Sélectionner une page
Métiers de Compliance Officer : une nécessaire évolution des compétences et des formations

Métiers de Compliance Officer : une nécessaire évolution des compétences et des formations

Temps de lecture estimé : 6 min

Rédaction WEB : JUST DEEP CONTENT

Les métiers de compliance officer nécessitent des compétences nouvelles et spécifiques, auxquelles les formations doivent répondre en se spécialisant. Explications.

 

Le métier de compliance officer est aujourd’hui associé à un savoir-faire nécessitant de solides compétences juridiques et rédactionnelles, ainsi que la maîtrise du droit, de l’analyse des lois et réglementations. Généralement, le compliance officer est diplômé d’un bac +5 en droit ou école de commerce et dispose de connaissances développées des techniques de contrôles.

L’arrêté du 3 novembre 2014 impose aux entreprises une obligation légale de mise en place des dispositifs de compliance, justifiant pleinement le métier de compliance officer.

Cependant en 10 ans, le métier de compliance officer a largement évolué.

Au fur et à mesure de l’accroissement des réglementations nationales et internationales, des différentes crises bancaires telles que les subprimes ou d’autres faits marquants, le secteur bancaire a été amené à restructurer peu à peu la filière conformité, une filière dite « champignon », d’après l’observatoire des métiers.

SOMMAIRE

  • Qu’est-ce que le métier de compliance officer ?
  • Vers le compliance Officer 2.0 ?
  • Vers une hyperspécialisation du métier de Compliance Officer en France et au-delà des frontières ?

 

Qu’est-ce que le métier de compliance officer ?

 

Bien établie jusque-là au cœur de la 2ème ligne de défense, le métier de la conformité répond aujourd’hui parfaitement au millefeuille réglementaire qui donne à cette fonction sa justification. La culture de l’éthique, l’exemplarité des pratiques professionnelles tendent à renforcer le partenariat avec les métiers opérationnels.

La conformité fait partie de ses filières initialement positionnées au sein des directions juridiques, et d’ailleurs initialement appelée déontologie.

Selon une étude récente, 59% des répondants à l’étude seraient issus de formations en droit.

En 2018, 35% des représentants de la fonction compliance étaient des juristes alors que 7% à 9% seulement avaient des postes de compliance officer plus ciblés tels que DPO (Délégué à la Protection des Données) par exemple.

Au fil des années et des crises systémiques, la conformité a vu son profil et son champ de responsabilité s’élargir. La conformité est donc passée d’un statut très juridique, très administratif à un positionnement davantage orienté « business partner » vis-à-vis des autres métiers.

La fonction a du très vite évolué. Longtemps occupée par des cadres dirigeants, elle a été contrainte de se rajeunir, de se diversifier dans ses apprentissages académiques, en même temps qu’elle a dû se professionnaliser.

Connaître le business, être au plus près du métier devenait un prérequis.

La fonction a peu à peu quitté les directions juridiques pour s’installer au cœur du métier de banquier. Un passage dans le monde commercial afin d’avoir une expérience opérationnelle permet d’accompagner les métiers opérationnels mais aussi de gagner en crédibilité. La conformité se doit d’accompagner les commerciaux afin de ne plus être le « mouton noir », image qu’elle avait jusqu’à présent.

Jusqu’en 2014, il existait peu d’offres de formations en conformité : quelques rares sessions en France qui mettaient en lumière le métier de chargé de conformité, très souvent associé aux formations purement juridiques.

 

Vers le compliance Officer 2.0 ?

 

Très vite, l’évolution de la société a encouragé l’émergence de nouveaux risques financiers qu’il a fallu apprendre à maîtriser : importance grandissante des sujets sociétaux, environnementaux, mais également le développement des sujets digitaux dans le dispositif de maîtrise des risques.

La modification des process a donné naissance à de nouveaux métiers à l’intérieur même de la compliance, en particulier dans le domaine du big data, de l’analyse des données, et des nouveaux risques tels que le RSE (Responsabilité Sociétale de l’Entreprise) par exemple..). Les compétences ont dû évoluer vers toujours plus d’expertise.

Les propositions de formations en la matière se sont également spécialisées. 

Certaines formations du métier de compliance officer allient par exemple le socle commun de la connaissance de la réglementation, permettant ensuite l’élaboration du processus conformité (définition des procédures et transposition dans les outils, élaboration de la documentation, mise en place des plans de contrôles et de la cartographie des risques…) avec la participation à des projets transverses (protection des droits et des risques clients, spécialisation sur certains domaines : conformité RSE, risques clients, conformité SI (Système d’Information)).

L’apparition de ces nouveaux métiers a fait naître de nouveaux programmes, et parfois même des partenariats entre les cursus universitaires académiques et les instituts de formations.

Beaucoup de programmes complets dédiés à la conformité ont vu le jour.

De même, les formations en interne proposent de nouveaux thèmes tels que la cybersécurité, ou les modalités de travail en mode Agile à l’attention des chargés de conformité.

Selon une étude menée en 2021, prés de 99% des répondants (sur 135 personnes sondées) souhaitent accroître leurs compétences en suivant des formations complémentaires et ciblées dans le champ de la compliance : prévention de la fraude ou de la corruption, contrôle des exportations et respect des sanctions économiques par exemple.

Source : PWC

 

De la même façon, les mêmes répondants à cette étude indiquent souhaiter suivre une formation spécialisée dans les domaines du digital et de l’informatique, pour pouvoir accompagner la digitalisation de leur propre fonction mais également suivre les nouveaux risques numériques ou propres au secteur de la gestion de projets.

Source : PWC

 

Des formations dédiées ont été créées dans plusieurs universités pour former aux problématiques et aux expertises compliance : des expertises sectorielles comme les Data Protection Officers par exemple.

Il existe également des propositions de formations à l’attention de collaborateurs occupant une fonction opérationnelle, ou encore de personnes ayant un profil scientifique ou purement finance.

Dans tous les cas, l’évolution du métier de compliance officer répond à une nécessaire maîtrise des technologies digitales (analyses de données et informatiques, propositions et mises en place de scénarii sur les alertes LCB-FT, sanctions, KYC (Know Your Customer)…).

 

Vers une hyperspécialisation du métier de Compliance Officer en France et au-delà des frontières ?

 

Les évolutions sociétales, technologiques et réglementaires évoquées précédemment auront un impact significatif sur les professions de la banque.

La transformation prévue de certains fonctions, et notamment celle de compliance officer, entraînera nécessairement des changements dans la cartographie des métiers de la banque.

Les besoins en formation des collaborateurs devront être gérés. Des évolutions du contenu des métiers de la banque découle une évolution des compétences mobilisables par ces fonctions.

En Interne, le manager devra, avec les Ressources Humaines, analyser et décider comment développer l’employabilité de son équipe.  Les attentes des différentes générations seront certainement fortement différenciées et la gestion des parcours de carrière devra donc être entièrement personnalisée.

En externe, certaines formations en conformité très spécialisées voient le jour en France, telles que des programmes courts ayant pour objectif de savoir comment appliquer et lier l’IA (Intelligence Artificielle) à la compliance, comprendre ses atouts pour permettre des tâches quotidiennes au sein même du département conformité, comprendre l’apport de la blockchain pour lutter contre la corruption et bien d’autres items liés à la lutte contre le terrorisme par exemple.

Au-delà de nos frontières, en Espagne par exemple,il existe des « Master de formation permanente en corporate compliance 3.0 » permettant d’approfondir des domaines innovants tels que la cybersécurité, la blockchain, le metaverse et l’IA (Intelligence Artificielle).

En Italie, un master en droit international et conformité est proposé sur 2 ans pour permettre aux apprenants d’acquérir à la fois des compétences sur les besoins du paysage commercial international actuel, du droit international mais aussi des compétences sur les scénarii de travail en fonction du pays concerné.

Enfin, aux Etats Unis, est proposé également sur 2 ans un « master of science en ligne en gestion de la criminalité financière et de la conformité ». Cette formation offre en particulier la possibilité aux apprenants d’améliorer leur expertise dans la gestion des ressources d’entreprises et technologiques pour lutter contre la criminalité financière.

 

On constate donc une hyperspécialisation du métier de compliance officer mais aussi le développement d’une palette de formations proposées en France et à l’international visant à répondre à l’ensemble des évolutions multifactorielles déjà évoquées dans cet article.

Parallèlement, cette hyperspécialisation peut rendre les programmes de formation rapidement obsolètes.

L’automatisation progressive des outils de contrôle et d’analyse couplée à la multiplication des réglementations peut créer actuellement une forte demande sur ces thèmes mais ne risquerait-elle pas d’être ponctuelle et s’essouffler une fois l’ensemble des processus automatisés ?

Les besoins de formation des métiers du risque et de la conformité resteront donc en évolution continue et l’offre de formation devra s’adapter en permanence.

Auteur

Nadège Bordes 

Chargé de conformité spécialisée – Intervenante-Formatrice pour le Cycle Expert Métiers Conformité de l’ESBanque

Le règlement DORA change-t-il la donne en matière de gouvernance des risques liés aux Technologies de l’Information et de la Communication ?

Le règlement DORA change-t-il la donne en matière de gouvernance des risques liés aux Technologies de l’Information et de la Communication ?

Temps de lecture estimé : 13 min

Rédaction WEB : JUST DEEP CONTENT

,Le risque cyber est clairement devenu un objet d’attention pour les régulateurs européens ces dernières années. Plusieurs textes des Autorités Européennes de Supervision (AES) ont vu le jour, comme les orientations de l’EBA sur la gestion des risques liés aux TIC (EBA/GL/2019/04), ou les recommandations de l’EIOPA relatives à la sécurité et à la gouvernance des TIC (EIOPA-BoS-20/600).

Dans ce contexte le règlement DORA sur la résilience opérationnelle numérique, qui entre en application le 17 janvier 2025, ne semble pas encore susciter de mobilisation massive dans les rangs des acteurs de la cybersécurité de l’industrie financière.

Nombreuses sont les institutions financières qui ont fortement renforcé leurs investissements dans la sécurité des systèmes d’informations, au cours de la dernière décennie et pourraient donc estimer qu’elles sont d’ores et déjà, dans une large mesure, conformes à DORA.

Cependant la montée en puissance du risque cyber s’illustre par de nombreux cas. Ainsi l’affaire Solarwinds révélée en décembre 2020 et considérée comme la pire cyberattaque ayant visé le gouvernement des Etats-Unis, nous rappelle à quel point cette menace est à prendre au sérieux.

Depuis la crise financière de 2008, les régulateurs européens ont dû mettre en œuvre un arsenal de mesures, pour protéger la solvabilité des institutions financières et assurer la stabilité du système financier face à des risques de nature systémique.

DORA est en fait le volet dédié aux risques numériques de cette réglementation prudentielle.

