L’Arrêté du 3 novembre 2014 relatif au contrôle interne impose aux établissements bancaires et financiers la mise en place d’un dispositif de contrôle interne structuré en trois niveaux :

 

Le contrôle interne vise à contrôler et à maîtriser les risques opérationnels identifiés par un établissement. Un risque opérationnel est lui-même défini par l’accord de Bâle III comme un « risque de pertes provenant de processus internes inadéquats ou défaillants ». Le contrôle permanent recouvre les contrôles au quotidien réalisés par les opérationnels et par leur hiérarchie dans le cadre du traitement des opérations (1er niveau) et les contrôles par les fonctions contrôle interne, conformité et risques (2e niveau). Le contrôle permanent est une composante du dispositif de maîtrise des risques (DMR) des établissements. À la différence des contrôles de 2e niveau, les contrôles de 1er niveau sont en pratique réalisés dans un établissement bancaire par de nombreux acteurs. Leur maturité à la maîtrise des risques peut être faible selon les acteurs. La mise en place d’un dispositif compréhensible, rationalisé et efficace est nécessaire. Dans ce contexte, l’une des principales banques du marché français a fait appel à Square Management pour l’accompagner dans la revue et la simplification de son dispositif de contrôle de 1er niveau de ses activités front-office.

 

Les contrôles de 1er niveau sont perçus comme une charge improductive par les responsables d’agence bancaire, alors qu’ils constituent la première ligne de défense de la banque.

Ces contrôles sont perçus comme répétitifs et redondants. Leur réalisation est considérée comme chronophage, les responsables d’agence y consacrant environ 15 % de leur temps. Cette charge importante est préjudiciable à leur productivité et à la réalisation des autres tâches liées à leurs fonctions, dont le pilotage managérial et commercial des agences et de leurs équipes.

La valeur de ces contrôles ne leur apparaît pas de manière flagrante. Ils ne sont en conséquence pas réalisés de manière rigoureuse. Les managers opérationnels ne se sentent, par ailleurs, pas suffisamment aidés par l’environnement IT et data de la banque. La réalisation de contrôles repose souvent sur des processus front-office complexes et pas entièrement outillés. Ces contrôles ne semblent pas appropriés pour la couverture de certains risques, les processus étant nativement défaillants.

L’établissement bancaire a sollicité Square Management pour répondre à l’ensemble de ces irritants.

Le Square Research Center traite l’étude de l’extrême rareté au travers du prisme de la détection des comportements atypiques et, plus particulièrement en matière d’intelligence artificielle, de celui de la détection d’anomalies. Outre la faible production académique, la complexité inhérente à cette problématique peut être exposée par les défis suivants :

• La définition d’un consensus métier autour de la notion d’atypisme ;
• La distinction entre donnée atypique et donnée aberrante;
• L’impact des tendances de fond et de saisonnalité sur la modélisation ;
• La validation des modèles de détection.

Dans ce contexte, trois axes de recherche et d’application ont été développés.

1. ANALYSE CRITIQUE ET REVUE DES CONTRÔLES DE 1ER NIVEAU EXISTANTS

Les contrôles de 1er niveau doivent être définis et régulièrement revus par les métiers porteurs de risques. Il s’agit des parties prenantes de la banque qui définissent et mettent en place les processus et parcours clients. La gouvernance des risques existante ne prévoyant pas d’instances de revue périodique des contrôles avec les métiers porteurs de risques, Square Management a accompagné l’établissement bancaire dans leur mise en place. Les objectifs de ces instances sont :

- D’assurer la remontée directe des résultats de contrôle de 1er niveau aux métiers porteurs de risques ;
- D’assurer la pertinence dans la durée des points de contrôle et leur réécriture dans le cas contraire ;
- À travers les résultats et les irritants remontés par les responsables d’agence, d’identifier les pistes d’amélioration de processus ;
- Lorsque des taux de non-conformité élevés sont constatés, de mettre en place des plans d’action.

Une analyse critique a par ailleurs été réalisée afin d’identifier les contrôles qui permettent la couverture d’un risque opérationnel et les contrôles qui répondent à un autre objectif. Certains contrôles ont, en effet, des objectifs de pilotage commercial ou managérial, ou d’appui pédagogique aux agents. Pour ces finalités, les contrôles de 1er niveau ne constituent pas un outil adéquat. Des leviers alternatifs ont été proposés aux métiers porteurs de risques. Ces leviers peuvent être des remédiations ciblées, la mise à disposition de check-lists et d’indicateurs de suivi ou un meilleur accompagnement des agents.

À l’issue de ces travaux, les contrôles de 1er niveau dont la finalité n’est pas la couverture d’un risque opérationnel ont progressivement été supprimés. Ces travaux de revue et d’analyse ont permis d’alléger le nombre de contrôles à réaliser par les responsables d’agence de 15 %.

 

2. MISE EN PLACE D’UNE CONFORMITÉ NATIVE DANS LES PROCESSUS

Le contrôle permanent n’est pas l’unique levier pour couvrir les risques opérationnels d’un établissement bancaire. Une conformité native dans les processus (« compliance by design ») peut être recherchée et doit être privilégiée. La mise en place de processus nativement
conformes constituent une conviction majeure de Square Management. Les processus concernés sont ici tous les processus front-office liés à un parcours client (par exemple : entrées en relation, distribution de crédits et de produits d’épargne).

Un processus nativement conforme permet de prévenir les risques opérationnels qui en découlent lors de son application et de sécuriser les opérations. La sécurisation de ces processus peut notamment être obtenue par la mise en place de contrôles bloquants dans les outils. À titre d’illustration, des développements peuvent être apportés sur un outil de conseil en investissements pour empêcher la commercialisation de produits à des clients qui ne correspondent pas au marché cible (par exemple : commercialisation à des personnes âgées de produits qui nécessitent une longue période de détention).

