lesdispositifsdecontrÔle interne dansle secteur bancaire

LES DISPOSITIFS DE CONTRÔLE INTERNE

DANS LE SECTEUR BANCAIRE

Mars 2020

SYNTHESE DE L’ETUDE DE PLACE

REALISEE PAR SIGMA PARTNERS

Copyright SIGMA Partners – Tous droits réservés


SOMMAIRE

q INTRODUCTION

q ACTUALITÉS EN TERME DE RISQUES

q SYNTHESE DE NOTRE ÉTUDE DE PLACE

q EVOLUTIONS DE LA GESTION DES RISQUES

q CONCLUSION

q SIGMA PARTNERS EN QUELQUES MOTS

- 2 -

q ANNEXES

3

4

7

11

19

23

25

Schémas types de gouvernance

Schémas types d’organisation

q NOUS CONTACTER 29


SIGMA PARTNERS EN QUELQUES MOTS

- 3 -

QUI SOMMES-NOUS?

Créé en 2013, SIGMA Partners est un cabinet de conseil et de formation

en organisation et en management indépendant intervenant sur les

métiers de la Banque, de la Gestion d’Actifs et de l’Assurance et

spécialisé dans la Gestion des Risques, la Conformité Règlementaire et

l’Audit.

PERFORMANCE OPERATIONNELLE

AUDITS & DIAGNOSTICS

FORMATION & ACCOMPAGNEMENT

GOUVERNANCE, RISQUES & CONFORMITÉ

ORGANISATION & CONDUITE DU CHANGEMENT

TRANSFORMATION

NOTRE OFFRE

CONSEIL

ASSISTANCE

COMPLIANCEADVISORY

GESTION DEPROGRAMMES

MANAGEMENTDE TRANSITION

FORMATION& CERTIFICATION

AUDITS EXPERTS

COACHING & ACCOMPAGNEMENT

NOS SERVICES


INTRODUCTION

- 4 -

Les grandes lignes de notre étude

Les banques contributrices


LES GRANDES LIGNES DE NOTRE ÉTUDE

NOTRE ETUDE EN BREF

- 5 -

MISE EN LUMIÈRE DE CONSTATS, POINTS D’ATTENTION, FACTEURS CLÉS DE SUCCÈS

ET BONNES PRATIQUES autour des thématiques clés de gestion des risques :- Gouvernance & Organisation- Normes, Référentiels & Méthodologies- Déploiement du dispositif- Outils- Reporting

ANALYSE DU CADRE DE RÉFÉRENCE DU SECTEUR

BANCAIRE ET DES RETOURS ET

RECOMMANDATIONS des autorités de tutelles(ACPR, BCE) sur les dispositifs de ContrôleInterne

NOUVELLE ÉDITION DE L’ÉTUDE

RÉALISÉE EN 2013 sur les Dispositifs deContrôle Interne dans le SecteurBancaire, sur la base d’interviews etd’analyses réalisées de decembre2018 à décembre 2019

APPROFONDISSEMENT SUR LE THÈME DE LA

TRANSFORMATION des Fonctions RisquesOpérationnels et Conformité dans le SecteurBancaire


LES BANQUES CONTRIBUTRICES

PANEL DES ETABLISSEMENTS ETUDIES

15 établissements français et étrangers de la place de Parisétudiés au travers d’entretiens et d’analyse documentaire autour des thématiques de Contrôle Interne

- 6 -


Récurrence des griefs relevés par l’ACPR

Pouvoirs de sanctions de la BCE

- 7 -

ACTUALITESEN TERMES DE RISQUES

Socle règlementaire du Contrôle Interne


L’AMELIORATION DES FONDS PROPRESdes établissements financiers et le renforcement deleur résilience en cas de pertes

LE RENFORCEMENT DE LA GOUVERNANCE DESÉTABLISSEMENTS FINANCIERSpar une distinction claire entre la Fonction deSurveillance et la Fonction Exécutive,mais également entre les Fonctions Opérationnelleset les Fonctions de Contrôle

LA PRÉVENTION DES CONFLITS D’INTÉRÊTS ET LAPROTECTION DE LA CLIENTÈLE (MiF II, loi Sapin II)

LA RATIONALISATION DES PRISES DE RISQUESpar l’encadrement des rémunérations

SOCLE RÈGLEMENTAIRE DU CONTRÔLE INTERNE

- 8 -

IL VISE PRINCIPALEMENTLE CONTRÔLE INTERNEBANCAIRE…

…est régi par un cadre

règlementaire de plus en plus

Européen qui a conduit au

renforcement des pouvoirs

de la BCE en termes de

contrôle et de sanctions des

établissements financiers

depuis 2014


RÉCURRENCE DES GRIEFS RELEVÉS PAR L’ACPR

- 9 -

GriefsTaux de

récurrence(de 2014 à 2019)

Lutte contre le blanchiment et lefinancement du terrorisme 47%

Devoir de conseil 7%

Obligation d’information 5%

Non-respect d’une mise en demeure 5%

Contrôle interne 5%

TOP 5 DES GRIEFS

ET AUSSI :- Conditions d’honorabilité

- Protection de la clientèle

- Protection des fonds collectés en contrepartie del’émission de monnaie électronique

- Règles de gouvernance…

NOS CONSTATS

§ 17 catégories de griefs ayant entrainé dessanctions depuis 2014

§ 47% des sanctions font suite à l’observation demanquements relatifs au dispositif de la LCB-FT

§ On constate que le détails des griefs exposés pourles entreprises sanctionnées au titre de la LCB-FTsuit un déroulé similaire construit sur les pointssuivants :

® Organisation du dispositif de LCB-FT(classification des risques, procéduresinternes, etc.)