Il repose sur deux postulats :

  • Aucune entreprise n’est à l’abri d’une cyberattaque réussie. Il est donc impératif de renforcer la réponse aux crises,
  • Des attaquants peuvent infiltrer une entreprise par le biais de n’importe quelle composante de son écosystème. Il est donc crucial de sécuriser toute la chaîne d’approvisionnement en services numériques.

Il s’agit donc d’une réglementation ambitieuse, qui va révolutionner la gouvernance et le processus de décision liés aux risques numérique de nombre d’institutions financières.

Quels sont les impacts de ce règlement sur la gouvernance des TIC et comment impulser une culture du risque permettant de favoriser l’amélioration progressive des dispositifs de prévention, de protection et de réponse au risque cyber ?

 

SOMMAIRE

  • L’implication des dirigeants et du Conseil d’Administration
  • Une organisation selon 3 lignes de défense
  • La définition du niveau d’appétence au risque
  • L’appréciation des risques comme fondement du renforcement des dispositifs de résilience opérationnelle numérique
  • Un parti pris de transparence en vue d’optimiser le retour sur investissement dans la maîtrise des risques

 

L’implication des dirigeants et du Conseil d’Administration

 

Contrairement aux orientations EIOPA ou EBA, dont le pouvoir normatif est limité dans la mesure où elles relèvent de la soft law, DORA  est un règlement, qui s’applique directement, sans transposition nationale, à toutes les institutions financières européennes.

Les institutions financières devront donc démontrer qu’elles respectent ce règlement. Cela signifie notamment qu’il leur faudra revoir leurs politiques et procédures liées à la résilience opérationnelle numérique, pour s’assurer qu’elles sont bien alignées avec les exigences de DORA et mettre en œuvre les contrôles permettant de le démontrer.

D’autre part, si la lutte contre le risque cyber est un enjeu majeur, elle exige l’implication des dirigeants au plus haut niveau. Le Conseil d’Administration doit s’assurer que l’allocation de moyens à la sécurité et la résilience numérique est proportionnée par rapport au risque. En cas d’attaque cyber réussie, la responsabilité des dirigeants peut être engagée.

Pour comprendre la menace numérique et le profil de risque de l’organisation compte-tenu de la nature de ses activités, les dirigeants doivent être régulièrement formés aux enjeux de la résilience opérationnelle numérique.

Pour développer la connaissance du risque numérique, de la part des institutions financières DORA encourage également un partage d’information sur les incidents et les menaces à l’échelle de l’industrie financière. Les AES vont définir les modalités  de ce partage d’informations dans le cadre de normes techniques réglementaires à paraître.

En complément de l’analyse de la menace cyber, le Conseil d’Administration doit comprendre le niveau de maturité des dispositifs de maîtrise des risques numériques mis en œuvre au sein de l’organisation.

Sommes-nous prêts à contrer une cyberattaque qui viserait l’entreprise au niveau global ?

Avons-nous une vision claire de notre dépendance par rapport à nos systèmes d’information ?

Avons-nous identifié nos applications critiques ou importantes ? Les moyens alloués à la protection de ces applications à notre niveau, ou au niveau de nos prestataires de services numériques, sont-ils suffisants ?

Telles sont les questions qui doivent être soulevées dans la comitologie et remontées au Conseil d’Administration.

L’engagement du Conseil d’Administration passe aussi par la validation des principales politiques qui encadrent les dispositifs de maîtrise des risques numériques, à savoir :

  • La politique générale de sécurité de l’information,
  • La politique de gestion des risques numériques,
  • La politique de gestion des incidents liés aux TIC,
  • La politique de continuité d’activité informatique,
  • La politique d’utilisation des services liés aux TIC qui soutiennent des fonctions critiques ou importantes.

Ces politiques générales doivent être complétées de politiques de sécurité et de résilience numérique spécifiques et des procédures associées. Elles constituent un socle d’exigences, que l’entreprise doit s’engager à respecter au travers d’un dispositif de contrôle efficace.

 

Une organisation selon 3 lignes de défense

 

En réponse à un risque cyber considéré comme systémique, DORA définit une organisation selon trois lignes de défense. Ce modèle d’inspiration militaire, s’est imposé au sein des grands établissements financiers, suite à la crise financière de 2008.

Figure 1 : le modèle des 3 lignes de défense

Source Hélène Dufour pour l’ESBanque

 

La première ligne est constituée des directions opérationnelles (dont la DSI), qui sont propriétaires des risques numériques et assurent les contrôles de premier niveau. Les propriétaires des risques sont en effet les départements qui en subissent les conséquences et qui vont donc devoir faire des choix en matière de traitement des risques (acceptation, refus, réduction ou partage du risque selon la norme ISO/IEC 27005).

Parmi les contrôles de premier niveau, on peut citer la revue des habilitations aux applications informatiques, mais aussi les contrôles relatifs au fonctionnement des processus IT tels que, la gestion des configurations et des changements ou le contrôle de conformité des prestataires par rapport notamment aux exigences de sécurité liées aux applications critiques.

La seconde ligne de défense est incarnée par la nomination d’une fonction indépendante de gestion des risques liés aux TIC, qui va superviser la réalisation des contrôles de second niveau.  Le rattachement hiérarchique de cette fonction peut varier selon les organisations (Direction des Risques ou DSI par exemple), mais elle doit avoir un accès direct au Conseil d’Administration, qu’elle doit éclairer sur les risques.

Enfin, la troisième ligne de défense est assurée par l’audit, qui met en œuvre le contrôle périodique.

La fonction Gestion des Risques Numériques détermine le niveau de tolérance de l’entité par rapport aux risques liés aux TIC et définit les stratégies et les politiques permettant de ne pas le dépasser. Elle s’assure également de la bonne exécution des contrôles réalisés par les premières lignes de défense.

Le déploiement du dispositif de contrôle doit s’appuyer sur une approche basée sur les risques, afin d’être en mesure de prioriser le renforcement des dispositifs de maîtrise des risques, en application du principe de proportionnalité.

 

La définition du niveau d’appétence au risque

 

Pour pouvoir apprécier les risques et déterminer les axes de renforcement prioritaires de la maîtrise des risques, le préalable est la définition du niveau de tolérance ou d’appétence au risque. Cette notion familière aux praticiens des risques financiers, de crédit ou assurantiels n’est pas forcément intuitive pour les équipes opérationnelles notamment celles de la DSI.

Il s’agit de caractériser la sévérité d’un risque à partir d’une matrice de vraisemblance (par exemple quasi certain, probable, possible ou éloigné) et de gravité (critique, grave, modéré, faible), qu’il convient de décliner selon différents types de conséquences (notamment les impacts financiers, réglementaires, sur les clients, et de réputation). Par exemple, il s’agit de déterminer à partir de quel seuil d’alerte, l’impact financier potentiel d’un risque est jugé grave et au-delà de quelle limite, il est considéré comme inacceptable et nécessite un renforcement de la maîtrise du risque.

Figure 2 : Exemple de matrice d’appétence au risque pour un organisme de taille intermédiaire

Source Hélène Dufour pour l’ESBanque

 

La matrice d’appétence au risque doit être partagée et comprise par les opérationnels lorsqu’ils mènent une évaluation des risques. Elle doit permettre de prioriser l’effort de maîtrise des risques en se concentrant sur les risques d’impact potentiel élevé.

 

L’appréciation des risques comme levier de décisions stratégiques

 

L’appréciation des risques IT et SSI est confrontée une plusieurs difficultés :

  • Comprendre la nature des menaces et des dispositifs de maîtrise des risques, pour les métiers éloignés de la DSI,
  • Prendre en compte les enjeux métiers, lorsqu’elle est réalisée par les équipes informatiques,
  • Donner une vision consolidée du risque, compréhensible par toutes les parties prenantes et notamment la direction et utilisable comme levier de décision.

Rappelons qu’avant l’émergence des initiatives réglementaires visant à imposer une prise en compte spécifique du risque cyber par les institutions financières, celui-ci était intégré aux risques opérationnels. Son évaluation était donc réalisée de manière qualitative et souvent faiblement challengée par les instances de direction. Par ailleurs, les résultats des cartographies des risques IT et SSI étaient souvent fournis à un niveau de détail beaucoup trop fin pour offrir une vue d’ensemble réellement opérante des priorités d’optimisation de la maîtrise des risques.

DORA impose l’adoption d’une approche méthodique de l’appréciation des risques, réellement orientée sur la prise de décision au plus haut niveau de l’organisation.

Dans ce cadre, il n’est pas inutile de rappeler que le but de l’appréciation des risques est de déterminer si les dispositifs de prévention de protection et de réponse à incidents sont correctement dimensionnés et suffisants pour protéger l’entreprise efficacement contre les menaces. Dans cette réflexion, et tout particulièrement pour les risques cyber dont le traitement requiert des moyens de plus en plus importants, se pose toujours la question de l’optimisation de cette allocation de moyen par rapport au risque.

Pour ce faire, l’identification des menaces numériques et des vulnérabilités qu’elles peuvent exploiter à l’échelle de l’entreprise, va permettre de tester la robustesse des dispositifs de maîtrise des risques transversaux.

 

Appréciation des risques au niveau global

Pour réaliser cette analyse, une entité peut procéder de deux manières :

  • Identifier les vulnérabilités de ses dispositifs de maîtrise des risques, selon une approche par conformité (en les comparant aux bonnes pratiques à partir d’un référentiel de mesures par exemple celui de l’annexe A de la norme ISO/IEC 27001 détaillé dans la norme ISO/IEC 27002) et définir les menaces qui pourraient exploiter ces vulnérabilités,
  • Identifier les menaces ou causes de risque potentielles et déterminer le niveau de maîtrise des risques en les associant aux mesures de réduction du risque adaptées et analyser les failles éventuelles de ces mesures.

La première approche doit s’appuyer sur une revue systématique des différentes mesures préconisées par le référentiel retenu (Guide d’hygiène de l’ANSSI, norme ISO/IEC 27002, CIS ou NIST par exemple) et d’une évaluation de maturité des dispositifs en place pour chaque mesure, sous forme d’une note. La moyenne des notes constitue un score, qui pourra être utilisé dans l’évaluation des risques.

La seconde approche consiste identifier les risques et à évaluer les mesures de maîtrise associées à chacun. Elle peut-être moins exhaustive que la précédente, car elle ne garantit pas que tous les risques ont été identifiés.

Dans les deux cas, l’appréciation des risques consiste à identifier les menaces les plus critiques associées aux dispositifs de maîtrise des risques en place et d’évaluer leur vraisemblance et leur gravité brutes, indépendamment de toute mesure de maîtrise (évaluation du risque inhérent), puis de prendre en compte l’efficacité des dispositifs pour évaluer leur vraisemblance et leur gravité nettes (évaluation du risque résiduel).

