Au-delà des cases à cocher : une meilleure voie pour la gestion des risques bancaires

Dans le secteur bancaire, la gestion des risques met souvent l’accent sur la gestion des risques liés aux activités d’investissement, avec beaucoup moins d’importance accordée aux pratiques globales de gouvernance, de risque et de conformité (GRC). Les programmes GRC sont répandus, mais beaucoup s’arrêtent aux exigences minimales. Ils en font juste assez pour éviter les problèmes de conformité et d’audit, mais investissent peu dans une gestion solide des risques opérationnels.

Les banques ne manquent pas de ressources ou de cadres pour la gestion des risques. Ce qui manque, c’est la perspective : une compréhension partagée du risque, non seulement comme une nécessité de conformité, mais aussi comme une force centrale dans la prise de décisions commerciales.

La gestion des risques bancaires au-delà de la théorie du portefeuille

De nombreuses banques conceptualisent encore le risque uniquement comme le cadran de la prise de risque financier qu’elles peuvent ajuster à la hausse ou à la baisse selon les conditions du marché.

Lorsque le risque reste uniquement lié aux bénéfices, il est principalement géré à travers des prismes financiers, comme sa relation avec l’exposition au crédit et les réserves de capital. Cette approche donne l’impression erronée que tous les risques importants pour une banque peuvent être ouvertement décidés et contrôlés. Elle ne fait que survoler les risques comme la fragilité opérationnelle ou l’exposition aux tiers. Un modèle de risque axé sur le profit pourrait ne pas tenir compte de la fragilité opérationnelle ou de l’exposition aux tiers, parmi d’autres menaces.

C’est là que devrait commencer une culture axée sur le risque : identifier comment les risques non financiers se répercutent sur la performance commerciale. Sans un rôle central de la direction des risques dans la planification commerciale, ce changement culturel ne peut pas se produire.

L’évolution du rôle du CRO

La crise bancaire régionale de 2023 a donné au directeur des risques (CRO) une visibilité stratégique accrue. Dans son sillage, 84 % des CRO des banques américaines déclarent être fortement impliqués dans la stratégie, ce qui représente un changement notable. Cependant, cet élan pourrait facilement s’essouffler. Traditionnellement, les CRO étaient cantonnés à l’audit et à la conformité, mais n’étaient pas toujours impliqués dans la planification du capital ou la stratégie produit. Les institutions devront rester vigilantes pour s’assurer que cette évolution soit permanente.

Une GRC tournée vers l’avenir

Dans de nombreuses banques, la GRC joue un rôle relativement limité, principalement axé sur les pistes d’audit plutôt que sur les insights. Cela conduit à une exécution étroite : examens trimestriels des risques, tests des contrôles et formation à la conformité. Ces activités sont nécessaires, mais elles sont rarement liées aux questions stratégiques, comme : Quels paris stratégiques prenez-vous ? Qu’est-ce qui pourrait les compromettre ? Qui est responsable ?

Une GRC qui se contente de cocher des cases donne une illusion de sécurité. Une gestion mature des risques bancaires fournit du contexte et de la prévoyance, et remet également en question les hypothèses.

Silicon Valley Bank : une défaillance de la GRE

L’effondrement de Silicon Valley Bank (SVB) en 2023 n’était pas un événement imprévisible ; il est venu de la propre surveillance fragmentée de la banque. Les problèmes de la banque – une base de dépôts concentrée dans le secteur technologique, des titres à longue duration et une exposition aux taux en hausse – étaient tous identifiables. Cependant, la fonction risque opérait en silos. Le poste de CRO est resté vacant pendant huit mois durant une période cruciale pour les taux d’intérêt. La modélisation était déconnectée entre la trésorerie, la liquidité et le comportement des déposants. Personne ne synthétisait les signaux. Les avertissements internes ont été manqués ou ignorés, et les structures formelles manquaient d’intégration et d’escalade.

La faible gestion des risques d’entreprise (GRE) de SVB est un avertissement pour de nombreuses entreprises. La banque avait des structures formelles de gestion des risques, mais elles n’étaient pas intégrées à l’échelle de l’organisation. Selon Strategic Risk Global, seulement 32 % des organisations considèrent leur GRE comme « mature » ou « robuste ».

La culture réactive du risque de SVB a laissé peu de marge de manœuvre à la direction lorsque les préoccupations de liquidité ont déclenché une panique bancaire. Bien qu’une culture proactive du risque n’aurait peut-être pas complètement éliminé les expositions de SVB, elle aurait pu encourager une couverture plus précoce, une diversification plus agressive ou une réévaluation des hypothèses de liquidité avant que la panique ne s’installe.

