Article écrit en collaboration avec Laurence Dubois, Associée Industrie Financière Risk Advisory, Nicolas Fleuret, Associé responsable Risk & Regulatory et Hervé Phaure, Associé Risk Advisory.

Face à l’inquiétude du régulateur quant à la stabilité de la profitabilité des établissements, les risques non financiers ont depuis quelques années pris une place prépondérante dans l’agenda des instances de gouvernance des banques. Les institutions financières vont progressivement être incitées à faire évoluer leurs dispositifs de gestion de ces risques, et à définir des indicateurs synthétiques homogènes. Ces indicateurs auront vocation à mieux piloter à la fois le respect du niveau d’appétence aux risques non financiers fixé par le management et l’effort financier nécessaire pour y parvenir. Quelles actions les banques peuvent-elles mettre en œuvre pour s’adapter à ces nouveaux enjeux ?

Qu’est-ce qu’un risque non financier ?

Les risques non financiers recouvrent les risques qui ne sont pas volontairement pris par les banques dans l’exercice de leurs activités (contrairement par exemple aux risques de crédit et de marché) mais subits, une fois les transactions réalisées, du fait de contraintes externes de nature légale ou règlementaire ou internes à l’organisation (processus, systèmes d’information, ressources humaines…).

Bien que le périmètre des risques non financiers soit sujet à discussion, on distingue en général trois grandes catégories de risques :

  • Les risques opérationnels : ils sont directement issus des processus, des systèmes d’information ou des personnes. Ils intègrent notamment les risques liés à la Cyber sécurité, mais également ceux liés à la sous-traitance de certains processus.
    • Ils comprennent également des risques non financiers émergents pour lesquels les dispositifs d’identification, d’évaluation et/ou de remédiation ne sont pas encore matures, comme les risques de modèle liés à l’intelligence artificielle ou les risques liés à l’utilisation de robots advisors.
  • Les risques business liés aux activités bancaires, qui comprennent le risque stratégique, le risque de réputation (pouvant également être considéré comme une conséquence d’autres risques) et celui lié à la conduite des activités ou « conduct risk ».
  • Le risque de non-conformité et le risque juridique liés au respect des lois et règlementations.

Des risques sous le feu des projecteurs

Depuis quelques années, on assiste à une montée en puissance des risques non financiers, pour deux raisons principales :

  • La magnitude des pertes encourues (financières et/ou en termes de réputation). Lorsque ces risques se matérialisent leurs impacts peuvent se chiffrer en plusieurs dizaines voire centaines de millions d’euros en particulier en matière de cyber sécurité et de risque de conduite des activités. L’incertitude sur la mesure de ces impacts, notamment pendant les phases d’investigations qui peuvent être longues et complexes, constitue également un point d’attention.
  • Les coûts liés à leur gestion (coûts de mise en conformité aux multiples règlementations et coûts en fonds propres) qui ne cessent d’augmenter. Cette augmentation s’accompagnant d’une difficulté dans la définition, par le management, du bon niveau d’investissement compte tenu de la complexité inhérente à l’exercice de quantification des risques non financiers et en conséquence à définir le niveau d’appétence au risque.

Concomitamment, plusieurs évolutions majeures ont impacté fortement les business model établis, les processus et la gestion des risques non financiers associés :

  • L’essor des nouvelles technologies qui remettent en cause les processus et plus généralement la conduite des activités bancaires (Robotisation, Intelligence artificielle au sein des processus décisionnels). Cet essor s’accompagnant naturellement d’une dépendance toujours plus forte vis-à-vis des systèmes d’information et des données.
  • Un contexte d’inflation des exigences règlementaires et normatives conduisant les établissements à s’adapter dans l’urgence avec des dispositifs parfois surdimensionnés.
  • L’émergence de nouveaux acteurs comme les Fintech qui impactent en partie certaines façons d’opérer.

Trois lignes directrices pour guider cette évolution

  1. Faire du neuf avec du vieux pour recenser et mesurer

Il n’existe pas d’indicateur unique de mesure des risques non financiers, comparable à une Value at Risk dans les activités de marché. A cet égard, la complexité et le manque de comparabilité des mesures produites par les modèles AMA ont conduit le Comité de Bâle à acter leur abandon à compter du 1er janvier 2022.

Il ne s’agit donc pas de créer un nouveau modèle holistique résumant en un seul indicateur l’exposition de la banque aux risques non financiers, mais de s’appuyer sur les dispositifs existants en les faisant progressivement converger.

Les établissements ont investi beaucoup de temps dans la définition de cartographies des risques non financiers et dans les processus de suivi attenants, car il est essentiel de revoir régulièrement ces cartographies pour identifier les risques émergents et mettre en place un suivi adapté.