Des processus nativement conformes présentent une protection plus efficace contre les risques opérationnels que des contrôles de 1er niveau a posteriori, les risques étant ici prévenus en amont. Ces processus permettent, par ailleurs, la réduction du nombre de contrôles. Ainsi, un blocage outil mis en place pour empêcher la commercialisation de produits à des clients qui ne correspondent pas au marché cible ne rend plus nécessaire la réalisation d’un contrôle a posteriori sur le respect du marché cible.

Dans ce contexte, une analyse critique de ces processus a été réalisée, afin de les refondre et de les rendre nativement conformes. La gouvernance de l’établissement bancaire a également été revue pour que les projets portés intègrent systématiquement une analyse compliance by design.

3. REVUE ET FIABILISATION DES ÉCHANTILLONS FOURNIS PAR LA BANQUE

L’échantillonnage transmis aux responsables d’agence doit être fiable et pertinent. Square Management a conduit des ateliers de travail avec les équipes data pour garantir que les échantillons transmis ne comportent pas de données erronées (par exemple : mauvais identifiant de l’agent réalisant l’opération, mauvais libellé de l’opération) et ciblent des dossiers visés par DMR de l’établissement bancaire.

La définition d’un échantillonnage pertinent nécessite d’identifier et de choisir entre deux prismes de contrôle :

- Les contrôles à réaliser sur la production de l’établissement (par exemple : ouverture de compte courant, vente de crédits). L’enjeu ici est d’assurer une représentativité de l’échantillon et la couverture de l’ensemble des risques cartographiés (par exemple : vérification de la connaissance client, vérification du respect du processus d’entrée en relation) ;
- Les contrôles spécifiques à réaliser sur des dossiers à risques mis en évidence par des scénarii. Des points de contrôle propres à ces dossiers à risques sont réalisés. Par exemple : les opérations récurrentes réalisées au guichet par des clients vulnérables sont transmises au responsable d’agence. Ce dernier doit, le cas échéant, vérifier si les éléments du dossier permettent d’écarter l’abus de faiblesse du client. En raison des risques élevés sur ces dossiers, les contrôles ne sont pas réalisés sur un échantillonnage représentatif, mais sur l’exhaustivité des dossiers.

Ces travaux sont un préalable à la mise en place d’un échantillonnage directement transmis aux responsables d’agence, quel que soit le prisme du contrôle. Dans cette configuration, le manager opérationnel ne compose plus lui-même son échantillonnage. La mise en place d’un échantillonnage automatique permet de réduire le temps alloué au contrôle pour le responsable d’agence, tout en assurant la fiabilité et l’impartialité.

3. DIFFUSION D’UNE CULTURE RISQUE AUPRÈS DES RESPONSABLES D’AGENCE

Les responsables d’agence sont des acteurs majeurs dans le pilotage des risques et constituent la première ligne de défense des établissements bancaires et financiers. Dans ce contexte, le contrôle permanent ne doit pas constituer pour eux l’unique levier de pilotage des risques. Les responsables d’agence doivent être acculturés aux risques opérationnels dans leur pilotage managérial et commercial. 

Des modules de formation et d’accompagnement sur le pilotage des risques opérationnels ont été mis en place. Ces modules sont destinés aux managers front-office présents à date dans l’entreprise ainsi qu’aux nouveaux arrivants. Les thématiques traitées par la formation portent sur les fondamentaux dans la gestion des risques opérationnels, sur les dispositifs mis en place par la banque et sur les fondamentaux dans la préparation et la tenue des comités locaux de suivi des risques. Ces comités sont territorialisés et permettent le suivi local des risques par les responsables d’agence. Ces thématiques sont présentées au cours d’une première session et animées au cours d’une seconde session au travers de cas pratiques, préparés et présentés par les managers front-office formés.

Une gestion efficiente des risques opérationnels passe par la mise en oeuvre de plans d’action au niveau local. Les responsables d’agence interviennent dans la définition et la mise en oeuvre de ces plans d’action. Ils doivent, le cas échéant, disposer d’un outil complet et intuitif. Des améliorations ont été apportées dans l’outil de contrôle existant afin que l’utilisation de cet outil soit étendue à la mise en place et au suivi des plans d’action. Square Management est intervenu dans :

- La conception de la solution cible en ateliers, en adoptant une démarche de co-construction avec les responsables d’agence. L’implication de ces acteurs a constitué un des facteurs clés de succès ;
- La rédaction des expressions de besoins ;
- La mise en marché du nouvel outil de pilotage des risques et la conduite du changement.

L’intervention de Square Management a permis la mise en place d’un dispositif de contrôle de 1er niveau pragmatique et qui s’intègre pleinement dans le dispositif de pilotage des risques de l’établissement financier :

- Le projet a contribué à renforcer la maturité des différentes parties prenantes aux problématiques de risques opérationnels. Les contrôles de 1er niveau sont davantage compris par les managers opérationnels et constituent pour eux un levier dans la gestion et le pilotage des risques de leurs activités. Les fonctions centrales et les métiers porteurs de risques sont également sensibilisés et amenés à privilégier la mise en place de processus compliant by design ;

- Le projet a rationalisé la réalisation des contrôles de 1er niveau, en s’assurant qu’ils couvrent efficacement les risques opérationnels cartographiés ;

- Le projet a renforcé la fiabilité des échantillons et leur adéquation avec les objectifs des contrôles. La fiabilité et l’adéquation des échantillons renforcent l’adhésion des responsables d’agence ;

- Les responsables d’agence ont à leur disposition un outil qui leur permet de suivre efficacement les plans d’action qu’ils mettent en place dans le cadre de leur pilotage local des risques.