Figure 3 : exemples de risques à étudier

Source Hélène Dufour pour l’ESBanque

Cette démarche doit permettre de déterminer, si le niveau de maîtrise des risques de l’entreprise est satisfaisant ou non et d’identifier les plans d’action prioritaires en vue de renforcer les dispositifs de prévention, de protection ou de réponse aux risques.

La figure 4 ci-après représente les risques R1 à R9 ci-dessus, sur une matrice vraisemblance / gravité (risque brut), puis présente l’impact sur la vraisemblance et la gravité des risques, de l’application des mesures de prévention, de protection ou de réponse (risque net).

Figure 4 : Exemple de représentation du risque

Source Hélène Dufour pour l’ESBanque

Cette représentation graphique permet de visualiser la position des risques par rapport au niveau de tolérance de l’entité. Elle va permettre de déterminer le traitement du risque à retenir par l’entreprise, c’est-à-dire de définir si elle accepte le risque, ou si elle met en œuvre des mesures pour le réduire.

Il est à noter que l’appréciation des risques bruts (ou risques inhérents), définis comme les risques en l’absence de dispositifs de maîtrise des risques, est décriée, au motif qu’il est impossible d’évaluer des risques qui surviendraient sans aucun contrôle, car cela ne correspond à aucune réalité. Cette objection est judicieuse, mais l’objectif de l’évaluation du risque brut est en réalité d’apprécier la menace, indépendamment du dispositif de maîtrise des risques en place, afin justement d’éviter certains biais psychologiques, qui assimilent le risque à une défaillance. Pour rendre cette évaluation plus intuitive, on peut la remplacer par une appréciation du risque brut basé sur un dispositif de protection moyen tel qu’on pourrait le mesurer à partir de statistiques externes. L’intérêt de cette réflexion est d’étudier la menace, son intensité et son évolution, afin de fournir une première vision de l’impact du dispositif de maîtrise des risques. Elle permet d’apprécier le dispositif de maîtrise des risques en tant que facteur de réduction de leur vraisemblance ou leurs conséquences et donc d’évaluer son retour sur investissement potentiel.

Les risques nets ou résiduels d’impact modéré ou faible seront acceptés. Les risques, dont l’impact potentiel dépasse le seuil de tolérance voire la limite, devront faire l’objet d’un plan d’action.

Cette analyse doit être menée globalement, selon une approche top down afin d’éclairer l’organe de direction sur les menaces qui pèsent sur l’entreprise et sur l’adéquation des dispositifs de maîtrise des risques en place.

 

Appréciation des risques au niveau de chaque actif informationnel

L’appréciation des risques au niveau de l’entreprise (top-down) doit s’accompagner d’une cartographie des processus, de l’identification des fonctions dites critiques ou importantes et d’une analyse détaillée de la dépendance de chaque processus par rapport à des actifs informatiques, ou services liés aux TIC.

C’est à partir de cette analyse dite « bottom-up » qu’il va être possible d’évaluer plus précisément les impacts métiers d’un évènement transversal en fonction de son périmètre d’impact.

Il s’agit de déterminer les services qui soutiennent des fonctions critiques ou importantes, qui vont devoir faire l’objet de dispositifs de protection et de contrôle renforcés, notamment relatifs aux tiers prestataires de services de TIC.

La criticité des actifs s’apprécie selon 4 axes D-I-C-T : D – la disponibilité (l’indisponibilité de l’actif peut-elle entrainer l’interruption d’activités critiques ou importantes ?), I – l’intégrité (la perte de fiabilité des données peut-elle générer des erreurs d’exécution génératrices de pertes pour des activités critiques ou importantes ?), C – la confidentialité (des données confidentielles notamment à caractère personnel peuvent-elle être compromises ?) et enfin T – la traçabilité qui intègre l’authenticité (la perte de données peut-elle porter préjudice à l’organisation dans sa capacité à justifier de l’origine de transactions (principe de non répudiation) ou de sa conformité à ses engagements contractuels ou réglementaires ?).

Cette évaluation peut s’accompagner d’une analyse quantitative, notamment des impacts d’une interruption d’activité prolongée au niveau de chaque métier (par exemple sur une durée de 5 jours et 20 jours ouvrés qui peuvent représenter des durées génériques pour un évènement cyber majeur). Cette mesure quantitative permettra de mieux évaluer l’impact global d’un évènement cyber donné. Le règlement DORA préconise en effet l’évaluation quantitative de scénarios cyber ou d’interruption d’activité majeurs.

Elle doit permettre de mettre en œuvre, au niveau de chaque actif, des mesures de maîtrise des risques et des contrôles proportionnés par rapport au risque. Par exemple un actif critique du point de vue de la disponibilité, devra faire l’objet de mesures de redondance qui correspondent à la durée maximale d’indisponibilité acceptable.

Ces mesures seront portées par les équipes internes de la DSI, lorsque les actifs informatiques sont développés ou hébergés en interne, mais elles concernent également les tiers prestataires de service de TIC, auxquels le règlement DORA consacre une attention toute particulière. En effet le risque cyber étant considéré comme systémique, c’est toute la chaîne d’approvisionnement en technologies de l’information et de la communication qui doit être mise sous contrôle.

 

Appréciation des risques liés aux prestataires de TIC

L’analyse des risques liés aux tiers prestataires de service de TIC, permet d’identifier des menaces et des vulnérabilités susceptibles d’affecter les services de TIC fournis ou hébergés par ces prestataires, avec en priorité l’étude des prestataires de services qui soutiennent des fonctions critiques ou importantes.

Il s’agit d’identifier les vulnérabilités ou facteurs d’exposition au risque lié aux prestataires les plus critiques, dont notamment :

  • Le risque de dépendance par rapport à un prestataire et de concentration,
  • Le risque de défaillances du plan de continuité informatique du prestataire,
  • Le risque de défaillance des dispositifs de sécurité du prestataire.

Ces vulnérabilités sont susceptibles de générer des pertes si les menaces suivantes se réalisent :

  • Faillite ou dégradation de la qualité de service du fournisseur nécessitant l’activation du plan de réversibilité,
  • Perte du Data Center du fournisseur liée à un évènement climatique par exemple,
  • Cyber attaque du fournisseur.

Les risques résultant de ces menaces exploitant des vulnérabilités, se traduisent par l’indisponibilité, la perte d’intégrité, de confidentialité ou de traçabilité des actifs informatiques.

Ils doivent être maîtrisés au travers d’un dispositif de contrôle des engagements contractuels qui lient l’entreprise au prestataire, avec des obligations renforcées pour les prestataires critiques notamment sur les volets suivants :

  • Plan d’assurance sécurité du prestataire,
  • Plan d’urgence et de poursuite d’activité du prestataire,
  • Engagement de qualité de service du prestataire,
  • Plan de réversibilité.

DORA va en effet imposer la mise en œuvre de nouvelles clauses contractuelles pour tous les prestataires.

 

Un parti pris de transparence en vue d’optimiser le retour sur investissement dans la maîtrise des risques

 

Une synthèse de ces évaluations et des actions qui en découlent doit faire l’objet d’une présentation à l’organe de direction et d’un rapport de réexamen du cadre de gestion des risques numériques, qui permettent de soutenir le renforcement de la maîtrise des risques.

Le modèle de gouvernance préconisé par DORA vise donc à favoriser l’amélioration continue de la résilience opérationnelle numérique des institutions financières, mais aussi celle de leurs prestataires de TIC.

Pour accéder à une vision claire du paysage de la menace et mettre en œuvre une allocation de moyens optimisée à la maîtrise des risques, l’organisme doit favoriser la transparence et encourager les équipes à surmonter les biais psychologiques inhérents à l’appréciation du risque notamment :

  • une surévaluation de l’importance du risque par les métiers, avec des exigences de protection des actifs souvent supérieures aux besoins réels (notamment dans l’expression des durées maximales d’interruption admissibles),
  • La tentation de la part des directions opérationnelles de dissimuler les failles et les lacunes, sur lesquelles il n’est jamais plaisant de communiquer, au travers d’indicateurs miraculeusement verts car conçus pour ne pas alerter.

Cela passe par le développement d’une culture du risque basée sur :

  • une définition claire de l’appétence au risque, qui s’appuie sur une échelle d’impacts, des seuils de tolérance et des limites partagés par tous et utilisés comme référence dans les évaluations des risques à tous les niveaux,
  • une appréciation des risques basée sur des évaluations à la fois qualitatives et quantitatives, pour mesurer les enjeux de la maîtrise des risques,
  • l’exigence de la part des instances de direction d’une communication transparente sur le niveau de maturité réel des dispositifs de maitrise des risques et son implication dans la définition d’indicateurs de risque réalistes,
  • l’engagement de la direction dans l’amélioration continue des dispositifs de maîtrise des risques, au travers de la fixation d’objectifs exigeants, assortis de l’allocation des moyens nécessaires pour les atteindre.

 

 

Auteur

Hélène Dufour​​

Directrice Associée du Cabinet Metametris – Intervenante pour la Certification Responsable Conformité / Compliance Officer

 

Sources :

Télétravail : quels risques à gérer pour la banque et pour les salariés ?

Télétravail : quels risques à gérer pour la banque et pour les salariés ?

Temps de lecture estimé : 7 min

Rédaction WEB : JUST DEEP CONTENT

Le télétravail s’est installé durablement dans le secteur bancaire. Point sur les risques de conformité, d’organisation et de teneur du travail, pour les établissements et pour les salariés.

 

 

Le télétravail s’est rapidement imposé dans un grand nombre de secteurs d’activité, devenant même prépondérant dans certaines fonctions. Pandémie ou non, il s’est installé de façon durable et est plébiscité tant par les salariés que par bien des employeurs.

Sans entrer dans le débat plus philosophique de la « valeur travail », opérer durablement à distance entraîne des conséquences spécifiques alors même que les processus d’organisation des entreprises sont généralement restés dans l’ancien schéma du travail en présentiel.

Pour un responsable de fonction risques ou conformité, il convient donc de prendre en compte ces nouveaux risques, tant pour l’entreprises que pour les salariés. Concernant ces derniers, on peut aussi se demander si un télétravail plus systématique ne constituerait pas des risques à terme dans la teneur de leurs emplois.

SOMMAIRE

  • Télétravail : une installation durable et un défi supplémentaire pour l’industrie financière
  • Télétravail : quels risques inhérents à court et plus long terme ?
  • Un mode de travail pour lequel les entreprises n’ont pas véritablement repensé leur mode de fonctionnement
  • Télétravail : un piège pour les salariés ?
  • Quelques pistes de réflexion pour mieux intégrer le télétravail

 

 

Télétravail : une installation durable et un défi supplémentaire pour l’industrie financière

 

Longtemps resté marginal car mal perçu par les employeurs, le travail à distance, concernant les postes compatibles, s’est imposé dans l’urgence aux entreprises en mars 2020 : question de survie pour les uns ou d’opportunité pour d’autres.

