Description
Dans ce deuxième épisode de notre série "Risques et Conformité", découvrez la taxonomie des risques, un outil clé pour structurer et maîtriser les dispositifs de gestion des risques.
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Ce qu'il faut aussi avoir en tête, c'est que, comme vous l'avez dit, la taxonomie va devenir un outil de partage de la politique de l'avant.
Bonjour à tous et à toutes. Nous sommes ravis de vous retrouver pour ce deuxième épisode de notre série Risques et conformités. Dans notre podcast précédent, nous avons balayé toute la complexité à laquelle sont soumises les banques au regard des multiples réglementations nationales, européennes, américaines. Aujourd'hui, nous allons parler de taxonomie des risques. Nous retrouvons Stéphanie Thiry, associée banque, et Romain Ouetreleau, senior manager finance et risque chez Spinpart. Bonjour à tous les deux.
Bonjour Anne-Sophie.
Bonjour Anne-Sophie.
On peut peut-être commencer avec une définition. Qu'est-ce que signifie la taxonomie et pourquoi mettre en place une taxonomie des risques ?
La taxonomie des risques, c'est le squelette autour desquels tous les éléments du dispositif de maîtrise des risques vont se constituer, que ce soit les risques opérationnels, les risques de non-conformité. ou les risques financiers. Ça devient la référence commune pour toutes les équipes de gestion des risques. Donc ça va être souvent l'objet de nombreuses discussions, voire de tractations au sein des banques, puisque finalement elle sert à structurer les dispositifs, donc le travail des équipes qui travaillent sur les risques. Que ce soit l'organisation, les processus, les méthodes, les outils, mais aussi les reporting vers les régulateurs et les communications vers l'extérieur. Ça sert aussi à assurer l'exhaustivité et la cohérence des actions de l'entreprise. vis-à-vis des risques et donc à mieux les maîtriser. Voilà ce qu'est la taxonomie des risques.
En fait, le dispositif de contrôle va s'organiser autour de trois niveaux et avec sur ces trois niveaux une proximité plus ou moins grande vis-à-vis des risques qui sont adressés. En niveau 1, on va avoir les contrôles qui sont des actions de mitigation qui vont permettre d'atténuer ou de supprimer les risques. Ça peut être des contrôles qui sont bloquants ou non bloquants. D'autres actions de mitigation qu'on peut avoir, c'est par exemple la formation, la mise en place de comités ou encore des certifications. Au niveau 2, il y a toutes ces campagnes d'évaluation des risques qui doivent permettre de donner une vue sur les risques résiduels. Et quand on dit risques résiduels, c'est les risques qui restent une fois que les contrôles de niveau 1 et du coup les actions mitigantes sont mises en place. Les campagnes de niveau 2 doivent permettre de fournir des éléments de reporting pour les différents acteurs de l'organisation, mais aussi pour les régulateurs externes à l'organisation. Et quand on parle de ces acteurs internes et externes, on a du coup le niveau 3 avec l'audit, l'inspection générale ou encore du coup ces régulateurs qui vont, eux, en fait, contrôler le dispositif même de contrôle. L'objectif ici, c'est de vérifier que le niveau 2 avec ces campagnes permet bien d'assurer un dispositif global qui est cohérent et efficace. Ce qu'il faut aussi avoir en tête, c'est que vis-à-vis de l'externe, la taxonomie, ça devient un outil de partage de la politique de la banque. En fait, la décision d'articuler la politique de risque autour de certaines typologies révèle en soi finalement un vrai choix stratégique. Elle reflète l'importance que va donner la banque aux activités qui génèrent du risque. Et du coup, au final, elle révèle l'appétence ou le focus que va avoir la banque sur certains de ces risques.
Et y a-t-il des difficultés particulières à avoir en tête quand on met en place une taxonomie des risques ?
Établir une taxonomie n'est pas aussi simple qu'il n'y paraît, il va falloir répondre à plusieurs exigences qui, prises séparément, sont déjà un challenge. Par définition, une taxonomie des risques, c'est un ensemble commun et fixe de catégories de risques. Et cette taxonomie, elle doit être commune et partagée, parce que ça va permettre de faciliter des regroupements, d'agréger des risques, relevés dans différentes parties de l'organisation. Elle doit aussi être fixe dans la mesure du possible, pour faciliter l'analyse comparative sur des évolutions dans le temps, par exemple. Cette taxonomie doit être aussi exhaustive et exclusive. Exhaustive parce qu'il faut couvrir tous les risques et qu'il faut aussi couvrir toutes les réglementations. Et là, quand il y a des évolutions de réglementations qui sont constantes, l'exhaustivité va venir un peu télescoper le besoin de stabilité de la taxonomie. Le côté exclusif, c'est d'éviter des recoupements et donc de faire une double évaluation d'un risque par des méthodes différentes.
