Vers un rapprochement entre risques et contrôles pour répondre aux nouveaux enjeux   (Chandara OK) – Revue Banque 

Les nouveaux enChandara OKjeux dans la banque doivent aussi être à l’occasion de repenser la manière de mettre en oeuvre la maîtrise des risques. Le contrôle interne des établissements de crédit doit en profiter pour adopter une répartition des tâches plus claire, modulaire et efficace. Cette nouvelle organisation ne réduit pas obligatoirement les coûts, mais elle procure au moins une meilleur utilisation des ressources existantes.

Encore beaucoup d’établissements en France se contente de transposer directement le règlement CRBF 97-02 pour organiser les contrôle interne. Il s’est ainsi créé une série de fonctions dans les domaines risques-contrôles au gré des ajouts apportés au texte qui, certes, décrit un ensemble de risques à surveiller, mais sans apporter de modalités précises sur le « qui fait quoi » ou sur le « comment ». En l’absence de procédures internes suffisamment structurantes, cette situation débouche trop souvent sur un manque de résultats effectifs et une mauvaise utilisation des ressources.   Dans une époque qui voit les marges des banques se réduire, les besoi de maîtrise des risques, eux, continuent néanmoins à croître. Est-ce donc le moment de mener une telle révision? La réponse est oui. Et pour aller vers quelle cible? C’est l’occasion de migrer vers un organigramme simplifié, modulaire, avec des attributions claires des responsabilités, en vue des évolutions réglementaires ou économiques qui se profilent si cela ne réduit pas obligatoirement les coûts, on obtiendra une meilleur utilisation des ressources existantes.

L’ORGANISATION IMPLICITE ISSUE DU RÈGLEMENT 97/02

Collera à la forme du règlement 97/02 ne garantit pas que l’on en respecte l’esprit. Tant qu’il n’existait que deux catégories d’acteurs (les auditeurs et les opérationnels), l’organisation était simple : à coté de l’audit qui « faisait » du contrôle interne à temps plein, on trouvait bien quelques autres fonctions contribuant fortement à la maîtrise du risque (notamment les services comptables ou les engagements), mais chacun savait clairement ce qu’il avait à faire. A partir de l’arrêté modificatif du 31 Mars 2005, avec l’obligation de désigner de nouveaux acteurs (contrôle permanent distinct du contrôle périodique, conformité), la situation se complique. Ceci est d’autant plus vrai que les établissement avaient déjà auparavant constitué une fonction « risques » (anticipant la réforme Bâle II avec trois composants: risque de crédit, de marché et risque opérationnel), qui assurait déjà une forme de contrôle permanent et de surveillance du risque de non-conformité. Lorsqu’il existe aussi des prestations de services d’investissement un RCSI (et dans certains cas, un contrôle dépositaire) vient s’ajouter à la liste. Enfin, et sans que leur existence ne soit obligatoire réglementairement, certains ont aussi créée une fonction de RSSI, un contrôle comptable indépendant des structures précédentes, voire une fonction « qualité »réalisant parfois des tâches dévolues habituellement aux risques ou aux contrôles!

L’arrêté du 9 janvier 2010 prévoyant la formalisation de la filière risques, avec un responsable aux missions élargies, vient compléter cette série d’obligations. Par rapport à l’étranger, la coexistence de deux approches du contrôle interne contribue aussi à maintenir un flou:

  • l’une anglo-saxonne limitée à des principes généraux (et qui a fortement inspiré Bâle)
  • L’autre francaise avec des obligations plus détaillées et des concepts spécifiques: c’est ainsi par exemple que les anglais ou les américains ne connaissent pas la notion de « contrôle permanent » ou de texte structurant de type 97/02 (les textes sarbanes-oxley n’étant pas vraiment comparables)

L’ORGANISATION TRADITIONNELLE RISQUES-CONTRÔLES N’EST PLUS ADAPTÉES

L’expérience de ces dernières années fait apparaître des faiblesses, avec souvent une duplication des travaux ou une non couverture de certains risques. Elle peut aussi amener une frustration au sein des équipes ainsi qu’une mauvaise compréhension de la part des services opérationnels qui ne savent pas qui fait quoi ainsi peut-on observer, dans des banques de toutes tailles:

Des efforts isolés et une coordination insuffisante. L’organigramme des fonctions risques-contrôles se présente souvent sous forme d’un râteau, dans lequel chacun opère de façon isolée, avec une coordination limitée. Pourtant, certains chantiers majeurs tireraient bénéfice d’une transversalité forte; c’est le cas de la refonte du KYC, de la lutte antiblanchiment, d’une cartographie des risques vraiment exploitable, ect.

