Maîtrise des risques bancaires : La Culture Risques un enjeu à relever et une valeur à développer
« Être un acteur majeur de la maîtrise des risques ». Voici en quoi se résument souvent les attentes vis-à-vis des collaborateurs des banques et qui figurent fréquemment dans leurs fiches de poste. Si l’objectif parait clair, le chemin pour y parvenir est bien plus complexe. Car maîtriser ses risques c’est bien un des défis que les banques ont à affronter et ce depuis leur origine.
On pense naturellement au risque de crédit ou de contrepartie. On définit d’ailleurs assez facilement les établissements bancaires comme des établissements spécialisés dans la prise de risques. C’est dans leur ADN puisque inhérent à leur activité.
La Culture Risques est-elle pour les banquiers une donnée immuable et innée ?
On pourrait donc partir du postulat que tous les collaborateurs des banques sont donc imprégnés de cette maîtrise du risque disposant ainsi de la culture adéquate !
Or deux constats doivent être faits qui mettent à mal ce postulat :
- Des risques multiformes et plus nombreux : les risques que l’on pourrait qualifier d’historiques sont toujours autant présents et impactent négativement l’image des établissements bancaires que ce soient les risques opérationnels avec par exemple les fraudes ou les risques de non-conformité tels que la LCB FT ou le devoir de conseil. Or les risques historiques sont maintenant concurrencés et parfois supplantés en termes de criticité par de nouveaux risques. Le risque Cyber est à cet égard le plus représentatif et vient mettre en lumière l’extrême mouvance des risques et la complexité à les prendre en charge et à concevoir des mécanismes protecteurs efficaces.
- Des mécanismes protecteurs insuffisants : ces mécanismes protecteurs sont pourtant nombreux. Imposés par les régulateurs ou créés par les banques elles-mêmes, ils sont divers et variés et recouvrent à la fois les normes, les process, les contrôles, le cadre d’appétit aux risques … et bien évidemment l’ensemble des ratios prudentiels … La panoplie sécuritaire est donc importante mais force est de constater que ces mécanismes demeurent insuffisants. Il suffit pour s’en rendre compte de s’attarder sur l’actualité des banques et lister les crises, pertes financières et autres amendes prononcées encore récemment.
Quel levier actionner dans la Banque pour sérier et contenir ces risques ?
On en arrive à la conclusion qu’il manque un levier à actionner pour garantir cette sécurité que les clients, la banque et ses collaborateurs sont en droit d’attendre. Ce levier trouve sa résonnance dans ce qui fait le quotidien de la banque en l’espèce sa culture et plus précisément ici sa culture risques.
Car il est en effet acquis qu’une bonne maîtrise des risques reposant sur une culture risques développée est bénéfique au développement de l’activité.
L’activité bancaire ne peut se faire sans la confiance entre les parties prenantes. La gestion des risques au quotidien n’est pas uniquement liée à une contrainte réglementaire ou à la peur de pertes financières. La gestion des risques est vectrice de bénéfices pour les banques. Le Groupe des 30 (Le Groupe des 30 (Group of Thirty) est un un think tank fondé en 1978 regroupant des financiers et universitaires autour de sujets économiques et financiers) affirme même que « aborder la culture et rétablir la confiance vont de pair et sont une condition préalable à des rendements économiques » et pouvant devenir « un avantage concurrentiel ».
Bien évidemment, on retient en premier lieu la protection pour la banque et qui lui assure sa pérennité. Juste pour illustrer cette protection, il est possible de revenir en mars 2020 et la mise en place du télétravail alors peu pratiqué dans les banques et qui a largement permis aux banques d’assumer leurs responsabilités. Au-delà de la fourniture de matériels informatiques permettant aux collaborateurs de travailler de chez eux, c’est la construction en un temps réduit d’un dispositif de maitrise des risques associant Directions Métiers, Directions Informatiques et Directions des Risques notamment qui a permis de sécuriser la réalisation des opérations et le déploiement du dispositif. Sans une culture risques affirmée, le projet aurait pu se borner à la fourniture de matériels faisant alors porter des risques importants à la banque et à ses collaborateurs. Car une bonne maitrise des risques permet aussi de protéger les collaborateurs.
