# 6

Square

Mai 2014

Les nouveaux défis du management des risques

Sommaire

1

La qualité de service à l’heure de la gestion des risques

Par Didier Alleaume, co-responsable du pôle Risk, Control & Regulatory (Tallis Consulting) P 4 Un entretien avec Florian Marsaud, responsable du contrôle permanent du groupe BPCE.

2

SIGR, maîtriser ses risques… et ses outils

Par Bertille Lehner, consultante, et Didier Alleaume, co-responsable du pôle Risk, Control & Regulatory (Tallis Consulting) P 7 Un entretien avec Hervé Vandenbergue, responsable des risques à la Mutuelle générale de l’Éducation nationale (MGEN)

3

Comment piloter efficacement ses PSEE dans le respect de la réglementation

Par Vincent Françoise, co-responsable du pôle Risk, Control & Regulatory (Tallis Consulting) P 10 Un entretien avec Sonia Prey, directrice de l’audit interne de GDF-SUEZ Trading

4

Vers un modèle intégré de gouvernance des risques

Par Joëlle Cernès, Docteur en Économie, professeur et responsable de formation P 14

3/16

1

LA QUALITÉ DE SERVICE À L’HEURE DE LA GESTION DES RISQUES

Comment concevoir son dispositif de gestion des risques au service de la performance des processus et de la satisfaction client.

La satisfaction des clients est la base d’une relation commerciale durable et profitable. De nombreuses enquêtes évaluent régulièrement cette satisfaction, voire la « confiance » des clients envers leur banque ou leur assureur. Selon une récente étude à l’échelle mondiale, seuls « 44% des clients des banques font totalement confiance à leur établissement » (1) . Il serait aisé de relier ce score à l’actualité financière mais le mal semble plus profond avec une volatilité accrue des clients au regard des tarifs pratiqués (32%) ou de la qualité de la relation avec son prestataire, notamment lors d’une expérience peut satisfaisante (33%). La relation est devenue précaire. Pour lutter contre cette attrition galopante, il semblerait opportun de remettre la qualité de service au centre des préoccupations en s’interrogeant sur les moyens de mieux piloter les processus.

A l’écoute des processus de l’entreprise

L’impact des turbulences financières successives conjuguées au renforcement graduel des contraintes réglementaires ont conduit les divers acteurs à investir significativement dans leurs dispositifs de gestion des risques. La connaissance et la mesure des risques se sont ainsi développées et sophistiquées tout comme les moyens et les outils de gestion dédiés à leur contrôle.

Ce dispositif - qui répond d’abord à des contraintes réglementaires - s’inscrit aussi dans une optique de gestion, de pérennité et de performance financière de l’entreprise. Bref, le client est oublié.

Cette approche, qui irrigue l’ensemble des activités et des processus des établissements financiers, peut se concevoir comme une somme de « sondes » permettant de :

Des signaux de qualité pour une décision éclairée

Les signaux, produits par ces sondes, vont au-delà du suivi des risques et peuvent témoigner de diverses dimensions du fonctionnement de l’entreprise : performance des processus, états des risques, respect de la conformité, incidents détectés, sécurité, etc. De leur pertinence dépend la perception de la réalité de l’entreprise et les décisions qui seront prises. Trois conditions sont nécessaires pour des signaux efficaces :

Fiabilité des données :

il est nécessaire de pouvoir être assuré de la fiabilité du signal émis par la sonde. Pour ce faire, la qualité des données est essentielle, que cela soit pour les données « amont » permettant de « calculer » le signal que pour la détermination du signal lui-même. La sensibilisation des acteurs, principalement les « propriétaires » des données utilisées, et la sécurisation du processus de production du signal sont des étapes indispensables pour produire des informations fiables.

Disponibilité des informations :

les données doivent être produites et distribuées en temps réel afin de pouvoir traiter une information « actuelle » pour une appréciation pertinente du niveau de risque ou de performance. Trop souvent, la collecte des données est partielle ou à fréquence trop faible pour apporter une réelle plus-value de pilotage. Analyser des données semestrielles revient à conduire son entreprise en regardant uniquement dans le rétroviseur !

Centralisation des signaux :

une vision globale de ces signaux permet une meilleure appréciation d’une situation. Ainsi, une augmentation des incidents sur un processus allant de pair avec une dégradation des résultats de contrôle révèle qu’il est urgent d’intervenir. La convergence des informations, souvent issues de sources différentes, renforce la compréhension de la problématique et favorise la prise de décisions ciblées.

Collecter Analyser

des informations sur un vaste ensemble de risques (crédit, marché, liquidité, solvabilité, non-conformité, opérationnels) ; les données afin de s’assurer du respect des limites internes, des seuils réglementaires dans une vue historisée et évolutive ;

Vérifier

l’efficacité des mesures de maitrise ou de prévention mises en œuvre.

Ces sondes sont traditionnellement « connectées » aux données issues de processus internes à l’entreprise : gestion, comptabilité, cotation des risques, contrôle interne, collecte des incidents, etc. Ces trois conditions sont autant de challenges. La qualité des données reste un domaine où les marges de progrès sont significatives, d’autant que la disponibilité de l’information, sous l’impact d’outils permettant l’automatisation de leur collecte et de leur distribution, tend à s’améliorer graduellement. La centralisation de ces données demeure trop souvent limitée en raison d’un fonctionnement des organisations en « silo », par méconnaissance de leur existence ou par manque de perception de leur utilité potentielle.