Pour autant, la démultiplication des natures de risques non financiers et des dispositifs associés est source de complexité dans leur gestion au quotidien et dans leur suivi sur base consolidée, avec le risque de perdre de vue l’essentiel. Il apparaît donc important d’identifier les risques non financiers essentiels et de focaliser les efforts et les investissements.

On pourrait ainsi considérer qu’après une période d’incubation la plus réduite possible, la gestion d’un risque émergent – comme par exemple les risques non financiers générés par l’utilisation de l’IA – soit intégrée au dispositif existant de gestion des risques non financiers existants (dans cet exemple celui de la gestion du risque de modèle), y compris en termes de reporting. Cette approche permettrait d’éviter le développement d’expertises spécifiques en marge du dispositif d’ensemble.

Inversement certains risques non financiers devraient être gérés dans le cadre de démarches spécifiques. Le risque de non-conformité en est une illustration, indépendamment des exigences règlementaires. Celui-ci doit en effet être pris en compte dès l’origination des opérations avec une forte implication des équipes commerciales qui constituent la première ligne de défense. Contrairement à d’autres risques non financiers, la responsabilité de la gestion de ce risque ne peut pas être allouée à une seule fonction clairement identifiée ce qui justifie un dispositif et reporting spécifiques. Un équilibre propre à chaque établissement doit donc être défini pour distinguer les risques non financiers dont la gestion peut être intégrée dans le dispositif de gestion des risques opérationnels existants et ceux qui, bien que potentiellement consolidés au sein du risque opérationnel pour des besoins de calcul d’exigences en fonds propres, nécessitent d’être gérés dans des directions spécifiques.

Une fois les risques non financiers définis de manière ciblée, il conviendra de définir les quelques indicateurs clés permettant de suivre l’exposition du groupe à chacun des risques non financiers ainsi que l’appétence aux risques pour chacun d’entre eux. Il ne nous semble pas possible en effet de tout agréger. Il convient donc d’établir un socle commun et des définitions normalisées : mise en cohérence des typologies et des évènements de risques, et précision des frontières entre les différents risques.

  1. Saisir les opportunités offertes par les nouvelles technologies pour identifier et contrôler

De par la multiplication des typologies de risques à gérer et des fonctions impliquées, la gestion des risques non financiers s’inscrit dans des processus souvent manuels et répétitifs. L’utilisation des nouvelles technologies peut contribuer à optimiser ces processus et permettre aux équipes de se concentrer sur la mise en place et le suivi des plans de réduction des risques.

Plusieurs voies peuvent être explorées :

–  la robotisation de certains processus comme la compilation de reportings en provenance de différentes entités ou la réalisation de contrôles de second niveau sur le respect des procédures de KYC ; les gains de productivité peuvent être rapides et ne nécessitent pas un investissement significatif. La robotisation peut aussi être l’occasion de repenser le processus d’origine et de le simplifier.

–  l’utilisation d’outils d’analyses de données et de visualisation pour mieux appréhender, à travers des représentations graphiques et synthétiques, des phénomènes anormaux pouvant matérialiser l’émergence possible d’un risque non financier particulier.

–  l’utilisation des techniques d’intelligence artificielle pour identifier des signaux faibles et repérer des risques émergents ou encore pour limiter les fausses alertes, source d’inefficacité. Le régulateur a émis certaines réticences quant à l’utilisation de ces techniques dans la gestion des risques. Pour autant, couplées avec des techniques plus traditionnelles, elles nous semblent devoir être explorées compte tenu de leur potentiel de prédiction.

Les banques doivent mettre à profit les apports de ces nouvelles technologies pour optimiser la gestion de leurs risques non financiers. Ces outils, permettant de croiser sans restriction différentes informations, facilitent également une approche plus globale par comparaison aux approches traditionnelles en silo, qui ne permettent pas d’intégrer les interdépendances entre les risques liés.

Incidemment c’est aussi l’occasion de revaloriser la fonction de gestion des risques opérationnels et de diversifier les talents.

  1. Etre à l’écoute du marché et se benchmarker

Une des principales difficultés pour le management des banques est de déterminer le niveau d’investissement approprié à la gestion des risques non financiers. C’est également un domaine d’innovation important.

Pour répondre aux attentes de leur direction générale, les responsables des risques non financiers doivent être à l’écoute du marché pour identifier les solutions innovantes proposées par exemple par les Regtechs (anticipation de la gestion des risques) ou les assureurs (couverture des risques non financiers avérés).

S’agissant des Regtechs, et face à la multitude des solutions proposées par le marché, il est essentiel d’être capable d’évaluer rapidement l’intérêt des solutions proposées, leur aptitude à s’insérer dans le dispositif interne et les adhérences avec d’autres projets.

De la même façon, les responsables de risques non financiers doivent être capables de se benchmarker par rapport aux organisations de leurs pairs sur différents axes (ressources, outils, indicateurs de reportings, investissements, volume et ampleur des incidents), pour éclairer davantage leur management sur le pilotage de ces risques complexes et protéiformes.