Sélectionner une page
Temps de lecture estimé : 12 min

Rédaction WEB : JUST DEEP CONTENT

Le recours aux prestataires de services externalisés (PSE et PSEE) est croissant dans le secteur bancaire. Comment en étudier les risques et la conformité ? Analyse en 5 points clés.

 

« Il n’y a aucun doute sur le fait que les prestataires de services externalisés (essentiels ou non) sont en train de redéfinir la façon dont notre business concurrence avec le nouveau monde digital » explique un Chief Compliance Officer d’une société de services financiers.

Les organisations financières sont de plus en plus demandeuses de services externalisés et particulièrement de services impliquant du Cloud sous toutes ses formes. Les avantages recherchés sont notamment la flexibilité dans la volumétrie du « Hardware » et l’optimisation des coûts.

En plus de prendre une place grandissante au sein de ces organisations, les prestataires de services (essentiels ou non) externalisés (PSE) sont beaucoup plus consommateurs de données d’entreprises pour lesquelles ils fournissent des services. Par ailleurs, ils utilisent eux-mêmes des sous-traitants, élargissant et complexifiant le réseau de prestataires. Ainsi, sur les 4 dernières années, selon une étude Gartner, les responsables juridiques et conformité ont identifié 2,5 fois plus de prestataires comme ayant un risque élevé.

Dans un monde où les PSE/E (Prestataire de Service Externalisé / Essentiel) prennent une place grandissante, quels sont les défis opérationnels d’analyse et de management des risques auxquels doivent faire face les institutions financières et en particulier les grands groupes bancaires ?

Il existe principalement 5 challenges associés à l’analyse des risques PSE/E.

Rappel des exigences réglementaires relatives aux PSE/E

Les banques ont pour obligation de contrôler les risques associés à leurs PSE/E, conformément à l’arrêté du 3 Novembre 2014, sur le contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement.

Cet arrêté introduit la distinction entre caractère essentiel ou non d’une prestation et précise les exigences réglementaires supplémentaires incombant à un Prestataire de Services Essentiels Externalisés.

Lorsqu’une prestation est considérée comme essentielle, la responsabilité d’exécution de l’activité déléguée au prestataire reste à la main de la banque. L’analyse et le pilotage des risques en sont donc d’autant plus renforcés.

Quelques années plus tard, l’Autorité Bancaire Européenne (ABE) spécifie dans ses recommandations de février 2019 la manière dont les banques doivent contrôler leurs risques opérationnels liés aux prestations des PSE/E, afin de renforcer le dispositif de contrôles des risques liés aux externalisations.

L’ABE spécifie aussi la distinction entre PSE (Prestataire de Service Externalisés) et PSEE (Prestataire de Service Externalisés Essentiels) en ajoutant la notion de « fonctions critiques ou importantes ». Cette notion fait référence au caractère « essentiel » d’un PSEE défini par l’arrêté du 3/11/2014 mais fournit une analyse plus approfondie sur le sujet, afin d’aider à la qualification des différentes activités externalisées.

Le package européen présenté par la Commission en juillet 2021 prévoit de nouvelles exigences règlementaires pour les sous-traitants prestataires de service. » et inclure un lien vers le nouvel article sur l’ancre « le package européen »

l’harmonisation de la méthodologie des analyses

Ce premier challenge s’impose par la structure inhérente d’un grand groupe bancaire. Beaucoup d’enjeux opérationnels sont associés à la problématique de taille des banques.

Dans un groupe d’envergure, la plupart des projets d’externalisation sont initiés par les chefs de projet (ou autre personne ayant un budget sur une thématique dédiée). Les demandeurs doivent ensuite faire valider ces projets à un niveau décisionnaire.

Une fois validés, il est nécessaire de réaliser un appel d’offre et de présélectionner des prestataires. Vient ensuite un double process, où les achats sont sollicités pour la partie mise en concurrence et la centralisation des contrats, ainsi que les experts pour évaluer les risques associés à l’externalisation auprès d’un PSE/E.

Ce process de création des demandes de PSE/E est d’abord « bottom-up » puisque ce sont les équipes métiers/opérationnelles qui en font la demande à un niveau hiérarchique plus élevé.

L’approche est aussi « top-down », dans le sens où, une fois la validation obtenue, les demandes d’expertises vont être faites auprès des experts proches des équipes opérationnelles. Ce sont en effet les plus à-mêmes de comprendre les enjeux de cette prestation par rapport à l’environnement métier ou service bénéficiaire.

Dans un environnement où des milliers de projets avec des PSE/E se multiplient, l’enjeu est alors d’avoir une méthodologie d’analyse homogène entre experts disséminés dans toute la banque.