4/16

Quand la qualité rencontre les risques

La convergence de la qualité perçue par les clients et du dispositif de gestion des risques s’effectue lors de l’agrégation des données le concernant.

Une étude de terrain nous a permis de vérifier cette convergence. Cette rencontre, fortuite, avec une équipe qualité récemment constituée, et à la recherche d’indicateurs rapidement opérationnels, nous a permis d’explorer ces synergies.

D’abord,

la cartographie des risques

et

la base des incidents

demeurent la base de l’appréciation des dysfonctionnements, avérés ou potentiels, qui affectent les processus d’une entreprise. Leur analyse, sous l’angle de la qualité, permet d’identifier les défaillances de processus perceptibles par les clients, leurs fréquences d’occurrence et leurs impacts. La cotation de l’impact d’image dans la cartographie des risques favorise cette analyse ainsi que sa prise en compte par les collaborateurs concernés.

Ensuite,

le plan de contrôle permanent

représente généralement une base de données intégrant des centaines de points de contrôle de second niveau, couvrant l’ensemble des processus de l’entreprise, et riche de milliers d’occurrences de contrôles et de résultats afférents. Nombre de ces contrôles peuvent être considérés comme des indicateurs de la qualité. Le traditionnel contrôle des dossiers d’entrée en relation, qui est un point de vérification relié à la conformité LCB-FT, est un excellent indicateur de la qualité de la gestion de l’entrée en relation. Si tous les documents de connaissance client ont été collectés dans les temps et selon le calendrier fixé, le client n’aura pas à être sollicité plusieurs fois pour des demandes complémentaires qui lui donneraient une piètre impression de son intermédiaire financier. Après analyse, entre 30% et 50% des contrôles de second niveau seraient utilisables dans une approche de mesure de la qualité de production des processus. Inutile donc de chercher à créer des indicateurs qui existent déjà !

Cette synergie entre qualité et risques ne s’arrête pas au partage des données d’analyse. Il apparait essentiel de faire également converger les décisions de plans d’actions afin de tirer profit des synergies potentielles. Dans le cas présent, plus de 75% des plans d’actions élaborés répondent à plus d’une des trois thématiques (mise en conformité, réduction des risques, amélioration de la qualité et de la performance) de notre intervention.

Si les moyens sont souvent différents, ce rapprochement entre qualité et gestion des risques fait sens même si cette dernière gagnerait en efficacité en utilisant les données et les outils, très développés, des risques et du contrôle interne. Les bénéficiaires sont clairement identifiés : l’entreprise avec des processus plus fiables dans la délivrance de prestations de qualité à un coût maitrisé, et les clients avec une qualité de service perçue favorablement.

Une marge de progrès s ignificative

Cette convergence entre risque et qualité s’installe progressivement dans les entreprises. À travers des directions uniques, comme dans certaines mutuelles, ou le développement du pilotage par les processus. Il reste cependant une marge de progrès en continuant à décloisonner les utilisateurs des sondes, en favorisant les outils uniques ou les bases de données communes, et, surtout, en privilégiant une gouvernance conjointe à ces deux dimensions stratégiques du pilotage des entreprises. Didier Alleaume , co-responsable du pôle Risk, Control & Regulatory de Tallis Consulting (1) EY, Global consumer banking survey 2014 5/16

Entretien avec Florian Marsaud, responsable du contrôle permanent du groupe BPCE.

Comment a évolué votre dispositif de contrôle permanent au cours de ces dernières années ?

cibler ses besoins et de mieux l’accompagner. Les contrôles servent à diminuer mécaniquement le coût des pertes liées aux risques opérationnels.

Florian Marsaud :

La force d’un groupe coopératif comme BPCE est de partager, capitaliser puis diffuser les bonnes pratiques. Partant de là, l’idée était d’avoir un dispositif participatif en mode bottom-up permettant de conjuguer efficacité et complétude. Nous avons déployé une démarche de co-construction avec nos établissements afin de bâtir un dispositif unique avec les différentes filières de risques (crédits, financiers, opérationnels) du groupe (1). Ce contrôle permanent, effectif depuis plusieurs années, s’exerce à deux niveaux : le contrôle de premier niveau et le contrôle de deuxième niveau. Le contrôle de premier niveau, à la fois hiérarchique et fonctionnel (délégation de contrôle), part en général d’une phase d’autocontrôle par les opérationnels de la complétude, de la conformité, de la qualité, de la validité et du respect des procédures relatives aux différentes opérations commerciales et administratives de nos établissements.

Le contrôle de second niveau consiste à vérifier de manière régulière que les contrôles de premier niveau sont bien réalisés et reflètent une réalité à un instant donné. Conformément aux exigences de l’Autorité de contrôle prudentiel et de résolution (ACPR) et au règlement CRBF 97-02 relatif aux établissements de crédit, ce contrôle s’effectue de manière indépendante des structures de contrôle permanent de 1er niveau.