® Respect des obligations de vigilance(connaissance du client, dispositif desurveillance des opérations et d’analysedes relations d’affaires, etc.)

® Mise en œuvre des obligationsdéclaratives et d’examen renforcé

® Mise en œuvre du dispositifd’identification des individus faisantl’objet d’une mesure de gel des avoirs


- 10 -

POUVOIRS DE SANCTIONS DE LA BANQUE CENTRALE EUROPÉENNE

§ Entrée en vigueur du Mécanisme de SurveillanceUnique (MSU) depuis le 4 novembre 2014

§ Objectifs :

àAssurer la sauvegarde et la solidité dusystème bancaire

àRenforcer l’intégration et la stabilitéfinancière

àGarantir la cohérence de la supervisionbancaire

§ Le « règlement-cadre MSU » prévoit un pouvoirde sanction (pécuniaire uniquement) dontdisposerait la BCE, applicable au périmètre desétablissements relevant de sa surveillance (119 en2018 dont 12 en France)

Exemple :

En juin 2018, une banque française exerçant une activité

Corporate Investment Banking a été condamnée par la BCE àhauteur de 300.000€ et sa maison mère pour 4.300.000€

Double des gains retirés de

l’infraction ou des pertes qu’elle a permis d’éviter

Montantcorrespondant

à 10 % du chiffre d’affaires annuel

total

Toute autre sanction pécuniaire

prévue par les dispositions

pertinentes du droit de l’Union

SANCTIONS MAXIMALES

- 10 -

NOS CONSTATS


SYNTHESEDE NOTRE ETUDE DE PLACE

Gouvernance & Organisation

Normes, Référentiels & Méthodologies

Déploiement du dispositifOutils

- 11 -

Reporting

Problématiques actuelles des Fonctions Risques


PROBLEMATIQUES ACTUELLES DES FONCTIONS RISQUES

- 12 -

L’EMERGENCE DE RISQUESDE PLUS EN PLUS « HYBRIDES »

§ ….qui rend de plus en plus inefficace unegestion des risques organisée en silos

§ …et pour lesquels la participation desMétiers mais aussi des autresFonctions, est indispensable (Finance,RH, IT, Legal, Tax…)

§ Exemple : Third Party, PSEE, GDPR,Cyber-sécurité, Bribery/Corruption,Conduct, KYC, transparence fiscale(FATCA,CRS,DAC6…),Outsourcing/Near-shoring,…

UN MANQUE CRUEL D’OUTIL UNIQUE PARTAGE PAR TOUS

§ Peu d’outils couvrant l’ensemble descomposantes des dispositifs :cartographie des risques/risk assessment,incidents, pertes, plans de contrôles, plansd’actions, procédures, reporting,…. maisaussi veille règlementaire…

§ L’intégration de la 1ère ligne de défensedans le SI Risques de la 2ème ligne estencore très partielle

§ La complexité de réussir à faire partagerles mêmes outils aux Fonctions RO etConformité

LES PROBLÉMATIQUES GLOBALEMENT COMMUNES DES FONCTIONS RISQUES

UNE RÉELLE DIFFICULTÉÀ FAIRE ÉVOLUER L’ORGANISATION

§ Des tentatives successives deréorganisations, regroupements et descissions des Fonctions Risques, qui n’ontdans bien des cas pas vraiment démontréleur efficacité

§ L’articulation entre la 1ère et la 2ème lignesde défense qui demeure souvent un vraicasse-tête

§ Une coordination encore floue avec lesautres Fonctions (IT, Finance, Tax, HR,Legal, Achats)

LA FRAGMENTATIONDE LA GESTION DES RISQUES

§ Depuis 15 ans sont apparues de nouvellesFonctions (RO et Conformité) maiségalement les Directions du ContrôlePermanent ou du « Contrôle Interne » oudes structures plus spécifiques (Bureauxdes régulateurs….), et avec elles unegouvernance des risques de plus en pluscomplexe

§ Globalement, les Fonctions ont tendu àêtre de plus en plus segmentées (Legal,Conformité, Risques Opérationnels etFinance) et, si la tendance s’inverse, letravail d’intégration reste important

LA NECESSITE DE S’ADAPTERA LEUR ENVIRONNEMENT

§ Un environnement qui évolue (nouveauxmétiers, nouvelles technologies etnouveaux acteurs) et qui soulève denouvelles problématiques et génère denouveaux risques (ex : e-business, e-trading)

§ La vague de la digitalisation qui passeaussi sur les Fonctions Risques rendnécessaire un changement en profondeurdes pratiques et des processus Risques

§ Des vagues successives d’attentes desrégulateurs suite à divers événements ousujets de préoccupation

LES MOYENS IMPORTANTS DES FONCTIONS SUJETS A DISCUSSION

§ Des investissements importants faits pourrenforcer la Fonction Conformité et ledispositif de contrôle sans nécessairementune bonne coordination et avec biensouvent un manque de vision ou devisibilité des principaux acteurs

§ Et qui posent la question du retour surinvestissement : les Fonctions sont-ellesplus efficaces qu’il y a 5 ans ?