Une structure commune est alors nécessaire afin de :

  • Construire des KPI (Key Performance Indicator) probants, et avoir une visibilité sur le risque moyen des prestations de la banque. Or, si la structure d’analyse diverge entre les experts, ces KPI ne font plus vraiment sens.
  • Tenir un registre des PSE/E fiable et homogène. Dans le cadre des activités externalisées dites critiques ou importantes, il est demandé d’inscrire le risque global de la prestation dans un registre. Il est donc important d’avoir une certaine homogénéité méthodologique pour que ce suivi soit cohérent.

Ce défi d’harmonisation revêt deux aspects :

  • dans la forme pour toutes les expertises :

    Différentes expertises sont demandées pour l’évaluation des risques : l’ABE (Autorité Bancaire Européenne) établit une liste des risques à évaluer a minima pour l’ensemble des externalisations (risques opérationnels, risques de concentration, risques liés à la sous-externalisation …). Ces analyses requièrent donc différents experts, une seule personne ne pouvant appréhender l’ensemble.

    Il est alors indispensable d’avoir une structure commune détaillant typiquement le risque inhérent, les éléments atténuant le risque et le risque résiduel. Il faudra également définir la méthode d’analyse : pour les facteurs d’atténuation du risque par exemple, prend-on les éléments déjà établis par le prestataire et la banque, ou seulement ceux du prestataire ?

  • dans le fond au sein d’une même expertise :

    L’évaluation des risques de non-conformité par un expert est à elle-seule un challenge. Elle recoupe plusieurs sujets tels que le risque de conflits d’intérêts, le risque d’abus de marché (lié aux données privilégiées), le risque LCB/FT ou tout autre sujet relatif à la sécurité financière.

    On comprend alors que ne pas imposer un cadre commun d’évaluation plus granulaire et orienté sur le fond pour chaque expertise peut créer des écarts non-justifiés dans les résultats d’analyse.

la gouvernance et l’assignation du projet d’externalisation

Théoriquement, les demandes d’analyse sont faites auprès des experts de seconde ligne de défense, opérant pour le service demandeur de l’externalisation.

Exemple

La fonction transversale de communication de la banque souhaite externaliser le processus de gestion des cookies sur internet (recueil du consentement, lignes directrices de la CNIL).

Les experts LOD2 (deuxième ligne de défense) de cette fonction vont être sollicités car ils connaissent l’environnement évalué. C’est d’autant plus pertinent lorsqu’il s’agit d’un métier (les activités de marché par exemple), où il est important d’avoir l’expertise des produits et services requis.

Dans la réalité cependant, l’assignation d’un projet est beaucoup plus complexe que la règle énoncée et rend la gouvernance relative aux analyses de risques des externalisations elle aussi plus délicate à définir.

Deux cas de figure en témoignent :

  • Les projets d’externalisation internationaux :

    La responsabilité de chacune des analyses est ici difficile à déterminer étant donné que le projet bénéficie à plusieurs filiales/entités du Groupe.

    Une première logique voudrait que le département portant le projet ait la responsabilité de l’analyse des risques. Mais on oublie alors tous les autres environnements dans lesquels la prestation va opérer et toutes leurs spécificités influant le risque.

    Il est alors indispensable pour les experts analysant la prestation d’avoir une connaissance « terrain » de chaque entité bénéficiaire afin de n’omettre aucuns risques. Avoir un seul expert pour chaque risque n’est pas viable dans ce cas de figure.

    Par ailleurs, dans ce type de projets, la réglementation locale peut avoir un impact dans l’analyse. Par exemple, si la réglementation locale est plus restrictive que celle du pays d’implantation de la maison-mère du groupe.

    Or, chaque responsable de la conformité ne peut avoir une connaissance exhaustive de toutes les réglementations internationales s’appliquant au groupe et ses entités. Il est donc aussi nécessaire de solliciter un avis local par entité bénéficiaire du prestataire de service.

  • Les projets d’externalisation s’étendant sur différentes activités et services :

    On retrouve ici la même problématique de connaissance de l’environnement bénéficiaire.

    Avoir une prestation de Cloud IaaS (Infrastructure as a Service, externalisation du hardware), par exemple, n’a pas le même impact risque pour les activités de marché que sur un service de communication : premièrement, du fait de typologies de données différentes dans ces deux environnements, mais aussi parce que l’impact opérationnel d’une panne, et donc les enjeux financiers associés, est drastiquement plus conséquent sur les activités de marché que sur un service de support.

Partant de ces deux cas d’usages, il faudrait donc assigner une même demande d’analyse (risques de non-conformité par exemple) à différents experts, venant de chaque environnement bénéficiaire, afin d’avoir une vue exhaustive du risque.