Cela suppose de partager une même approche, notamment en matière de gouvernance et de pilotage transverse avec un référentiel commun, une pratique identique et des outils uniformes. Ce processus s’appuie sur un peu plus de 350 indicateurs métiers. Il est restitué aux établissements sous forme de synthèse avec une cartographie et un indicateur synthétique leur permettant de se situer par rapport à leur réseau d’appartenance. Par ailleurs, les établissements du Groupe nous ont demandé d’avoir un dispositif de contrôle permanent plus intégré localement au regard de leurs besoins opérationnels. Pour ce faire, nous avons travaillé à partir de l’outil de pilotage du contrôle permanent du Groupe. Les référentiels de contrôle permanent de 2ème niveau construits avec les différents établissements s’arriment à cet outil qui permet de récupérer le résultat des contrôles, d’indexer les pistes d’audit et de gérer des reportings en lien avec des campagnes de contrôle. Cet outil constitue ainsi le réceptacle de tous les contrôles permanents au sein du Groupe : plan de continuité d’activité, système d’information, révision comptable, conformité, et risques.

Quels sont les principaux défis encore à relever ?

Que tout ce qui peut encore être automatisé le soit afin de gagner en efficacité opérationnelle (amélioration des contrôles, identification des risques, diminution des coûts). Nous cherchons à faire en sorte que les contrôles permanents se concentrent sur ce que l’informatique ne sait pas faire, notamment au niveau des risques majeurs. Certains risques peuvent être assumés, d’autres nécessitent de rester attentifs. Le contrôle permanent est un élément important de ce dispositif. Cela dit, de nombreux processus de vérification pourraient être davantage automatisés, notamment dans la relation avec l’administration fiscale (identité, domicile) pour certains produits d’épargne réglementée ainsi qu’en matière de lutte contre la fraude .

Qu’attendez-vous d’un éventuel recours à des cabinets de conseil extérieurs ?

Comment assurez-vous cette dynamique de contrôle permanent ?

Nous sommes avant tout pragmatiques et nous méfions des solutions toutes prêtes avant même l’examen des forces et faiblesses de l’existant. Ce qui compte, c’est la compétence métier qui est protéiforme à BPCE. C’est la force de notre Groupe. Nous privilégions toujours les solutions intégrées et opérationnelles au cœur des métiers parce qu’utiles et déployées. Quelle satisfaction de créer ensemble en associant toutes les compétences de la filière risques plutôt que de se contenter de déployer des solutions ! (1) Le groupe BPCE est constitué de 19 Banques populaires régionales, 17 Caisses d’Épargne régionales, du Crédit foncier, de la Banque Palatine, de Natixis et de BPCE IOM (International et Outre-mer).

Florian MARSAUD Responsable du contrôle permanent du groupe BPCE

Comment voyez-vous le lien entre efficacité du contrôle permanent et qualité perçue par les clients ?

Tout ce qui contribue à la qualité des données, dont le contrôle permanent, profite à nos clients. Si un client est bien identifié, cela permet de mieux 6/16

2

SIGR, MAÎTRISER SES RISQUES… ET SES OUTILS

Pour concevoir son « cockpit de pilotage », l’entreprise doit penser son système de gestion des risques de manière multidimensionnelle et cohérente dans le temps.

Il y a quelques années, le directeur général d’une grande banque confiait : « j’en ai assez d’apprendre ce qui se passe chez moi par la presse ou à travers les réclamations de mes clients. Que peut-on faire pour changer cela ? ». Ce fut le début d’un premier projet de choix et d’implémentation d’un SIGR, un acronyme familier des Risk Managers mais pas nécessairement des cadres dirigeants. Selon l’Association pour le management des risques et des assurances de l’entreprise (Amrae), un Système d’Information de Gestion des Risques (SIGR) « vise à capter et trier une information parfois abondante, puis à l’orienter et à la restituer au Risk Manager sous une forme adaptée ». Ce qui en fait « non seulement un outil d’analyse et de gestion, mais également de communication et de partage des analyses ».

Même récente et communément admise par la communauté des Risk Managers, force est de constater que cette définition demeure encore assez éloignée des réalités opérationnelles. L‘ existence d’un tel outil permettant de concilier les besoins des spécialistes des risques et les attentes du management est pourtant indispensable pour piloter efficacement les risques et partager les objectifs de maîtrise et de prévention.

Penser l’après Excel

Le début des années 2000 a vu se développer dans l’industrie et les services (loi de Sécurité Financière de 2003), puis dans le secteur bancaire (mise en œuvre de Bâle II en 2004), l’utilisation d’une cartographie des risques opérationnels pour identifier les défaillances, existantes ou probables les affectant.

Le SIGR fut initialement le réceptacle de ces cartographies, en concurrence avec Excel. Les besoins de collecte de données, telles que les campagnes d’évaluation, la collecte des incidents et le lien avec les processus, ont rapidement contribué à sortir le SIGR du bureau des Risk Managers pour irriguer l’organisation dans une démarche essentiellement d’aspiration de l’information. Excel atteignit ainsi ses limites, sans toutefois disparaitre.

Les choix d’outils ont alors été effectués à partir d’un principe simple, pour ne pas dire simpliste : « un besoin, un outil ». Ainsi, se développèrent des systèmes d’information risques rassemblant des applications différentes pour la gestion des processus, des risques opérationnels et du contrôle interne alors que les éditeurs proposent des plateformes techniques rassemblant ces fonctionnalités sous forme de modules dédiés. Cette situation a une double origine : le fonctionnement en silo des métiers de la filière risques et la volonté d’automatiser l’existant au lieu de se projeter dans une nouvelle dimension.