Je vais revenir par exemple sur l'enjeu d'une taxonomie qui soit commune et exclusive. C'est un enjeu particulier pour les banques parce que notamment elles sont organisées avec plusieurs filières de risques. Il y a les risques opérationnels, la filière compliance. En fait, ces équipes sont amenées à adresser les mêmes activités, les mêmes sujets et donc derrière ça, les mêmes risques. On peut prendre par exemple la RSE ou encore la protection des données. Avec plusieurs filières qui peuvent avoir des dispositifs et des approches différentes, finalement on peut rencontrer des difficultés à assurer la consolidation et la cohérence des risques. Au-delà de l'organisation des banques, c'est aussi la multiplicité des régulateurs et des réglementations qui peut constituer un challenge. Une activité ou un risque donné peut impliquer des exigences multiples et pas forcément vraiment cohérentes de la part des régulateurs. En fait, toute la difficulté va être de construire des contrôles et des modèles d'évaluation qui n'évaluent pas deux fois le même risque. La taxonomie doit y contribuer.
Alors justement, j'évoquais tout à l'heure l'exhaustivité et la stabilité de la taxonomie. Toute entreprise a un écosystème vivant avec des activités qui évoluent, des nouveaux produits, des activités dans des nouveaux pays, la réorganisation de l'entreprise en interne. Et au-delà de l'entreprise, les réglementations elles-mêmes évoluent, s'enrichissent, multiplient. Donc on va chercher... à construire une taxonomie sur plusieurs niveaux, avec des niveaux hauts qui, eux, vont avoir vocation à rester globalement stables. Et puis, on va jouer sur les niveaux les plus granulaires, les plus bas, pour ajuster avec un impact limité en termes de comparaison d'une année sur l'autre. Ça va permettre de gagner en stabilité, mais aussi de gagner sur la capacité de pilotage. Une partie aussi de la solution, c'est quand une nouvelle réglementation va sortir. de vérifier si elle est compatible avec des contrôles déjà existants et si elle peut être couverte par rapport à des actions ou des contrôles existants. Donc ça, ça va permettre aussi de limiter la taxonomie et d'éviter des doublons de contrôle par exemple. Donc finalement, pour les banques, l'enjeu, ça va être d'avoir un dispositif de gestion des risques qui est exhaustif, mais tout en restant au juste niveau de granularité qui ne sera pas forcément le même en fonction des risques et en fonction des organisations au sein d'un même groupe. Donc le vrai challenge, c'est la conception de ce système et de réussir à l'implanter sans qu'il soit trop consommateur en termes de temps pour les collaborateurs et aussi qu'il freine les processus vis-à-vis des clients.
Finalement, pour construire une taxonomie vertueuse, il va falloir commencer par définir une clé d'entrée. Ces clés d'entrée, ça va souvent correspondre aux catégories de risque. On peut avoir en tête par exemple tout ce qui est sanction, embargo, protection des données ou encore ce qui est... qui gravitent autour du risque de crédit. Ces catégories de risques peuvent être définies en consolidation de plusieurs réglementations, mais aussi en lien avec des événements qui sont à l'origine du risque. Ou encore, on va faire correspondre cela à une partie des activités de la banque. Et également, c'est ce à quoi il faut penser, c'est aux usages. Et notamment aux usages autour de cette mise sous contrôle des risques. On va voir par exemple tout ce qui est contrôle de niveau 1, de niveau 2. les évaluations des risques, tout ce qui est reporting, la déclaration des incidents, et le suivi des plans d'action. Et en fait, adossé à ces usages, il va falloir définir le bon niveau de granularité. Et c'est en travaillant ces usages qu'on va pouvoir identifier les sous-catégories de la taxonomie et les identifier à la juste maille. En fait, dans tous les cas, il va falloir faire évoluer la taxonomie et tout l'enjeu va être de jouer sur la granularité pour limiter les évolutions de structure et pour mettre en évidence les écarts à périmètre constant.
Merci Romain, merci Stéphanie pour cet éclairage.
Merci Anne-Sophie.
Merci Anne-Sophie.
Merci à toutes et à tous pour votre écoute. Nous vous donnons rendez-vous au prochain épisode qui traitera des dispositifs mis en place par les banques pour mettre sous contrôle les risques.