Une logique de tâches qui ne permet pas d’assumer une responsabilité réelle. Les périmètres d’action sont découpés par natures de tâches, de pair avec une lecture littérale du réglement 97/02: les uns font du contrôle permanent (normalement sur toute la banque), tandis que d’autres font de la surveillance et du contrôle des risques. Le problème est que l’on ne peut pas vraiment séparer les contrôles effectués des risques eux-mêmes: on ne contrôle une activité que pour veiller à la maîtrise des risques et la fonction risque ne peu se faire une opinion complète qu’au vu des résultats de contrôles effectué… La boucle est boulée. Le processus de contrôle interne est donc découpé sans qu’aucune fonction ne puisse avoir une vision complète du risque ni en assumer une responsabilité véritable (à moins de doublonner, ce qui souvent le cas dans la réalité)

Une vigilance par risque redondante à cause de définitions de risques qui se chevauchent et des équipes qui se neutralisent. L’option logique est de se répartir la surveillance selon la nature des risques. Or, les périmètres réglementaire eux-mêmes divergent ou sont imprécis. Malgré une convergence progressive, les natures de risque sont plus nombreuses dans la réglementation française (entre une douzaine et une vingtaine selon la manière dont on les identifie) que dans les textes bâlois (trois risques). Au sein même du découpage français, les risques ne sont souvent pas indépendants les uns des autres: il existe une perméabilité, un chevauchement ou plusieurs interprétations possibles. Ainsi la séparations entre l’engagement et la validation (que d’aucuns appellent « contrôle 4 Yeux ») est-elle d’origine réglementaire ou de bon sens contribuant à maitriser le risque d’erreur de fraude ou de crédit? De même, en s’appuyant sur Bâle, le risque de nature réglementaire fait partie du risque opérationnel, alors qu’il est clairement isolé et affecté à un responsable différent dans le règlement 97/02. Il existe bien sûr d’autres interrogations de périmètre, comme la distinction entre conformité réglementaire et le risque juridique, la localisation du contrôle comptable, la coordination entre la conformité bancaire et le RCSI… mais toutes ne peuvent être traitées ici.

LA NOUVELLE CIBLE : UNE ATTRIBUTION CLAIRE DES RESPONSABILITÉS….

Avec le nombre et la complexité croissante des risques à surveiller, en particulier dans un établissement multiactivité, il s’agit de mettre  à plat l’organisation existante et concevoir la solution la plus pragmatique qui permette de répondre aux besoin concrets de maîtrise des risques, qu’ils soient de nature interne ou réglementaire. Après une analyse des risques subis par la banque, la démarche proposée consiste à attribuer la responsabilité complète d’un risque à un « pilote de risque » unique, en décloisonnant la distinction précédente (contrôle permanent /conformité / risques, ect.) Ainsi, chaque pilote de risque, avec son équipe, aura à assurer l’ensemble des travaux répartis auparavant entre plusieurs services : identification du risque, mesure, évaluation gestion des limites, sensibilisation des opérationnels, contrôle d’application , actions correctives, reporting.

… SELON DES FAMILLES DE RISQUES HOMOGÈNES

Les étapes du chantier sont les suivantes:

  • L’identification des risques réellement subis par la banque, en les regroupant par catégories selon la nomenclature utilisée par le règlement 97/02 et complétées par des risques spécifiques ou assimilés. Ces risques sont à moduler par rapport à son activité et son contexte;
  • Le regroupement des catégories de risques en grandes familles homogènes. Celui-ci se fait entre des risques de natures proches en termes d’objectifs, de méthodes de gestion ou de compétences requises: par exemple, il est opportun de regrouper le risque de taux, le risque de liquidité et le risque de solvabilité, ou le risque LAB-FT avec le risque de fraude ou encore de rapprocher la partie surveillance maîtrise du risque de non-conformité avec le risque opérationnel, ect.
  • L’attribution de la responsabilité des familles de risque à des pilotes en charge. Ce pilote (seul ou à la tête de son équipe, selon la taille de l’établissement) aura à coordonner  des travaux réalisés par d’autres services de la banque et à mener des travaux en propre. Un pilote pourra suivre plusieurs familles de risque. Outre les aspects de frais généraux, l’établissement pourra ainsi bénéficier d’un meilleur rendement d’échelle avec une mutualisation des ressources, tant que des collaborateurs que des outils. La limite provient plutôt de la compétence technique et de la polyvalences des équipes.

POUR PALLIER LES INCONVÉNIENTS

on obtient ainsi une organisation de type vertical silo par familles de risque au lieu de l’organisation précédente de type horizontal par tâches. Mais cette organisation en silo comporte elle-même trois défauts majeurs:

  • Une vision isolée des risques alors qu’il existe des interdépendances;
  • Un risque de perte de la vision globale ou des priorités
  • Un risque de multiplication de dispositifs différents, chacun construisant son système avec une mauvaise utilisation des ressources et un déficit de cohérence globale.

Des mesure pourront palier à ces inconvénients.

Les contrôles sur place son mutualisés. Pour éviter des mouvements et des sollicitations inutiles vis à vis des opérationnels, les contrôles sur place ont intérêt à être réalisés par une seule équipe, constituée généralement par les ex-contrôleurs permanents. Ils disposent déjà de la technicité et du savoir-faire en matière de contrôle, de procédures, de maîtrise des risques opérationnels et de non-conformité. Selon la taille et l’historique de la banque, les contrôle suivants pourraient éventuellement rester distincts, car suffisamment spécifiques: contrôle des engagements, contrôle des opérations de marché, contrôle informatique et contrôle comptable.