Se posent ici deux difficultés de gouvernance :

  • L’identification de tous les experts de chaque environnement (géographique ou activité) dans une banque d’envergure. En effet, à l’échelle internationale, les postes d’expertise peuvent différer selon les régions, ou tout simplement ne pas exister. Déterminer la responsabilisation via l’énumération des différents postes d’expertise et donc détailler la gouvernance des analyses PSE/E pour ces cas de figure devient presque impossible.
  • Une seule entité étant en général demandeur de la prestation (les autres étant simplement bénéficiaires), responsabiliser des experts d’un environnement bénéficiaire non porteurs d’un projet est également un véritable challenge.

la transmission d’informations entre experts internes ou externes

Le partage d’informations est l’un des principaux défis des analyses PSE/E :

  • d’un point de vue temporel : la bonne transmission dans le temps des analyses entre les différents experts est capitale. Certains pans de l’analyse de l’expert Conformité reposent ainsi sur les analyses d’autres experts.Pour un prestataire fournissant des serveurs à la banque par exemple, obtenir l’avis de l’expert sécurité permettra à la conformité de savoir si :
    • il y a un risque d’interruption d’activité, cet expert donnant son avis sur la robustesse technique des serveurs,
    • ou encore de vol de données, l’expert évaluant la robustesse de la sécurité physique mais aussi virtuelle des serveurs.

    Ces risques ont des impacts forts sur ceux de non-conformité (protection des données, continuité d’activité …). Ne pas les prendre en compte serait une erreur.

    Cette « dépendance » temporelle force un expert donné à attendre qu’un autre réalise son analyse. Ceci constitue une perte de temps considérable, alors que les enjeux business liés au démarrage du prestataire ne le permettent pas.

    Par ailleurs, qu’en est-il de la définition de l’ordre de réalisation des analyses ? Etablir un process clair et valable pour l’ensemble des projets d’externalisation est nécessaire mais encore une fois ardu, d’autant plus pour un projet de portée internationale et multi-sectorielle.

  • en termes de gouvernance :

    Au sein d’une même expertise, plusieurs experts peuvent être sollicités notamment dans les projets d’envergure internationale. Se pose alors la question de la responsabilisation de ces différents spécialistes.

    Si ces derniers ne sont pas inscrits dans un plan de gouvernance bien défini, ils ne prendront pas l’initiative de réaliser et transmettre une analyse au responsable de l’entité porteuse du projet.

    D’où l’importance d’une prise d’engagement par l’ensemble des experts provenant des environnements bénéficiaires. Sans cela, la collecte et la centralisation seront très compliquées à mener et alourdiront d’autant plus le processus d’analyse. Par ailleurs, les experts centralisateurs consommeraient une grande majorité de leur temps à relancer les contributeurs, sans toujours grand succès.

    Disposer d’un outil de workflow peut permettre de responsabiliser les experts sur le moment précis auquel ils doivent soumettre leur analyse. Il est aussi possible de monitorer le temps mis pour la production de l’avis de chaque expert.

La meilleure réponse à ce challenge de transmission de l’information est certainement la mise en place d’un outil de gestion intégrant les différentes étapes d’analyse.

Cet outil pourra prévoir par exemple que tant que l’expert n°1 n’a pas rendu son analyse, le prochain expert ne pourra le faire à son tour, stoppant l’avancée du process. Le mécanisme pourra bien sûr être plus flexible. Si tous les experts peuvent rendre indépendamment leurs analyses sauf l’expert conformité, il est pertinent de définir le workflow dans ce sens.


la qualification pse ou psee et les exigences de conformité associées

Il existe deux types de PSEE selon l’arrêté du 3 novembre 2014 :

  • Les PSE qualifiés d’essentiels car intervenant au sein d’activités régulées relatives :
    • au secteur bancaire et financier et nécessitant un agrément (service de paiement par exemple)
    • à certaines opérations connexes comme la tenue de compte-conservation
    • à l’exécution directe de ces activités régulées et opérations connexes.
  • Les PSE qualifiés d’essentiel dans le cadre d’une approche risques opérationnels. Cette définition est alors plus sujette à interprétation.En effet, cette catégorie regroupe les prestations qui, en cas d’anomalie ou défaillance, peuvent nuire considérablement :
    • à la capacité de l’établissement à se conformer de façon permanente aux obligations de son agrément et de ses activités
    • à ses performances financières ;
    • à la continuité de ses services et activités.

Cette deuxième typologie de prestataire pose un réel problème quant à la qualification de PSEE ou non. Il est en effet nécessaire d’analyser les risques associés pour définir ce caractère essentiel.

En ce qui concerne les performances financières par exemple, quid de l’impact du prestataire sans analyse préalable ?

De la même manière, pour savoir si la prestation a un impact sur la conformité de l’établissement à ses activités, il est indispensable de faire appel aux experts pour établir une première analyse.

Par exemple, des données personnelles utilisées dans le cadre d’une prestation peuvent avoir un impact significatif sur la non-conformité de la banque à ses obligations réglementaires, le prestataire pouvant être considéré comme PSEE sous un prisme opérationnel.