Description
Dans ce deuxième épisode de notre série "Risques et Conformité", découvrez la taxonomie des risques, un outil clé pour structurer et maîtriser les dispositifs de gestion des risques.
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Ce qu'il faut aussi avoir en tête, c'est que, comme vous l'avez dit, la taxonomie va devenir un outil de partage de la politique de l'avant.
Bonjour à tous et à toutes. Nous sommes ravis de vous retrouver pour ce deuxième épisode de notre série Risques et conformités. Dans notre podcast précédent, nous avons balayé toute la complexité à laquelle sont soumises les banques au regard des multiples réglementations nationales, européennes, américaines. Aujourd'hui, nous allons parler de taxonomie des risques. Nous retrouvons Stéphanie Thiry, associée banque, et Romain Ouetreleau, senior manager finance et risque chez Spinpart. Bonjour à tous les deux.
Bonjour Anne-Sophie.
Bonjour Anne-Sophie.
On peut peut-être commencer avec une définition. Qu'est-ce que signifie la taxonomie et pourquoi mettre en place une taxonomie des risques ?
La taxonomie des risques, c'est le squelette autour desquels tous les éléments du dispositif de maîtrise des risques vont se constituer, que ce soit les risques opérationnels, les risques de non-conformité. ou les risques financiers. Ça devient la référence commune pour toutes les équipes de gestion des risques. Donc ça va être souvent l'objet de nombreuses discussions, voire de tractations au sein des banques, puisque finalement elle sert à structurer les dispositifs, donc le travail des équipes qui travaillent sur les risques. Que ce soit l'organisation, les processus, les méthodes, les outils, mais aussi les reporting vers les régulateurs et les communications vers l'extérieur. Ça sert aussi à assurer l'exhaustivité et la cohérence des actions de l'entreprise. vis-à-vis des risques et donc à mieux les maîtriser. Voilà ce qu'est la taxonomie des risques.
En fait, le dispositif de contrôle va s'organiser autour de trois niveaux et avec sur ces trois niveaux une proximité plus ou moins grande vis-à-vis des risques qui sont adressés. En niveau 1, on va avoir les contrôles qui sont des actions de mitigation qui vont permettre d'atténuer ou de supprimer les risques. Ça peut être des contrôles qui sont bloquants ou non bloquants. D'autres actions de mitigation qu'on peut avoir, c'est par exemple la formation, la mise en place de comités ou encore des certifications. Au niveau 2, il y a toutes ces campagnes d'évaluation des risques qui doivent permettre de donner une vue sur les risques résiduels. Et quand on dit risques résiduels, c'est les risques qui restent une fois que les contrôles de niveau 1 et du coup les actions mitigantes sont mises en place. Les campagnes de niveau 2 doivent permettre de fournir des éléments de reporting pour les différents acteurs de l'organisation, mais aussi pour les régulateurs externes à l'organisation. Et quand on parle de ces acteurs internes et externes, on a du coup le niveau 3 avec l'audit, l'inspection générale ou encore du coup ces régulateurs qui vont, eux, en fait, contrôler le dispositif même de contrôle. L'objectif ici, c'est de vérifier que le niveau 2 avec ces campagnes permet bien d'assurer un dispositif global qui est cohérent et efficace. Ce qu'il faut aussi avoir en tête, c'est que vis-à-vis de l'externe, la taxonomie, ça devient un outil de partage de la politique de la banque. En fait, la décision d'articuler la politique de risque autour de certaines typologies révèle en soi finalement un vrai choix stratégique. Elle reflète l'importance que va donner la banque aux activités qui génèrent du risque. Et du coup, au final, elle révèle l'appétence ou le focus que va avoir la banque sur certains de ces risques.
Et y a-t-il des difficultés particulières à avoir en tête quand on met en place une taxonomie des risques ?
Établir une taxonomie n'est pas aussi simple qu'il n'y paraît, il va falloir répondre à plusieurs exigences qui, prises séparément, sont déjà un challenge. Par définition, une taxonomie des risques, c'est un ensemble commun et fixe de catégories de risques. Et cette taxonomie, elle doit être commune et partagée, parce que ça va permettre de faciliter des regroupements, d'agréger des risques, relevés dans différentes parties de l'organisation. Elle doit aussi être fixe dans la mesure du possible, pour faciliter l'analyse comparative sur des évolutions dans le temps, par exemple. Cette taxonomie doit être aussi exhaustive et exclusive. Exhaustive parce qu'il faut couvrir tous les risques et qu'il faut aussi couvrir toutes les réglementations. Et là, quand il y a des évolutions de réglementations qui sont constantes, l'exhaustivité va venir un peu télescoper le besoin de stabilité de la taxonomie. Le côté exclusif, c'est d'éviter des recoupements et donc de faire une double évaluation d'un risque par des méthodes différentes.
