La transformation digitale désigne le changement associé à l’application de la technologie afin d’améliorer son organisation et de développer son activité. Elle vise à créer de la valeur ajoutée pour les clients, les collaborateurs et les fournisseurs. Elle s’appuie sur de multiples innovations et technologies digitales : intelligence artificielle (IA), Big Data, Data Analytics, blockchain, chatbots, etc.
La convergence de plusieurs facteurs permet aujourd’hui de tirer pleinement profit de ces technologies. La croissance exponentielle du nombre de données disponibles et accessibles via Internet, la capacité de traitement des processeurs de plus en plus puissants, la blockchain, le cloud computing, les progrès en matière d’IA, sont autant de facteurs qui valorisent les données et leur procurent une valeur démultipliée.
In fine, la transformation digitale permet aux décideurs de pouvoir disposer d’informations à haute valeur ajoutée et en temps réel avec une vision à 360°.
Dans quelle mesure la transformation digitale va-t-elle impacter les métiers de la gestion des Risques et du Contrôle ? Quels sont les nouveaux risques liés à la transformation digitale ?
Nous allons tenter d’apporter des éléments de réponse à ces questions, en posant comme postulat le fait que, pour les établissements bancaires et financiers, la transformation digitale n’est plus une option.
Impact de la transformation digitale sur les fonctions Risque et Contrôle
Depuis une quinzaine d’années, le système bancaire et financier a connu une inflation réglementaire sans précédent. Aux États-Unis comme en Europe, le nombre de pages de texte concernant la réglementation prudentielle a été multiplié par 40, pour atteindre près de 40 000 pages. Profitant de cette situation, de nombreuses sociétés ont mis au point des solutions technologiques innovantes pour faciliter le traitement de ces contraintes. Ces entreprises sont fédérées sous l’appellation RegTech, pour Regulatory Technology (voir Encadré 1).
De fait, le système bancaire et financier paraît mieux encadré et contrôlé. La place des fonctions Risque et Contrôle s’est considérablement renforcée au sein des établissements, du point de vue de la gouvernance, mais aussi en termes de culture et de sensibilisation.
Pour autant, même si on ne peut que louer l’action du régulateur, il faut néanmoins remarquer que ces textes ont souvent vu le jour a posteriori d’évènements, face à des risques déjà matérialisés en pertes. S’il n’a pas été possible de prévenir ex-ante les crises, c’est en partie parce que la modélisation des risques est particulièrement complexe tant elle contient d’hypothèses, de variables et d’interdépendances entre ces variables. Il subsiste toujours une notion d’incertitude inhérente aux hypothèses de modélisation.
Grâce à la transformation digitale, les décisions sont prises à partir de données collectées en temps réel. On ne parle plus d’hypothèses, mais de faits et de moyens sans précédents d’analyse des données, qu’elles soient structurées ou non. Cela change la donne.
La transformation digitale offrirait-elle un second axe de protection ? Un axe complémentaire à l’action du régulateur, mais qui permettrait aux établissements de se protéger ex-ante ?
En d’autres termes, ces technologies permettront-elles d’atteindre une gestion proactive des risques et de quelle façon ? Pour le superviseur, l’enjeu étant la proactivité de la surveillance macroprudentielle.
Analysons les impacts au niveau des dispositifs de gestion des risques et de contrôle. Ces impacts sont en termes de gouvernance, de méthodologie d’identification des risques, de méthodologies de mesure, enfin de dispositifs de contrôle et de prévention.
La gouvernance
Dans la plupart des banques, les approches sont basées sur une organisation centralisée qui met en place, anime et coordonne un dispositif méthodologique selon une approche « top down ». Ces organisations centralisées l’ont souvent été, car il n’y avait pas d’alternative pour gouverner. Les contraintes physiques et informatiques ne permettant pas de travailler à partir d’un socle commun en étant pleinement synchrone.
La transformation digitale permet de mettre en place une gouvernance « distribuée », c’est-à-dire que chaque entité va pouvoir tirer parti d’un cadre commun partagé en temps réel. Chaque pôle ou entité d’un groupe bancaire dispose ainsi des mêmes outils, moyens technologiques, et des mêmes accès aux données, dont l’intégrité ne peut pas être altérée. Derrière cette nouvelle réalité, des technologies telles que le cloud et la blockchain sont déployées au profit de cette gouvernance distribuée.