En second lieu, c’est aussi la protection des clients qui est assurée. Dans une enquête réalisée par l’IFOP entre le 27 octobre au 4 novembre 2020 et commandée par le Fédération Bancaire Française, il ressort que 86% des personnes interrogées ont indiqué « avoir une bonne image » de leur conseiller. Par ailleurs, 69% des épargnants se sentent d’ailleurs à l’aise pour « Discuter avec un conseiller de votre banque » (AMF 2020). Au regard de ces seuls chiffres, il est ainsi facile d’imaginer que certains conseillers puissent abuser de cette position de confiance pour privilégier leurs propres intérêts au détriment de ceux de leurs clients. C’est notamment grâce aux contrôles des opérations réalisées par les conseillers, aux connaissances acquises par ceux-ci mais aussi à la déontologie interne et aux exigences des managers des entités commerciales que ces comportements sont rares et sanctionnés. Ces différents éléments mis en place et qui sont des constituants de la culture risques de la banque protègent les clients dans le cadre de leur relation.
Enfin, la maitrise des risques et la culture associée permettent de sécuriser le développement de la banque et cela au-delà de la confiance et du professionnalisme qu’elles génèrent. La culture risques est aussi gage d’adaptabilité qui permet notamment en période de crise de prendre des décisions rapides et éclairées. La culture risques a alors permis aux établissements bancaires d’imaginer des dispositifs nouveaux, d’analyser des situations de risques non encore rencontrées pour assurer que les activités puissent se poursuivre en minimisant les risques encourus.
Une définition empirique de la Culture Risques
Cette notion de culture risques est plutôt récente et a fait l’objet de tentatives pour en définir les contours.
On peut citer notamment par exemple la définition du Groupe des 30. Ce groupe de réflexion définit « la culture comme le mécanisme qui transmet les valeurs et les comportements qui façonnent la conduite et contribuent à créer la confiance dans les banques et une réputation positive pour les banques auprès des principales parties prenantes, tant internes qu'externes ».
Ou bien encore celle de l’Autorité Bancaire Européenne qui intègre la notion de responsabilisation des acteurs de la culture risques. La définition de l’ABE est donc la suivante :il s’agit des « normes, attitudes et comportements d’un établissement en rapport avec la connaissance du risque, la prise de risque et la gestion des risques, ainsi que les contrôles qui déterminent les décisions en matière de risque. La culture du risque influence les décisions de la direction et des employés dans les activités quotidiennes et a une incidence sur les risques dont ils assument la responsabilité. »
A la lecture de ces définitions nous pouvons retenir les grandes lignes suivantes :
- La culture risques ne se borne pas à l’acquisition de connaissances en matière de risques par les différentes composantes de la banque. La culture risques, si elle nécessite un développement des compétences en matière de gestion des risques, c’est avant tout un comportement, des attitudes qui sont attendus vis-à-vis de situations.
- La culture risques s’exprime essentiellement en période de crise. C’est dans ce référentiel commun que les solutions, les réponses, les décisions seront à trouver.
- La culture risques se traduit par des connaissances, des actions et des contrôles. Ce qui est évoqué ici c’est bien une organisation. La culture risques est avant tout une organisation qui permet de prendre des décisions appropriées. Il ne s’agit donc pas de la créer ex nihilo mais d’en créer les conditions. Cette organisation pour être en place nécessite même un temps long.
- La culture risques ne doit pas être l’apanage des seuls dirigeants. Si la culture risques est un mode d’organisation de la banque en matière de gestion des risques c’est parce que cette culture est portée par toutes les strates de l’entreprise. La culture risques est aussi bien portée par les dirigeants dans le cadre des décisions d’ordre stratégique que par les collaborateurs dans le cadre des opérations qu’ils sont amenés à réaliser tous les jours et ce qu’ils soient en contact avec la clientèle ou non.
- Enfin la culture risques est une organisation engageante en ce sens que dirigeants et collaborateurs doivent en avoir une pleine conscience car c’est bien leur responsabilité qui sera recherchée sur ce fondement. En clair, la culture risques n’est pas uniquement un vœu pieux, il s’agit ici d’une sorte de cadre interne que chacun doit avoir compris. Chacun doit avoir conscience que s’extraire de ce cadre engage pleinement sa responsabilité. La culture risques engage donc dirigeants et collaborateurs à réaliser des comportements appropriés au regard de la situation et de la décision qu’ils ont à prendre.