§ Dans un contexte de contraintesbudgétaires fortes, la performance desdispositifs de gestion des risques va devenirune nécessité


GOUVERNANCE & ORGANISATION

NOS CONSTATS POINTS D’ATTENTION FACTEURS CLES DE SUCCES

§ Le déploiement de Comités spécialisés au niveaudu Conseil d’Administration et au niveau de laDirection Générale

§ Une difficile définition de la gouvernance desrisques dans bon nombre d’établissements (RACI)et l’héritage souvent lourd des frontières et silosentre les équipes des différentes FonctionsRisques

§ Des disparités dans l’organisation du ContrôlePermanent entre établissements et de réellesdifficultés à la stabiliser sur le long terme

§ Le lancement de programmes detransformation par les Fonctions de Contrôle dedeuxième niveau, le plus souvent pour répondre àdes attentes de la BCE

§ L’apparition de nouveaux départements dédiésà la gestion des risques spécifiques (i.e.Third party,

Conduct, GDPR… )

§ Une plus forte responsabilisation des FonctionsFinance, IT, Juridique, Fiscal, Achats et RH dansleur contribution à la Gestion des Risques

§ La difficulté à escalader et gérer les points deblocage du dispositif au bon niveau demanagement

§ L’impact, souvent subi, desrecommandations, lignes directrices etsanctions prononcées par les Régulateurssoulevant des questions d’ordre RH,d’intégration des Fonctions Risques et depilotage global du dispositif

§ Les limites des programmes detransformation visant à aligner/faire convergerles Fonctions Risques Opérationnels etConformité du fait du manque fréquent deréflexion globale et ex ante sur le TargetOperating Model et la coordination entre lesdifférentes Fonctions Risques (schémas degouvernance et d’organisation, partage desréférentiels et méthodologies, intégration desSystèmes d’Information)

§ Le manque de vision partagée (y compris avecla Fonction d’Audit Interne) qui permettrait derentrer dans une dynamique collective et uneboucle d’amélioration continue

§ La capacité à mettre en œuvre les nouvellesexigences règlementaires sans avoir àremettre en cause l’ensemble des schémasorganisationnels et de gouvernance

§ La désignation d’un pilote unique du dispositif,en charge de la coordination des différentsacteurs et des arbitrages

§ L’implication de la 1ère ligne de défense danstoutes les initiatives de refonte du dispositif deGestion des Risques

§ L’implication des Fonctions Finance, Legal,Tax, RH, Achats et IT dans la conception et lamise en œuvre du dispositif de gestion desrisques

§ Le renforcement des interactions entre lesFonctions Risques (via des comités decoordination), et entre les Filières Risques et lesentités opérationnelles

§ La prise en compte des fortes dépendancesentre les différentes composantes du dispositif(référentiels, méthodologies, outils, reporting,pilotage)

BONNES PRATIQUES

Garder un pied dans la réalité de terrain deséquipes (LOD2 et LOD1) pour garantir leréalisme et la faisabilité des évolutionsenvisagées

Développer les compétences des équipes aufonctionnement en mode projet et à la conduitedu changement

Donner un « tone at the top » clair,volontariste et partagé sur les objectifs, lesenjeux et la cible en matière de dispositif deContrôle Interne

Organiser la communication et lacollaboration entre les différents acteurs dudispositif

Prendre en compte le facteur multiculturel etles contextes locaux dans l’organisation dudispositif

Mettre en place une gouvernance solide etopérationnelle permettant la gestion des pointsde blocage, la prise de décision et l’escaladeéventuelle vers le Senior Management Mesurer la valeur ajoutée du dispositif (ex:

contrôles) et faire le buzz autour du dispositif

S’accorder officiellement sur les rôles, lesresponsabilités et les contributions attenduesdes 3 lignes de défense

- 13 -


NORMES, REFERENTIELS & METHODOLOGIES


§ Des situations très diverses selon lesétablissements mais une tendance à l’alignementdes référentiels avec pour objectif l’instaurationd’un « langage commun » et une meilleureexploitation des données

§ La standardisation du lien entre Activités,Processus, Risques et Contrôles, avec plus ou moinsde succès

§ La tendance à moins de granularité pour lesréférentiels et plus de profondeur pour laCartographie des Risques (quand elle existe)

§ La structuration et la visibilité du 1er niveau decontrôle encore incomplètes et une articulationinsuffisante des contrôles avec le 2ème niveau

§ Le renforcement du rôle de « challenger » et desupervision des Fonctions de Contrôle de 2èmeniveau

§ La tendance générale à l’alignement desméthodologies de Risk Assessment

§ Une réelle difficulté à définir le bon niveau degranularité des référentiels (processus, risques,organisation), certains établissements y ajoutantun référentiel d’activités et de contrôles

§ Une maturité nettement moindre du dispositifsur le volet Contrôles mais une tendance à lacréation de plan de contrôlesgénériques/bibliothèques de contrôles normatifset de plans de contrôles de supervision

§ La composante « Procédures » du dispositiftoujours peu utilisée et non outillée

§ Le risque d’altération de la qualité du dispositifde Contrôle interne par :

§ l’ultra-rationalisation des normes etméthodologies

§ la multiplication des contrôles et desinterlocuteurs côté Risques pour les Métiers

§ l’absence de gouvernance desréférentiels/données

§ l’absence de tour de contrôle et de fonctionde pilotage

§ Accepter que les approches et méthodologiessoient différentes selon les Fonctions Risqueset travailler ensemble (1ère et 2ème lignes dedéfense) à la définition de référentiels partagés