La principale valeur ajoutée de cette approche réside dans l’appropriation du dispositif de gestion des risques. Trop souvent, les fonctions Risque et Contrôle ont été perçues à tort comme étant des fonctions centrales éloignées des préoccupations quotidiennes des métiers générateurs de revenus. Le fait de décentraliser la responsabilité et de la distribuer aux entités ne peut que favoriser l’appropriation (fameux critère du « use test ») et la diffusion de la culture risque qui a tant été recherchée mais jamais vraiment atteinte.
La méthodologie
La majorité des cadres méthodologiques type COSO, ISO, etc. reposent sur l’identification, la mesure du risque, puis sa mise sous contrôle au moyen de procédures et d’indicateurs d’alerte (KPI,
– limitées à plusieurs niveaux : l'expérience, l’espace, le temps, la capacité d’imagination de scénarios de risque ;
– coûteuses car ces analyses doivent être régulièrement revues et récurrentes. Elles nécessitent souvent des moyens humains conséquents.
La transformation digitale permet deux axes de gains de productivité et d’efficience opérationnelle.
Prenons l’exemple d’une cartographie des risques, l’analyse nécessite de réaliser une autoévaluation des risques au sein de chaque activité de la banque ; ces analyses sont généralement effectuées par des questionnaires puis étudiées lors de workshop entre les fonctions opérationnelles, et Risques et Contrôle. Ces exercices sont généralement longs et récurrents et l’agrégation des données collectées nécessite une méthodologie suffisamment robuste d’un point de vue quantitatif pour éviter de perdre la valeur des données. Ces analyses sont en général basées sur le passé et l’expérience subjective, et utilisées à des fins prédictives.
En intégrant des outils faisant appel à l'IA, dotés de capacité d’analyse et en positionnant des indicateurs au sein des activités, on peut améliorer les résultats obtenus d’une part et économiser de nombreuses ressources liées à la réalisation de cet exercice d’autre part. En effet, un algorithme d’IA permet de traiter en temps réel et simultanément plusieurs analyses de risques, d’analyser des données internes, externes, structurées ou non, d’intégrer des évolutions des facteurs d’environnement et de contrôle, d’analyser les mécanismes de diffusion et de simuler des probabilités ex-ante alors que l’approche « traditionnelle » est basée sur des techniques actuarielles faisant appel à l’observation ex-post aboutissant à l’estimation des paramètres de fréquence et de sévérité des pertes.
De plus, les technologies liées à la transformation digitale permettent de s’affranchir de l’effet silo grâce à des plateformes 360 degrés ou l’information est accessible au sein des différentes fonctions de l’établissement et/ou provenant de différents canaux de distribution. Cette vision 360° permet d’approfondir de surcroît l’analyse des mécanismes de transmission et de diffusion du risque en interne et en externe (PS2E).
Le calcul
En termes d’approche quantitative, l’impact de la transformation digitale est lié aux capacités de calcul fournis par une architecture cloud, à la capacité de traitement des données qu’elles soient quantitatives ou textuelles et enfin au niveau de l’ajustement de la mesure du risque en temps réel.
La représentation du risque et la restitution des résultats deviennent plus rapides à obtenir et permettent donc des réponses réactives et grâce à l’auto-apprentissage des algorithmes d’IA, on pourrait même dire enfin proactives.
Tout l’intérêt d’une modélisation repose sur sa capacité de connaître rapidement son risque présent et futur. La combinaison de moyens informatiques, mathématiques, calculatoire et de restitution rend le modèle semblable à un thermomètre qui donne la température en temps réel. Prenons le cas du calcul des indicateurs de valorisation et de mesure des risques de marché : en général ces indicateurs sont produits sur les positions de la veille. Il n’y a pas de revalorisation en temps réel et donc de « rehedging » en temps réel. Des capacités de calcul plus élevées combinées à des outils d’analyse autonomes permettent de recalculer en temps réel les couvertures en fonction des conditions réelles de marché.