L’instauration, via la réglementation, de l’approche par les risques tend à élargir la cartographie des risques opérationnels à l’ensemble des risques de l’entreprise. Ce qui implique une convergence accrue entre identification de ces risques et dispositifs de contrôle afin d’obtenir une meilleure gouvernance à chaque niveau de décision. Le SIGR doit donc être un réceptacle de données mais aussi un distributeur d’informations, faisant le lien entre le producteur et le (ou les) utilisateur(s). Il permet également de renforcer les interactions entre les différents acteurs de la filière risque à travers la mise en commun des données produites ou collectées.

Concevoir son SIGR comme un « CDI »

Que celui-ci soit développé sur mesure en interne ou bien choisi parmi l’offre, particulièrement large, de logiciels du marché, un SIGR nous semble devoir réunir trois conditions essentielles : Être

convergent

sur les risques et de réunir les fonctions concernées (Direction des risques, Contrôle Permanent, Audit, Métiers) dans le respect de leur prérogatives respectives ; afin de rassembler l’ensemble des données disponibles Être

dynamique

tant dans la collecte et la distribution en temps réel des données (KRI, alertes, reporting) que dans la création de liens entre les différents « objets » (processus, risques, contrôles, incidents, plans d’actions, réclamations, documents justificatifs) ; Être

intelligent

pour permettre aux utilisateurs de centrer l’analyse sur les zones de risques avec des capacités de détection des « valeurs atypiques », la remontée d’alertes ciblées et la génération automatique de reporting décisionnel.

Autre aspect sur lequel il convient d’être vigilant, la capacité de traitement du SIGR - qui peut s’avérer un obstacle - au regard de la volumétrie de données à traiter et/ou du nombre de personnes devant se connecter à l’application. De même, il est important que l’information soit segmentée de telle sorte que différentes fonctions puisse coexister dans un même univers, sans négliger l’ergonomie et l’interface graphique de l’application.

Ce « CDI » semble être aujourd’hui la norme pour ne pas risquer un investissement à durée inévitablement limitée.

7/16

Le bon choix, une question de démarche

Les Risk Managers souhaitent obtenir au sein d’un seul et même outil une vision à 360° des risques. Ainsi, en reliant entre-elles l’ensemble des bases de données existantes (processus, risques, contrôles, incidents, réclamations, recommandations d’audit associées à des indicateurs de risque, reporting décisionnel), il est possible de constituer un véritable « cockpit de pilotage » des risques au sein d’un SIGR. Ce cockpit doit se configurer progressivement, telle la démarche « Entreprise Risk Management » afin de favoriser l’appropriation et la cohérence d’ensemble.

Quelques principes essentiels doivent étayer la démarche :

Être aligné avec la stratégie

et la culture de l’entreprise. Les fonctionnalités choisies doivent s’inscrire en cohérence avec les attentes du management et notamment permettre d’exprimer l’appétence (ou la tolérance) au risque et de la piloter au quotidien.

Voir loin sans oublier le présent.

Il convient d’avoir une vision claire de la cible afin que chaque « brique » du dispositif puisse s’intégrer harmonieusement dans l’ensemble final qui sera constitué progressivement pour une meilleure appropriation. Toutefois, chaque mise en production doit apporter un service immédiat, l’assemblage améliorant l’efficience d’ensemble.

Maîtriser la complexité

et ne pas céder au mirage de « l’outil qui apporte la solution à ce que l’on n’a pu résoudre ». Il vaut mieux une approche « rustique » mais évolutive qu’une approche sophistiquée qui ne sera jamais opérationnelle. Tous ceux qui ont eu à faire des « retours arrière » financièrement douloureux peuvent en témoigner. La question du recours à un SIGR n’est plus d’actualité. Son usage est reconnu comme indispensable afin de permettre le pilotage d’une entreprise et de l’ensemble de ses sites. Toutefois, nombre de projets demeurent, au mieux, des « semi-réussites » faute d’avoir bénéficié d’une vision et d’une démarche adaptée. Désormais, la maturité des acteurs et des outils doit contribuer à offrir des dispositifs à réelle valeur ajoutée pour les entreprises et à redonner de l’ambition à ces démarches.

Bertille Lehner, consultante, Didier Alleaume , co-responsable du pôle Risk, Control & Regulatory de Tallis Consulting 8/16

Entretien avec Hervé Vandenbergue, responsable des risques à la Mutuelle générale de l’Éducation nationale (MGEN

)

Le choix et la mise en œuvre d’un système d’information de gestion des risques (SIGR) sont un processus long et complexe qui suppose une bonne maîtrise de ses besoins tout en étant en réelle adéquation avec les exigences métier de l’entreprise.

Comment votre métier a-t-il évolué au cours de ces dernières années ? En quoi ces évolutions ont-elles modifié votre approche en matière de SIGR ?