A quel moment qualifier le prestataire de PSEE ou PSE ?

Dans ce cadre de la qualification « opérationnelle », le critère retenu est l’impact de la prestation sur les activités de l’établissement. L’analyse de risques de ces prestations externalisées est donc indispensable à leur qualification.

Mais parallèlement, le caractère essentiel des PSEE implique, par rapport aux PSE, des exigences supplémentaires dans le cadre de l’analyse elle-même. Il serait donc nécessaire de réaliser la qualification en amont du démarrage des analyses puisque ces dernières diffèrent selon le caractère essentiel ou non.

Pour éviter cette problématique opérationnelle, il peut être d’autant plus simple d’aborder directement les analyses sous le prisme des PSEE.

l’application des mesures des experts et le suivi des prestations

Une fois que l’harmonisation des méthodologies est définie, que les demandes d’analyses sont assignées aux bons contributeurs, que ces derniers se transmettent leur point de vue sur les risques de la prestation et soumettent enfin leurs conclusions, ils restent une étape qui n’est pas des moindres : la prise en compte des recommandations des experts.

La maîtrise des risques passent par leur analyse mais aussi par l’application de recommandations qui visent à les réduire.  

Or, la réalisation de ces recommandations ne relève pas de la responsabilité des experts mais des personnes initiatrices du projet. Ces dernières n’ont pas forcément les mêmes intérêts que ceux des analystes en amont.

Les enjeux business peuvent ainsi s’opposer aux risques identifiés et à leur mitigation. Concernant par exemple le coût de la mise en place de mesures réductrices du risque, celui-ci a vocation à rester dans une fourchette bien défini par les porteurs du projet. De leur côté, les experts risques n’ont pas nécessairement cette donnée « coût » en tête lorsqu’ils analysent les différents projets et ne doivent pas l’avoir afin d’émettre des recommandations basées sur une approche risque, sans aucune pression liée aux contraintes d’activité.

Le suivi de la prestation est aussi un enjeu post-soumission des analyses. Il est en effet nécessaire de piloter cette dernière afin d’évaluer tout changement significatif pouvant affecter le risque lié aux prestataires.

Or, comme le confirme une étude Gartner  faite auprès de plusieurs centaines de fonctions juridiques et conformité, ce suivi continu n’est pas en place dans la plupart des banques.

Ainsi, 73% du travail réalisé pour identifier les risques liés aux PSE/E est alloué aux phases de « due diligence », donc en amont de la mise en production du prestataire et à celles de « recertification », donc de revue du prestataire. Cette revue est plus ou moins fréquente selon le niveau de risque défini durant la phase d’entrée en relation.

Seuls 27% des efforts sont menés tout au long de la relation avec le PSE/E.

Source du document : Etude Gartner « 2019 Gartner Third Party Risk Management Model »

Or, il s’avère que la mise en place d’une approche itérative est cruciale dans l’identification des risques.

En effet, 83% des responsables juridiques et conformité identifieraient les risques liés aux PSE/E après la phase de « due diligence » et avant celle de « recertification ». Autrement dit, 92% d’entre eux affirment que les risques les plus importants ne sont pas identifiés via la phase de « due diligence ».

Suivre en continu les prestations est un impératif afin d’avoir une vue exhaustive des risques liés aux PSE/E.

Pour la mise en place de ce suivi, il est nécessaire de définir des déclencheurs ou « triggers ».

Ces indicateurs peuvent être de différents ordres : un changement dans la nature de la relation entre la banque et le prestataire (les services octroyés s’étendent par exemple), un changement dans la stratégie Groupe (où l’appétence au risque peut être différente), ou encore un changement opérationnel.

La question du pilotage en temps réel de ce suivi nécessiterait :

  • un ou des emplois à temps plein. Cette solution n’est pas financièrement viable étant donné le nombre de prestations auxquelles les grands groupes font appel et le nombre d’ETP (Equivalent Temps Plein) nécessaires.
  • ou des outils déclenchant automatiquement ces avertissements de changements. Ce choix est plus optimal mais plus complexe à mettre à œuvre.

    Il faudrait en effet établir des métriques basées sur des données en amont de ce suivi quotidien. Les experts devraient donc, au-delà de leurs efforts d’harmonisation et de centralisation des analyses qualitatives, insérer des aspects quantitatifs.

    En plus de trouver un terrain d’entente sur les Key Risk Indicators (KRI), il leur faudrait disposer d’une base de données robuste et conséquente permettant d’établir ces KRI.

Bien que loin d’être relevé, ce dernier challenge reste incontournable pour la maîtrise des risques et la conformité des prestations de services externalisées, PSE et PSEE.

Auteur
Pauline Langlès

Consultante Conformité, Diplômée du Cycle Expert Conformité de l’ESBanque