Aujourd’hui, après la levée des restrictions sanitaires, nous ne sommes pas revenus dans le modèle « d’avant » mais un modèle hybride, mêlant travail à distance et travail sur site, s’est progressivement installé.

Télétravailler est devenu non seulement une normalité mais constitue même, dans bien des métiers, la norme. Dans l’industrie financière, ce modèle représente 3 jours par semaine au sein de nombreuses fonctions centrales. Les trois quarts des salariés souhaiteraient pouvoir en bénéficier et les candidats aux recrutements en font un critère de choix. Dans une tendance sociétale dans laquelle, on recherche un meilleur équilibre entre vie professionnelle et vie privée, le télétravail est là pour durer.

Par rapport aux autres secteurs de l’économie, l’intégration subite du télétravail dans l’industrie bancaire est venue s’ajouter à d’autres mutations importantes destinées à répondre à de lourds défis : concurrence des néobanques, désertion des réseaux physiques traditionnels, révolution technologique, réglementations pénalisantes…

Grâce à ces efforts de rationalisation et de digitalisation réalisés ces dernières années, les banques se sont retrouvées plutôt bien armées quand il a fallu déployer le travail à distance lors du confinement.

 

 

Télétravail : quels risques inhérents à court et plus long terme ?

 

Après l’annonce du confinement en mars 2020 et malgré quelques tâtonnements et freins techniques, assez vite résolus pour l’essentiel, le télétravail semble avoir été assez facilement développé. Les DRH (Directions des Ressources Humaines) ne peuvent que s’en réjouir : pas de dysfonctionnement majeur, économie de surfaces de bureau, de frais généraux et peut-être même une productivité en hausse selon certaines mesures.

Pourtant, on ne passe pas d’un mode de fonctionnement à un autre sans conséquences, soit à court, soit à plus long terme.

Le tableau suivant dresse une première liste de risques, à court, moyen ou long terme, ventilés selon les domaines :

  • la sécurité,
  • l’organisation du travail et le management,
  • les ressources humaines
  • la capacité à créer et évoluer.

 

Source : Chandara OK pour l’ESBanque

 

Avant le confinement, la question de la sécurité informatique était l’une des raisons majeures de la réticence au télétravail. Pourtant, du jour au lendemain, les directions S.I. (Système d’Information) ont ouvert l’accès à distance de tous les applicatifs des entreprises : les questions de sécurité des réseaux se sont-elles évaporées d’elles-mêmes ?

Dans la gestion courante, les applications de vidéoconférence permettent un grand nombre de combinaisons de réunion. Néanmoins, tout le monde peut observer qu’elles conduisent à un ralentissement et à une certaine posture rigide où l’on perd la spontanéité et le bénéfice des rencontres informelles.

L’accès ou l’échange de documents est toujours pénalisé par une digitalisation et un système de partage qui n’est pas encore complètement abouti.

La distance est aussi un enjeu pour l’encadrement sur la manière de faire, tant pour le suivi des travaux des collaborateurs, le contrôle permanent que pour l’animation de l’équipe. Si les contrôles peuvent dans certains cas être trop réduits, on a pu aussi observer dans d’autres cas des comportements au contraire un peu trop intrusifs, comme des contrôles incessants en ligne.

En matière de ressources humaines, on connait le risque d’isolement lié au travail prolongé à distance. Cet isolement, s’il agit sur le moral du collaborateur, aura donc aussi des conséquences sur la qualité du travail fourni et peut-être aussi sur son savoir-faire, son savoir-être, sa sécurité psychologique, son attachement à l’entreprise et également sur la culture d’entreprise elle-même.

Enfin, on peut aussi anticiper que tous les risques évoqués précédemment, entraîneraient des conséquences sur la conduite des projets ou la conception de nouveaux produits. Ce sont des travaux qui reposent sur des échanges transversaux fréquents, y compris ceux qui sont informels ou impromptus.  Il s’agit peut-être du domaine de risque le plus important pour la pérennité de l’entreprise.

 

 

Un mode de travail pour lequel les entreprises n’ont pas véritablement repensé leur mode de fonctionnement

 

Les risques inhérents au télétravail prolongé sont donc nombreux et sérieux. On s’accordera facilement sur le fait que travailler à distance ne ressemble pas entièrement à travailler sur site. Si le travail en présentiel n’est pas absent de risques, les organisations ont pu, au fil des siècles, adapter la manière de faire et les processus en conséquence.

Or on constate que, depuis le confinement, les entreprises ont peu modifié les référentiels, l’organisation ou les méthodes. Il s’agit davantage d’adaptations partielles ou isolées.

Les collaborateurs sont généralement libres par exemple de choisir individuellement les jours de présence dans l’entreprise. Seule existe parfois une obligation de regrouper hebdomadairement les membres d’un même service. S’il est important d’échanger face à face au sein d’une même équipe, il l’est autant, et même plus, entre équipes. Les dossiers complexes, transversaux ou les projets en dépendent.

Les managers sont pour leur part souvent laissés à eux-mêmes et rares sont ceux qui ont reçu des formations ou des indications claires sur la manière d’encadrer ou d’organiser à distance.

Le mode hybride tel qu’il est organisé, ou peu organisé, aujourd’hui comporte aussi un effet pervers. Les collaborateurs finissent par communiquer quasi systématiquement par écrans interposés, même en présentiel.

Avec le « flex open office » et la suppression du téléphone classique, il est difficile de savoir si les interlocuteurs sont présents ou non pour tenir une réunion. Discuter sur webcam permet aussi d’éviter de chercher une salle de réunion et de marcher quelques pas. Le nombre d’heure de travail en position fixe sans bouger s’accroît ainsi que la sédentarité et les risques de santé. Psychologiquement, certains se sentent même plus à l’aise derrière un écran, ayant le sentiment de moins s’exposer et deviennent réticents à une réunion physique.

 

Point de vigilance :

Un responsable de fonction clé peut donc constater que la pratique de terrain diffère, à des degrés divers, de ce qui a été prévu par le corpus procédural et la cartographie des risques, les deux ayant été conçus pour un mode traditionnel en présentiel. Si tel est le cas, cela signifie donc que le système de maîtrise des risques n’est plus adapté.

 

 

Télétravail : un piège pour les salariés ?

 

Sauf pour une minorité de salariés qui préfèrent le travail sur site, le télétravail est le plus souvent considéré comme avantageux : gains de temps de transport, meilleur équilibre entre vie privée et vie professionnelle, organisation de son temps de travail, impression de meilleure autonomie, possibilité de vivre loin du lieu de travail et ainsi se permettre un logement plus agréable …

Même si ces apports sont certains pour le salarié, ils présentent aussi une face cachée et des risques pour son évolution professionnelle. En voici quelques-uns :

  • risque de mélange entre vie privée et vie professionnelle: par manque de séparation claire, le télétravail peut alors être un avantage ou un inconvénient selon les individus.
  • risque d’isolement: pour sa santé personnelle et pour son efficacité au travail.
  • risque de dégradation de son savoir-faire et de son savoir-être, avec des conséquences sur son employabilité, en interne comme en externe.
  • risque d’être « oublié »: le manager sur site sollicitant davantage les collaborateurs sur site (c’est à dire à qui il a le plus facilement accès), ces derniers devenant donc plus « visibles » lors des promotions.
  • risque d’être considéré comme non indispensable: les sureffectifs apparents étant plus perceptibles. Un manager peut être amené à mesurer la contribution de chacun par rapport à des mesures plus factuelles (selon le nombre de dossiers par exemple, de documents produits voire selon le volume de flux de messagerie …), même si ce procédé occulte certaines valeurs ajoutées moins mesurables. Ceux qui produiraient moins de volume seraient alors moins utiles ou moins productifs, à tort ou à raison.
  • risque d’externalisation et de localisation du poste: s’il est possible de travailler durablement à distance, il serait donc assez facile d’externaliser les postes auprès d’un prestataire ou de délocaliser à l’étranger.
  • risque d’accélérer la transformation digitale : s’il est possible de travailler durablement à distance, il serait donc assez facile de digitaliser et robotiser des processus.

Si certains sauront tirer leur épingle du jeu mais d’autres ne risqueraient-ils pas d’être plus vulnérables ?

 

 

Quelques pistes de réflexion pour mieux intégrer le télétravail

 

Ces quelques pistes de réflexion font écho aux écueils relevés précédemment :

  • Organiser suffisamment de temps de partage, au sein d’un service et entre les services.
  • Imposer une présence pour toute l’entreprise au moins un jour par semaine (ce qui vient contrecarrer partiellement l’espoir d’économiser des surfaces de bureau).
  • Permettre à chacun de vérifier à tout moment la présence de n’importe quel collaborateur sur son poste de travail, au bureau comme à domicile par une indication électronique ou vidéo. Ce sujet est naturellement sensible mais l’information reste nécessaire.
  • Pour l’encadrement : organiser davantage le pilotage de l’activité selon une approche par objectifs et par chantiers.
  • Et bien sûr, actualiser la cartographie des risques en intégrant le mode « télétravail », ceci afin d’adapter les processus, le corpus procédural ou les contrôles permanents.

 

Le télétravail est certainement assimilable au sein d’un modèle hybride et équilibré. Il est nécessaire pour cela de repenser l’environnement organisationnel et faire évoluer certaines habitudes.

Le télétravail mène par ailleurs à de nouvelles questions. De part une forme de standardisation et d’ordonnancement des travaux qu’il implique, il risque de mettre pour partie les salariés en concurrence plus frontale avec des tentations d’externalisation de toutes sortes, y compris l’intelligence artificielle.

Le télétravail amène également à une réflexion plus profonde sur ce qu’est réellement une entreprise. S’agit-il simplement d’une somme de compétences et de travaux isolés ou est-ce plus que cela ?

 

Auteur

Chandara Ok ​​

Conseil en gouvernance et maîtrise des risques, Intervenant-formateur pour le Cycle Expert Conformité de L’ESBanque

 

Sources :

3 Niveaux de contrôle : quel modèle adopter et comment être conforme à l’arrêté du 25/02/2021 ?

3 Niveaux de contrôle : quel modèle adopter et comment être conforme à l’arrêté du 25/02/2021 ?

Temps de lecture estimé : 8 min

Rédaction WEB : JUST DEEP CONTENT

Modèle indépendant dit « anglo-saxon » ou modèle intégré dit « français » : lequel adopter pour organiser les 3 niveaux de contrôle ? Quel est le plus efficace ? Quel est le plus conforme aux nouvelles exigences règlementaires ?

 

En matière de contrôle des risques et de conformité, la notion des « 3 niveaux de contrôle des risques » peut se comprendre selon deux lectures :

  • soit un modèle avec 3 lignes de contrôle assurées par 3 acteurs de façon indépendante, souvent appliqué dans le monde anglo-saxon, que l’on appelle aussi « modèle anglo-saxon » pour simplifier.
  • ou bien un modèle avec un contrôle homogène plus intégré dans lequel 3 acteurs y occupent chacun un rôle complémentaire, que l’on trouve assez souvent en France, que l’on peut désigner de « modèle français » ou modèle intégré.

