Les dispositifs de maîtrise des risques | SpinPart vous éclaire

Description

Les banques arrivent à un niveau de maturité qui leur permet de capitaliser sur le premier retour d'expérience.

Dans cet épisode de "Risques et Conformité", nous approfondissons les dispositifs de maîtrise des risques dans le secteur bancaire. Découvrez comment les banques répondent aux exigences réglementaires par l'optimisation de leurs processus pour maintenir un contrôle efficace et agile des risques.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
En fait, le banque arrive à un niveau de maturité qui leur permet de capitaliser sur les premiers retours d'expérience.
Speaker #1
Bonjour à toutes et à tous, nous sommes ravis de vous retrouver pour ce troisième épisode de notre série Risques et Conformités. Dans nos deux épisodes précédents, nous avons dressé le paysage réglementaire avec toute sa complexité et nous avons évoqué la taxonomie. et la façon dont elle structure l'approche des risques. Aujourd'hui, nous allons échanger sur les dispositifs de maîtrise des risques mis en place dans les banques. Nous retrouvons Stéphanie Thiry, associée banque, et Romain Ouattrelo, senior manager finance et risque chez Spinpart. Bonjour à tous les deux.
Speaker #0
Bonjour Anne-Sophie.
Speaker #2
Bonjour Anne-Sophie.
Speaker #1
Aujourd'hui, à quel niveau de maturité sont les différents dispositifs ?
Speaker #0
Alors, ce que l'on constate, c'est que la courbe d'apprentissage a atteint un palier qui permet aujourd'hui de prendre plus de recul. En effet, la notion de conformité, on peut dire qu'elle a pris son essor avec le comité BAL2 et le règlement 9702, qui était celui du comité de réglementation bancaire et financière, et qui concernait surtout le contrôle interne des établissements de crédit et des entreprises d'investissement. Et en réponse au niveau d'exigence des régulateurs, la conformité est devenue une discipline à part entière. C'est-à-dire qu'elle s'est émancipée du gérant des risques opérationnels pour permettre aux banques d'y consacrer des moyens plus importants et focaliser sur des règles propres. Là, on peut parler de l'appétence au risque, de modèles de scoring, de tout ce qui était processus, organisation, outils, une gouvernance propre, des expertises. Et donc, c'est tout un monde qui s'est mis en place. L'exercice n'a pas été simple puisqu'il a fallu monter en compétences, interpréter les réglementations pour pouvoir les mettre en application et puis surtout trouver l'équilibre entre la volonté d'une mise sous contrôle complète des risques et le maintien d'un niveau de granularité suffisamment haut. pour ne pas perdre la notion du risque lui-même. Aujourd'hui, on a un point d'inflexion, non pas que les risques diminuent, au contraire, ils continuent à se diversifier, à s'intensifier. On parle de cybersécurité, de SG. Après une phase d'investissement et de construction intense, les banques arrivent à un niveau de maturité qui leur permet de capitaliser sur des premiers retours d'expérience et aussi de se poser la question du juste équilibre, voire d'optimisation.
Speaker #2
Et effectivement, il y a matière à optimisation, puisqu'on travaille sur des écosystèmes qui se sont construits rapidement, et comme on l'avait évoqué, souvent en réaction à des réglementations. On a tout d'abord un objectif de mise en cohérence de toutes les briques en place. On a la taxonomie, on l'a vu dans l'épisode précédent. C'est vraiment l'architecture sur laquelle est construit le dispositif de contrôle et d'évaluation des risques. On a le référentiel d'activité qui représente l'organisation et qui doit être construit à la juste maille. On a également les méthodes de scoring, mais aussi le reporting qui donne une vue d'ensemble. Toutes ces briques doivent être complémentaires et homogènes pour garantir la cohérence de l'ensemble du dispositif. On va aussi avoir un axe qui va être d'aller chercher un objectif d'alléger les activités de conformité, aller vers plus d'efficacité pour toujours remplir cet objectif de contrôle. On va travailler ici sur les contrôles et les autres actions de mitigation, les exercices d'évaluation, les déclarations d'incidents, etc. Et enfin, on va forcément profiter de cet exercice pour finalement reprendre de la hauteur et garantir que l'objectif initial, qui est la mise sous contrôle des risques, est bien rempli.
Speaker #1
Quels sont les prochains challenges des banques ?