Le contrôle et la prévention
À ce jour, les contrôles sont définis après la phase d’analyse du processus et de ses interactions avec d’autres processus, puis d'identification des risques. On positionne ensuite des indicateurs permettant de monitorer le risque. Tout le problème de cette mécanique est le temps de réaction, aussi bien pour les banques que pour le superviseur.
La transformation digitale permet, au moyen d’un dispositif de collecte systématique et automatisée de KPI et KRI, d’alerter instantanément en cas de résultat inattendu et de façon continue. De plus, avec une approche incorporant de l’IA type « deep machine learning », l’optimisation de la réaction va être constamment améliorée.
Ainsi, le risque peut être évité ex-ante. Que ce soit en détection de fraude, rehedging, ou autres types de cas où le délai de réaction est un facteur clé pour prévenir le risque, ces technologies vont permettre de mieux protéger les établissements et leurs clients.
On en revient à la gestion proactive des risques, mais elle n’est rendue possible qu’avec une collecte systématique et à grande échelle des indicateurs, la mise en place d’une architecture distribuée et une capacité de traitement de l’information pratiquement en temps réel.
Tout ceci repose sur des moyens technologiques tels que l’IA, le cloud, le Big Data, le Data Analytics et des capacités calculatoires puissantes.
Focalisons-nous sur le cas de la fraude aux moyens de paiement. Elle a explosé en quelques années : 1,2 million de ménages se sont déclarés victimes d'au moins une escroquerie bancaire en 2016, contre 0,5 million en 2010. L'Observatoire de la sécurité des moyens de paiement a estimé le coût sur l'ensemble des moyens de paiement émis en France à 800 millions d'euros en 2016. Il existe actuellement un sujet de Place qui concerne toutes les banques françaises car l’enjeu est de taille, surtout dans un contexte où plus d’un ménage sur deux ayant déclaré un cas de fraude l’a fait dans le cadre d’un achat via Internet.
La transformation digitale permet un renforcement de la prévention de ce type de fraude grâce à une amélioration du parcours client, via l’utilisation du machine learning et des données provenant de la biométrie comportementale, à une détection proactive de la fraude et, enfin, grâce à une diminution considérable du temps de réaction en cas d’évènement. Pour cela il est indispensable de mettre en place une approche transverse afin d’être capable de collecter et d’analyser des données internes issues des canaux monétique, agence, banque en ligne, mais aussi des données externes de type réseaux sociaux, de partenaires, site d’information, etc. Il est donc nécessaire de bâtir des profils clients en utilisant leurs données personnelles (les données biométriques sont également considérées comme des données personnelles). D’où la nécessité aussi d’être en conformité avec les dispositions prévues par le
Les nouveaux risques liés à la transformation digitale
La transformation digitale fait appel des compétences très diverses : informatiques, quantitatives et organisationnelles. Un projet de transformation fait intervenir des développeurs qui vont concevoir la solution digitale, des Data Scientists qui vont construire les algorithmes de récupération, de filtrage et d’analyse des données, mais aussi des compétences en efficience opérationnelle qui vont permettre d’optimiser les ressources humaines et technologiques affectées à un process. À notre sens, elle nécessite également des compétences en matière de risk management.
Engager un projet de transformation digitale sans une réflexion aboutie sur son organisation, ses risques, ses processus et son offre ne peut mener à une réussite pérenne. Au-delà des moyens technologiques, il s’agit de (re)construire une organisation basée sur les données pour passer d’un modèle descriptif à un modèle prédictif.
Pour cela, les fonctions Risque et Contrôle sont les mieux à même, d’un point de vue méthodologique, pour aider à construire des processus maîtrisés et évaluer le niveau de risque notamment dans le cadre d’une automatisation de processus. Les fonctions Risque et Contrôle sont également d’une aide précieuse dans le positionnement des indicateurs KRI et KPI qui vont alimenter les outils d’analyses et éventuellement les décisions prises par les algorithmes d'IA.