… et bien-sûr toutes les solutions intermédiaires.

Au-delà du débat purement sémantique, il s’agit en fait de de 2 philosophies différentes du contrôle interne avec des conséquences importantes en matière d’organisation et de pilotage. Par sa réglementation bancaire spécifique, la France est depuis longtemps un cas particulier, qu’est venu préciser par ailleurs le récent arrêté du 25/02/2021.

Alors, quelles différences entre ces deux modèles ? Existe-t-il un modèle plus efficace et plus conforme par rapport aux derniers textes ? Quelles sont les conditions pour passer de l’un à l’autre ?

Modèle anglo-saxon ou modèle intégré : un choix portant sur la philosophie et l’organisation du contrôle interne

L’introduction dans le règlement français 97/02 en 2005 de la notion de ‘contrôle permanent distincte du contrôle périodique, avait suscité des interrogations quant aux conséquences pratiques.

L’apparition d’un second niveau de contrôle a remis en cause le rôle historique des métiers (de 1er niveau) et de l’audit (devenu 3ème niveau).  Par la suite, les réformes Bâle II puis Bâle III ont introduit, sur le plan international, des concepts assez proches de celui en place en France sans toutefois être identiques.

Chacun des 3 niveaux est donc légitime à réaliser des contrôles … mais alors quels contrôles ? Les mêmes ? Des contrôles différents ? Dans quelles conditions ? …

La question est soulevée principalement au sein du contrôle permanent : quelle est l’articulation entre les fonctions clés de 2ème niveau et les métiers de 1er niveau ?

Et même si le problème est aujourd’hui moins fréquent, on observe encore, çà et là, des duplications de tâches entre les auditeurs du contrôle périodique et les fonctions en charge du contrôle permanent de 2ème niveau.

 

La défense en ligne ou « modèle anglo-saxon »

La première approche consiste à simplement répartir voire dupliquer les contrôles de risque entre les 3 groupes d’acteurs :

Le 1er niveau effectuant des contrôles fréquents et granulaires,

Le 2ème niveau des contrôles moins fréquents et moins granulaires,

Le 3ème niveau enfin effectuant des vérifications selon un plan d’audit triennal ou quadriennal.

En prenant une image dans le domaine militaire, la banque peut être représentée par la forteresse médiévale ci-dessous. Elle doit se défendre contre des risques qui l’entourent en se dotant de 3 murailles concentriques qui représentent les 3 niveaux de contrôle.

Source : Chandara OK pour l’ESBanque

Dans ce schéma, la banque s’organise pour repousser les risques selon une défense en ligne.

Source : Chandara OK pour l’ESBanque

Chaque acteur évalue ses risques, bâtit sa propre muraille et maintient sa ligne de défense contre les chocs de risque (flèches en orange). Certains de ces risques, avec une intensité identique ou atténuée, vont franchir la 1er ligne pour buter contre la 2ème ligne tenue par les fonctions clés de 2ème niveau. Celles-ci vont à leur tour essayer de capter ou d’atténuer ces risques … ; ainsi de suite jusqu’à la 3ème ligne.

Beaucoup de banques françaises ont adopté cette défense en ligne dans un premier temps, avant d’évoluer progressivement. Certaines continuent encore cette méthode aujourd’hui car elle est assez simple mais … est-elle efficace et surtout est-elle conforme par rapport aux exigences réglementaires ?

Cette approche est aussi celle auparavant favorisée dans le monde anglo-saxon et que la littérature technique désigne par le terme « 3 lines of defence ». Pour être totalement juste, ce « modèle anglo-saxon» a néanmoins évolué ces dernières années pour se rapprocher progressivement du modèle plus intégré évoqué plus loin, dans une position intermédiaire que l’on peut qualifier d’hybride.

Le modèle intégré ou « modèle français »

A l’opposé du modèle précédent de défense sur 3 lignes, il s’agit ici d’une défense en profondeur, à partir d’une architecture et d’une organisation du contrôle interne unifiées.

Source : Chandara OK pour l’ESBanque

On peut considérer ici qu’il n’y a qu’une seule ligne de défense structurée avec 3 acteurs qui occupent des rôles différents mais complémentaires, les 2 premiers niveaux fonctionnant ensemble et formant le dispositif de contrôle permanent :

  • En 1er niveau : des métiers qui assurent la défense sur le terrain (contrôle permanent de 1er niveau), chacun dans son secteur d’activité avec ses spécificités propres mais en respectant des règles structurantes communes dont le 2ème niveau en est le gardien.
  • En 2ème niveau: des fonctions clés dotées d’équipes spécialisées (assurant un contrôle permanent de 2ème niveau) moins nombreuses, chargées de piloter les risques dont elles ont la charge. Leur rôle est donc essentiellement tourné vers le 1er niveau. Il comporte deux aspects :
    • veiller au bon fonction du contrôle permanent de 1er niveau, au regard des politiques en vigueur et des modalités auparavant convenues avec les  métiers (profilage des risques, choix des points de contrôle, formalisme, restitution des contrôles…). Cette vigilance repose notamment sur un exercice conjoint de la cartographie des risques, une vérification de la qualité des contrôles permanents de 1er niveau (« contrôle de contrôle ») et complétée par d’autres contrôles ciblés.
    • assurer des travaux complémentaires permettant un pilotage plus complet des risques, tels que : la revue des incidents, la consolidation et l’analyse des risques ainsi que les reportings vers les décideurs ou les pouvoirs publics …
  • En 3ème niveau : la fonction clé « audit » assure le contrôle périodique de l’ensemble, c’est-à-dire :
    • l’existence, la conformité, le fonctionnement et la qualité de l’ensemble de dispositif de contrôle permanent selon les politiques de l’entreprise
    • ainsi que, le cas échéant, des règles de la maison-mère.

Pour rester dans l’image militaire, l’audit inspecte périodiquement les fondations et la solidité de la muraille ainsi que les moyens et la stratégie de défense mise en œuvre.

Dans cette logique, la fonction clé « audit » ne consiste donc pas à réaliser périodiquement des contrôles permanents.

Le 3ème niveau ne doit pas dupliquer ce que fait ou devrait faire le 2ème niveau, sous peine de gâcher les ressources et d’alourdir les activités. On peut identifier ce genre de dérive lorsqu’une mission d’audit est centrée sur des contrôles dits « sur la masse », c’est-à-dire portant sur le contrôle du 1er niveau. Elle devrait plutôt apprécier la façon dont le 2ème niveau organise et surveille le 1er niveau. C’est bien-sûr plus délicat et plus enrichissant que de simplement déployer des contrôles de type « check-list »

Quel modèle est plus efficace et permet d’être en conformité avec la réglementation ?

A cette question, l’analyse et la pratique de terrain dans une grande variété de structures bancaires conduisent à favoriser le modèle intégré.

En plein milieu de la pandémie du COVID, l’arrêté du 25/02/2021 vient confirmer ce choix en apportant les précisions suivantes quant au rôle des acteurs du contrôle interne :

Extraits de l’arrêté du 25/02/2021 :

«Les entreprises assujetties disposent, selon des modalités adaptées à leur taille, à la nature et à la complexité de leurs activités, de trois niveaux de contrôle distincts :

a) Le premier niveau de contrôle est assuré par des agents exerçant des activités opérationnelles. Ces agents identifient les risques induits par leur activité et respectent les procédures et les limites fixées.

b) Le deuxième niveau de contrôle est assuré par des agents au niveau des services centraux et locaux, exclusivement dédiés à la gestion des risques y compris le risque de non-conformité. Dans le cadre de cette mission, ces agents vérifient notamment que les risques ont été identifiés et gérés par le premier niveau de contrôle selon les règles et procédures prévues…

c) Le troisième niveau de contrôle est assuré par la fonction d’audit interne composée d’agents au niveau central et, le cas échéant, local distincts de ceux réalisant les contrôles de premier et deuxième (…) »

Au-delà des seuls aspects réglementaires, le tableau ci-dessous synthétise les principaux avantages et inconvénients intrinsèques des deux modèles :

Source : Chandara OK pour l’ESBanque

Le modèle de défense en ligne présente surtout l’avantage de la facilité et de la rapidité de mise en œuvre, au détriment d’une certaine rigidité qui se révèle pénalisante dans le contexte actuel où tout évolue vite, tant du point de vue réglementaire que du contexte socio-économique.

A contrario, le modèle de défense intégrée est plus complexe à mettre en place. Il nécessite, pour bien faire, de (re)penser son dispositif de contrôle interne et de réussir à entraîner non seulement une adhésion large, mais aussi une discipline collective.

Il implique aussi une conviction et une volonté fortes des dirigeants et que l’on décline dans des politiques écrites précises : particulièrement une charte de contrôle interne décrivant clairement les obligations réciproques entre le 1er et le 2ème niveau.

Tous ces préalables, qui peuvent être perçus a priori comme des contraintes, sont aussi des opportunités pour harmoniser et faire évoluer son contrôle interne, parfois figé depuis longtemps.

Du point de vue réglementaire, l’arrêté du 25/02/2021 focalise la vigilance du 2ème niveau sur la qualité du 1er niveau et celle du 3ème niveau sur le dispositif de contrôle permanent dans son ensemble. Il évoque aussi l’interdépendance entre les 3 acteurs en vue d’une (seule) défense de la banque, ce qui milite pour le modèle intégré.

Le modèle de défense intégrée (« modèle français ») se révèle être le meilleur compromis et donc le choix à privilégier. Il est non seulement celui suggéré indirectement par l’arrêté du 25/02/2021, mais aussi, une fois les efforts initiaux consentis, la solution qui se révèle la plus performante et la plus souple.

Un autre avantage, et non des moindres, est qu’il oblige à une plus forte implication des dirigeants et à davantage de communication entre les équipes. La mise en œuvre d’une contrainte réglementaire converge alors vers un bénéfice opérationnel.

Pour les établissements encore dans le modèle « défense en ligne », il s’agirait donc de muter vers le « modèle intégré », tout en profitant de ce chantier pour lancer une mise à plat généralement salutaire. Pour ceux qui y sont déjà, ce dispositif doit continuer à évoluer avec des progrès continus.

Pour les filiales françaises de groupes étrangers, anglo-saxons ou non, cette doctrine du contrôle interne bancaire peut être parfois vue comme singulière, et même parfois ne pas être comprise. Cette situation conduit alors à de longs débats avec la maison-mère. La pratique de terrain montre néanmoins que le « modèle intégré » est généralement compatible avec des habitudes anglo-saxonnes plus proches du « modèle en ligne », à condition de fournir, çà et là, au groupe quelques travaux complémentaires.