Hervé Vandenbergue :

Le contrôle interne existe depuis longtemps. Ce qui est nouveau, c’est la perspective de l’entrée en vigueur de Solvabilité 2, l’équivalent de Bâle II dans le domaine de l’assurance, pour lequel nous devons mettre en place un dispositif similaire à celui concernant les établissements bancaires. Qu’il s’agisse de solvabilité, de maîtrise des risques, de conformité, de protection des assurés, le mouvement en faveur d’une gouvernance plus transparente s’accélère. Ce qui a nécessairement un impact sur l’élaboration et la commercialisation des offres, la protection de la clientèle et des données qui leur sont relatives, la maîtrise des risques opérationnels, la veille réglementaire, etc. Sans compter les multiples instances de contrôle ou de régulation (ACPR, AMF, CNIL, Défenseur des droits, Autorité de la concurrence, DGCCRF), les textes réglementaires, notamment les nouvelles directives européennes en préparation, dont nous devons nécessairement tenir compte. Tout cela nous amène à repenser les process de l’entreprise en intégrant de nouveaux outils dans notre référentiel de risques. Attention toutefois à ce que ces outils ne structurent pas la méthode en la contraignant : il faut d’abord être clair sur ce que l’on veut faire et veiller à ce que ce type d’outil ne se substitue pas à la démarche des collaborateurs concernés, à savoir les équipes dédiées et les métiers. Partant de là, on attend d’un tel système qu’il permette de définir, piloter et suivre des activités de contrôle fondées sur une démarche méthodologique, qu’il permette de maintenir une base de données avec des référentiels propres à l’entreprise, qu’il soit capable d’assurer la remontée d’incidents, de résultats de contrôle, d’actions correctives, etc. On en attend aussi qu’il soit à même de fournir un reporting approprié aux différentes parties prenantes et d’intégrer des entités juridiques ou organisationnelles distinctes. Ce qui suppose de commencer par des expérimentations et d’utiliser ces progiciels pour ce qu’ils sont.

Quels sont les écueils à éviter lors d’un projet d’implémentation d’un SIGR ?

Avant de penser système d’information, il faut d’abord raisonner en fonction des besoins de l’entreprise dans un esprit de proportionnalité. C’est-à dire en privilégiant un outil qui réponde à sa problématique, sa spécificité et ses préoccupations essentielles. L’outil ne doit pas penser à la place de l’entreprise, de ses besoins ou de ses collaborateurs. Autre facteur déterminant, la nécessité de se projeter dans l’évolution des besoins et faire en sorte que l’outil retenu ne soit pas structurant au point d’empêcher toute évolution significative. De trop nombreux SIGR veulent faire trop de choses. Si vous prenez le contrôle interne, vous avez de l’ordre de 600 situations de risque, ce qui est beaucoup. Si vous manipulez trop de données, vous ne remontez finalement plus grand-chose ! Même les grands établissements font aujourd’hui marche arrière. Ce qui est déterminant en définitive, c’est que l’outil soit avant tout agile.

Quels sont, selon vous, les facteurs de succès du déploiement d’un SIGR ?

D’abord d’avoir entièrement pensé et conçu sa problématique de contrôle des risques en amont et en dehors du SIGR. Ensuite de travailler avec un éditeur en qui on ait confiance et dont on comprenne bien la conception et la structuration de l’outil de telle sorte que cette proximité se traduise par une réelle adéquation aux besoins et à la problématique de l’entreprise. L’outil doit être au service des différentes directions métiers et contribuer à la transversalité au sein des entités concernées. Pour le reste, quelques règles de bon sens comme la vigilance vis-à-vis des diverses clauses contractuelles, les perspectives d’évolution de l’outil, son ergonomie, sa facilité d’implémentation, etc.

Quels sont les avantages du recours à un cabinet extérieur pour accompagner ce type de démarche ?

Quels seraient les fonctions indispensables d’un SIGR répondant à vos problématiques métier ?

Un outil qui intègre les différents référentiels métiers (risques, conformité, organigrammes), qui puisse évoluer aisément et soit ergonomique en terme de cartographies des risques (avec restitution sous forme de diagrammes de chaleur, par exemple). Autrement dit un système compatible avec nos divers outils de reporting, traçable, avec suffisamment de capacité de stockage, qui puisse aussi gérer des bases d’incidents avec possibilité de saisir et restituer les résultats des différents contrôles. C’est très important dans la mesure où cela permet d’avoir un regard extérieur, en amont comme en aval. Cela nous apporte une expertise et un recul que nous n’avons pas nécessairement, notamment vis-à-vis des éditeurs et des pratiques en vigueur au sein d’autres entreprises. Ces spécialistes ont une véritable expertise, une connaissance du marché et de ses différents outils. Bénéficier de conseils personnalisés, c’est toujours extrêmement précieux. Hervé VANDENBERGUE Responsable des risques à la Mutuelle générale de l’Éducation nationale (MGEN) 9/16

3

COMMENT PILOTER EFFICACEMENT SES PSEE DANS LE RESPECT DE LA RÉGLEMENTATION

L’externalisation d’activités essentielles passe par la mise en place de dispositifs permettant d’exercer un contrôle spécifique sur la qualité des services opérés par ses prestataires.

La multiplication des contraintes réglementaires, concurrentielles et économiques a entraîné une profonde transformation du modèle d’organisation dans l’univers de la banque et de l’assurance. De nombreux établissements financiers ont ainsi transféré tout ou partie de certaines de leurs activités à des prestataires extérieurs. Cette externalisation (outsourcing, smartcourcing, Business Process Outsourcing ou BPO) concerne à la fois les activités informatiques ou les centres d’appels mais aussi certaines activités “cœur de métiers”, de type back office, moyens de paiement, comptabilité, contrôle de gestion, reporting, etc.