Il nous semble impératif de mener une démarche d’analyse des risques et d’efficience opérationnelle dans le cadre d’un projet de transformation digitale afin de disposer de processus fiables et efficients, d’outils d’aide à la décision correctement conçus et alimentés et d’un plan de continuité en cas de survenance d’un risque exogène (attaque informatique, catastrophe naturelle ou non).
Au niveau macro, celui du secteur bancaire et financier dans son ensemble, la conséquence principale liée à la défaillance d’un établissement est la contagion quasi instantanée à tout le système bancaire. Si les gains sont immenses (de l’ordre d’un trillion de dollars) pour le secteur bancaire et financier, les risques le sont tout autant. La transformation digitale et l’IA en particulier sont sources de gains de productivité de l’ordre de 25
Les risques de perte ne peuvent être estimés de façon déterministe car ils dépendent du scénario de risque qui se concrétise, mais on peut aisément imaginer qu’ils menaceraient le secteur dans son ensemble compte tenu de la vitesse de propagation.
Notre conviction est que la transformation digitale du secteur bancaire devrait faire l’objet de guideline et d’une surveillance macroprudentielle afin de prévenir les dangers d’un maillon faible.
Le rôle du régulateur
Néanmoins, ces démarches doivent être encadrées par une réglementation propre qui définirait les règles de base à respecter par les établissements telles que :
– la participation des fonctions Risques aux projets digitaux et la mise en place d’analyse de risque documentée préalable au lancement d’un nouveau produit digital ;
– la mise en place d’une gouvernance dans la conduite de projets digitaux définissant qui sont les acteurs concernés et leurs obligations respectives ;
– la nécessité de documenter les algorithmes, d’assurer leur audibilité par le superviseur ;
– la réalisation de tests liés au fonctionnement de l’IA qui soient suffisamment robustes dans des environnements normaux et dégradés (stress-tests) ;
– l’étude régulière des mécanismes de contagion entre les établissements ;
– la nécessité de garder la maîtrise en interne dans le cas d’une réalisation par un prestataire externe ;
– la revue régulière ex-post des décisions prises dans le cas d’utilisation d'IA dans un processus de sélection afin de s’assurer du bien-fondé ou pas de la décision (back test) ;
– la mise en place de plan de contrôle et de continuité en cas de crises, attaque, etc. ;
– la mise en œuvre d’un processus garantissant le respect de la réglementation liée aux données personnelles.
L’utilisation de l’IA n’est pas à considérer comme un risque informatique. Il s’agit d’un risque stratégique qui comporte une dimension IT mais pas uniquement. Cela va bien plus loin, il est donc nécessaire de décider où placer le curseur en termes d’automatisation, d’autonomie et de confiance accordée à l’IA.
Clairement la transformation digitale augmente le niveau des risques opérationnels émanant des systèmes d’information et alimente de nouveaux risques de conformité notamment sur la protection des consommateurs, la lutte contre le blanchiment des capitaux et la protection des
Des standards méthodologiques doivent émerger rapidement pour ne passer à côté du plus grand saut technologique que nous nous apprêtons à effectuer. Le fil conducteur devrait être à notre sens une participation obligatoire des fonctions Risque et Contrôle aux projets de transformation digital. Par exemple, dans le cadre d’un projet digital de simplification du parcours clients, les établissements qui cherchent à augmenter l’autonomie des clients et la souscription en ligne doivent nécessairement vérifier que les processus d’entrée en relation KYC et de vérification d’identité sont bien respectés. De même il faut intégrer les contraintes réglementaires liées à la contractualisation et la signature électronique et l’établissement se doit de veiller à la protection des données personnelles.
Pour ce qui concerne l’IA, il convient de s’assurer que les algorithmes utilisés sont auditables et explicables. Pour la blockchain, il est également nécessaire de s’assurer de l’audibilité mais aussi du respect des règles sur l’externalisation, sur la protection des données par exemple.
L’ACPR a initié en avril 2018 la mise en place d’une « task force » visant à identifier les risques liés à la transformation
Quant aux fonctions Risque et Contrôle, si elles vont tirer de la transformation digitale une valeur ajoutée et des gains de productivité sans précédent, elles se doivent d’y participer activement afin d’apporter leur contribution et être la pierre angulaire de cette transformation.