Auteur
Chandara Ok 

Conseil en gouvernance et maîtrise des risques, Intervenant-formateur pour le Cycle Expert Conformité de L’ESBanque

Sources : 

Incidents de Conformité : comment en optimiser la gestion ?

Incidents de Conformité : comment en optimiser la gestion ?

Temps de lecture estimé : 11 min

Rédaction WEB : JUST DEEP CONTENT

Comment détecter, collecter, remonter les incidents de Conformité mais aussi les intégrer dans une démarche d’amélioration continue ?

Parler de dispositif de gestion des incidents de conformité nécessite au préalable de rappeler ce que signifie le risque de non-conformité.

Au titre de l’article 10 de l’arrêté du 3 novembre 2014 sur le contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de Contrôle prudentiel et de Résolution (ACPR), le risque de non-conformité est défini comme :

« Le risque de sanction judiciaire, administrative ou disciplinaire, de perte financière significative ou d’atteinte à la réputation, qui naît du non-respect de dispositions propres aux activités bancaires et financières, qu’elles soient de nature législative ou réglementaire, nationales ou européenne directement applicables, ou qu’il s’agisse de normes professionnelles et déontologique, ou d’instructions des dirigeants effectifs prises notamment en application des orientations de l’organe de surveillance. »

De manière à pouvoir détecter, collecter et rapporter les éventuels incidents de conformité à la hiérarchie des métiers, à la Direction de la conformité de l’établissement, jusqu’au niveau de la Direction Générale et des organes de surveillance, il est essentiel que tout établissement bancaire ou financier dispose d’un dispositif de gestion robuste.

Tout établissement doit par conséquent pouvoir mettre à profit ses faiblesses et éventuels échecs du passé, pour renforcer et faire progresser son dispositif de contrôle interne relatif aux risques de non-conformité, afin d’éviter la survenance de nouveaux incidents.

Tout incident de conformité doit systématiquement faire l’objet d’un plan d’actions correctrices voire d’un plan de remédiation présentant un cadre plus large. Ces actions doivent par ailleurs toujours revêtir un caractère pérenne pour éviter que des incidents de même nature se reproduisent dans le futur.

Comment optimiser la gestion des incidents de Conformité ? Comment mettre en place un système de détection efficace mais aussi un processus d’amélioration continue ? Explications.

les incidents de conformité : composants essentiels du pilotage et de la maîtrise des risques de non-conformité

Les incidents de Conformité doivent tout d’abord être détectés, ce qui relève naturellement du rôle du contrôle permanent.

Ils doivent aussi être intégrés dans une analyse de risques plus large et susciter des modifications des mécanismes de pilotage de la Conformité.

Incidents de Conformité : contrôle, sanction et risques

Le dispositif de gestion des incidents de Conformité doit principalement s’appuyer sur :

  • des ressources humaines qualifiées,
  • un cadre normatif et procédural,
  • ainsi que des instances de gouvernance ad hoc pour y être présentés et commentés.

Le contrôle permanent, composé de ses deux lignes de défense, doit permettre de détecter en premier les incidents de conformité et engager les actions de remédiation nécessaires.

Le contrôle périodique (audit interne et/ou Inspection générale selon les établissements) apporte aussi sa contribution dans la détection des incidents non décelés par les niveaux 1 et 2 du contrôle interne. Les faiblesses du contrôle permanent sont alors mises en exergue et rapportées à la Direction Générale de l’établissement sous formes de préconisations et de recommandations.

Lorsqu’un incident est parfois détecté par un superviseur ou régulateur, cette situation témoigne en règle générale de la déficience du système de contrôle interne de l’établissement. Des corrections sont alors attendues et formalisées dans un rapport ou une lettre de suite.

Dans certains cas, les déficiences relevées par un superviseur ou régulateur peuvent faire l’objet de lourdes sanctions. Au-delà des pertes financières occasionnées, elles peuvent aussi, si elles sont rendues publiques, fortement altérer l’image de l’entreprise (risque de réputation) auprès de sa clientèle, de ses investisseurs et de ses pairs sur la place de marché.

Les établissements sanctionnés doivent également intégrer des coûts parfois très importants dans les actions de remédiation à mener, tels que la mise en place de nouveaux systèmes d’information, le lancement d’un programme ou projets de remédiation, avec le cas échéant le recours à des ressources externes (conseil, prestations de services).

Un bon pilotage des risques nécessite la mise en perspective systématique des incidents de conformité relevés, en se basant sur :

  • les cartographies de risques (intrinsèques et résiduels),
  • les résultats de contrôles de premier niveau,
  • les résultats des contrôles de second niveau,
  • les constats de missions du contrôle périodique,
  • les constats des superviseurs financiers et régulateurs lors de leurs missions d’inspection ou d’enquêtes.

Après analyse de leur origine et de leurs causes, la survenance d’incidents de conformité a généralement comme conséquences :

  • la modification de l’évaluation des cartographies de risques résiduels et des plans d’actions qui en découlent,
  • le renforcement des contrôles et/ou la création de nouveaux,
  • la mise en place d’un cadre normatif différent ou d’une mise à jour de l’existant,
  • l’actualisation des procédures opérationnelles des métiers.

Dans la quasi-totalité des cas, des actions de sensibilisation, de formation des collaborateurs des métiers et du management sont nécessaires.
Ces actions relèvent naturellement du Responsable de la conformité dédié aux métiers concernés.

gouvernance robuste et dispositif ad hoc de collecte et de reporting : 2 prérequis à une bonne gestion des incidents de conformité

Le cadre normatif impose la mise à jour régulière des politiques et procédures régissant la gestion des incidents de conformité, ceci en fonction de l’organisation et de la taille de chaque établissement.

La remontée des incidents de conformité doit s’inscrire dans un processus de reporting aux instances dirigeantes de l’établissement sur plusieurs niveaux hiérarchiques :

  • le management de la ligne métier concernée,
  • le management d’un pôle d’activités couvrant plusieurs métiers,
  • la Direction de la conformité de l’établissement
  • et la Direction Générale.

Selon la taille de l’établissement financier et la nature de ses activités, les incidents de conformité peuvent être rapportés dans un comité général des risques et de la conformité, ou bien dans un comité spécifique dédié uniquement à certains types d’incidents.

La présentation des incidents de conformité dans ces instances offre l’avantage de partager l’information, d’échanger sur les actions correctrices engagées et de sensibiliser les différents acteurs et les membres de l’exécutif.

La gouvernance doit intégrer :

  • une organisation ad hoc pour assurer une gestion centralisée des incidents
  • ainsi que des outils applicatifs pour faciliter le processus de collecte et de reporting dans les différents comités.

Les incidents de conformité les plus significatifs sont communiqués à l’organe de surveillance (Comité des Risques).

Les incidents considérés comme majeurs doivent quant à eux être signalés aux superviseurs tels que : l’Autorité des Marchés Financier (AMF), la Banque de France (BdF), la Commission Nationale Informatique et Libertés (CNIL) … et l’Autorité de Contrôle Prudentiel et de Résolution (ACPR).

Pour chaque incident de conformité, il est nécessaire d’analyser s’il y a eu ou non un risque de conduite avéré, sujet sur lequel les autorités de supervision financière prêtent une grande attention.

Un collaborateur indélicat peut par exemple s’affranchir de respecter les règles et les normes de manière délibérée, alors même que l’établissement dispose pourtant d’un important cadre normatif et d’un dispositif de contrôle robuste.

Dans le cadre du pilotage des risques, les origines, les causes et les modalités de détection des incidents doivent être détaillées. A cet égard, il est nécessaire de rappeler que nombre d’incidents opérationnels ou informatiques (panne et interruption de services, bugs…) peuvent générer un incident de conformité.

Par exemple, la déficience d’un système d’information ou une erreur d’exécution d’un back-office peuvent parfois empêcher un établissement de respecter ses obligations réglementaires, comme le reporting de transactions à une autorité de marché.

Les responsables de la conformité dédiés aux métiers doivent bien appréhender les sources permettant de détecter les incidents de conformité, dans des délais courts et acceptables. Ils peuvent s’appuyer pour cela sur :

  • les descriptifs des anomalies dans les contrôles de premier niveau,
  • les constats dans le cadre des activités de la deuxième ligne de défense et de celles spécifiques au contrôle de second niveau,
  • les rapports émis par le contrôle périodique de l’établissement,
  • les analyses et synthèses des métiers,
  • les alertes issues de outils de filtrage,
  • l’analyse des incidents opérationnels et informatiques,
  • les informations transmises dans le cadre du dispositif d’alerte des collaborateurs « Whistleblowing »,
  • les sanctions disciplinaires à l’encontre des salariés (manquements aux obligations réglementaires et/ou affectant le risque de réputation et/ou conduite inappropriée),
  • les comptes rendus de comités (Comité de direction (CODIR), Comité exécutif (COMEX), Comité des Risques, Comité de Conformité, …),
  • les constats réalisés dans les rapprochements comptables,
  • le registre des réclamations de la clientèle,
  • les dépôts de plainte et assignations, actions juridiques en cours, contentieux en cours,
  • les rapports d’audit externes,
  • les rapports et/ou lettres des superviseurs financiers et régulateurs,
  • les informations publiées et échangées dans les médias sociaux …

Enfin, la gestion des incidents de conformité, relevant naturellement de la responsabilité de la 2ème ligne de défense du contrôle interne, devrait régulièrement faire l’objet d’un contrôle de second niveau.

L’article 14 de l’arrêté du 3 novembre 2014 sur le contrôle interne précise à cet égard que les agents exerçant des contrôles de deuxième niveau sont indépendants des unités qu’ils contrôlent.

intégrer la gestion des incidents de Conformité dans une démarche d’amélioration continue : une condition fondamentale

Une démarche d’amélioration continue suppose la mise en place d’éléments de mesure :

  • les indicateurs de pilotage des risques ou « Key Risk Indicators » (KRI)
  • les indicateurs portant sur la performance, « Key Performance Indicators » (KPI)
  • mais aussi des reporting ad hoc, tel que par exemple un tableau de bord de gestion à fréquence périodique.

En fonction de la volumétrie enregistrée des incidents de conformité et de la taille de l’établissement, une automatisation du calcul des différents indicateurs de pilotage (KRI et KPI) permet d’éviter une charge de travail manuelle conséquente pour les équipes impliquées dans leur gestion.

Des sessions régulières de formation et de sensibilisation des collaborateurs contribuent à l’amélioration des processus.

Un support ad hoc, tel un « Training Kit », rappelant et résumant les principales règles normatives en matière de détection, de collecte et de remontée permet d’apporter rapidement des réponses aux opérationnels à des questions du type :

  • « Ai-je ici vraiment affaire à un incident de conformité ? »,
  • « Quelles sont les conséquences avérées ou potentielles de cet incident pour l’établissement ? »
  • « Comment dois-je évaluer son niveau de significativité ? »,
  • « A quel niveau managérial ou à quelle instance de gouvernance dois-je remonter cet incident ? ».