Peut-on mesurer le degré de la Culture Risques ?
En matière financière, l’indicateur, le résultat chiffré est une base stable et considérée comme objective. Mais peut-on imaginer mesurer la culture risques avec un indicateur chiffré, que ce soit une note ou un pourcentage ? et si cela est possible quel est le bon niveau de culture risques ? En clair, peut-on mesurer la culture risques et si oui quel en serait l’étalon ?
Cette question ne trouve pas réellement de réponse. Il est difficile de quantifier un comportement. Si bien évidemment des indicateurs peuvent être utilisés, c’est avant tout un faisceau de composantes à la fois comptables et d’organisation qui permettent d’évaluer une bonne culture risques. Ce qui reste sûr c’est qu’une culture risques satisfaisante ne peut se développer sans des bases solides.
Des prérequis au développement d’une bonne culture risques
En 2016, l’Autorité de contrôle prudentiel/ACPR communiquait aux établissements bancaires en proposant une vision de la construction de la culture risques fondée sur 4 piliers mais qui reprend les composantes développées par le COSO :
Source ACPR (Les enjeux de supervision et de régulation bancaire – 3 juin 2016)
- Le leadership recouvre le rôle à la fois moteur et déterminant qu’ont les dirigeants. Ils doivent considérer la culture risques comme un actif et non comme un outil. Ils jouent donc un rôle fondamental dans la construction de cette culture risques et la vision qu’ils portent est une des bases de cette construction. Leurs discours comme leurs actions doivent être alignés avec les valeurs de l’entreprise. Cette notion de « Tone from the top », à savoir les messages véhiculés par les dirigeants servent de base, d’ancrage à la construction de la culture risques au sein de leurs établissements.
- L’organisation et la Gouvernance pour alimenter un cercle vertueux de la gestion des risques. Si pour partie cette organisation est contrainte et réglementaire (arrêté du 3 novembre 2014 notamment), elle est aussi volontariste pour permettre à chaque collaborateur et ce quel que soit son positionnement au sein des 3 lignes de défense d’être un acteur engagé dans la maîtrise des risques. Avoir conscience de son positionnement et des rôles et responsabilités qui s’attachent à chacune de ces lignes est fondamental. Cette organisation doit permettre de mettre en lumière le fait que le risque n’est pas qu’une affaire de spécialistes mais bien l’affaire de tous.
Source : Etude « Evolution des Métiers de la Conformité et des Risques dans le secteur bancaire » réalisée par Topics pour l’Observatoire des Métiers de la Banque – Mars 2021
- Les incitations : Le volet « Incitations » est lui aussi tout aussi important que les deux premiers développés. En effet, si un leadership existe et qu’une organisation a été mise en place, il convient d’accompagner ces deux axes de dispositifs incitatifs qui doivent offrir à l’ensemble des collaborateurs un cadre qui permet de leur faire comprendre leur environnement de risques et les obligations qui s’y attachent. Il est donc évident que ces collaborateurs doivent donc connaître les risques présents dans les missions qui leur sont confiées mais aussi avoir une conscience aigüe des responsabilités qui sont les leurs. Si le risque est l’affaire de tous, chacun porte donc des responsabilités qu’il doit avoir conscience de porter et que ses actions et décisions l’engagent. Lorsque chacun peut comprendre son rôle et ses devoirs au sein de l’organisation, il est alors possible de comprendre les décisions qui sont prises en matière de gestion des risques et donc de pouvoir les challenger. Exprimer un avis différent de celui de son manager sur une situation de risque est en ce sens un comportement approprié et un marqueur d’une culture risques diffusée.
- Enfin le dispositif de risque qui se matérialise au travers notamment des outils et des procédures mis en place. Si les codes de conduite et autres normes déontologiques formalisent les règles et les valeurs que la banque souhaite que ses collaborateurs portent, les outils normatifs comme les procédures et les outils de reporting sont autant de moyens de développer la culture risques. Souvent perçu par le prisme de la contrainte, ce dispositif de risque s’enrichit aussi d’une volonté des banques d’aller au-delà des obligations réglementaires et développent des dispositifs qui leur sont propres et qui les engagent encore plus.
