On peut considérer que toutes les banques disposent d’une cartographie des risques, c'est-à-dire un document dans lequel elles formalisent leur profil de risque. En revanche, leur qualité et leur utilité réelles peuvent être très variables d’un établissement à l’autre. D’abord centrées autour des risques très opérationnels, les cartographies ont progressivement intégré des risques de non-conformité. Mais le choix de nombre d’établissements d’associer coûte que coûte des événements de natures très différentes dans un même support finit par l’alourdir et dégrader sa cohérence et, de ce fait, limiter son exploitation. Ce manque de lisibilité explique probablement pourquoi la cartographie des risques reste souvent réservée à un cercle de spécialistes. Elle n’a pas pleinement trouvé sa place auprès des dirigeants, en tant qu’instrument de pilotage d’une stratégie globale des risques. C’est pourtant l’une de ses utilités. Voici une méthode pour mieux atteindre cet objectif.
Étape 1 : une cartographie séparée entre risques opérationnels et de non-conformité
En matière de risques à cartographier, on peut distinguer deux familles : les risques strictement opérationnels et les risques de non-conformité, tels que définis dans la réglementation
Approche pour le risque opérationnel
Pour évaluer ce risque, il s’agit de dérouler linéairement les étapes d’un processus opérationnel (voir Schéma 1), afin d’identifier puis de mesurer les risques potentiels assimilables à des incidents, par exemple dus à la faiblesse ou au non-respect de procédures, de ruptures informatiques, etc.
Toute activité génère par nature des risques opérationnels potentiels. La question porte donc sur les fragilités du mode de gestion mis en œuvre par centre de responsabilité et d’en mesurer l’impact en cas de survenance.
Cette cartographie mesure un risque, dont on cherche à mesurer l’impact en cas de survenance au travers du facteur « fréquence » et du facteur « coût unitaire ». Chaque service métier de l’entreprise est responsable de ses activités et de ses risques.
Aucun critère de mesure n’est parfait, mais l’utilisation de l’étalon monétaire pour les risques opérationnels (risques mesurés en euros) s’explique : la survenance d’un incident génère des coûts directs et indirects, pour corriger les causes et conséquences de l’incident et pour prendre en compte le manque à gagner direct. L’impact réel peut être bien sûr plus étendu, mais l’étalon monétaire reste le moins mauvais critère. Il offre l’avantage d’une bonne comparabilité entre différents événements. Il s’agit plus d’une analyse modélisée que d’une prédiction divinatoire (voir un exemple de cartographie dans le graphique 1).
Une méthodologie différente pour la non-conformité
Ici, la question n’est plus de connaître la fragilité de la gestion, mais d’estimer si l’on répond pleinement, partiellement ou pas du tout à une obligation de conformité. En d’autres termes, il faut appréhender une situation dans laquelle une offre de services ne produirait pas un résultat conforme : par rapport aux lois-règlements, aux attentes du superviseur, aux règles déontologiques, aux normes professionnelles et aux décisions des instances de gouvernance.
Prenons par exemple, dans le cadre de la protection de la clientèle, la loi Eckert, qui se décompose elle-même en plusieurs contraintes distinctes (voir schéma 2).
L’analyse est plus complexe et la responsabilité de l’action est collective puisque éclatée entre plusieurs acteurs : front-office, middle ou back office, DSI et même la sécurité financière.
C’est ensuite à un tiers arbitre – logiquement la fonction Conformité – d’estimer, de manière transversale, si le dispositif de l’entreprise peut être considéré comme respectant les obligations de la loi.
En l’occurrence, le risque n’est pas potentiel, il est avéré. Certes temporairement caché, il est susceptible d’être révélé à tout moment par un client, un autre tiers ou les pouvoirs publics, lors d’un contrôle de l’ACPR par exemple. Il s’agit donc d’évaluer si l’on est globalement conforme, ou plutôt non conforme, notamment au vu des attentes des pouvoirs publics. Ces différences de concept et d’axe d’analyse expliquent le besoin de produire deux cartographies différentes.
La question de l’évaluation relève de la même logique. La plupart du temps, il existe bien un impact monétaire, mais qui ne représente qu’une partie de l’impact réel. L’enjeu est ailleurs : subir une sanction associée à une perte de réputation pouvant limiter l’activité économique au sens large :
– de la part des pouvoirs publics : une sanction disciplinaire ou pénale (de la personne morale ou de personnes physiques), une limitation d’exercice, accompagnées ou non d’une amende pécuniaire
– de la part de clients, du public et du marché : une perte d’image pouvant jouer sur la marge de manœuvre future de l’entreprise (sur les activités, le financement…), avec des conséquences financières très difficiles à modéliser.