Enfin et au-delà de l’amélioration continue du processus de gestion, il est important pour de grandes organisations de partager les informations de manière automatisée.  Les base de données de type « datalake » permettent la mise à disposition systématique des caractéristiques des incidents et de tout ou partie de leur descriptif et plans d’action.

Ces systèmes d’informations sont fort utiles aux différents acteurs en charge d’élaborer des synthèses dans le cadre du pilotage des risques (analyse du risk assessment, de l’exploitation des résultats de contrôles …).

incidents de conformité externes : une analyse indispensable

Un solide dispositif de pilotage des risques de non-conformité doit aussi pouvoir s’appuyer sur l’analyse des incidents de conformité dits « externes ». Ces incidents n’ont pas impacté directement l’établissement mais sont survenus dans le secteur bancaire et financier.

L’intégration des incidents de conformité externes peut nous amener à nous poser quelques questions du type :

  • Si cela est arrivé à certains de nos confrères, pourrions-nous rencontrer les mêmes types d’incidents ?
  • Est-ce que notre dispositif de contrôle est suffisamment robuste pour éviter que cela se produise chez nous ?
  • Est-ce que notre processus d’évaluation et de pilotage des risques prend aussi en considération les incidents de conformité survenus dans l’industrie ?

Pour en savoir plus :
« Principles for the Sound Management of Operational risk », Comité de Bâle

Pour assurer cette veille des incidents de conformité externes, il est nécessaire de :

  • mettre en place un dispositif ad hoc de veille des sanctions publiques des superviseurs et régulateurs
  • relever également les sanctions et pénalités prononcées par des autorités de marché (superviseurs, bourses, organismes de compensation …)
  • utiliser des articles parus dans les médias
  • exploiter des bases de données d’incidents externes ayant impacté des banques, des compagnies d’assurances, des courtiers, des gestionnaires de fonds …
  • mettre en place un reporting périodique de ces incidents à destination de la direction des métiers et de la conformité.

La mise en place de cette veille contribue également à la sensibilisation sur les différentes thématiques de conformité (sécurité financière, protection des clients et des investisseurs, intégrité des marchés, protection des données, lutte contre la corruption … ).

Certains établissements ont subi de lourdes sanctions et pénalités financières pour des incidents de conformité majeurs, ce qui a fortement porté atteinte à leur image, dans leur pays et souvent au niveau international. Parmi les thématiques concernées, nous pouvons citer :

  • le non-respect des sanctions internationales et embargos (Iran, Cuba…) : 3 grands établissements bancaires français se sont vu infliger ces dernières années des sanctions financières records par les autorités américaines (8,9 milliards de dollars, 1,3 milliards de dollars, 900 millions de dollars).
  • Les insuffisances dans le dispositif de prévention et de contrôle en matière de lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB/FT).
    18 des 20 principales banques européennes ont déjà été condamnées sur ce sujet au cours de la dernière décennie. Une grande banque scandinave (Danske Bank) a ainsi été impliquée dans un scandale international, dans le cadre de ses activités bancaires en Estonie et d’importants flux de capitaux en provenance de Russie.
  • Les manquements aux obligations professionnelles : l’Autorité des Marchés Financiers (AMF) a infligé une amende record de 35 millions d’euros à une société française de gestion d’actifs. Il ne faut pas perdre de vue que ce superviseur peut, dans l’absolu, sanctionner financièrement un établissement jusqu’à 100 millions d’euros.

 

Source : Alain Gigante pour l’ESBanque

appétence au risque ou « risk appetite » et risques de non-conformité ?

Les principes établis par le Conseil de la stabilité financière (Financial Stability Board) et publié en novembre 2013 imposent aux établissements financiers la mise en place d’un dispositif de gouvernance (« Risk Appetite Framework ») et sa communication (« Principles for an Effective Risk Appetite framework ») .

Les établissements bancaires doivent formaliser leur appétence au risque :

  • pour l’ensemble de leurs risques y compris ceux liés à liés à la non-conformité,
  • pour leur dispositif de gouvernance (« Risk Appetite Framework ») faisant partie de leur contrôle interne
  • et pour le pilotage des différents risques avec notamment la fixation de seuils d’alerte (« Risk Appetite Statement »), actualisés chaque année et approuvés par l’organe de surveillance.

Pour ce qui concerne les risques de non-conformité, la règle est logiquement l’application d’une « tolérance zéro ». Chaque établissement se doit de respecter impérativement les lois et obligations réglementaires pour l’exercice de ses activités régulées.

Des « arbitrages réglementaires » ne sont en aucune façon envisageables, entre, par exemple, le coût d’une sanction potentielle d’un superviseur ou régulateur et le bénéfice attendu d’une opération commerciale.

Les incidents de conformité doivent naturellement faire partie de l’un des indicateurs de suivi en matière d’appétence aux risques.

Au-delà des incidents remontés à la hiérarchie de l’établissement et à l’organe de surveillance (Comité des risques), les opérationnels des métiers et la conformité ne doivent pas négliger certains incidents qualifiés de mineurs, qui pourraient en soi être qualifiés de « signaux faibles » ou de dysfonctionnements dans le dispositif de contrôle interne.

 

 

 

En synthèse, pour apprécier et améliorer le dispositif de gestion des incidents de Conformité, posez-vous ces quelques questions simples :

  • Au sein de votre établissement, considérez-vous réellement que tout est « sous contrôle » concernant la gestion des incidents de Conformité ?
  • Sont-ils du reste tous remontés comme il se doit ?
  • Quels axes de progrès avez-vous identifié en la matière ?

 

Sources

  • Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de Contrôle Prudentiel et de Résolution (ACPR) : en particulier les articles 10 : 10 – p) ; 10 – al) ; 10 – an) ; Article 11 : 11 – a) ; Article 12 : 12 – b) ; Article 14 ; Article 26 : 26 – a) ; Article 28 ; Article 31 ; Article 36 ; Article 38 ; Article 39 ; Article 98 ; Article 241 ; Article 249 ; Article 249 – 1

Basel Committe on Banking Supervision :

Cartographie des risques de non-conformité : préalables à respecter et opportunités

Cartographie des risques de non-conformité : préalables à respecter et opportunités

Temps de lecture estimé : 10 min

Rédaction WEB : JUST DEEP CONTENT

Réaliser une cartographie unique recouvrant l’ensemble des risques opérationnels est une stratégie tentante par son approche globale mais qui trouve vite ses limites.

Il est le plus souvent nécessaire de constituer une cartographie spécifique par type de risque. Mais avant de décider de multiplier les cartographies, il faut s’assurer de pouvoir maintenir une cohérence d’ensemble, afin de pouvoir consolider tous les risques et disposer d’une vision transversale des enjeux.

Cette démarche, bien que contraignante, permet de mettre à plat certaines règles méthodologiques, afin de les clarifier et in-fine améliorer la gestion des risques.

a chaque grande famille de risque sa propre cartographie ?

Si la cartographie des risques a un caractère obligatoire (Article 100 de l’Arrêté du 3/11/2014), elle constitue également un élément central du dispositif de contrôle interne dans la banque et l’assurance.

En matérialisation le profil de risque, la cartographie sert à calibrer de nombreux outils en aval tels que les processus et procédures, les sécurités informatiques, le plan annuel de contrôle permanent N2, pour n’en citer que les principaux.

Au fil des ans s’est développée une cartographie supplémentaire dédiée aux seuls risques de non-conformité : LCB-FT, protection de la clientèle, RGPD, Loi Sapin 2 … Elle a d’abord été élaborée sous l’intitulé « risques opérationnels » (ou parfois uniquement « risques ») à caractère universel.

Cette 2ème cartographie des risques est-elle indispensable ? Même si l’importance de cette famille de risques est indiscutable, justifie-t-elle pour autant la création d’un support supplémentaire, source potentielle de divergence des méthodes et de difficultés ultérieures ?

De nombreux arguments plaident pour une cartographie des risques spécifique pour la non-conformité, y compris pour les établissements de taille moyenne :

  • Une meilleure lisibilité face à des volumes importants : à partir d’un certain stade, il devient difficile de réunir dans un seul support un grand nombre de risques ou d’évènements de risque, pour un établissement ou un groupe.
  • Une plus grande clarté d’analyse : les natures de risque sont en effet très variées et pas toujours comparables. Les risques opérationnels, au sens du Comité de Bâle, regroupe ainsi pêle-mêle les risques d’erreur, les risques juridiques, de fraude, climatiques, de déficit de surveillance, de non-conformité …
  • Une évaluation spécifique du risque : le calcul selon le principe de la fréquence et de l’impact n’a pas de sens pour la non-conformité comme nous le verrons plus loin.
  • Un meilleur partage de responsabilité pour les fonctions clés : un support unique suppose en effet que plusieurs fonctions clés se partagent la responsabilité du pilotage des risques, au gré des pages de la cartographie.

    Une organisation claire voudrait que chaque fonction clé dispose d’une cartographie pour son propre périmètre de risque. D’ailleurs, en dehors de la fonction « Gestion des risques et de la Conformité », d’autres responsables peuvent en exprimer le besoin : RCSI (Responsable de la Conformité des Services d’Investissement), DPO (Délégué à la Protection des Données), RSSI (Responsable de la Conformité des Systèmes Informatiques) …

  • Une méthodologie de construction adaptée aux risques de non-conformité : une cartographie pour les risques opérationnels « purs » suit généralement un déroulement linéaire selon le processus métier.On essaie alors d’identifier les risques par étape de gestion (risques d’erreur, de fraude …).

    L’élaboration d’une cartographie des risques de non-conformité est plus complexe car on cherche à contrôler si l’activité dans son ensemble est conforme ou non à une règle. De ce fait, on peut être amené à analyser plusieurs processus métier différents pour estimer si la contrainte est respectée (respect de la Loi Eckert par exemple).

Pour ces raisons, il est préférable de séparer les cartographies lorsque les logiques de profilage des risques sont différentes. On observe même, ici et là, l’élaboration d’une ou deux autres cartographies supplémentaires portant généralement sur le système d’information (S.I.) et sa sécurité. Ces risques croissants méritent en effet toute notre attention et devraient être les prochains chantiers en termes de cartographie.

La coexistence de plusieurs cartographies des risques dans un même établissement contribue à une meilleure vision des risques, si elle a été pensée ainsi dès le départ.

la mesure de la non-conformité : faut-il remplacer le sacro-saint étalon monétaire ?

La réponse est oui.