Cette externalisation augmente potentiellement le niveau de risque intrinsèque à ces activités, fragilisant ainsi la maîtrise de dispositifs pourtant essentiels. Parmi les aléas inhérents à ce type de démarche, la confidentialité des données, une sécurité insuffisante du système d’information du prestataire, une perte de compétences en interne et/ou une dépendance accrue à l’égard du prestataire, une prestation inadéquate ou de qualité insuffisante, une défaillance des processus, un non-respect des obligations réglementaires, une externalisation en cascade, etc.

Maîtriser les risques et respecter les dispositifs de contrôle Des exigences réglementaires strictes

Cette augmentation des risques liés à l’externalisation croissante d’activités considérées comme essentielles est notamment régie par le règlement CRBF 97-02 qui a introduit des exigences renforcées en matière de « Prestations de services essentielles externalisées » (PSEE). Les fonctions déléguées et exécutées par le sous-traitant doivent demeurer sous le contrôle de l’entreprise délégante et respecter les principes définis par cette dernière. Afin d’assurer le respect de ces obligations (contrôle des risques, sécurité des informations), les établissements financiers doivent prévoir des clauses spécifiques dans leur « Service Level Agreement » :

Des clauses d’audit,

telles que prévues dans le cadre du CRBF 97-02

La reproduction des points de contrôles ,

et du dispositif de contrôle interne au niveau du sous-traitant lors du transfert de responsabilités

Un droit de suite du régulateur,

en Belgique). autrement dit la possibilité d’un audit par les autorités de contrôle bancaire (ACPR en France, BaFin en Allemagne, FSMA Les établissements financiers doivent également assurer un pilotage renforcé de la qualité des prestations externalisées au moyen d’indicateurs clefs (délais de traitement, taux de satisfaction des utilisateurs, taux d’incidents, taux de résolution dans les délais) – avec des actions correctrices le cas échéant – et une gouvernance adéquate. La diversité et la multiplication des activités externalisées associées à des situations de sous-traitance « en chaîne » auprès de multiples délégataires posent de plus en plus de problèmes aux établissements financiers en termes de maîtrise des risques et de respect de la chaîne de contrôle. La complexité de ces transferts ainsi que la délégation des procédures de contrôle, telles que définies dans les « Service Level Agreements », deviennent de plus en plus difficile à piloter pour les directions concernées (Risques, Contrôle interne, Audit interne).

Partant de là, une cartographie du périmètre des prestations essentielles externalisées « de bout en bout » est un prérequis fort au pilotage des risques associés à cette externalisation (cartographie des acteurs, des rôles et des responsabilités de chacun, des processus, des outils). 10/16

S’appuyer sur les normes de contrôle au niveau des sous-traitants

L’un des moyens permettant d’améliorer le contrôle des activités externalisés est de s’assurer du respect par ses prestataires des diverses normes de contrôles : rapport SAS 70, normes ISO (ISO 27002 relative à la sécurité et la confidentialité des données, ISO20000 relative à la certification des services informatiques), standards COSO ou COBIT, norme ISAE 3402 relative à l’externalisation des fonctions comptables, etc.

Ces normes sont aujourd’hui en place chez les principaux sous-traitants d’activités « essentielles », notamment les prestataires de services informatiques (SSII) assurant l’infogérance des systèmes d’information, ou les GIE de traitement des moyens de paiement (prestataires chèques par exemple).

L’enjeu déterminant pour les services d’Audit des établissements financiers est de savoir s’appuyer sur ces dispositifs et normes de contrôle – la disponibilité des « audités » au niveau du prestataire étant limitée et encadrée par le « SLA » - tout en s’assurant du respect des exigences règlementaires bancaires spécifiques et de l’efficacité « réelle » du dispositif de contrôle mis en place chez le prestataire.

Garantir la continuité d’exploitation en toutes circonstances

Au-delà du contrôle de la qualité des prestations externalisées en situation « normale », les établissements financiers doivent également s’assurer de l’existence et de la robustesse du dispositif de continuité mis en place par le prestataire. En cas de crise, quelle que soit l’origine de l’événement (rupture de l’interconnexion entre le Back Office de l’établissement bancaire et le sous-traitant, « shutdown » des applications informatiques du prestataire), la continuité de l’exploitation doit être garantie Il est de la responsabilité du prestataire de mettre en place un plan de secours informatique (disaster recovery plan) et un dispositif de gestion de crise permettant de proposer à l’établissement bancaire un niveau de prestation – et de sécurité – adéquat, y compris en cas d’ événement grave.

Ces dispositifs doivent être évalués au moins une fois par an, les résultats et comptes rendus de ces tests étant alors communiqués au délégant et intégrés dans son plan de continuité d’activité (PCA). Avec pour objectif d’assurer l’articulation entre les différents plans de continuité et de secours en cas de crise et permettre un « retour à la normale » dans des conditions optimales.

Vincent Francoise, co-responsable du pôle Risk, Control & Regulatory de Tallis Consulting 11/16

Entretien avec Sonia Prey, directrice de l’Audit interne de GDF SUEZ Trading

Quelles sont les contraintes spécifiques d’un établissement de crédit régulé dans le cadre d’une prestation de service essentielle externalisée (PSEE) ?

