Le Third Party Risk Management au cœur des préoccupations des établissements financiers

L’acronyme TPRM, pour Third Party Risk Management, est maintenant dans toutes les têtes. Et pas seulement dans celles de quelques spécialistes, non, celle des dirigeants et des membres du Directoire. La pandémie Covid-19 y est bien sûr pour quelque chose, mais l’évolution du cadre réglementaire, avec l’entrée en vigueur en septembre dernier des orientations de l’Autorité Bancaire Européenne sur l’externalisation [1] , avait déjà ouvert la voie du sommet à ce sujet. N’obérons pas le travail de nos superviseurs et en particulier de la Banque Centrale Européenne qui s’étaient chargés de faire passer les bons messages auprès des principaux établissements d’importance systémique.

L’externalisation des activités non stratégiques

Il faut dire que l’écosystème des établissements financiers français est totalement interconnecté au reste du monde et aux autres secteurs ouvrant ainsi une brèche dans les dispositifs de maîtrise des risques. Les établissements se concentrent sur leur cœur de métier et externalisent progressivement des activités jugées moins stratégiques. Cette externalisation leur permet de maîtriser et souvent de réduire les coûts, tout en renforçant la qualité de leurs processus. Elle permet par ailleurs de refocaliser les ressources internes sur des tâches à plus forte valeur ajoutée. L’externalisation ou l’utilisation importante de fournisseurs clés peut tendre à introduire ainsi de nouveaux risques au sein de l’établissement. Il y a tout d’abord la question de la résilience opérationnelle du tiers, voir du tiers du tiers, dont les défaillances peuvent mener à des pertes financières en cascade. Il y a également des risques d’ordre réputationnels, financiers, opérationnels. Par exemple, un prestataire d’externalisation n’aura peut-être pas les règles de sécurité financière ou de sécurité cyber que l’établissement en lui-même. Tout cela doit être encadré précisément pour être maîtrisé.

Alors comment concilier cet objectif d’efficacité opérationnelle avec la gestion des risques ? Outre-Atlantique nos pairs américains se sont trouvés confrontés à la question il y a plus d’une décennie avec l’implication de plusieurs régulateurs dont l’Office of the Comptroller of the Currency, la Federal Deposit Insurance Corporation, et, plus connue, la FED (Federal Reserve Board). Le corpus réglementaire et donc également les dispositifs de maîtrise des risques ont été très largement renforcés.

Trois solutions possibles

Trois grandes solutions s’ouvrent aux établissements financiers : la mise en place en interne d’un dispositif TPRM ; la mise en place de consortiums de place en vue de mutualiser les diligences entre établissements ; enfin, le recours à un prestataire de type « managed services » qui prend en charge une partie du processus.

Un dispositif internalisé

La solution de construction d’un dispositif complètement internalisé implique à la fois des investissements en termes d’outillage, de ressources et de compétences. Ces dispositifs peuvent être logés à plusieurs endroits : la dernière étude EY [2] montre que 15 % des entreprises ont une structure dédiée TPRM, 26 % un dispositif au sein de la fonction Achats et 15 % au sein de la fonction Risques. Les équipes effectuant les due diligences sur les tiers ou sur les prestations peuvent aller de plusieurs dizaines à quelques centaines de collaborateurs selon la taille des établissements. Ces investissements importants peuvent représenter un frein, tant en termes de montants qu’en temps nécessaire de mise en œuvre compte tenu de la pression réglementaire.

Un consortium de place

L’expérience américaine tend à montrer que la solution de consortium de place est envisageable. En l’occurrence, celui-ci regroupe cinq institutions financières et vise à mutualiser leurs démarches de gestion des risques auprès des tiers. Au-delà des évidentes économies d’échelle que cela génère, de la non-duplication des démarches (une due diligence réalisée pour une banque sur un fournisseur vaudra de la même manière pour une autre), cela facilite la vie des tiers pour qui montrer patte blanche auprès de leurs différents clients établissements financiers est devenu plus que fastidieux.

Le Royaume-Uni, la Belgique et l’Espagne font partie de nos voisins qui ont déjà démarré des discussions de place relativement similaires. D’aucuns auraient également pu imaginer adjoindre les établissements européens au consortium américain, prenant finalement l’orientation d’une plateforme mutualisée mondiale. Ce serait sans compter sur la singularité du vieux continent, perpétuée dans son approche des risques opérationnels. Si, aux États-Unis, les risques IT et Cyber sont clairement prioritaires, ils partagent au moins à égalité la scène avec les risques de corruption et de blanchiment des capitaux en Europe. Ce schisme de perception est flagrant lorsque l’on regarde les questionnaires de due diligence en usage d’un côté et de l’autre de l’atlantique. Le tropisme IT/Cyber du questionnaire SIG (Standardized Information Gathering) est un exemple parmi d’autres.

Si la solution du consortium de place est attrayante, elle est néanmoins relativement longue à mettre en place et reste souvent comme une solution cible pour de nombreux établissements.

Une alliance avec un partenaire

La troisième porte qui s’ouvre est celle d’une alliance avec un partenaire qui effectue une partie du processus pour le compte de l’établissement. Plusieurs prestataires et cabinets offrent ces solutions aujourd’hui. Parmi les avantages évidents figurent le gain de temps pour la montée en charge et la réduction du coût unitaire d’une due diligence. Cette solution nécessite tout de même la création d’une structure TPRM au sein de l’établissement, plus restreinte bien sûr que dans un modèle complètement internalisé. Il est en effet nécessaire que l’établissement garde la maîtrise de son dispositif et soit en mesure d’avoir toute la transparence sur les diligences effectuées par le tiers. Il garde enfin la maîtrise de son appétit aux risques et du processus de décision.

Cette solution de partenariat permet également de gérer le pic de charge significatif pour agir de concert sur le flux des nouvelles externalisations (obligation en vigueur depuis le 30 septembre 2019) et sur le stock des externalisations existantes (à traiter avant le 31 décembre 2021), particulièrement lorsqu’elles portent sur des fonctions critiques ou importantes. Elle permet également de prendre le temps de la réflexion sur le nécessaire outillage, compte tenu de la volumétrie significative, sur la base d’environnements IT complexes et des multiples systèmes Achats et Risques (il nous faut dans un registre faire le lien entre un arrangement, son contrat, l’évaluation des risques du processus concerné, les incidents survenus, recommandations et actions de remédiation en cours, etc.).

Tactique ou cible, cela peut être une solution agile pour accélérer la mise en place de son dispositif de maîtrise des risques de tiers.