Des outils à utiliser au quotidien
La culture risques se construit donc au quotidien. C’est aussi au travers des actions concrètes. Parmi les différents outils du quotidien trois semblent particulièrement pertinents pour ancrer et développer cette culture risques.
Le contrôle de 1er niveau
Les reporting sont essentiels à une saine gestion des risques. S’ils sont pour beaucoup réglementaires et obligatoires, ils ont du mal à trouver leur place dans le quotidien des managers et des opérationnels. C’est notamment le cas des contrôles de 1 er niveau. Ces contrôles sont donc souvent perçus comme « un truc en plus », une charge supplémentaire dont le sens est parfois perdu de vue alors qu’ils doivent faire partie du quotidien des managers et être totalement intégrés à leur activité.
Ce n’est qu’à cette condition qu’il deviendra un véritable outil d’acculturation aux risques. C’est pourquoi ses résultats doivent être partagés au sein des équipes et le contrôle lui-même doit pouvoir être challengé par ceux qui le réalisent pour coller au maximum à la réalité du terrain.
Le rôle d’accompagnement du contrôle de 1 er niveau par la direction opérationnelle est donc indispensable si elle souhaite que ce contrôle ne soit plus subi mais vecteur de réelle amélioration de la gestion des risques. Un contrôle de 1 er niveau compris, intégré au quotidien des managers, construit avec eux et reflétant l’ensemble des risques portés par les opérationnels sera gage d’une efficacité renforcée.
La Cartographie des risques
La cartographie des risques est souvent perçue comme un exercice chronophage et porté par des experts du risque. Si elle est à la base un outil réglementaire, elle dispose de toutes les caractéristiques pour être un outil puissant d’acculturation aux risques. Ainsi, la cartographie doit être construite et menée en intégrant cette dimension. Si la cartographie des risques de la banque doit permettre de réaliser une photo de l’ensemble des risques qu’elle porte, il convient de faire de ce moment particulier un vrai rituel source d’enrichissement mutuel et de développement de l’ensemble des acteurs et pas uniquement de quelques spécialistes du sujet. Ainsi, au-delà du volet réglementaire, la cartographie doit être présentée, comprise et réalisée comme un fil conducteur de la gestion des risques pour permettre à chacun d’être contributeur et y trouver de l’intérêt.
Les mobilités
Le constat est souvent fait que les collaborateurs de la 2ème ligne de défense intègrent peu la 1ère ligne de défense lors de leurs évolutions de carrière. Ce manque de mobilité présente 2 inconvénients majeurs :
- Les compétences acquises au sein de la 2ème ligne ne bénéficient pas à la 1ère ligne de manière opérationnelle ;
- Les réflexes des collaborateurs peuvent devenir des habitudes et le risque est que des comportements moins exigeants vis-à-vis de la 1ère ligne se fassent jour. Le transfert de compétences par mobilité des collaborateurs s’inscrit dans un cercle vertueux. Cela crée à la fois du développement de compétences internes sans que de gros efforts de formations soient réalisés mais cela permet une meilleure compréhension des rôles et missions de chaque ligne de défense. Il est important que des réflexes acquis au sein de la seconde ligne puissent bénéficier à la 1ère ligne et vice versa. Ce qu’on appellera essaimage doit conduire à transmettre des comportements vertueux au sein des deux principales lignes.
Cela permet aussi qu’un même langage soit partagé au sein de toutes les entités de la banque.
Il est en effet primordial qu’en matière de gestion des risques les dirigeants, les experts des risques comme l’ensemble des collaborateurs parlent le même langage. Et l’ambition de faire de chacun un acteur majeur de la maitrise des risques sera atteinte, lorsque à l’image de Monsieur Jourdain, chacun fasse de la maitrise des risques sans le savoir.
Hervé LOCTEAU, Mastère Spécialisé Sénior Management Bancaire, Promotion 2021/2022, Ecole supérieure de la banque, ESSEC Business School |