Par Nicolas Vetriak, président fondateur, et Georges Chappotteau, directeur, Novaminds

Le processus SREP 2020 adapté avec le Covid-19

Pour accompagner les établissements financiers dans l’exercice d’évaluation de leurs risques (dispositif SREP1), l’Autorité bancaire européenne (ABE) a publié, le 23 juillet 2020, des guidelines présentant les orientations "sur le processus de contrôle et d’évaluation prudentiels 2020 pragmatique à la lumière de la crise du Covid-19".

Les principales évolutions pour l’exercice 2020 sont :

• le recensement des principaux risques et vulnérabilités clés induits par la crise ;

• un exercice ICAAP et ILAAP pragmatique pouvant s’appuyer sur les évaluations de l’année précédente et les informations disponibles ;

• un focus particulier sur les risques opérationnels ICT et les dispositifs de continuité d’activité ;

• la stabilisation des exigences du Pilier 2 sur la base d’une analyse qualitative et des exigences de l’année précédente.



Ces exigences exceptionnelles ont pour ambition d’être suffisamment pragmatiques pour que le secteur financier s’adapte aux défis liés à la pandémie. Mais elles illustrent aussi l’incertitude qui entoure l’implication financière du Covid-19 sur les clients, les établissements euxmêmes et l’économie en général.

Analyse des impacts de la crise du Covid-19

La démarche mise en oeuvre par les autorités prudentielles pour l’exercice 2020 pousse les établissements financiers à se questionner sur les conséquences de la crise. Il convient donc d’analyser les impacts observés au sein des établissements et d’en modéliser les conséquences.

Pratiques en matière d’emploi et sécurité sur le lieu de travail

Le gouvernement a mis en place des normes strictes et évolutives pour encadrer le travail dans les entreprises.

Les établissements ont réagi en déployant massivement, dans des délais très courts, le télétravail pour leurs collaborateurs et le cas échéant, les intervenants extérieurs. Cette capacité de réaction s’explique, pour certains, par le déploiement du télétravail antérieur à la crise comme nouvelle modalité d’organisation du travail. La mise en place d’une charte régissant le télétravail avait déjà été effectuée par certaines organisations, et des solutions techniques ont été éprouvées lors de grèves ou de situations de blocage.

D’autres établissements ont dû investir rapidement pour équiper leurs collaborateurs en matériel pour les accès à distance dont le coût a pu constituer un impact financier supplémentaire. Dans la durée, les entreprises se sont organisées face à de nouveaux protocoles sanitaires, et pour faire face à un risque social grandissant (absentéisme, santé des travailleurs, risques psychosociaux…).

Néanmoins, d’un point de vue gestion des risques, la crise n’a pas engendré que des pertes mais a pu se traduire également par des gains, du fait de la limitation des déplacements professionnels, de la fermeture de locaux, du chômage partiel, de la suspension voire l’interruption de prestations…

Clients, produits et pratiques commerciales

Les pratiques de gestion de la clientèle ont évolué pour s’adapter aux mesures sanitaires limitant l’accueil du public. Ces adaptations réalisées en urgence ont parfois fragilisé les organisations avec des risques accrus liés par exemple, à la dématérialisation, une moins bonne connaissance du client, ou encore un défaut de conseil. La digitalisation des établissements avec l’adaptation des dispositifs de maîtrise des risques associés a permis la continuité des opérations tout en limitant, semble-t-il, les incidents. Cette agilité a permis de s’adapter aux nouveaux usages et comportements des clients et d’accélérer la transformation digitale des établissements.

Dysfonctionnements de l’activité et des systèmes

Les entreprises ont eu recours à des moyens informatiques supplémentaires (infrastructures et humains) dans l’urgence, afin de pallier les risques d’indisponibilité, de sous-dimensionnement des systèmes d’information, et plus largement les risques d’interruption de service informatique. Pour certains établissements financiers les dispositifs de maîtrise des risques ont permis de limiter les incidents de risques opérationnels informatiques. Cette situation s’explique aussi par la diminution, voire le gel, de projets et une plus forte mobilisation des équipes sur la continuité des activités et des systèmes d’information. Néanmoins, si les pertes opérationnelles ont été limitées sur cette période, le retard pris dans les projets voire leur arrêt pourra être préjudiciable à l’avenir.

