décider en toute connaissance de cause. L’indispensable condition est bien entendu son implication dans le processus de maîtrise des risques enrichi. La prise en compte de critères ESG dans la gestion du risque devient alors un pas de plus dans l’intégration de la RSE dans les démarches d’aide au management des organisations, et vers une meilleure gestion du risque d’image et de réputation.

Agir avec anticipation

En effet, quand on agit une fois que les risques se sont matérialisés, au lieu d’être actif, voire pragmatique (tourné vers l’action), on n’est au mieux que réactif. La RSE permet a contrario d’être théorique, c’est-à-dire de « contempler la formation » des risques, et donc d’agir avec anticipation. Warren Buffet avait certainement en tête ce lien entre RSE et maîtrise du risque lorsqu’il avançait : « We can afford to lose money – even a lot of money. But we can’t afford to lose reputation – even a shred of reputation [6] ».

1 Observatoire sur la responsabilité sociétale des entreprises. Voir son guide pratique sur l’intégration des critères ESG à la maîtrise des risques opérationnels. 2 Organisation Internationale du Travail 3 Certains établissements financiers disposent même de baromètres et/ou d’études pour sonder la satisfaction des clients ou définir les actions prioritaires liées à l’amélioration de cette satisfaction. 4 Environnement social et gouvernance. 5 Global Reporting Initiative. 6 Nous pouvons nous permettre de perdre de l'argent, et même beaucoup. Mais nous ne pouvons nous permettre une perte de réputation, aussi petite soit-elle.