Speaker #0
Effectivement, aujourd'hui, les banques attaquent les prochains challenges qui sont de rationaliser et de simplifier. La montée en efficacité, aujourd'hui, est indispensable parce que les mécanismes restent très consommateurs de bandes passantes pour les équipes de conformité et les équipes métiers. On peut identifier quatre leviers. Le premier, c'est la culture des risques. Au sein des lignes de défense, l'ALOD1, qui est le métier, va jouer un rôle critique. Si on fait le parallèle avec les gestes barrières contre le Covid, plus les gestes simples et peu coûteux sont rendus naturels dans la population, et moins l'hôpital sera saturé. Et c'est exactement la même chose avec la culture du risque. Et là, plusieurs angles d'attaque vont être combinés pour la renforcer. D'abord, on va travailler avec la politique RH pour mettre en cohérence les objectifs individuels et les collectifs des collaborateurs qui doivent inclure l'évitement du risque. dans le système de rémunération et d'objectifs. Et puis la deuxième chose, c'est de mettre en place des formations ou un mode de diffusion de l'information en systématisant des modules de e-learning, de sensibilisation sur les nouveaux risques, comme cela se fait sur les cyber-risques, étendre des réflexes aux nouvelles problématiques à moindre coût et puis innover sur les mécanismes qui vont permettre de diffuser cette culture du risque en favorisant entre pairs des échanges de bonnes pratiques ou des approches très terrains. Le deuxième pilier, ça va être la gouvernance, qui est évidemment associée à la gestion du risque. Les cultures et gouvernances vont s'alimenter réciproquement, d'abord par l'exemplarité, puisqu'il faut donner toute sa place aux responsables risque et conformité au sein des instances d'arbitrage. Et puis aussi, il faut veiller à ce que leur profil inclut une compréhension des enjeux stratégiques et opérationnels des activités métiers et d'aider à construire des décisions qui vont construire une gestion des risques, mais sans toucher à la performance des métiers. La dernière chose, c'est de mettre en place des approches différenciées selon l'impact, avec l'identification de seuils et de critères qui vont déclencher des processus différents selon le niveau de remontée d'alerte. Et ça permettra d'activer... à bon escient la deuxième ligne de défense qu'est la conformité, et aussi de mettre en place des reportings qui soient partagés et lisibles par tous et pas seulement par les experts.
Speaker #2
Le troisième pilier, ça va être la donnée. La donnée, c'est encore le maillon faible pour appuyer l'ensemble du dispositif dans un domaine où, finalement, le déclaratif garde une place importante. Des solutions sont déjà en train d'être mises en place, mais il va falloir, finalement, créer une donnée de qualité à la bonne fréquence. Forcément, la donnée relative à des nouveaux risques n'existe pas. Du coup, il faut la construire, intégrer sa collecte au processus existant avec la gouvernance associée pour lui donner corps, et tout ça afin d'assurer sa qualité et sa remontée à la bonne fréquence. Un autre angle de travail qu'il va falloir adresser, ça va être la mise en commun de certaines données transverses entre les différents acteurs. Ça va permettre de mutualiser les coûts, tout en sécurisant en même temps la... qualité et la valorisation de cette donnée. Et enfin, les banques peuvent s'appuyer sur de nouveaux acteurs digitaux pour agréger et valider certaines données qui sont nécessaires à l'évaluation des risques. On peut penser par exemple au screening des fournisseurs ou des tiers, plus généralement. Le quatrième pilier, le dernier levier, ça va être la digitalisation des processus, avec également le développement de ce qu'on appelle le risk automation. Il s'agit en fait d'outils analytiques et prédictifs qui vont être déployés en appui à la décision. L'objectif de cet outillage, c'est d'améliorer les travaux sur les risques, tant en efficacité qu'en qualité. En conclusion, si toutes ces pistes laissent apparaître de belles perspectives, pour autant, il est vraiment essentiel d'assurer en amont le travail évoqué plus tôt de prise de recul. Comment est-ce qu'on va utiliser au mieux ce qui a déjà été mis en place ? Comment on va faire converger les différentes approches entre les risques de conformité les risques opérationnels et les risques financiers. Et tout ça pour construire une vision globale et pertinente des risques pour chacun des acteurs, ce qui va constituer le prochain défi.
Speaker #1
Merci Romain, merci Stéphanie pour cet éclairage.
Speaker #0
Merci Anne-Sophie.
Speaker #2
Merci Anne-Sophie.