Je vais revenir par exemple sur l'enjeu d'une taxonomie qui soit commune et exclusive. C'est un enjeu particulier pour les banques parce que notamment elles sont organisées avec plusieurs filières de risques. Il y a les risques opérationnels, la filière compliance. En fait, ces équipes sont amenées à adresser les mêmes activités, les mêmes sujets et donc derrière ça, les mêmes risques. On peut prendre par exemple la RSE ou encore la protection des données. Avec plusieurs filières qui peuvent avoir des dispositifs et des approches différentes, finalement on peut rencontrer des difficultés à assurer la consolidation et la cohérence des risques. Au-delà de l'organisation des banques, c'est aussi la multiplicité des régulateurs et des réglementations qui peut constituer un challenge. Une activité ou un risque donné peut impliquer des exigences multiples et pas forcément vraiment cohérentes de la part des régulateurs. En fait, toute la difficulté va être de construire des contrôles et des modèles d'évaluation qui n'évaluent pas deux fois le même risque. La taxonomie doit y contribuer.
Alors justement, j'évoquais tout à l'heure l'exhaustivité et la stabilité de la taxonomie. Toute entreprise a un écosystème vivant avec des activités qui évoluent, des nouveaux produits, des activités dans des nouveaux pays, la réorganisation de l'entreprise en interne. Et au-delà de l'entreprise, les réglementations elles-mêmes évoluent, s'enrichissent, multiplient. Donc on va chercher... à construire une taxonomie sur plusieurs niveaux, avec des niveaux hauts qui, eux, vont avoir vocation à rester globalement stables. Et puis, on va jouer sur les niveaux les plus granulaires, les plus bas, pour ajuster avec un impact limité en termes de comparaison d'une année sur l'autre. Ça va permettre de gagner en stabilité, mais aussi de gagner sur la capacité de pilotage. Une partie aussi de la solution, c'est quand une nouvelle réglementation va sortir. de vérifier si elle est compatible avec des contrôles déjà existants et si elle peut être couverte par rapport à des actions ou des contrôles existants. Donc ça, ça va permettre aussi de limiter la taxonomie et d'éviter des doublons de contrôle par exemple. Donc finalement, pour les banques, l'enjeu, ça va être d'avoir un dispositif de gestion des risques qui est exhaustif, mais tout en restant au juste niveau de granularité qui ne sera pas forcément le même en fonction des risques et en fonction des organisations au sein d'un même groupe. Donc le vrai challenge, c'est la conception de ce système et de réussir à l'implanter sans qu'il soit trop consommateur en termes de temps pour les collaborateurs et aussi qu'il freine les processus vis-à-vis des clients.
Finalement, pour construire une taxonomie vertueuse, il va falloir commencer par définir une clé d'entrée. Ces clés d'entrée, ça va souvent correspondre aux catégories de risque. On peut avoir en tête par exemple tout ce qui est sanction, embargo, protection des données ou encore ce qui est... qui gravitent autour du risque de crédit. Ces catégories de risques peuvent être définies en consolidation de plusieurs réglementations, mais aussi en lien avec des événements qui sont à l'origine du risque. Ou encore, on va faire correspondre cela à une partie des activités de la banque. Et également, c'est ce à quoi il faut penser, c'est aux usages. Et notamment aux usages autour de cette mise sous contrôle des risques. On va voir par exemple tout ce qui est contrôle de niveau 1, de niveau 2. les évaluations des risques, tout ce qui est reporting, la déclaration des incidents, et le suivi des plans d'action. Et en fait, adossé à ces usages, il va falloir définir le bon niveau de granularité. Et c'est en travaillant ces usages qu'on va pouvoir identifier les sous-catégories de la taxonomie et les identifier à la juste maille. En fait, dans tous les cas, il va falloir faire évoluer la taxonomie et tout l'enjeu va être de jouer sur la granularité pour limiter les évolutions de structure et pour mettre en évidence les écarts à périmètre constant.
Merci Romain, merci Stéphanie pour cet éclairage.
Merci Anne-Sophie.
Merci Anne-Sophie.
Merci à toutes et à tous pour votre écoute. Nous vous donnons rendez-vous au prochain épisode qui traitera des dispositifs mis en place par les banques pour mettre sous contrôle les risques.
