Cyberattaques, erreurs dans le traitement opérationnel, performances insuffisantes d’une entreprise partenaire, mouvements d’intérêts ayant un impact sur les fonds propres et les bénéfices de la banque: tels sont notamment les risques qui peuvent planer sur les établissements financiers. En mettant en place une gestion des risques, les entreprises identifient, évaluent, surveillent et gèrent les risques auxquels elles sont confrontées. Matthias Lips, responsable Risk Assessment & Control chez PostFinance, explique quels sont les risques que rencontre PostFinance, comment la gestion des risques est organisée à l’interne et comment les collaboratrices et les collaborateurs sont sensibilisés aux risques propres à leur unité.

Quels sont les types de risques auxquels s’expose PostFinance?

En principe, on fait la différence entre les risques financiers, stratégiques et opérationnels. Parmi les risques financiers, on compte notamment les risques de taux d’intérêt, de marché, de crédit et de liquidité. Lorsque l’on parle de risque stratégique, on se réfère par exemple au risque qu’une décision stratégique (comme se lancer sur un nouveau marché) se révèle être une erreur, ou encore aux risques occasionnés par des changements disruptifs sur le marché. Quant aux risques opérationnels, ils renvoient à un large éventail d’événements possibles qui peuvent notamment être liés à la criminalité, aux partenaires de sourcing, à des processus commerciaux erronés, à des pandémies ou à la gestion des données.

Quelles sont concrètement les tâches qu’assume l’unité Risk Assessment & Control?

Nous faisons partie de l’unité Risk Control et assurons, dans une perspective intégrale et indépendante, l’identification, l’évaluation et la gestion des risques dans toutes les unités de l’entreprise. Ce faisant, nous mettons l’accent sur les risques stratégiques et opérationnels de la banque dans son ensemble. Nous veillons à ce que les risques principaux de la banque soient identifiés et à ce que les responsables en question gèrent ces risques de façon appropriée.

Deux équipes de surveillance sont également rattachées à l’unité Risk Control: l’une d’elles surveille les risques financiers tandis que l’autre s’occupe des risques non financiers. Les deux équipes procèdent à des vérifications, analyses et contrôles sur des thèmes très spécifiques et soumettent des rapports au management en conséquence. Elles vérifient de manière approfondie que tous les risques soient identifiés, correctement évalués et fassent l’objet d’un pilotage adapté. Pour ce faire, elles valident notamment des modèles de calcul des chiffres clés concernant les risques financiers.

Quelles sont les compétences que l’on retrouve dans ton unité?

Nos tâches étant très diversifiées, l’équipe regroupe des collaboratrices et des collaborateurs issus de milieux très différents. Nous jouons principalement un rôle de SPoC («Single Point of Contact») dans lequel nous gérons les différentes unités de mainère indiviuelle, ce qui requiert également des compétences spécifiques. Par exemple, pour s’occuper de l’unité d’affaires Payment Solutions, il faut idéalement avoir de l’expérience dans le domaine des solutions de paiement. De même, pour se charger du service IT, il faut avoir certaines connaissances en informatique et en sécurité. Nous sommes donc une équipe très diversifiée et cumulons de l’expérience notamment dans les domaines du banking, de la sécurité, de la révision et des rapports financiers.

Comment s’est développé la gestion des risques dans les banques, notamment chez PostFinance, au cours des dernières années?

Ces dernières années, la gestion des risques est devenue de plus en plus professionnelle. Chez PostFinance, on constate une forte intensification de la gestion des risques, notamment depuis l’assujettissement à la FINMA et l’attribution de la licence bancaire en 2013. Cette tendance a continué de se renforcer lorsque PostFinance a été classée comme une banque d’importance systémique. Ainsi, dans une circulaire destinée à toutes les banques, la FINMA a récemment annoncé des exigences supplémentaires dans le domaine des risques opérationnels, que nous devons désormais appliquer. En parallèle, la numérisation a toutefois une grande influence sur la qualité de la gestion des risques. Il y a trois ans, nous avons par exemple introduit un nouvel outil dans notre système de contrôle interne nous permettant d’activer des contrôles et des tâches automatiquement via des workflows pour les risques répertoriés.

Quels sont les défis particuliers auxquels les banques sont confrontées en matière de gestion des risques à l’heure actuelle?

D’une part, les banques sont toujours dans le collimateur des cybercriminels. Certes, les banques sont à la pointe en matière de cybersécurité et de sécurité informatique, y compris dans le domaine de la gestion des risques. Mais nous devons constamment développer notre savoir-faire pour avoir une longueur d’avance. D’autre part, à l’instar de toutes les autres entreprises, nous faisons face à une incertitude croissante sur le marché – d’abord en raison du coronavirus et, maintenant, à cause de la guerre entre l’Ukraine et la Russie. En cette période marquée par l’incertitude, la gestion des risques est extrêmement importante et peut être essentielle à la pérennité d’une entreprise. Il est également important de noter que la gestion des risques ne relève pas directement de la gestion des crises. Chez nous, à la Gestion des risques, nous avons pour objectif d’identifier et de maîtriser les risques de façon préventive. En cas de crise, des organes compétents, comme la cellule de crise, entrent en jeu. Bien entendu, nous sommes également représentés au sein de ces instances et nous collaborons avec elles.

Comment PostFinance parvient-elle à faire prendre conscience des risques à l’ensemble de son personnel?

En sensibilisant régulièrement le personnel et en lui faisant comprendre qu’il est bien moins astreignant de connaître les risques rattachés à son propre domaine de responsabilité et d’en éviter les conséquences négatives à titre préventif plutôt que de devoir gérer les dégâts après coup. Pour ce faire, nous les informons sur les directives qui les concernent et procédons à une évaluation des risques. Tout le personnel est également tenu de rafraîchir ses connaissances à intervalles réguliers au moyen d’un e-learning dédié.

Voici une dernière question plus personnelle: quand on est gestionnaire de risques, garde-t-on un œil critique envers tout? Voit-on le danger partout?

Il est vrai que, sur le plan professionnel, on adopte un esprit critique. Mais cela ne signifie pas pour autant que l’on est anxieux dans la vie de tous les jours. Même un ou une gestionnaire des risques se laisse parfois tenter par un saut en parachute! Notre travail est de nous poser les bonnes questions et de repérer ce qui pourrait mal tourner. Quelles que soient les mesures en place, il se peut toujours qu’il y ait un couac, notamment si l’on tient compte du facteur humain. Il est donc de notre devoir de nous assurer que de tels événements ne se produisent pas et de trouver des solutions pour éliminer ces dangers ou, au moins, de les réduire à un niveau raisonnable. Pour ce faire, il faut toujours être persévérant, même quand notre interlocuteur se moque d’un scénario à risque en déclarant qu’une chose pareille n’est «jamais arrivée». Pour illustrer ce propos, je cite volontiers l’exemple d’une banque allemande qui avait transféré 300 millions d’euros à Lehman Brothers le matin même de sa faillite, laquelle avait déjà été communiquée dans les médias. Le remboursement attendu de 500 millions de dollars n’a jamais eu lieu; le montant a été intégré à la procédure d’insolvabilité. Cette situation ne s’était jamais présentée auparavant et pourtant, elle aurait pu être évitée.