Speaker #1
Merci à toutes et à tous pour votre écoute. Nous vous donnons rendez-vous au prochain épisode qui portera sur la réglementation CSR2.

Description

Les banques arrivent à un niveau de maturité qui leur permet de capitaliser sur le premier retour d'expérience.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
En fait, le banque arrive à un niveau de maturité qui leur permet de capitaliser sur les premiers retours d'expérience.
Speaker #1
Bonjour à toutes et à tous, nous sommes ravis de vous retrouver pour ce troisième épisode de notre série Risques et Conformités. Dans nos deux épisodes précédents, nous avons dressé le paysage réglementaire avec toute sa complexité et nous avons évoqué la taxonomie. et la façon dont elle structure l'approche des risques. Aujourd'hui, nous allons échanger sur les dispositifs de maîtrise des risques mis en place dans les banques. Nous retrouvons Stéphanie Thiry, associée banque, et Romain Ouattrelo, senior manager finance et risque chez Spinpart. Bonjour à tous les deux.
Speaker #0
Bonjour Anne-Sophie.
Speaker #2
Bonjour Anne-Sophie.
Speaker #1
Aujourd'hui, à quel niveau de maturité sont les différents dispositifs ?
Speaker #0
Alors, ce que l'on constate, c'est que la courbe d'apprentissage a atteint un palier qui permet aujourd'hui de prendre plus de recul. En effet, la notion de conformité, on peut dire qu'elle a pris son essor avec le comité BAL2 et le règlement 9702, qui était celui du comité de réglementation bancaire et financière, et qui concernait surtout le contrôle interne des établissements de crédit et des entreprises d'investissement. Et en réponse au niveau d'exigence des régulateurs, la conformité est devenue une discipline à part entière. C'est-à-dire qu'elle s'est émancipée du gérant des risques opérationnels pour permettre aux banques d'y consacrer des moyens plus importants et focaliser sur des règles propres. Là, on peut parler de l'appétence au risque, de modèles de scoring, de tout ce qui était processus, organisation, outils, une gouvernance propre, des expertises. Et donc, c'est tout un monde qui s'est mis en place. L'exercice n'a pas été simple puisqu'il a fallu monter en compétences, interpréter les réglementations pour pouvoir les mettre en application et puis surtout trouver l'équilibre entre la volonté d'une mise sous contrôle complète des risques et le maintien d'un niveau de granularité suffisamment haut. pour ne pas perdre la notion du risque lui-même. Aujourd'hui, on a un point d'inflexion, non pas que les risques diminuent, au contraire, ils continuent à se diversifier, à s'intensifier. On parle de cybersécurité, de SG. Après une phase d'investissement et de construction intense, les banques arrivent à un niveau de maturité qui leur permet de capitaliser sur des premiers retours d'expérience et aussi de se poser la question du juste équilibre, voire d'optimisation.
Speaker #2
Et effectivement, il y a matière à optimisation, puisqu'on travaille sur des écosystèmes qui se sont construits rapidement, et comme on l'avait évoqué, souvent en réaction à des réglementations. On a tout d'abord un objectif de mise en cohérence de toutes les briques en place. On a la taxonomie, on l'a vu dans l'épisode précédent. C'est vraiment l'architecture sur laquelle est construit le dispositif de contrôle et d'évaluation des risques. On a le référentiel d'activité qui représente l'organisation et qui doit être construit à la juste maille. On a également les méthodes de scoring, mais aussi le reporting qui donne une vue d'ensemble. Toutes ces briques doivent être complémentaires et homogènes pour garantir la cohérence de l'ensemble du dispositif. On va aussi avoir un axe qui va être d'aller chercher un objectif d'alléger les activités de conformité, aller vers plus d'efficacité pour toujours remplir cet objectif de contrôle. On va travailler ici sur les contrôles et les autres actions de mitigation, les exercices d'évaluation, les déclarations d'incidents, etc. Et enfin, on va forcément profiter de cet exercice pour finalement reprendre de la hauteur et garantir que l'objectif initial, qui est la mise sous contrôle des risques, est bien rempli.
Speaker #1
Quels sont les prochains challenges des banques ?