§ Arriver à articuler l’approche « processus » dela Fonction RO avec l’approche « obligationsrèglementaires » de la Fonction Conformitépour avoir un point d’entrée commun pour lacartographie des risques

§ Traiter la question de l’articulation entre lespoints d’entrée différents de la cartographiedes risques pour la Fonction RisquesOpérationnels et la Fonction Conformité(processus versus obligations règlementaires)

§ Mettre en place des équipes internes dédiées àla mise en place et la mise à jour desréférentiels, normes et méthodologies

§ Veiller au transfert des compétences en internependant et après les projets de transformation

§ Dans tous les cas, garder la main sur les choixde modèle de données et de l’expression debesoins en termes de pilotage de la Gestion desRisques

BONNES PRATIQUES

Adopter une (véritable) approche processuscomme point d’articulation du dispositif etpasserelle/point de connexion entre sesdifférentes composantes

Pour le volet Contrôles, chercher à améliorerl’existant plutôt que de repartir de zéro et en faireun chantier commun aux 2 lignes de défense

Créer des liens entre Processus, Risques,Contrôle, Plans d’Actions etRecommandations

Limiter le niveau de granularité des référentielspour ne pas (re)créer une usine à gaz

Sortir du prisme unique des catégories bâloisespour le référentiels de risques opérationnels etdonner plus de sens du point de vue des Métiers

Instaurer un gouvernance claire et la pérennitédes référentiels et des méthodologies afin d’enassurer la pertinence et la cohérence

Pour le volet Procédures, mettre en place undispositif de gestion des procédures et faire lelien avec les Processus, les Risques et lesContrôles

Mettre en place une véritable Cartographiedes Risques comme référentiel communpartagé par la 1ère et la 2ème ligne de défense etcomme clé de voute et outil d’adaptation et depilotage du dispositif, au-delà des RiskAssessment

- 14 -


DÉPLOIEMENT DU DISPOSITIF

- 15 -


§ Un degré de complexité du déploiement en liendirect avec (i) l’éventail des métiers de la banque,(ii) ses implantations géographiques, (iii) sagouvernance interne et (iv) son histoire (sanctionsdes régulateurs, mise en cause de la réputation,…)

§ Une maturité des dispositifs à deux vitesses :

§ pour certains établissements le dispositif est enplace et l’objectif n’est plus son déploiementmais la recherche de performance et/ou deréduction des coûts

§ dans d’autres établissements, certains chantiersrestent ouverts, dont celui des contrôles(distinction entre les 1er et 2ème niveaux decontrôle et définition de contrôles génériques)

§ Le renforcement du rôle de « Conseil » (Advisory) ,Formation, Animation et « Facilitation » desFonctions de Contrôle de 2ème ligne de défense, au-delà de leur rôle de contrôle et supervision de la 1ère

ligne

§ Une démarche de déploiement souvent top downdans laquelle le dispositif central est décliné surl’ensemble des entités/filiales/métiers

§ Dans une approche par les processus, des risquesà calquer les macro-processus surl’organisation de la banque et à se heurter aucloisonnement des fonctions et entités

§ Le rôle clé de la Fonction IT dans ledéploiement et la transformation desdispositifs, avec de réels risquesd’incompréhensions mutuelles etméconnaissance des besoins des FonctionsRisques

§ Le délai incompressible entre la conceptiond’un nouveau dispositif et son déploiementeffectif (lead time) lors de projets detransformation parfois très long et dont les coutsdoivent être maitrisés

§ Les évolutions des dispositifs trop souventdictées par les Régulateurs et sourced’incompréhension aux yeux des Métiers maiségalement des équipes Risques du fait d’unmanque d’explicitations

§ S’appuyer sur le bon sens et la simplicité,souvent plus efficaces que les nouvellestechnologies pour rendre plus lisibles et plusefficients les dispositifs

§ Eviter de limiter les programmes detransformation à des programmes dedigitalisation, en retravaillant les fondamentauxdes risques en amont de la conception/refontedes outils

§ Prendre en compte des particularités des filiales(i.e. spécificité des métiers) sans impacter ledispositif de gestion des risques global Groupedans le cadre des déclinaisons de dispositifsmaison mère vers filiale

§ Faire vivre et adapter au fil de l’eau le dispositifpar l’intégration rapide des nouvelles activitéspour identifier les nouveaux risques et les impactsréglementaires

§ Ne pas sous estimer le temps incompressible etla conduite du changement nécessaires dans lecadre des déploiement

BONNES PRATIQUES

Responsabiliser la LOD1 sur son dispositif(contrôles, incidents…) en le mettant à l’ordre dujour des instances de gestion (Réunionscommerciales, Comités…)

Intégrer des critères de maîtrise des Risques et deConformité dans les systèmes de rémunération deséquipes Métiers et des Dirigeants

Mettre en place des KRI et des KPI en amontdu déploiement comme indicateurs de mesurepour s’assurer que le dispositif fonctionne etpour l’adapter autant que de besoin

Animer le dispositif et fonctionner en filièrepour assurer la coordination des différentsacteurs avant, pendant et après le déploiement

Mettre en place une dynamiqued’amélioration continue post déploiement etde dynamique projet, afin d’assurerl’évolutivité du dispositif

Travailler en mode projet en s’appuyant sur uneéquipe de sachants et de personnes clés etadopter des démarches de transformation et deconduite du changement pour tout déploiement

