Gestion intégrale des risques: tous les risques en ligne de mire

19.05.2025

Du Conseil d’administration et du comité directeur au personnel en passant par les unités d’affaires: chez PostFinance, la gestion des risques, c’est l’affaire de toute l’entreprise. Matthias Lips dirige une équipe dans la section Monitoring Operational Risks qui s’occupe de la gestion professionnelle des risques. Dans cette interview, il décrit ses tâches et ses enjeux actuels.

Cyberattaques, erreurs dans le traitement opérationnel, performances insuffisantes d’une entreprise partenaire, mouvements d’intérêts ayant un impact sur les fonds propres et les bénéfices de la banque: tels sont notamment les risques qui peuvent planer sur les établissements financiers. En mettant en place une gestion des risques, les entreprises identifient, évaluent, surveillent et gèrent les risques auxquels elles sont confrontées. Matthias Lips, responsable Monitoring Operational Risks chez PostFinance, explique quels sont les risques que rencontre PostFinance, comment la gestion des risques est organisée à l’interne et comment les collaboratrices et les collaborateurs sont sensibilisés aux risques propres à leur unité.

Aperçu des types de risques

Les entreprises telles que PostFinance sont exposées à différents risques. En principe, ceux-ci peuvent être classés dans trois catégories: les risques financiers, les risques stratégiques et les risques opérationnels.

  • Risques financiers: cette catégorie couvre le risque de subir des pertes inattendues dans les activités de placement et de dépôt. Elle englobe notamment les risques liés à l’évolution des taux d’intérêt et du marché, aux fluctuations de cours ou encore aux problèmes de liquidités.
  • Risques stratégiques: les risques stratégiques couvrent le risque de non-réalisation des objectifs de l’entreprise concernant son orientation de fond ou à long terme suite à des développements inattendus. Il peut s’agir, par exemple, du risque que la décision de conquérir un nouveau marché se révèle finalement être une erreur, ou que des changements disruptifs dans l’environnement de marché mettent le modèle commercial sous pression.
  • Risques opérationnels: cette catégorie couvre le risque de devoir faire face à des coûts inattendus ou à des événements indésirables (p. ex. événements nuisant à la réputation ou infractions à la compliance) dus à l’inadéquation ou à la défaillance de procédures, de personnes ou de systèmes internes ou encore à des événements externes. Les risques opérationnels englobent un très large éventail de risques, par exemple des événements liés à la cybercriminalité, aux partenaires de sourcing, à des processus commerciaux erronés, à des pandémies, à l’établissement des rapports financiers ou à la gestion des données.

Interview avec Matthias Lips, responsable Monitoring Operational Risks chez PostFinance

Matthias Lips travaille chez PostFinance depuis novembre 2016. Il a commencé en tant que trainee dans l’unité Gestion des risques et, depuis avril 2020, il dirige l’équipe Monitoring Operational Risks. Il a étudié l’économie d’entreprise à l’Université de Berne avec spécialisation dans la gestion financière et a suivi des formations continues sur l’évaluation des risques, la gestion de la transformation et le leadership. Durant ses études, il a occupé différents postes au sein de la Police cantonale de Berne dans le domaine de la logistique, de l’IT et des RH et a été conseiller à la clientèle pour les avoirs en déshérence chez UBS.

Concrètement, quelles sont les tâches qui incombent à ton service, Monitoring Operational Risks?

Matthias Lips: Nous faisons partie de l’unité Risk Control et assurons, dans une perspective intégrale et indépendante, l’identification, l’évaluation et la gestion des risques dans toutes les unités de l’entreprise. Nous veillons à ce que les risques principaux de la banque soient identifiés et à ce que les responsables en question gèrent ces risques de façon appropriée.

Trois équipes de monitoring sont rattachées à l’unité Risk Control: la première surveille les risques financiers, la deuxième s’occupe des risques liés à la cybersécurité, à l’informatique et aux données, et mon équipe prend en charges tous les autres risques opérationnels. Dans nos domaines thématiques respectifs, nous procédons à des vérifications, analyses et contrôles et nous soumettons des rapports au management en conséquence. Nous vérifions de manière approfondie que tous les risques soient identifiés, correctement évalués et fassent l’objet d’un pilotage adapté.