À quoi ressemble une GRE mature ?

SVB a montré ce qui se passe lorsque la GRE est réactive et cloisonnée, mais à quoi ressemble une gestion mature des risques bancaires dans la pratique ? La maturité de la GRE se définit par la façon dont l’intelligence des risques façonne les décisions. Par conséquent, au cœur d’un modèle mature :

  • Le CRO est un conseiller stratégique. Il bénéficie d’une visibilité complète et d’une indépendance suffisante pour être honnête.
  • Les fonctions d’audit indépendantes sont solides. Elles peuvent remettre en question les décisions et faire remonter les préoccupations.
  • Le risque vit au sein de l’entreprise. Il fait partie du développement des produits, de la planification de la croissance et de la prise de décision.

Le CRO doit soutenir la croissance, mais pas au détriment de l’indépendance. Une deuxième ligne et une équipe d’audit solides préservent cet équilibre et préviennent les conflits d’intérêts.

Sur le plan culturel, la maturité commence par la façon dont le risque est encadré. Il ne s’agit pas d’éviter les mauvaises nouvelles, mais de les faire remonter tôt. Cela se produit lorsque :

  • Les équipes risques sont impliquées dès la phase de conception, pas seulement lors des approbations.
  • La transparence est récompensée plutôt que les apparences.
  • La dissidence est considérée comme de la diligence.

Une GRE mature n’élimine pas le risque, mais elle garantit que les réponses sont rapides et coordonnées.

Pourquoi la maturité est-elle importante ?

Lorsque les banques investissent dans la maturation de leurs capacités GRC et GRE, elles ne se protègent pas seulement ; elles augmentent leur capacité à prendre les bons risques. Cela se traduit par de nombreux avantages, notamment :

  • Capacité de risque accrue : Lorsque le risque est étroitement géré, la direction peut prendre plus de risques en toute confiance.
  • Prise de décision plus éclairée : Une GRE mature donne aux dirigeants une vision plus claire des compromis risque-rendement.
  • Plus grande agilité : Avec des contrôles clairement définis, les banques peuvent repérer les signaux d’alerte plus tôt et pivoter plus rapidement.
  • Confiance et crédibilité du conseil d’administration : Les institutions dotées d’une GRE solide ont tendance à gagner plus de confiance, leur donnant plus de latitude dans les mouvements stratégiques comme l’expansion ou l’allocation de capital.
  • Utilisation stratégique de l’appétit pour le risque : Les organisations matures optimisent activement leur appétit pour le risque, ce qui leur permet de s’étendre là où cela a du sens.

Comment le logiciel soutient la maturité

Les logiciels de risque modernes peuvent donner aux institutions financières la visibilité dont elles ont besoin pour soutenir une culture mature et consciente des risques. Le logiciel aide en :

  • Unifiant le risque, la conformité, l’audit et la résilience en une seule plateforme pour briser les silos
  • Centralisant la documentation et les pistes d’audit, assurant la traçabilité et la confiance pour les équipes et les régulateurs
  • Fournissant des signaux d’alerte précoce via des indicateurs clés de risque (KRI), permettant des décisions proactives en matière de risque
  • Imposant la responsabilité avec des flux de travail auditables et une propriété des tâches
  • Faisant émerger des insights transversaux, montrant comment les vulnérabilités peuvent impacter simultanément plusieurs domaines
  • Facilitant un meilleur reporting au conseil d’administration, avec des tableaux de bord qui lient directement la posture de risque aux objectifs de l’entreprise
  • Renforçant une culture d’escalade, où les risques ne sont pas enterrés mais acheminés immédiatement vers les bonnes personnes

Globalement, le logiciel permet une véritable visibilité des risques d’entreprise ; pas seulement une liste de risques, mais comment ils se connectent et influencent les objectifs commerciaux à travers les équipes. Pour les entreprises cherchant à construire une culture consciente des risques, la technologie peut aider à l’intégrer à l’échelle de l’entreprise.

La conformité vous évite les ennuis ; la maturité des risques stimule la performance. La différence peut être fondamentale pour votre entreprise. Les organisations qui choisissent de redéfinir leur gestion des risques bancaires comme une fonction stratégique sont les mieux positionnées pour diriger avec résilience et agilité.

Pour une compréhension plus approfondie du rôle de la culture dans la gestion des risques, veuillez télécharger l’ebook, Tracer la voie de la gestion des risques d’entreprise, et découvrez la solution logicielle GRE de Riskonnect.