Mettre en place des réunions informellesentre les LOD1 et LOD2 pour faciliter leséchanges

Mettre en place un (co)sponsorship fort et unmandat clair pour les programmes detransformation ou de rationalisation qui doivents’inscrire dans une logique d’améliorationcontinue

Réfléchir en amont du déploiement aupilotage global et aux tableaux de bordnécessaires


PERFORMANCE DU DISPOSITIF

- 16 -


§ Le critère de performance des dispositifs est enrevanche une préoccupation majeure desrégulateurs (en particulier la BCE) qui demandede plus en plus à ce que les établissementsprouvent que leur dispositif est non seulementopérationnel mais aussi performant alors que laplupart des établissements qui sont encore dansune phase de (re)déploiement

§ La performance s’apprécie pour le moment dansla capacité des Fonctions de Contrôle de 2èmeniveau à superviser et contrôler la 1ère ligne dedéfense (volet contrôles)

§ Les volets Contrôle et Reporting des dispositifssont en générale les moins matures, ce qui rendplus difficile le pilotage du dispositif fauted’indicateurs de risques mais également deperformance

§ Les récentes initiatives en matière deperformance des dispositifs rentrentprincipalement dans des démarches plus globalesde réduction de tous les couts au sein desétablissements

§ L’augmentation des effectifs dans les équipesRisques ces dernières années n’ont pour autantpas toujours permis d’améliorer l’efficacité desdispositifs

§ Les problématiques de gouvernance,d’organisation et de rôles et responsabilités nesont pas suffisamment prises en considérationdans les programmes de transformation, ce quiimpacte fortement les capacités de pilotageglobal et articulé des dispositifs

§ La Fonction d’Audit Interne/InspectionGénérale reste dans ses domaines régaliens quidevraient être remis en question au fur et àmesure de la structuration de la 2ème ligne dedéfense. La 3ème ligne ne porte en revanche pasde regard approfondi sur la performance desdispositifs dans leur globalité

§ La 2ème ligne de défense ne remet quant à ellepas suffisamment en question ses pratiques etson dispositif de contrôle au fur et à mesure dela structuration de la 1ere ligne qui reste encorepeu « visible »

§ L’adoption de véritables approchesd’optimisation de processus et non pas cellestrès destructrices de chasse aux couts

§ L’organisation de la « transversalité » et del’intégration du dispositif par des réunionsrégulières d’articulation et de pilotage globalentre les 3 ligne de défense, en dehors descomités régaliens

§ L’intégration du sujet de la transversalité de laGestion des Risques dans l’ensemble desprogrammes de transformation des FonctionsRisques

§ La définition du pilotage global du dispositif etdes indicateurs clés de mesure de saperformance en amont des programmes detransformation

§ La réflexion sur la démarche de performance dudispositif autour des Contrôles et desReportings sur lesquels la marge d’améliorationde la performance est souvent la plus forte(« maillon faible »)

BONNES PRATIQUES

Instiller la culture de l’amélioration continuependant et après les programmes detransformation, à tous les niveaux del’organisation et dans tous les métiers et toutesles fonctions

Aborder la problématique de la performancedes dispositifs avec des approchesd’optimisation des processus (Lean Six Sigma,Lean Management,…)

Travailler en mode projet pour organiser unedémarche d’amélioration continue avecl’ensemble des acteurs clés (Fonctions Risques,Métiers), sponsorisée et soutenue par le TopManagement

Ancrer la démarche d’amélioration de lavaleur ajoutée autour des Contrôles et desReporting

Réfléchir en amont du déploiement aupilotage global du dispositif et à la mise enplace d’indicateurs de performance surl’ensemble des composantes (procédures,plans d’actions,…)

Revoir la gouvernance et l’organisation entre lesacteurs clés du dispositif pour intégrer de latransversalité (charte du CI, Comitologie,procédures, outils, reporting et dashborads)


OUTILS

- 17 -


§ Globalement, un manque criant d’outilsinterconnectés pour gérer les risques, malgré deplus en plus d’initiatives pour partager/mutualiserles outils par le biais de Systèmes d’Information deGestion des Risques (GRC) ou par le développementde solutions internes

§ La volonté marquée de convergence des outils entermes de référentiels et de méthodologies enune solution intégrée favorisant l’alignement desFonctions de Contrôle Permanent et plus largementde Contrôle Interne

§ Une Fonction Conformité en général bien moinsoutillée (hors outils de filtrage) mais des projetsautour de la Veille Règlementaire, de la Gestion desAlertes et de l’Archivage

§ Pour la Fonction RO, des chantiers sur lacartographie des risques, le RCSA, les bibliothèquesde contrôles et les données (data analytics)

§ L’amélioration de la qualité des contrôles maisaussi la qualité des données de reportings avec lamise en place d’outils intégrés avec les systèmes degestion

§ La nécessaire double expertise métiers ettechnologique (Big Data, Data Lake, IA…) deséquipes Risques

§ Quand la technologie ne peut pas tout faire : desprérequis qui passent parfois à la trappe côtémétier (travaux de convergence, définition de lafonction de pilotage)

§ Les épineuses problématiques de la reprise desdonnées des anciens systèmes et de la qualité dedonnées, souvent mal gérée et dont le succèsrelève de solutions tant techniques (ex: deeplearning) que pratiques (conduite du changement)