Share
Embed
You may also like
Description
Dans ce deuxième épisode de notre série "Risques et Conformité", découvrez la taxonomie des risques, un outil clé pour structurer et maîtriser les dispositifs de gestion des risques.
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Ce qu'il faut aussi avoir en tête, c'est que, comme vous l'avez dit, la taxonomie va devenir un outil de partage de la politique de l'avant.
Bonjour à tous et à toutes. Nous sommes ravis de vous retrouver pour ce deuxième épisode de notre série Risques et conformités. Dans notre podcast précédent, nous avons balayé toute la complexité à laquelle sont soumises les banques au regard des multiples réglementations nationales, européennes, américaines. Aujourd'hui, nous allons parler de taxonomie des risques. Nous retrouvons Stéphanie Thiry, associée banque, et Romain Ouetreleau, senior manager finance et risque chez Spinpart. Bonjour à tous les deux.
Bonjour Anne-Sophie.
Bonjour Anne-Sophie.
On peut peut-être commencer avec une définition. Qu'est-ce que signifie la taxonomie et pourquoi mettre en place une taxonomie des risques ?
La taxonomie des risques, c'est le squelette autour desquels tous les éléments du dispositif de maîtrise des risques vont se constituer, que ce soit les risques opérationnels, les risques de non-conformité. ou les risques financiers. Ça devient la référence commune pour toutes les équipes de gestion des risques. Donc ça va être souvent l'objet de nombreuses discussions, voire de tractations au sein des banques, puisque finalement elle sert à structurer les dispositifs, donc le travail des équipes qui travaillent sur les risques. Que ce soit l'organisation, les processus, les méthodes, les outils, mais aussi les reporting vers les régulateurs et les communications vers l'extérieur. Ça sert aussi à assurer l'exhaustivité et la cohérence des actions de l'entreprise. vis-à-vis des risques et donc à mieux les maîtriser. Voilà ce qu'est la taxonomie des risques.
En fait, le dispositif de contrôle va s'organiser autour de trois niveaux et avec sur ces trois niveaux une proximité plus ou moins grande vis-à-vis des risques qui sont adressés. En niveau 1, on va avoir les contrôles qui sont des actions de mitigation qui vont permettre d'atténuer ou de supprimer les risques. Ça peut être des contrôles qui sont bloquants ou non bloquants. D'autres actions de mitigation qu'on peut avoir, c'est par exemple la formation, la mise en place de comités ou encore des certifications. Au niveau 2, il y a toutes ces campagnes d'évaluation des risques qui doivent permettre de donner une vue sur les risques résiduels. Et quand on dit risques résiduels, c'est les risques qui restent une fois que les contrôles de niveau 1 et du coup les actions mitigantes sont mises en place. Les campagnes de niveau 2 doivent permettre de fournir des éléments de reporting pour les différents acteurs de l'organisation, mais aussi pour les régulateurs externes à l'organisation. Et quand on parle de ces acteurs internes et externes, on a du coup le niveau 3 avec l'audit, l'inspection générale ou encore du coup ces régulateurs qui vont, eux, en fait, contrôler le dispositif même de contrôle. L'objectif ici, c'est de vérifier que le niveau 2 avec ces campagnes permet bien d'assurer un dispositif global qui est cohérent et efficace. Ce qu'il faut aussi avoir en tête, c'est que vis-à-vis de l'externe, la taxonomie, ça devient un outil de partage de la politique de la banque. En fait, la décision d'articuler la politique de risque autour de certaines typologies révèle en soi finalement un vrai choix stratégique. Elle reflète l'importance que va donner la banque aux activités qui génèrent du risque. Et du coup, au final, elle révèle l'appétence ou le focus que va avoir la banque sur certains de ces risques.
Et y a-t-il des difficultés particulières à avoir en tête quand on met en place une taxonomie des risques ?
Établir une taxonomie n'est pas aussi simple qu'il n'y paraît, il va falloir répondre à plusieurs exigences qui, prises séparément, sont déjà un challenge. Par définition, une taxonomie des risques, c'est un ensemble commun et fixe de catégories de risques. Et cette taxonomie, elle doit être commune et partagée, parce que ça va permettre de faciliter des regroupements, d'agréger des risques, relevés dans différentes parties de l'organisation. Elle doit aussi être fixe dans la mesure du possible, pour faciliter l'analyse comparative sur des évolutions dans le temps, par exemple. Cette taxonomie doit être aussi exhaustive et exclusive. Exhaustive parce qu'il faut couvrir tous les risques et qu'il faut aussi couvrir toutes les réglementations. Et là, quand il y a des évolutions de réglementations qui sont constantes, l'exhaustivité va venir un peu télescoper le besoin de stabilité de la taxonomie. Le côté exclusif, c'est d'éviter des recoupements et donc de faire une double évaluation d'un risque par des méthodes différentes.