"Une solution se dégage dans une approche combinatoire - de type cause à effet. Dans cette approche, un scénario modélise la crise du Covid-19 et est combiné avec les situations de risques"

Zoom sur le risque cyber

Même si les tentatives de cyberattaques et de cyberfraudes visant les établissements se sont accrues pendant la crise sanitaire, les dispositifs de sécurité et de résilience ont permis de contenir les incidents et leurs impacts. Le risque cyber reste une préoccupation majeure pour les établissements et les autorités, ce qui donne lieu à un renforcement constant de la réglementation à l’échelle internationale, avec une attention particulière pour les établissements systémiques. Cependant, les clients ont été la cible privilégiée de cyberattaques et les plus impactés, cela donnant lieu à des campagnes renforcées de communication et de sensibilisation des clients à la cybersécurité.

Exécution, livraison et gestion des processus

La crise a aussi impacté les processus et l’organisation interne des établissements. La généralisation du travail à distance les a en effet obligés à adapter leurs procédures, à faire appel à une dématérialisation accrue, et à généraliser la mise en oeuvre des plans de contrôles à distance. Afin de limiter les erreurs et dysfonctionnements, dans ce contexte d’adaptation du modèle opérationnel, et concentrer les ressources sur les enjeux métiers, les activités non essentielles ont pu être dépriorisées selon une approche par les risques ; les ressources ont été également recentrées sur les enjeux métier et réglementaires. La question de l’alignement des activités externalisées au regard des évolutions du modèle opérationnel s’est posée, de même que la continuité de ces activités. Cela alors même que les établissements sont en cours de mise en conformité avec les lignes directrices de l’EBA sur l’externalisation.

Un nouveau scénario de pandémie pour l’ICAAP ?

L’analyse des conséquences de la crise Covid-19 sur les établissements met en lumière des impacts transversaux significatifs sur leurs risques. Il est donc compliqué de modéliser simplement les impacts financiers. Différentes stratégies sont considérées par les établissements :

• la modélisation d’un scénario de pandémie. Ce scénario s’appuie généralement sur des événements extrêmes historiques tels que la grippe espagnole qui présente un taux de mortalité de l’ordre de 20 % de la population. A priori et à date, il semble compliqué d’analyser les impacts de la crise du Covid-19 à travers ce scénario extrême aux caractéristiques, conditions et conséquences bien différentes.

• Le rattachement des incidents du Covid-19 aux risques déjà modélisés dans les évaluations quantitatives de risques opérationnels. La limite de cette approche est de ne pas pouvoir analyser finement les impacts de ces risques.



Ainsi, les entreprises peuvent mesurer les impacts de la crise (et éventuellement appréhender les situations corrélatives) à travers les risques les plus importants pour l’établissement.

Alors que la durée de la crise et son impact réel dans l’économie restent incertains, une analyse prospective sera sans doute requise afin de déterminer si les fonds propres réglementaires et économiques respectivement alloués au Pilier 1 et au Pilier 2 sont suffisants pour absorber les chocs liés à la crise du Covid-19.

Mais, au-delà de ces considérations d’ordre prudentiel, la crise du Covid-19 n’aura-telle pas également un impact positif sur ces organisations ?

La crise ne se soldera pas par un retour au monde d’avant, mais fera émerger des organisations profondément transformées ; à condition, bien sûr, de retirer et mettre en oeuvre les enseignements de cette crise.

LES POINTS CLÉS

• Les établissements financiers doivent appréhender la crise sanitaire dans le cadre de leurs modèles prudentiels, notamment au titre de l’ICAAP.

• Dans ce cadre, le processus 2020 a été adapté par le régulateur en imposant aux établissements financiers de gérer la crise du Covid-19.

• Les prochains exercices SREP1 doivent tenir compte des impacts de la crise.

• L’analyse de la crise met en exergue une transversalité importante des risques de différentes natures (RH, IT, cyber, externalisation…).

• La modélisation de la crise au titre de l’ICAAP suppose la mise en place de stratégies afin d’évaluer au plus juste les impacts et les conséquences au niveau capital économique.

SUR L'AUTEUR

Nicolas Vetriak, président fondateur de Novaminds, est ingénieur et titulaire d’un MBA en finance internationale, diplômé de l’ENPC. Il dispose d’une longue expérience, d’abord dans des fonctions à responsabilités opérationnelles en risk management puis dans le conseil en stratégie et organisation, avec la donnée au coeur de ses interventions.

Georges Chappotteau, directeur de la division risque et contrôle chez Novaminds et maître de conférences associé à l’IAE de Paris. Il exerce depuis de longues années des fonctions de conseil et de formation en contrôle interne et en gestion des risques opérationnels, et développe sa recherche autour de la prise de décision de la gouvernance des organisations, en matière de risque.