§ La volumétrie très importante des données àgérer et à traiter avec le plus souvent à la clé desproblèmes de performance et de réponse desoutils, reposant la question du juste niveau degranularité des contrôles

§ L’absence fréquente d’intégration dans lesystème d’information du Contrôle Permanentde certains éléments du dispositif de gestion desrisques (cartographie des risques, gestion desprocédures, veille règlementaire, consommationdes Fonds Propres)

§ L’existence ou la mise en place de référentielspartagés en amont des outils comme élément cléfacilitateur

§ La préexistence d’un partage ou d’unearticulation des outils de Gestion des Risques

§ La forte intégration de départ entre lesdifférentes composantes de la Gestion desRisques

§ L’implication de l’ensemble des partiesprenantes dès les premières phases du projet deconception de/des outils de Gestion des Risques

§ L’attention portée à la dimension reporting etau modèle de données dés le démarrage duprojet d’outillage

§ La maturité de l’expression de besoins desFonctions Risques avant le démarrage des projetsd’outillage, la vision claire de la cible par le topmanagement et la mise en place d’un schémadirecteur au démarrage, même en méthode Agile

BONNES PRATIQUES

Partager les outils de Contrôle Permanent avecle Contrôle Périodique pour lui permettre dejouer son rôle de contrôleur de l’efficacité dudispositif

Ne pas travailler sur l’outil tant que lastructure des référentiels n’est pas calée etque les travaux de convergence des processuset méthodologies n’ont pas commencé,même et surtout pour les outils GRC

Former en amont les équipes des FonctionsRisques aux nouvelles technologies etapproches et les équipes IT aux spécificitésdes Fonctions Risques et à leurs processus

Quand on part de rien, étudier l’option dessolutions GRC/ERM comme solution cible oucomme bac à sable pour une solution interneà moyen/long terme

Faire des contrôles et des plans d’actions leséléments centraux des outils

Partager les outils de Contrôle Permanententre la 1ère et la 2ème lignes de défense

Définir le Target Operating Model duContrôle Permanent et le schéma directeurdu futur outil avant de démarrer tout choixd’outil ou de modèle de données


REPORTING

- 18 -


§ Beaucoup plus de données disponibles posant laquestion de leur usage pour la Gestion des Risqueset notamment pour le pilotage global du dispositif

§ Des reportings beaucoup plus nombreux etnormés que par le passé mais souvent encoreétablis via Excel ou Powerpoint

§ La vague du « Data Quality Management » arriveet avec elle la lourde tâche de la mise en qualité desdonnées en amont des reportings et de la fonctionde pilorage du dispositif

§ L’introduction d’une vraie gouvernance autourde la donnée dans bon nombre d’ établissements

§ Des études en cours pour recourir à des solutionstechnologiques pour faciliter, fiabiliser et réaliserles reportings et des analyses plus approfondies dedonnées internes et externes, mais sans forcémentde choix faits sur des solutions de 1ère génération etune forte recherche de benchmark

§ La remontée de flux d’informations encoreinadaptée (volume et destinataires)

§ Une réelle difficulté à collecter, traiter, mettreen qualité, analyser et interpréter les donnéesclés en matière de risques

§ Le difficile choix d’indicateurs pertinents

§ La nécessaire mais encore embryonnaireconstruction de la composante « Advanced DataAnalytics », indispensable à des analysesprospectives et à la prévention des risques

§ Une montée en compétences nécessaire desFonctions Risques sur les nouvelles solutions dereporting et nouveaux outils

§ L’insuffisante prise en compte des nouveauxrisques générés par les nouvelles technologiesutilisées par les Fonctions Risques

§ Les coupes sombres sur les budgets desprogrammes de transformation portantessentiellement sur le volet Reporting et DataAnalytics

§ La définition préalable de référentiels (risques,clients, produits, comptables…) partagés par lesFonctions Risques mais également par la 1ère

ligne de défense en amont du volet Reportingdes outils

§ La définition de reporting normés au sein desGroupes pour faciliter les consolidations desinformations remontées par les entités

§ Un travail de définition d’indicateurs pertinentset fiables pour les reportings (KPI, KPRI)

§ La recherche de solutions globales ou demodules de reporting permettant à la fois (i) lecalcul d’indicateurs (KRI, KPRI) et (ii) la remontéed’informations et reportings (règlementaires,internes)

§ Le partage horizontal des reportings entre lesFonctions de Gestion des Risques

§ L’intégration de nouvelles technologies (detype Big Data ou Data Lake) pour le reportingaprès une étude approfondie du ratiocoûts/bénéfices des solutions de 1ère génération

BONNES PRATIQUES

Concevoir et déployer les modules dereportings en même temps que lesoutils/modules Risques

Travailler en amont d’une solution dereporting sur la gouvernance des données etle processus de Data Quality Management(désignation d’un propriétaire, délai dedisponibilité processus de mise en qualité,,….)