Puisque l’impact monétaire n’est pas assez pertinent, ne l’utilisons pas. Si l’on s’accorde pour dire que les conséquences pour l’établissement sont une sanction disciplinaire par le superviseur, une sanction judiciaire par les tribunaux ou une perte d’image et de réputation (voire une combinaison des trois), pourquoi ne pas utiliser ces critères pour mesurer l’impact d’une non-conformité, en les classant par exemple sur une échelle de 1 à 5, allant de risque limité à « risque critique » (voir graphique 2) ?
Étape 2 : développer une correspondance avec la notion d’appétit au risque
Dans le secteur bancaire, le temps où l’on élaborait une cartographie des risques a minima, uniquement pour respecter une obligation réglementaire, est révolu. On a compris l’importance – pour les fonctions clés et les métiers – de disposer d’un document formalisant le profil de risque de chaque établissement. Il permet de structurer le dispositif de contrôle interne et de justifier de son principe de proportionnalité.
L’importance croissante de certains risques opérationnels ou la pression continue des réglementations devrait pousser les dirigeants effectifs, comme l’organe de surveillance, à appréhender pleinement les risques opérationnels et de non-conformité dans sa stratégie risques.
Poussés par la réglementation, les risques financiers ont déjà été pilotés de la sorte : les risques de crédit ou de marché depuis Bâle II et, plus récemment, les risques de liquidité depuis Bâle III.
Le régulateur français nous y conduit aussi. Il suffit de se référer au récent arrêté du 21 février 2021 évoquant la notion de stratégie à définir pour l’informatique et le risque informatique
À chaque stratège, ses seuils de tolérance
On peut résumer la notion d’appétit aux risques par le niveau et le type de risques que l’établissement peut et souhaite assumer dans ses expositions et ses activités, compte tenu de ses objectifs stratégiques, avec les contraintes réglementaires telles que définies dans le pilier 3 de Bâle III. Il s’agit notamment de la fixation de limites et de règles de tolérance, ainsi que des moyens de suivi permettant d’en vérifier le respect. L’arrêté du 3 novembre 2014 actualisé précise aussi le contenu de l’appétit aux risques
En pratique, il s’agit concrètement de demander aux organes de gouvernance de positionner leurs seuils de tolérance de l’appétit aux risques sur la grille de cotation des risques opérationnels et sur la grille de cotation des risques de non-conformité réalisée précédemment. Le plus simple est alors de le traduire en code couleur (voir graphique 3). Cela permet en outre de bâtir une cartographique des risques consolidée.
On laisse ainsi de côté le débat sur la prise en compte ou non de l’étalon monétaire ou d’un autre critère de mesure ; on retient la notion de criticité par rapport à l’appétit aux risques dans le cadre de la stratégie risques. Une fois cet exercice fait, les instances de gouvernance auront défini la cible à respecter en matière de risques opérationnels et de non-conformité. Il sera ensuite à la charge des fonctions clefs de surveiller leur application correcte par les métiers sur le terrain.
Un reporting plus aisé
Avec ces deux grilles de cotation harmonisées, les fonctions clefs – direction des risques et direction de la conformité – disposent des outils de mesure nécessaires, à la fois pour :
– conduire chaque exercice de cartographie des risques avec les métiers ;
– regrouper tous les risques dans une cartographie consolidée à des fins d’analyse ;
– coter les risques lors des contrôles permanents de second niveau et de constater les écarts éventuels par rapport aux limites fixées par les organes de gouvernance.
Ces fonctions clefs pourront ainsi fournir aux instances de gouvernance un reporting régulier des risques réels relevés au sein de la banque et cotés selon les limites de tolérance de l’établissement.
Pour les acteurs qui ne l’ont pas encore fait, une telle démarche, assez simple à mettre en œuvre, donne aux instances de gouvernance les moyens de piloter des risques jusque-là peut-être un peu sous-estimés. Les changements rapides de l’environnement bancaire – les néobanques et la transformation des modèles de banque – mettent au premier plan les risques opérationnels et de non-conformité. Cette méthodologie permet aussi aux fonctions clefs de second niveau de se rapprocher autour de règles communes et, pourquoi pas, de les faire adhérer l’ensemble des fonctions clefs, avec le contrôle périodique, à ce référentiel commun. Cet effort de simplification contribuerait aussi à une meilleure compréhension du contrôle interne et à une appropriation de la culture risques par tous les acteurs de la banque. Ce serait donc un progrès, avant même de s’attaquer à un autre sujet : la cartographie portant sur la sécurité du système d’information. Le risque croissant dû à la complexité des systèmes et à la cybersécurité en fait un autre thème majeur.