Speaker #0
Effectivement, aujourd'hui, les banques attaquent les prochains challenges qui sont de rationaliser et de simplifier. La montée en efficacité, aujourd'hui, est indispensable parce que les mécanismes restent très consommateurs de bandes passantes pour les équipes de conformité et les équipes métiers. On peut identifier quatre leviers. Le premier, c'est la culture des risques. Au sein des lignes de défense, l'ALOD1, qui est le métier, va jouer un rôle critique. Si on fait le parallèle avec les gestes barrières contre le Covid, plus les gestes simples et peu coûteux sont rendus naturels dans la population, et moins l'hôpital sera saturé. Et c'est exactement la même chose avec la culture du risque. Et là, plusieurs angles d'attaque vont être combinés pour la renforcer. D'abord, on va travailler avec la politique RH pour mettre en cohérence les objectifs individuels et les collectifs des collaborateurs qui doivent inclure l'évitement du risque. dans le système de rémunération et d'objectifs. Et puis la deuxième chose, c'est de mettre en place des formations ou un mode de diffusion de l'information en systématisant des modules de e-learning, de sensibilisation sur les nouveaux risques, comme cela se fait sur les cyber-risques, étendre des réflexes aux nouvelles problématiques à moindre coût et puis innover sur les mécanismes qui vont permettre de diffuser cette culture du risque en favorisant entre pairs des échanges de bonnes pratiques ou des approches très terrains. Le deuxième pilier, ça va être la gouvernance, qui est évidemment associée à la gestion du risque. Les cultures et gouvernances vont s'alimenter réciproquement, d'abord par l'exemplarité, puisqu'il faut donner toute sa place aux responsables risque et conformité au sein des instances d'arbitrage. Et puis aussi, il faut veiller à ce que leur profil inclut une compréhension des enjeux stratégiques et opérationnels des activités métiers et d'aider à construire des décisions qui vont construire une gestion des risques, mais sans toucher à la performance des métiers. La dernière chose, c'est de mettre en place des approches différenciées selon l'impact, avec l'identification de seuils et de critères qui vont déclencher des processus différents selon le niveau de remontée d'alerte. Et ça permettra d'activer... à bon escient la deuxième ligne de défense qu'est la conformité, et aussi de mettre en place des reportings qui soient partagés et lisibles par tous et pas seulement par les experts.
Speaker #2
Le troisième pilier, ça va être la donnée. La donnée, c'est encore le maillon faible pour appuyer l'ensemble du dispositif dans un domaine où, finalement, le déclaratif garde une place importante. Des solutions sont déjà en train d'être mises en place, mais il va falloir, finalement, créer une donnée de qualité à la bonne fréquence. Forcément, la donnée relative à des nouveaux risques n'existe pas. Du coup, il faut la construire, intégrer sa collecte au processus existant avec la gouvernance associée pour lui donner corps, et tout ça afin d'assurer sa qualité et sa remontée à la bonne fréquence. Un autre angle de travail qu'il va falloir adresser, ça va être la mise en commun de certaines données transverses entre les différents acteurs. Ça va permettre de mutualiser les coûts, tout en sécurisant en même temps la... qualité et la valorisation de cette donnée. Et enfin, les banques peuvent s'appuyer sur de nouveaux acteurs digitaux pour agréger et valider certaines données qui sont nécessaires à l'évaluation des risques. On peut penser par exemple au screening des fournisseurs ou des tiers, plus généralement. Le quatrième pilier, le dernier levier, ça va être la digitalisation des processus, avec également le développement de ce qu'on appelle le risk automation. Il s'agit en fait d'outils analytiques et prédictifs qui vont être déployés en appui à la décision. L'objectif de cet outillage, c'est d'améliorer les travaux sur les risques, tant en efficacité qu'en qualité. En conclusion, si toutes ces pistes laissent apparaître de belles perspectives, pour autant, il est vraiment essentiel d'assurer en amont le travail évoqué plus tôt de prise de recul. Comment est-ce qu'on va utiliser au mieux ce qui a déjà été mis en place ? Comment on va faire converger les différentes approches entre les risques de conformité les risques opérationnels et les risques financiers. Et tout ça pour construire une vision globale et pertinente des risques pour chacun des acteurs, ce qui va constituer le prochain défi.
Speaker #1
Merci Romain, merci Stéphanie pour cet éclairage.
Speaker #0
Merci Anne-Sophie.
Speaker #2
Merci Anne-Sophie.
Speaker #1
Merci à toutes et à tous pour votre écoute. Nous vous donnons rendez-vous au prochain épisode qui portera sur la réglementation CSR2.

Embed