Recruter dans les équipes Risques desprofils mixtes (techniques et métiers) pourconcevoir en toute autonomie les tableauxde bord avancés si besoin

Positionner le reporting comme un outil depilotage du dispositif de Gestion des Risquesau delà de la remontée des résultats decontrôle et des incidents, et mettre en place devéritables Tableaux de Bord de Gestion desRisques partagés avec les Métiers

Assurer la formation des utilisateurs auxsolutions de reporting pour leur donnerautonomie et capacité de traiter desdonnées en temps réel

Définir les besoins en matière de reporting etdécrire le modèle de données en amont duchoix de l’outil


EVOLUTIONSDE LA GESTION DES RISQUES

- 19 -

Stratégies de Transformation

Le Digital dans les programmes de transformation

Objectifs principaux des programmes des transformation


OBJECTIFS PRINCIPAUX DES PROGRAMMES DE TRANSFORMATION

- 20 -

REPONDRE AUX DEMANDESDES REGULATEURS

PARTAGER LES METHODESET LES APPROCHES

ASSURER L’INTEGRATIONDES OUTILS RISQUES

CAPTER, TRAITER ET RESTITUERLES DONNEES RISQUES

ALIGNERLES REFERENTIELS


STRATÉGIE DE TRANSFORMATION

- 21 -

3 STRATEGIES POUR LA TRANSFORMATION

CONSTRUIRE SUR L’EXISTANT

INCREMENTAL

Améliorer les méthodologies et intégrer les comités

Technologie intégrée

Données partagées

Collaboration cross-fonctionnelle

Activités risques intégrées

FROM SCRATCH

REPARTIR DE ZERO

Méthodes et pratiques communes

Technologie commune

Données intégréesmétiers et risques

Fonction/Equipe centralisée

Méthodologies & Processus partagés

LOW COST

RATIONALISER

Consolider les méthodes et simplifier la gouvernance

Technologie rationnalisée et consolidée

Sets de données priorisées

Allocation de ressources optimisée

Processus rationalisés

Facteurs clés

Points à considérer• Moins d’agilité• Complexité d’intégration• Coûts à terme non optimisés

• Changement en rupture aveclead time important

• Flexibilité/Sur mesure

• Effort de conduite duchangement important

• Investissement important• Coûts à terme optimisés

• Effets à court/moyen terme• Moins de capacité de réelle

transformation

• Coût à court terme réduitpour les 1ers jalons

• Plus de quick wins

• Peu d’impact sur le BAU• Activités risques intégrées

Stratégie Risques

Gouvernance & Culture

Organisation & Procédures

Référentiels & Méthodologies

Data, Analytics, SI & Technologies

Processus & Contrôles

DIS

PO

SIT

IF D

E G

ES

TIO

N D

ES

RIS

QU

ES

Personnel/RH


LE DIGITAL DANS LES PROGRAMMES DE TRANSFORMATION

LE DIGITAL, UNE OPPORTUNITE MAIS SURTOUT UN OUTIL INCONTOURNABLE

U N P A N E L T R E S L A R G ED E S O L U T I O N S

§ Machine Learning§ Intelligence Artificielle§ Automatisation Robotisée des processus (RPA)§ Digital Closing et Digital Performance Management

§ Big Data§ Data Lake§ Data Analytics et Data Vizualization§ Blockchain

§ Deep Learning

§ Data Science§ Cloud computing§ Et les solutions proposées par les FinTechs et RegTechs

U N E N J E U M A J E U RP O U R L E S F O N C T I O N S R I S Q U E S

§ Il est indispensable d’intégrer la dimension« technologie » dans les programmes detransformation du fait des enjeux croissants sur lesdonnées, leur qualité, leur sécurité et la capacité à lesvaloriser

§ Les Fonctions Risques doivent en effet gagner enagilité afin de continuer à remplir leur rôle departenaire des Métiers et d’accompagner latransformation digitale de toute l’entreprise

§ L’acquisition et la gestion des talents dans uncontexte de concurrence exacerbée autour de cesnouvelles compétences est un enjeu de taille

D E N O U V E A U X O U T I L S

§ Outils de monitoring et de gestion des données (DigitalKYC, External News, Traitement des alertes,…)

§ Aide à la décision fondée sur les données

§ Amélioration de la productivité et de l’efficacité

§ Automatisation des Contrôles

§ Analyses prospectives

§ Digitalisation de la formation

§ Optimisation de la gestion des procédures

§ Robot pour automatiser certains processus et activités

§ Intelligence artificielle

§ Outil de cybersécurité….

M A I S E G A L E M E N TD E N O U V E A U X R I S Q U E S

En matière de conformité en particulier :

§ Règles relatives à l’externalisation (arrêté relatif aucontrôle interne)

§ Catégorisation des prestataires (PSEE)

§ Responsabilités, contrôles, continuité d’activité

§ Sécurité Informatique / Cyber risk

§ Cadre relatif aux données personnelles (GDPR, cloudcomputing,…)

§ Cadre de référence avec les FinTechs et RegTechs,structures souvent jeunes et potentiellement fragiles

- 22 -


CONCLUSION

- 23 -


DIGITALISATION

La tendance à la digitalisationcomme opportunité pour unemeilleure Gestion des Risquespeut se transformer enmenace si les risquestechnologiques et de non-conformité sous jacents nesont pas pris en compte

Les solutions de 1ère

génération ne répondentencore pas pleinement etdirectement aux besoins desFonctions Risques

COMPETENCES

La pérennité des dispositifsrequière la gestion descompétences des FonctionsRisques à moyen et à long termesafin d’accompagner l’évolutionde l’organisation et les activitésdes établissements au mêmetitre que leurs risques

Avec les nouvelles technologies,les processus de Gestion desRisques et par conséquent lesmétiers des Fonctions Risquesvont sensiblement évoluer etnécessiter de nouvellescompétences pour pourvoirutiliser à plein les nouveaux outils