Je vais revenir par exemple sur l'enjeu d'une taxonomie qui soit commune et exclusive. C'est un enjeu particulier pour les banques parce que notamment elles sont organisées avec plusieurs filières de risques. Il y a les risques opérationnels, la filière compliance. En fait, ces équipes sont amenées à adresser les mêmes activités, les mêmes sujets et donc derrière ça, les mêmes risques. On peut prendre par exemple la RSE ou encore la protection des données. Avec plusieurs filières qui peuvent avoir des dispositifs et des approches différentes, finalement on peut rencontrer des difficultés à assurer la consolidation et la cohérence des risques. Au-delà de l'organisation des banques, c'est aussi la multiplicité des régulateurs et des réglementations qui peut constituer un challenge. Une activité ou un risque donné peut impliquer des exigences multiples et pas forcément vraiment cohérentes de la part des régulateurs. En fait, toute la difficulté va être de construire des contrôles et des modèles d'évaluation qui n'évaluent pas deux fois le même risque. La taxonomie doit y contribuer.
Alors justement, j'évoquais tout à l'heure l'exhaustivité et la stabilité de la taxonomie. Toute entreprise a un écosystème vivant avec des activités qui évoluent, des nouveaux produits, des activités dans des nouveaux pays, la réorganisation de l'entreprise en interne. Et au-delà de l'entreprise, les réglementations elles-mêmes évoluent, s'enrichissent, multiplient. Donc on va chercher... à construire une taxonomie sur plusieurs niveaux, avec des niveaux hauts qui, eux, vont avoir vocation à rester globalement stables. Et puis, on va jouer sur les niveaux les plus granulaires, les plus bas, pour ajuster avec un impact limité en termes de comparaison d'une année sur l'autre. Ça va permettre de gagner en stabilité, mais aussi de gagner sur la capacité de pilotage. Une partie aussi de la solution, c'est quand une nouvelle réglementation va sortir. de vérifier si elle est compatible avec des contrôles déjà existants et si elle peut être couverte par rapport à des actions ou des contrôles existants. Donc ça, ça va permettre aussi de limiter la taxonomie et d'éviter des doublons de contrôle par exemple. Donc finalement, pour les banques, l'enjeu, ça va être d'avoir un dispositif de gestion des risques qui est exhaustif, mais tout en restant au juste niveau de granularité qui ne sera pas forcément le même en fonction des risques et en fonction des organisations au sein d'un même groupe. Donc le vrai challenge, c'est la conception de ce système et de réussir à l'implanter sans qu'il soit trop consommateur en termes de temps pour les collaborateurs et aussi qu'il freine les processus vis-à-vis des clients.
Finalement, pour construire une taxonomie vertueuse, il va falloir commencer par définir une clé d'entrée. Ces clés d'entrée, ça va souvent correspondre aux catégories de risque. On peut avoir en tête par exemple tout ce qui est sanction, embargo, protection des données ou encore ce qui est... qui gravitent autour du risque de crédit. Ces catégories de risques peuvent être définies en consolidation de plusieurs réglementations, mais aussi en lien avec des événements qui sont à l'origine du risque. Ou encore, on va faire correspondre cela à une partie des activités de la banque. Et également, c'est ce à quoi il faut penser, c'est aux usages. Et notamment aux usages autour de cette mise sous contrôle des risques. On va voir par exemple tout ce qui est contrôle de niveau 1, de niveau 2. les évaluations des risques, tout ce qui est reporting, la déclaration des incidents, et le suivi des plans d'action. Et en fait, adossé à ces usages, il va falloir définir le bon niveau de granularité. Et c'est en travaillant ces usages qu'on va pouvoir identifier les sous-catégories de la taxonomie et les identifier à la juste maille. En fait, dans tous les cas, il va falloir faire évoluer la taxonomie et tout l'enjeu va être de jouer sur la granularité pour limiter les évolutions de structure et pour mettre en évidence les écarts à périmètre constant.
Merci Romain, merci Stéphanie pour cet éclairage.
Merci Anne-Sophie.
Merci Anne-Sophie.
Merci à toutes et à tous pour votre écoute. Nous vous donnons rendez-vous au prochain épisode qui traitera des dispositifs mis en place par les banques pour mettre sous contrôle les risques.
