La publication d’informations sur l’horrible manipulation de la confiance des clients dans le but d’atteindre des objectifs de vente et des primes bancaires a été largement couverte par les médias. D’aucuns se sont inquiétés de la légèreté de l’amende, surtout si l’on considère les profits considérables réalisés l’année dernière, mais ce qui n’a pas fait la une des journaux, ce sont les coûts cachés liés au nettoyage de ce gâchis. Dans votre propre entreprise, vous savez qu’il est difficile de remplacer un employé clé. Imaginez qu’il faille en remplacer plus de 5 000. En dehors du recrutement, il y a la perte de productivité, les erreurs dues au manque d’expérience et la formation[1]. Tout cela représente entre 16 et 200 % du salaire, et je suppose que ces coûts dépasseront le montant de l’amende directe. Le coût le plus important sera celui de la garantie d’une gouvernance et d’une conformité futures adéquates, qui éclipsera probablement tous les coûts susmentionnés.

Il semble qu’il y ait eu un échec des trois jambes du concept de GRC :

  1. Risque
    Sans risque, il n’y a pas besoin de gouvernance ni de conformité. Avec le recul, il est clair qu’il y avait un risque que ce type d’activité soit possible (j’aurais pensé que l’analyse des données (Big Data Analytics) aurait identifié ces schémas, mais c’est une autre histoire). Je soupçonne que le risque que le personnel bancaire ouvre frauduleusement des comptes existe depuis très, très longtemps.
  2. Gouvernance
    Sous la forme de réglementations bancaires, de politiques et de procédures internes, et de supervision de la gestion – Tous ces éléments étaient probablement présents, mais semblent avoir été inefficaces ou n’avoir pas été respectés.
  3. Conformité
    Il ne serait pas déraisonnable de s’attendre à ce que, périodiquement, tous les membres du personnel soient tenus d’examiner les règles de leur entreprise et d’attester de leur conformité à ces règles – si tel était le cas, une comparaison entre les plaintes et les attestations n’aurait-elle pas déclenché quelques alarmes bien avant que les actes répréhensibles n’atteignent l’ampleur qui a été publiée.

L’incapacité apparente à relier ces trois éléments avec les données qui ont probablement été disponibles dans les incidents/plaintes déposés suggère qu’il faudrait mettre davantage l’accent sur le développement, l’enregistrement et l’évaluation des changements dans les KRI (indicateurs clés de risque) et les KPI (indicateurs clés de performance) afin de prévenir ce type de situation avant qu’elle n’explose. [1] zanebenefits.com/blog/bid/312123/employee-retention-the-real-cost-of-losing-an-employee