Sonia Prey :

En tant que prestataire de services d’investissement (PSI), GDF SUEZ Trading doit répondre aux exigences de conformité du règlement Comité de réglementation bancaire et financière (CRBF) n° 97-02, notamment son article 37-02 qui précise la nature des relations contractuelles avec le délégataire (responsabilité du délégant, contrôle des prestations externalisées, respect de l’agrément délivré par les autorités de supervision, réversibilité du contrat, contrôle du délégataire par les autorités de supervision). Ce sont des exigences fortes et précises qui nécessitent des procédures spécifiques, que ce soit en termes d’auditabilité, de transfert de responsabilités, de conformité, de qualité de service, etc.

Comment s’organise la relation avec le délégataire de prestations essentielles ?

La clé de voûte est le contrat. Ce dernier doit non seulement comporter les clauses juridiques permettant de répondre aux exigences de conformité réglementaire, aux attentes des différents métiers en termes de niveau de services souscrits, mais aussi en termes de gouvernance et d’indicateurs de pilotage de la relation. Ce type de contrat précise toujours qui fait quoi. Si vous prenez le cas des systèmes d’information (SI), nous avons toujours un responsable de la sécurité des systèmes d’information (RSSI) qui intervient en tant que correspondant privilégié afin de s’assurer de la robustesse du dispositif mis en place par le prestataire. Cela passe par une cartographie régulière des différents acteurs ou intervenants, une présence au comité de pilotage du prestataire, l’identification des zones de risques, l’accès à des indicateurs de suivi de performance et de qualité de service, etc. Certaines évolutions ou obligations de place, comme celles liées aux transferts interbancaires Swift par exemple, s’imposent au délégataire.

Quelles sont les responsabilités respectives du délégant et du délégataire en matière de PSEE ?

La responsabilité finale face aux exigences de conformité demeure clairement chez le délégant. D’où la nécessité d’un dispositif de contrôle interne efficace et robuste quant au respect des obligations du délégataire. Il s’agit d’une obligation réglementaire pour le délégataire que d’avertir systématiquement le déléguant de l’intervention de sous-traitants tiers sur le périmètre de prestation essentielle externalisée qui lui a été confié. L’identification exhaustive des sous-traitants et la cartographie des acteurs sont clés afin de valider la répartition des responsabilités, notamment sur certaines zones frontières qui font intervenir plusieurs parties tiers.

Quel dispositif mettez-vous en place pour assurer un pilotage efficace des PSEE ?

Nous nous nous appuyons sur un triptyque associant les aspects juridiques, la conformité et la compliance, et les responsables métiers. Cela passe par un certain nombre de procédures de contrôle et de supervision comme la présence de correspondants réguliers, notamment issus des directions métiers, auprès du délégataire. Ce dernier est également tenu de nous faire remonter régulièrement un certain nombre d’informations précises, y compris en cas de sous-traitance à des tiers. Nous devons alors en être systématiquement avisés, et connaître la manière dont le délégataire supervise ces éventuels sous-traitants.

Quelles activités jugeriez-vous « non externalisables » compte tenu de leur caractère stratégique ?

En tant que directrice de l’Audit interne, quels sont les principaux points de contrôle de vos missions sur ces questions ?

Tout ce qui concerne notre cœur de métier ! Autrement dit nos activités de trading et tout ce qui touche à la relation directe avec la clientèle et les marchés ou la gestion du risque dans le domaine de l’énergie. Les activités commerciales et de trading engagent directement GDF SUEZ Trading, et ses métiers, notamment le front office, sont en relation directe avec notre clientèle. Les activités potentiellement externalisables ne portent que sur certaines parties des activités des fonctions support. Le rôle de l’Audit interne consiste à apporter un niveau de confort suffisant au Comité d’Audit et au management en réalisant une évaluation indépendante des processus externalisés et du dispositif de contrôle interne permettant d’encadrer les risques. En termes de méthodologie d’audit, nous nous conformons aux règles du guide de l’audit de l’Institut français des auditeurs et contrôleurs internes (IFACI), notamment à ses exigences concernant le niveau de qualité, les procédures suivies, la confidentialité, l’accès à l’information et l’assurance de la chaîne de responsabilités (en cas de prestataires ou de sous-traitants en cascade). 12/16

Qu’attendez-vous d’un éventuel recours à des cabinets de conseil extérieurs ?

Qu’ils apportent justement un regard « extérieur » et nous éclairent par rapport aux bonnes pratiques de place afin d’être force de proposition dans les axes d’amélioration possibles. Il est toujours intéressant de pouvoir se comparer à d’autres établissements soumis au même cadre régulé, tout en faisant bénéficier nos équipes d’une sorte de transfert de connaissances. Sonia PREY Directrice de l’audit interne de GDF SUEZ Trading 13/16

4

VERS UN MODÈLE INTÉGRÉ DE GOUVERNANCE DES RISQUES

Les fluctuations rapides et profondes de l’environnement géopolitique et financier rendent incontournable la recherche d’une gestion intégrée la plus performante possible des différents risques bancaires. Étroitement lié au professionnalisme des équipes et à la qualité de conception et de mise en œuvre opérationnelle d’un système intégré de gestion des risques (SIGR), cet objectif est primordial. Ce qui suppose que cet outil soit correctement positionné au sein de l’organisme concerné. Revue de détail des principaux points à prendre en considération afin de réussir ce type de déploiement.