Description
Dans ce deuxième épisode de notre série "Risques et Conformité", découvrez la taxonomie des risques, un outil clé pour structurer et maîtriser les dispositifs de gestion des risques.
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Ce qu'il faut aussi avoir en tête, c'est que, comme vous l'avez dit, la taxonomie va devenir un outil de partage de la politique de l'avant.
Bonjour à tous et à toutes. Nous sommes ravis de vous retrouver pour ce deuxième épisode de notre série Risques et conformités. Dans notre podcast précédent, nous avons balayé toute la complexité à laquelle sont soumises les banques au regard des multiples réglementations nationales, européennes, américaines. Aujourd'hui, nous allons parler de taxonomie des risques. Nous retrouvons Stéphanie Thiry, associée banque, et Romain Ouetreleau, senior manager finance et risque chez Spinpart. Bonjour à tous les deux.
Bonjour Anne-Sophie.
Bonjour Anne-Sophie.
On peut peut-être commencer avec une définition. Qu'est-ce que signifie la taxonomie et pourquoi mettre en place une taxonomie des risques ?
La taxonomie des risques, c'est le squelette autour desquels tous les éléments du dispositif de maîtrise des risques vont se constituer, que ce soit les risques opérationnels, les risques de non-conformité. ou les risques financiers. Ça devient la référence commune pour toutes les équipes de gestion des risques. Donc ça va être souvent l'objet de nombreuses discussions, voire de tractations au sein des banques, puisque finalement elle sert à structurer les dispositifs, donc le travail des équipes qui travaillent sur les risques. Que ce soit l'organisation, les processus, les méthodes, les outils, mais aussi les reporting vers les régulateurs et les communications vers l'extérieur. Ça sert aussi à assurer l'exhaustivité et la cohérence des actions de l'entreprise. vis-à-vis des risques et donc à mieux les maîtriser. Voilà ce qu'est la taxonomie des risques.
En fait, le dispositif de contrôle va s'organiser autour de trois niveaux et avec sur ces trois niveaux une proximité plus ou moins grande vis-à-vis des risques qui sont adressés. En niveau 1, on va avoir les contrôles qui sont des actions de mitigation qui vont permettre d'atténuer ou de supprimer les risques. Ça peut être des contrôles qui sont bloquants ou non bloquants. D'autres actions de mitigation qu'on peut avoir, c'est par exemple la formation, la mise en place de comités ou encore des certifications. Au niveau 2, il y a toutes ces campagnes d'évaluation des risques qui doivent permettre de donner une vue sur les risques résiduels. Et quand on dit risques résiduels, c'est les risques qui restent une fois que les contrôles de niveau 1 et du coup les actions mitigantes sont mises en place. Les campagnes de niveau 2 doivent permettre de fournir des éléments de reporting pour les différents acteurs de l'organisation, mais aussi pour les régulateurs externes à l'organisation. Et quand on parle de ces acteurs internes et externes, on a du coup le niveau 3 avec l'audit, l'inspection générale ou encore du coup ces régulateurs qui vont, eux, en fait, contrôler le dispositif même de contrôle. L'objectif ici, c'est de vérifier que le niveau 2 avec ces campagnes permet bien d'assurer un dispositif global qui est cohérent et efficace. Ce qu'il faut aussi avoir en tête, c'est que vis-à-vis de l'externe, la taxonomie, ça devient un outil de partage de la politique de la banque. En fait, la décision d'articuler la politique de risque autour de certaines typologies révèle en soi finalement un vrai choix stratégique. Elle reflète l'importance que va donner la banque aux activités qui génèrent du risque. Et du coup, au final, elle révèle l'appétence ou le focus que va avoir la banque sur certains de ces risques.
Et y a-t-il des difficultés particulières à avoir en tête quand on met en place une taxonomie des risques ?
Établir une taxonomie n'est pas aussi simple qu'il n'y paraît, il va falloir répondre à plusieurs exigences qui, prises séparément, sont déjà un challenge. Par définition, une taxonomie des risques, c'est un ensemble commun et fixe de catégories de risques. Et cette taxonomie, elle doit être commune et partagée, parce que ça va permettre de faciliter des regroupements, d'agréger des risques, relevés dans différentes parties de l'organisation. Elle doit aussi être fixe dans la mesure du possible, pour faciliter l'analyse comparative sur des évolutions dans le temps, par exemple. Cette taxonomie doit être aussi exhaustive et exclusive. Exhaustive parce qu'il faut couvrir tous les risques et qu'il faut aussi couvrir toutes les réglementations. Et là, quand il y a des évolutions de réglementations qui sont constantes, l'exhaustivité va venir un peu télescoper le besoin de stabilité de la taxonomie. Le côté exclusif, c'est d'éviter des recoupements et donc de faire une double évaluation d'un risque par des méthodes différentes.