REPORTING

Les attentes accrues enmatière de reporting et detableaux de bord de Gestiondes Risques accentuent lanécessité d’en assurer la miseen qualité

La réponse à cette exigencesuppose une approcheglobale des processus detraitement des donnéesMétiers et Risques

Le choix du modèle dedonnées et des référentielsuniques, partagés) desoutils Risques est clé pourpermettre une utilisationoptimale de la data Risques

COUTS

La nécessaire réduction descoûts alloués à la Gestiondes Risques ne doit paspasser par une approche decost cuting mais plutôt parl’analyse et la préservationde la valeur ajoutée dudispositif

Les approches par lesprocessus sont dans cetteoptique particulièrementadaptés à l’analyse de lacréation de valeur et autraitement des pertes(argent, temps,compétences,…)

ORGANISATION

L'indispensable articulationdes LOD1 et LOD2, fortementpréconisée par lesRégulateurs, n’est passuffisamment intégrée dansles dispositifs de Gestion desRisques et dans lesprogrammes detransformation

Des réflexions doivent êtremenées en profondeur surl’organisation à adopter pourvéritablement améliorerl’articulation et la coordinationentre les différents acteurs dudispositif de Contrôle Interne(y.c la LOD3)

CONCLUSION

- 24 -


Schémas types de gouvernance

Schémas types d’organisation

ANNEXES

Actualités en termes de risques

- 25 -


SCHÉMAS TYPES DE GOUVERNANCE ET D’ORGANISATION DES DISPOSITIFS

Les schémas types identifiés

sont issus de l’analyse des schémas de gouvernance et d’organisation des établissements étudiés

au niveau Groupe, Hub, filiales/entités (ou directions opérationnelles)

dans le cadre de notre étude de place

1

3

2

4

Tendance globale observée à l’organisation fonctionnelle (ou par filières) caractérisée par undouble rattachement dans les entités au sein des Groupe de type :• Hiérarchique à la Direction Générale de l’entité/filiale• Fonctionnel aux Fonctions Centrales de la maison mère

Existence de Comités de coordination du Contrôle Permanent lorsque les Fonctions desecond niveau sont éclatées au sein de Directions distinctes

Dans certains Groupe, multi-activités ou internationaux, possibilité d’une structurationorganisationnelle à 3 niveaux :• Groupe : correspond à l’entité maison mère à laquelle les filiales reportent• Hub (découpage possible par métier ou géographique)• Entités (Filiales/Succursales)

La tendance à la création d’un pôle ou service dédié aux relations avec les Régulateurs n’est àce stade pas généralisée dans les Groupes, mais est récemment apparue au sein de certainsétablissements (notamment ceux présents aux Etats Unis)

1

2

3

4

- 26 -


SCHÉMAS TYPES DE GOUVERNANCE

DIRECTION GÉNÉRALE / COMITE EXECUTIF

CONSEIL D’ADMINISTRATION/DE SURVEILLANCE

Comité de coordination du Contrôle interne

COMITÉ D’AUDIT COMITÉ DES RISQUES

Autres Comités spécialisés tel que le comité des

rémunérations

3ème niveau de contrôle (Audit Interne – Contrôle périodique – Inspection

Générale)

2ème niveau de contrôle (i.e. Contrôle Permanent,

Conformité, Risques, Legal, Finance,… )

SCHÉMA GOUVERNANCE #1

Comités spécialisés de la gestion des risques (tel qu’un comité des risques,

comité de conformité, comité de contrôle permanent)


Générale)







Autres Comités spécialisés tel que le

comité des rémunérations




Autres Comités spécialisés tel que le comité des

rémunérations

Comité de coordination du Contrôle interne


Générale)

Comité spécialisés de la gestion des risques




- 27 -


SCHÉMAS TYPES D’ORGANISATION DU DISPOSITIF

DIRECTION GÉNÉRALE

DIRECTION DES RISQUES DIRECTION CONFORMITE

DIRECTION CONTRÔLE PERMANENT

DIRECTION CONFORMITE ET CONTRÔLE PERMANENT*

Niveau Groupe

Niveau Entités (Filiales/Succursales/

Métiers)

ENTITÉ 1

Contrôle Permanent

Entité 1

RisquesEntité 1

Points d’attention:1) Dans certaines organisations, la Fonction de Contrôle Permanent n’existe pas2) En fonction de la taille de l’entité ou de la filiale, certaines fonctions de 2nd niveau peuvent être incarnées par un seul et même service ou personne

Légende:Lien hiérarchiqueLien fonctionnel

DIRECTION DES RISQUES


CONTRÔLE PERMANENT CONFORMITÉ

DIRECTION RISQUES, CONFORMITE ET CONTRÔLE PERMANENT


Et autres fonctions de 2nd niveau telles que la Fonction Legal

CONFORMITÉCONTRÔLE

PERMANENTRISQUES

Existence possible d’une structure de

consolidation intermédiaire

regroupant plusieurs entités

SCHÉMA ORGANISATION #1 SCHÉMA ORGANISATION #2

SCHÉMA ORGANISATION #3

Conformité Entité 1

- 28 -

…


NOUS CONTACTER

V O S C O N T A C T S C H E Z S I G M A PA R T N E R S

Emilie SALOME – Responsable Commerciale

Sandrine STAUB – CEO

06 76 71 57 25

[email protected]

06 11 10 10 55

[email protected]

lesdispositifsdecontrÔle interne dansle secteur bancaire

Documents