Afin d’obtenir une caractérisation des risques, il faut, bien évidemment, d’abord procéder à une réflexion approfondie sur la situation actuelle et, dans la mesure du possible, se projeter dans une vision stratégique associée à court et moyen terme. Une telle revue intégrée des risques est, de ce point de vue, un préalable incontournable. L’Autorité de contrôle prudentiel et de résolution (ACPR) et les grandes banques françaises travaillent ainsi à la revue des actifs « AQR » (asset quality review), première étape des tests de résistance européens.

Faire converger différents référentiels

La deuxième étape consiste à structurer l’ensemble des risques identifiés préalablement afin de créer un référentiel selon leur typologie, leur intensité, leur fréquence, leur origine et leur cause.

Afin de bien préparer l’intégration de ce référentiel, il convient de :

Comprendre

le système global de contrôle et les caractéristiques essentielles de ses composantes : contrôle périodique et contrôle permanent, filière conformité et filière risque.

Analyser

l’articulation du contrôle interne et du management des risques de l’institution financière.

Cerner

les principales dispositions organisationnelles en vigueur : organisation comptable et traitement de l’information, sélection et mesure des risques (crédit, marché, taux d’intérêt global, intermédiation, liquidité, règlement), systèmes de surveillance et de mesure des risques, externalisation, obligations d’information et de documentation.

Une fois l’inventaire et la cartographie des principaux risques spécifiques effectués, l’élaboration du système de contrôle proprement dit nécessite de multiples actions : préparation, collecte, analyse, restitution des données ; sélection des outils de contrôle et de suivi des risques les mieux adaptés ; recherche et sélection des modes de contrôle ; conception d’un système de reporting sur les risques et les rapports de contrôle ; mise en place d’outils et de procédures d’alerte aux événements critiques ; mise en place de procédures spécifiques en cas de crise mise en place d’outils de sécurité financière.

Établir une stratégie d’intégration et de conduite des contrôles

La troisième étape consiste à construire un référentiel de contrôle précis, suivi de la définition d’une stratégie d’intégration et de conduite des contrôles sous la forme d’un programme de travail ad hoc : recueil d’informations, vérifications de conformité, mesures d’écart, recommandations d’amélioration, contrôle des processus. L’élaboration de ces plans de travail devra naturellement tenir compte des typologies des contrôles incombant aux différentes filières (conformité, risque, comptable).

D’une vision thématique de la superposition de divers systèmes…

Les systèmes d’information bancaire qui étaient de simples services il y a encore dix ans supportent aujourd’hui des intérêts stratégiques majeurs et des processus critiques. Ils permettent de mettre en place les systèmes de contrôle gérant l’ensemble des risques de la banque, y compris ceux associés aux exigences de la réglementation bâloise. De plus, les organismes internationaux comme l’ISO ou le CMMI ont mis en œuvre des normes et des standards pour la gouvernance et l’ingénierie de ces systèmes, ainsi que pour la production informatique. Celles-ci sont relayées par des institutions et des processus de certification parmi lesquels les normes ISO 9000 (processus de développement) ou ISO 27000 (sécurité de la production), le COBIT (support de la gouvernance) ou encore le CMMI (évaluation de la maturité des processus d’ingénierie).

14/16

… à une vision panoramique de la gestion intégrée de ces systèmes

La qualité des systèmes d’information réside dans la vision stratégique des Comités de direction ainsi que dans leur exploitation. Cette qualité passe par celle des diverses dispositions, processus, méthodes et outils que la banque met en œuvre pour leur ingénierie et leur production. Le système d’information d’une banque devant couvrir l’ensemble de la gestion de ses risques, il faut donc mettre en place un véritable outil de gestion intégrée. Ce qui passe par l’exploitation de l’ensemble du « capital information » dont dispose une banque à travers ses différents systèmes, notamment les historiques et les bases d’information sur ses clients, ses agents, ses produits, les comptes, les transactions, les opérations, l’utilisation des media et des services, etc.

Cette intégration est rendue possible par les performances accrues des outils de gestion de bases de données, de capture et de transformation de l’information à partir de sources multiples.

Rechercher l’adhésion de tous les acteurs

On ne saurait enfin sous-estimer l’importance en ce domaine de la qualité de la communication et de la formation auprès de toutes les parties prenantes. C’est même un facteur déterminant de succès. Les fonctions de contrôle et de gestion des risques dans les institutions financières subissent ainsi une profonde mutation et convergent aujourd’hui vers un ensemble de compétences nécessaires à l’exercice de ces fonctions. Chacune d’entre-elle s’inscrit dans un schéma global cohérent : conformité, contrôle permanent, filière risques, sécurité des systèmes d’information, inspection, contrôle périodique, audit interne, etc.

Cette démarche d’intégration en vue d’un contrôle plus efficace et d’une meilleure maîtrise des risques passe inévitablement par un renforcement de la coopération entre des métiers de plus en plus dépendants les uns des autres. Une optimisation des relations qui va inévitablement dans le sens d’une meilleure gouvernance des établissements concernés.

Joëlle Cernès, docteur en Économie, professeur à l’ESG Management School, responsable de formation au Cnam et à Paris IX Dauphine.

Titulaire d’une habilitation à diriger des recherches (HDR) en Banque-Finance Conseiller auprès de plusieurs grands établissements financiers www.controle-interne-risque-banque.dauphine.fr

[email protected]

15/16

www.square-management.com

[email protected]