Je vais revenir par exemple sur l'enjeu d'une taxonomie qui soit commune et exclusive. C'est un enjeu particulier pour les banques parce que notamment elles sont organisées avec plusieurs filières de risques. Il y a les risques opérationnels, la filière compliance. En fait, ces équipes sont amenées à adresser les mêmes activités, les mêmes sujets et donc derrière ça, les mêmes risques. On peut prendre par exemple la RSE ou encore la protection des données. Avec plusieurs filières qui peuvent avoir des dispositifs et des approches différentes, finalement on peut rencontrer des difficultés à assurer la consolidation et la cohérence des risques. Au-delà de l'organisation des banques, c'est aussi la multiplicité des régulateurs et des réglementations qui peut constituer un challenge. Une activité ou un risque donné peut impliquer des exigences multiples et pas forcément vraiment cohérentes de la part des régulateurs. En fait, toute la difficulté va être de construire des contrôles et des modèles d'évaluation qui n'évaluent pas deux fois le même risque. La taxonomie doit y contribuer.
Alors justement, j'évoquais tout à l'heure l'exhaustivité et la stabilité de la taxonomie. Toute entreprise a un écosystème vivant avec des activités qui évoluent, des nouveaux produits, des activités dans des nouveaux pays, la réorganisation de l'entreprise en interne. Et au-delà de l'entreprise, les réglementations elles-mêmes évoluent, s'enrichissent, multiplient. Donc on va chercher... à construire une taxonomie sur plusieurs niveaux, avec des niveaux hauts qui, eux, vont avoir vocation à rester globalement stables. Et puis, on va jouer sur les niveaux les plus granulaires, les plus bas, pour ajuster avec un impact limité en termes de comparaison d'une année sur l'autre. Ça va permettre de gagner en stabilité, mais aussi de gagner sur la capacité de pilotage. Une partie aussi de la solution, c'est quand une nouvelle réglementation va sortir. de vérifier si elle est compatible avec des contrôles déjà existants et si elle peut être couverte par rapport à des actions ou des contrôles existants. Donc ça, ça va permettre aussi de limiter la taxonomie et d'éviter des doublons de contrôle par exemple. Donc finalement, pour les banques, l'enjeu, ça va être d'avoir un dispositif de gestion des risques qui est exhaustif, mais tout en restant au juste niveau de granularité qui ne sera pas forcément le même en fonction des risques et en fonction des organisations au sein d'un même groupe. Donc le vrai challenge, c'est la conception de ce système et de réussir à l'implanter sans qu'il soit trop consommateur en termes de temps pour les collaborateurs et aussi qu'il freine les processus vis-à-vis des clients.
Finalement, pour construire une taxonomie vertueuse, il va falloir commencer par définir une clé d'entrée. Ces clés d'entrée, ça va souvent correspondre aux catégories de risque. On peut avoir en tête par exemple tout ce qui est sanction, embargo, protection des données ou encore ce qui est... qui gravitent autour du risque de crédit. Ces catégories de risques peuvent être définies en consolidation de plusieurs réglementations, mais aussi en lien avec des événements qui sont à l'origine du risque. Ou encore, on va faire correspondre cela à une partie des activités de la banque. Et également, c'est ce à quoi il faut penser, c'est aux usages. Et notamment aux usages autour de cette mise sous contrôle des risques. On va voir par exemple tout ce qui est contrôle de niveau 1, de niveau 2. les évaluations des risques, tout ce qui est reporting, la déclaration des incidents, et le suivi des plans d'action. Et en fait, adossé à ces usages, il va falloir définir le bon niveau de granularité. Et c'est en travaillant ces usages qu'on va pouvoir identifier les sous-catégories de la taxonomie et les identifier à la juste maille. En fait, dans tous les cas, il va falloir faire évoluer la taxonomie et tout l'enjeu va être de jouer sur la granularité pour limiter les évolutions de structure et pour mettre en évidence les écarts à périmètre constant.
Merci Romain, merci Stéphanie pour cet éclairage.
Merci Anne-Sophie.
Merci Anne-Sophie.
Merci à toutes et à tous pour votre écoute. Nous vous donnons rendez-vous au prochain épisode qui traitera des dispositifs mis en place par les banques pour mettre sous contrôle les risques.
Share
Embed
You may also like
