Gestion intégrale des risques: tous les risques en ligne de mire

Cyberattaques, erreurs dans le traitement opérationnel, performances insuffisantes d’une entreprise partenaire, mouvements d’intérêts ayant un impact sur les fonds propres et les bénéfices de la banque: tels sont notamment les risques qui peuvent planer sur les établissements financiers. En mettant en place une gestion des risques, les entreprises identifient, évaluent, surveillent et gèrent les risques auxquels elles sont confrontées. Matthias Lips, responsable Monitoring Operational Risks chez PostFinance, explique quels sont les risques que rencontre PostFinance, comment la gestion des risques est organisée à l’interne et comment les collaboratrices et les collaborateurs sont sensibilisés aux risques propres à leur unité.

Interview avec Matthias Lips, responsable Monitoring Operational Risks chez PostFinance

Concrètement, quelles sont les tâches qui incombent à ton service, Monitoring Operational Risks?

Matthias Lips: Nous faisons partie de l’unité Risk Control et assurons, dans une perspective intégrale et indépendante, l’identification, l’évaluation et la gestion des risques dans toutes les unités de l’entreprise. Nous veillons à ce que les risques principaux de la banque soient identifiés et à ce que les responsables en question gèrent ces risques de façon appropriée.

Trois équipes de monitoring sont rattachées à l’unité Risk Control: la première surveille les risques financiers, la deuxième s’occupe des risques liés à la cybersécurité, à l’informatique et aux données, et mon équipe prend en charges tous les autres risques opérationnels. Dans nos domaines thématiques respectifs, nous procédons à des vérifications, analyses et contrôles et nous soumettons des rapports au management en conséquence. Nous vérifions de manière approfondie que tous les risques soient identifiés, correctement évalués et fassent l’objet d’un pilotage adapté.

Quelles sont les compétences que l’on retrouve dans ton service?

Nos tâches étant très diversifiées, l’équipe regroupe des collaboratrices et des collaborateurs issus de milieux très différents. Notre équipe assume la responsabilité de plusieurs catégories de risques, comme les risques de tiers, les risques de traitement, les risques juridiques ou les risques de paiement. Par conséquent, des compétences et des connaissances spécifiques sont nécessaires. Pour s’occuper des risques de paiement, par exemple, il faut idéalement avoir de l’expérience dans le domaine des solutions de paiement. De même, lorsqu’il s’agit de l’IT et de la sécurité, certaines connaissances dans ces deux domaines sont indispensables. Nous sommes donc une équipe très diversifiée et cumulons de l’expérience, notamment dans les domaines du banking, de la sécurité, de la révision et des rapports financiers.

Comment s’est développée la gestion des risques dans les banques, notamment chez PostFinance, au cours des dernières années?

Ces dernières années, la gestion des risques est devenue de plus en plus professionnelle. Chez PostFinance, on constate une forte intensification de la gestion des risques, notamment depuis l’assujettissement à la FINMA et l’attribution de la licence bancaire en 2013. Cette tendance a continué de se renforcer lorsque PostFinance a été classée comme une banque d’importance systémique. Ainsi, dans une circulaire destinée à toutes les banques, la FINMA a récemment annoncé des exigences supplémentaires dans le domaine des risques opérationnels, que nous devons désormais appliquer. En parallèle, la transformation numérique a elle aussi une grande influence sur la qualité de la gestion des risques. Il y a quelques années, nous avons par exemple introduit un nouvel outil dans notre système de contrôle interne nous permettant d’activer des contrôles et des tâches automatiquement via des workflows pour les risques répertoriés. Depuis, cet outil a considérablement évolué et il comporte désormais divers inventaires et fonctionnalités supplémentaires.

Quels sont les défis particuliers auxquels les banques sont confrontées en matière de gestion des risques à l’heure actuelle?

D’une part, les banques sont toujours dans le collimateur des cybercriminels. Certes, les banques sont à la pointe en matière de cybersécurité et de sécurité informatique, y compris dans le domaine de la gestion des risques. Mais nous devons constamment développer notre savoir-faire pour avoir une longueur d’avance. D’autre part, à l’instar de toutes les autres entreprises, nous faisons face à une incertitude croissante sur le marché – d’abord en raison du coronavirus et, maintenant, à cause de la guerre entre l’Ukraine et la Russie. En cette période marquée par l’incertitude, la gestion des risques est extrêmement importante et peut être essentielle à la pérennité d’une entreprise. Il est également important de noter que la gestion des risques ne relève pas directement de la gestion des crises. Chez nous, à la Gestion des risques, nous avons pour objectif d’identifier et de maîtriser les risques de façon préventive. En cas de crise, des organes compétents, comme la cellule de crise, entrent en jeu. Bien entendu, nous sommes également représentés au sein de ces instances et nous collaborons avec elles.

Utilisez-vous déjà l’intelligence artificielle dans la gestion des risques chez PostFinance? Et si oui, dans quels domaines et avec quels résultats?

L’intelligence artificielle présente deux aspects pertinents pour nous. D’une part, elle engendre un certain nombre de risques en introduisant de nouveaux vecteurs d’attaque pour les criminels. Il existe aussi des risques relatifs à l’application des modèles d’IA. D’autre part, l’intelligence artificielle permet de réduire les risques en améliorant ou en étendant la surveillance et le contrôle. Grâce à elle, il nous est par exemple possible d’analyser de grandes quantités de données ou d’automatiser des processus de contrôle.

Comment PostFinance parvient-elle à faire prendre conscience des risques à l’ensemble de son personnel?

En sensibilisant régulièrement le personnel et en lui faisant comprendre qu’il est bien moins astreignant de connaître les risques rattachés à son propre domaine de responsabilité et d’en éviter les conséquences négatives à titre préventif plutôt que de devoir gérer les dégâts après coup. Pour ce faire, nous les informons sur les directives qui les concernent et procédons à une évaluation des risques. Tout le personnel est également tenu de rafraîchir ses connaissances à intervalles réguliers au moyen d’un e-learning dédié.

Voici une dernière question plus personnelle: quand on est gestionnaire de risques, garde-t-on un œil critique envers tout? Voit-on le danger partout?

Il est vrai que, sur le plan professionnel, on adopte un esprit critique. Mais cela ne signifie pas pour autant que l’on est anxieux dans la vie de tous les jours. Même un ou une gestionnaire des risques se laisse parfois tenter par un saut en parachute! Notre travail est de nous poser les bonnes questions et de repérer ce qui pourrait mal tourner. Quelles que soient les mesures en place, il se peut toujours qu’il y ait un couac, notamment si l’on tient compte du facteur humain. Il est donc de notre devoir de nous assurer que de tels événements ne se produisent pas et de trouver des solutions pour éliminer ces dangers ou, au moins, de les réduire à un niveau raisonnable. Pour ce faire, il faut toujours être persévérant, même quand notre interlocuteur se moque d’un scénario à risque en déclarant qu’une chose pareille n’est «jamais arrivée». Pour illustrer ce propos, je cite volontiers l’exemple d’une banque allemande qui avait transféré 300 millions d’euros à Lehman Brothers le matin même de sa faillite, laquelle avait déjà été communiquée dans les médias. Le remboursement attendu de 500 millions de dollars n’a jamais eu lieu; le montant a été intégré à la procédure d’insolvabilité. Cette situation ne s’était jamais présentée auparavant et pourtant, elle aurait pu être évitée.