Quelles sont les compétences que l’on retrouve dans ton service?

Nos tâches étant très diversifiées, l’équipe regroupe des collaboratrices et des collaborateurs issus de milieux très différents. Notre équipe assume la responsabilité de plusieurs catégories de risques, comme les risques de tiers, les risques de traitement, les risques juridiques ou les risques de paiement. Par conséquent, des compétences et des connaissances spécifiques sont nécessaires. Pour s’occuper des risques de paiement, par exemple, il faut idéalement avoir de l’expérience dans le domaine des solutions de paiement. De même, lorsqu’il s’agit de l’IT et de la sécurité, certaines connaissances dans ces deux domaines sont indispensables. Nous sommes donc une équipe très diversifiée et cumulons de l’expérience, notamment dans les domaines du banking, de la sécurité, de la révision et des rapports financiers.

Comment s’est développée la gestion des risques dans les banques, notamment chez PostFinance, au cours des dernières années?

Ces dernières années, la gestion des risques est devenue de plus en plus professionnelle. Chez PostFinance, on constate une forte intensification de la gestion des risques, notamment depuis l’assujettissement à la FINMA et l’attribution de la licence bancaire en 2013. Cette tendance a continué de se renforcer lorsque PostFinance a été classée comme une banque d’importance systémique. Ainsi, dans une circulaire destinée à toutes les banques, la FINMA a récemment annoncé des exigences supplémentaires dans le domaine des risques opérationnels, que nous devons désormais appliquer. En parallèle, la transformation numérique a elle aussi une grande influence sur la qualité de la gestion des risques. Il y a quelques années, nous avons par exemple introduit un nouvel outil dans notre système de contrôle interne nous permettant d’activer des contrôles et des tâches automatiquement via des workflows pour les risques répertoriés. Depuis, cet outil a considérablement évolué et il comporte désormais divers inventaires et fonctionnalités supplémentaires.

Quels sont les défis particuliers auxquels les banques sont confrontées en matière de gestion des risques à l’heure actuelle?

D’une part, les banques sont toujours dans le collimateur des cybercriminels. Certes, les banques sont à la pointe en matière de cybersécurité et de sécurité informatique, y compris dans le domaine de la gestion des risques. Mais nous devons constamment développer notre savoir-faire pour avoir une longueur d’avance. D’autre part, à l’instar de toutes les autres entreprises, nous faisons face à une incertitude croissante sur le marché – d’abord en raison du coronavirus et, maintenant, à cause de la guerre entre l’Ukraine et la Russie. En cette période marquée par l’incertitude, la gestion des risques est extrêmement importante et peut être essentielle à la pérennité d’une entreprise. Il est également important de noter que la gestion des risques ne relève pas directement de la gestion des crises. Chez nous, à la Gestion des risques, nous avons pour objectif d’identifier et de maîtriser les risques de façon préventive. En cas de crise, des organes compétents, comme la cellule de crise, entrent en jeu. Bien entendu, nous sommes également représentés au sein de ces instances et nous collaborons avec elles.

Utilisez-vous déjà l’intelligence artificielle dans la gestion des risques chez PostFinance? Et si oui, dans quels domaines et avec quels résultats?

L’intelligence artificielle présente deux aspects pertinents pour nous. D’une part, elle engendre un certain nombre de risques en introduisant de nouveaux vecteurs d’attaque pour les criminels. Il existe aussi des risques relatifs à l’application des modèles d’IA. D’autre part, l’intelligence artificielle permet de réduire les risques en améliorant ou en étendant la surveillance et le contrôle. Grâce à elle, il nous est par exemple possible d’analyser de grandes quantités de données ou d’automatiser des processus de contrôle.

Comment PostFinance parvient-elle à faire prendre conscience des risques à l’ensemble de son personnel?