Pour quantifier le risque, on utilise en principe une seule référence : l’étalon monétaire (le risque mesuré en K€). Le principe est compréhensible dans la mesure où il est important d’arriver à la fois :

  • à mesurer le niveau d’impact subi par l’entreprise lors de la survenance d’un risque : par exemple, une fraude informatique ayant un impact direct de 25 K€ (montant du détournement) et indirect de 50 K€ (comprenant la correction pour corriger la faille de paramétrage informatique)
  • à assurer une comparabilité entre différents évènements ou natures de risque.

Cette méthode est assez bien adaptée pour les risques potentiels liés à la survenance d’un évènement concret : incident technique ou opérationnel, fraude, évènements externes …

En matière de non-conformité néanmoins, l’impact monétaire n’est généralement pas la mesure adaptée.

comment le risque de non-conformité se présente-t-il ?

Il s’agit d’une situation dans laquelle une offre de service ou de gestion de l’établissement ne produit pas un résultat conforme : par rapport aux lois et règlements, aux attentes du superviseur mais aussi aux règles déontologiques, aux bonnes pratiques de place et aux décisions structurantes de la gouvernance.

Ces situations non conformes sont un état de fait et peuvent être soulevées à tout moment par les pouvoirs publics, par un client ou tout autre tiers.

quel impact pour l’établissement en cas de non-conformité révélée ?

Une situation constatée de non-conformité peut conduire à :

  • Une sanction disciplinaire par le superviseur
  • Une sanction judiciaire par les tribunaux
  • Un risque d’image et de réputation, voire une combinaison des trois.

Il existe bien une conséquence pécuniaire directement évaluable en euros lorsqu’il faut payer une amende ou une condamnation mais l’impact global est bien plus large. Il est très difficilement mesurable et peut même déboucher, dans le pire des cas, sur une interdiction d’exercer.

Ainsi, l’option consistant à retenir le montant d’une amende de l’ACPR pour mesurer l’impact d’une non-conformité n’est pas pertinente, ce pour deux raisons :

  • même sans sanction, il y a toujours, après un contrôle sur place par l’Autorité, des obligations d’actions correctives signifiées dans une lettre de suite engendrant des coûts parfois très élevés.
  • le paiement d’une amende disciplinaire, c’est-à-dire en accompagnement d’une sanction prononcée par la Commission des Sanctions pour une non-conformité grave, ne constitue pas un solde de tout compte. Il faudra en effet engager également des actions correctives probablement assez conséquentes. On peut estimer raisonnablement que pour chaque euro d’amende, il faut prévoir plusieurs fois cette somme en chantiers divers.

etablir une grille de mesure décrivant l’impact probable sans évaluation monétaire

Une telle grille pourrait par exemple présenter la forme ci-dessous :

Source : Chandara OK pour l’ESBanque

A chaque niveau d’intensité du risque correspond un scénario d’impact clair et compréhensible pour les dirigeants comme pour les responsables métier. On peut lire clairement l’impact auquel on s’expose pour chaque qualification du risque et l’adapter à chaque établissement selon sa sensibilité aux risques.

un exercice de cartographie des risques de non-conformité ouvert à un 3ème acteur

La fonction clé Conformité en tant que pilote en second niveau des risques de non-conformité devient un troisième acteur, demandeur et premier utilisateur de cette cartographie.

Source : Chandara OK pour l’ESBanque

Le pôle Risques Opérationnels de la fonction Risques (Risques\RO), pilote habituel, laisse donc la conduite de la cartographie à la Conformité mais garde un rôle important de « gardien » de la méthodologie : à lui de bien formaliser au préalable le mode opératoire et de valider régulièrement les options, prises par la Conformité et les métiers, pourront être facilement retraitées en vue de la consolidation.

Cet exercice de cartographie réunit donc sur une période assez longue, trois fonctions, Conformité, Risques et Métiers, autour des thèmes communs de risque ou de contrôle.

C’est également l’opportunité de « casser » la vision habituelle en silo, de mieux comprendre les univers mutuels et de partager, à chaque fois que possible, une approche commune de la gestion des risques. Cette transversalité est aussi nécessaire pour les 2 fonctions clés, Conformité et Risques, qui ne communiquent pas toujours suffisamment entre elles.

consolider tous les risques et créer des points de convergence

L’élaboration de cartographie spécifique par type de risque ne saurait suffire et une consolidation est indispensable.

Il est alors nécessaire de définir un critère de regroupement.

cartographies individuelles et cartographie consolidée

Les cartographies individuelles sont destinées aux fonctions clés pour piloter les risques dont elles ont la charge en lien avec les métiers, qui de leur côté les gèrent au quotidien. Elles sont généralement assez granulaires et précises.

Il est également nécessaire de pouvoir consolider tous les risques de toutes les cartographies afin d’en tirer les messages clés à destination des décideurs (dirigeants effectifs, organe de surveillance et maison-mère …), ainsi que pour l’élaboration des rapports annuels réglementaires.

Source : Chandara OK pour l’ESBanque

un critère commun pour regrouper différentes grilles de cotation des risques

La cartographie des risques opérationnels utilise l’étalon monétaire pour mesurer l’intensité du risque.

La cartographie des risques de non-conformité s’appuie sur des scénarii d’impact à partir de niveaux de sanctions ou de perte de réputation.

Comment concilier ces 2 critères ?

Il existe pour cela une notion commune à caractère transversal : le principe de l’appétence aux risques telle que prévue par Bâle III (pilier 3) et attendue par le superviseur bancaire.

Il s’agit du niveau et du type de risques que l’établissement peut et souhaite assumer, dans ses expositions et ses activités, par rapport aux contraintes réglementaires et compte tenu de ses objectifs stratégiques. Si cette appétence aux risques n’a été fixée que pour les risques de nature financière (crédit, marché, liquidité, ALM (Asset Liabilities Management)), il faut l’étendre aux risques opérationnels et de non-conformité.

Cette appétence aux risques (ou niveau(x) d’acceptation des risques) est fixée par les instances dirigeantes et peut être matérialisée sous forme d’un tableau comme dans cet exemple :

Source : Chandara OK pour l’ESBanque

La gradation en couleur exprime l’échelle de l’appétence aux risques, quelle qu’en soit la nature. Il s’agit ensuite de l’appliquer aux grilles de cotation des risques par nature.

Le tableau ci-dessous donne une illustration appliquée aux risques de non-conformité.

Par exemple, un contrôle sur place de l’ACPR débouchant sur une lettre de suite avec mise en demeure ou une situation proche d’une sanction n’est pas acceptable (rouge : « au-delà du seuil de tolérance »).

Source : Chandara OK pour l’ESBanque

Le même exercice est effectué pour les risques opérationnels. Dans l’exemple ci-dessous, un scénario d’incident avec un impact à + 5 M€, même avec une fréquence faible, est apprécié comme « rouge » également, donc au-delà du niveau d’acceptation.

Source : Chandara OK pour l’ESBanque

Une fois ces grilles de cotation qualifiées par rapport à l’appétence aux risques, il faudra bien entendu les faire valider par les deux niveaux d’instance dirigeante, ce qui pourra donner lieu à un déplacement de l’échelle de couleur.

Une fois validés, les « codes couleurs » selon l’appétence servent ainsi de passerelle entre les risques provenant de la cartographie des risques opérationnels et ceux provenant de la cartographie des risques de non-conformité.

Il est alors possible de produire un document consolidé :

Source : Chandara OK pour l’ESBanque

Il est donc indispensable d’utiliser des critères spécifiquement adaptés à chaque catégorie de risque et réaliser ensuite le lien par les critères d’appétence aux risques.

harmonisation et optimisation du pilotage des risques : pistes pour aller plus loin

On constate souvent un manque d’intérêt des collaborateurs de la Conformité pour la démarche de cartographie des risques et ceci notamment lorsqu’elle ne porte que sur les risques opérationnels. Ils n’adhérent pas nécessairement à la méthodologie ou n’y ont pas participé.

La mise en place d’une cartographie des risques de non-conformité, selon une approche concertée, nécessite quant à elle un travail d’harmonisation entre les fonctions Risques et Conformité d’une part et avec les métiers d’autre part.

On peut alors profiter de cette occasion pour aller encore plus loin, afin d’obtenir une convergence plus importante des méthodes, y compris sur d’autres aspects du contrôle interne.

Plusieurs notions structurantes sont examinées lors des différents travaux entre les trois fonctions, principalement :

  • le choix de découpage de l’activité en processus opérationnels,
  • la méthode de valorisation des risques,
  • la cotation de l’environnement de contrôle (« DMR » (Dispositif de Mesure des Risques)).

Les processus opérationnels métier, encore rarement formalisés, sont fréquemment utilisés comme axe d’analyse dans le déroulement d’une cartographie. Sa matérialisation contribue à la connaissance collective des modes de gestion de l’établissement.

Le mouvement engagé lors de l’exercice de cartographie peut se poursuivre par un véritable chantier de formalisation des processus métier, première étape indispensable à tout projet d’évolution, notamment de transformation numérique.

La finalité d’un exercice de cartographie est d’estimer les risques. La mise à jour de la méthodologie de valorisation, afin d’intégrer les risques de non-conformité, favorise l’ancrage des fonctions clés et des métiers dans une règle d’appréciation commune et normalisée des risques. Elle amène aussi la fonction Conformité vers un pilotage plus structuré de ses risques.

Enfin, l’examen de l’environnement de contrôle DMR est l’occasion d’identifier globalement les composants qui contribuent à la sécurisation des opérations. L’estimation collective de son efficacité favorise l’appropriation du contrôle permanent de 1er niveau par les métiers et permettent de mieux préparer les contrôles ultérieurs de niveau 2. C’est aussi un tremplin pour engager un véritable chantier d’harmonisation de toutes les règles de cotation et notation utilisées par les fonctions clés de second niveau et même, pourquoi pas le contrôle périodique de 3ème niveau.

L’un des bénéfices visibles et attendus de ces harmonisations méthodologiques est un lien plus évident et assumé entre cartographie des risques et plan de contrôle permanent de 2nd niveau, mais il y en a beaucoup d’autres.

Les établissements ne doivent donc pas hésiter à quitter la règle de la cartographie des risques unique : celle-ci arrive vite à saturation. Chaque type de risque comporte ses spécificités et nécessite des outils adaptés.

L’élaboration d’une cartographie distincte pour les risques de non-conformité est l’occasion de décloisonner cette démarche, favorisant ainsi une meilleure appropriation de l’exercice par tous.

Elle permet aussi de poser les premières pierres d’un partage méthodologique plus poussé entre les fonctions clés de Conformité et Risques, et également avec d’autres. Cette convergence permet de clarifier et donc favoriser la compréhension des risques par tous les décideurs.

Enfin, la consolidation des risques de natures différentes nécessite de faire appel à la notion d’appétence aux risques, principe dont l’utilisation est souvent limitée aux risques de nature financière.

Auteur
Chandara Ok 

Conseil en gouvernance et maîtrise des risques, Intervenant-formateur pour le Cycle Expert Conformité de L’ESBanque