En sensibilisant régulièrement le personnel et en lui faisant comprendre qu’il est bien moins astreignant de connaître les risques rattachés à son propre domaine de responsabilité et d’en éviter les conséquences négatives à titre préventif plutôt que de devoir gérer les dégâts après coup. Pour ce faire, nous les informons sur les directives qui les concernent et procédons à une évaluation des risques. Tout le personnel est également tenu de rafraîchir ses connaissances à intervalles réguliers au moyen d’un e-learning dédié.

Voici une dernière question plus personnelle: quand on est gestionnaire de risques, garde-t-on un œil critique envers tout? Voit-on le danger partout?

Il est vrai que, sur le plan professionnel, on adopte un esprit critique. Mais cela ne signifie pas pour autant que l’on est anxieux dans la vie de tous les jours. Même un ou une gestionnaire des risques se laisse parfois tenter par un saut en parachute! Notre travail est de nous poser les bonnes questions et de repérer ce qui pourrait mal tourner. Quelles que soient les mesures en place, il se peut toujours qu’il y ait un couac, notamment si l’on tient compte du facteur humain. Il est donc de notre devoir de nous assurer que de tels événements ne se produisent pas et de trouver des solutions pour éliminer ces dangers ou, au moins, de les réduire à un niveau raisonnable. Pour ce faire, il faut toujours être persévérant, même quand notre interlocuteur se moque d’un scénario à risque en déclarant qu’une chose pareille n’est «jamais arrivée». Pour illustrer ce propos, je cite volontiers l’exemple d’une banque allemande qui avait transféré 300 millions d’euros à Lehman Brothers le matin même de sa faillite, laquelle avait déjà été communiquée dans les médias. Le remboursement attendu de 500 millions de dollars n’a jamais eu lieu; le montant a été intégré à la procédure d’insolvabilité. Cette situation ne s’était jamais présentée auparavant et pourtant, elle aurait pu être évitée.

Bon à savoir

La gestion des risques et la résilience sont étroitement liées: grâce à une gestion systématique des risques, une entreprise peut identifier à temps les dangers potentiels et prendre des contre-mesures ciblées. Elle renforce ainsi sa capacité de résistance face aux crises et assure sa stabilité et sa capacité d’action à long terme.

Questions et réponses

  • La gestion intégrale des risques est une approche globale permettant d’identifier, d’évaluer, de gérer et de surveiller tous les principaux risques d’une entreprise. Elle est inscrite dans la stratégie d’entreprise et concerne toutes les unités d’affaires.

  • Le processus de gestion des risques comprend les cinq étapes suivantes: l’identification du risque, l’évaluation du risque (probabilité d’occurrence et ampleur des dommages), la gestion du risque, le contrôle du risque et le reporting. Ce processus est essentiel pour identifier les risques suffisamment tôt et pour prendre des contre-mesures ciblées.

  • Le risque de réputation désigne le risque que la confiance de la clientèle, des partenaires commerciaux ou du public envers une banque soit compromise par une perception publique négative, et qu’il en résulte une perte de clientèle ou une moins bonne position sur le marché du travail. Dans le secteur bancaire, ce risque joue un rôle central, car la confiance constitue une base fondamentale pour établir des relations client stables et garantir la réussite sur le long terme. Une gestion active de la réputation aide les banques à faire preuve de transparence, d’intégrité et de responsabilité vis-à-vis de l’extérieur.

  • L’IA est capable d’analyser de grandes quantités de données, d’identifier les risques de manière précoce, d’établir des pronostics et d’automatiser les processus. Elle permet ainsi une gestion des risques plus efficiente et plus précise.

  • Le contrôle des risques assure la transparence des risques et garantit que les risques sont identifiés à temps et gérés de manière appropriée. Il contribue de manière déterminante à la stabilité, à la sécurité de planification et au développement d’entreprise sur le long terme.

Cette page a une évaluation moyenne de %r sur un maximum de 5 étoiles. Au total, %t évaluations sont disponibles.
Vous pouvez évaluer la page en attribuant 1 à 5 étoiles, les 5 étoiles constituant la meilleure note.
Merci pour l’évaluation
Évaluer l’article

Ceci pourrait également vous intéresser