La gestion des risques est l’affaire de tous !

Per­rine Kalt­was­ser, Group Chief Risk Offi­cer, nous explique com­ment le groupe La Banque Pos­tale appré­hende au quo­ti­dien la ges­tion des risques dans un domaine aus­si com­plexe, mou­vant et stra­té­gique que celui de la ban­cas­su­rance. Entretien.

Quel est le positionnement de la Banque Postale en matière de gestion des risques ? 

La Banque Pos­tale est d’abord un acteur majeur de l’économie fran­çaise sur ses acti­vi­tés ban­caires, assu­ran­tielles et de ges­tion d’actifs. Pla­cé sous la super­vi­sion de la Banque cen­trale euro­péenne, le groupe a un très haut niveau d’exigence sur la ges­tion du capi­tal et de la liqui­di­té, la gou­ver­nance, le dis­po­si­tif de contrôle interne, le risque cyber…

Notre modèle de ban­cas­su­rance s’articule autour de 4 grands métiers : 

• la Ban­cas­su­rance France (60 % du RNPG des métiers) qui regroupe les acti­vi­tés banque de détail de La Banque Pos­tale ain­si que Ma French Bank et les filiales domes­tiques d’assurances vie et non vie ; 
• la Ban­cas­su­rance Inter­na­tio­nal (12 %) consti­tuée des acti­vi­tés de ban­cas­su­rance inter­na­tio­nale de CNP Assu­rances, notam­ment au Bré­sil, en Ita­lie et en Irlande ; 
• la Banque Patri­mo­niale et Ges­tion d’Actifs (6 %) qui regroupe notam­ment les acti­vi­tés de la banque pri­vée BPE et des socié­tés de ges­tion d’actifs La Banque Pos­tale Asset Mana­ge­ment (LBP AM), Toc­que­ville Finance ain­si que la co-entre­prise Ostrum AM (déte­nue avec Natixis) ; 
• la Banque de Finan­ce­ment et d’Investissement (22 %) qui regroupe les acti­vi­tés des­ti­nées aux entre­prises, au sec­teur public local, aux ins­ti­tu­tions finan­cières, les acti­vi­tés de mar­ché et de finan­ce­ments spécialisés.

Le posi­tion­ne­ment de la filière risques consiste à accom­pa­gner l’ensemble de ces métiers en lien direct avec les clients dans le déve­lop­pe­ment de leurs acti­vi­tés, tout en garan­tis­sant une bonne maî­trise des risques, y com­pris les risques RSE et cyber. Notre dis­po­si­tif et notre orga­ni­sa­tion sont cali­brés en fonc­tion de ce busi­ness mix et doivent suivre son évolution.

Dans un contexte incertain marqué par la pandémie, la gestion des risques a joué et continue à jouer un rôle central. Qu’en est-il ? Comment avez-vous appréhendé cette situation ? 

Depuis le début de la crise sani­taire, le contrôle des risques a joué un rôle essen­tiel pour faire face aux réper­cus­sions sur l’économie. Les équipes risques ont été, dès le départ, extrê­me­ment mobi­li­sées avec plu­sieurs mis­sions pri­mor­diales : assu­rer la conti­nui­té d’activité mal­gré les contraintes sani­taires et le confi­ne­ment avec une atten­tion ren­for­cée aux sys­tèmes infor­ma­tiques ; contrô­ler au quo­ti­dien l’impact de la baisse des mar­chés finan­ciers sur nos pla­ce­ments ; sur­veiller les risques de nos por­te­feuilles de clients, par­ti­cu­liers et entre­prises ; tenir régu­liè­re­ment infor­més le direc­toire et le comi­té exé­cu­tif de la banque sur les sujets majeurs qui engagent sa responsabilité… 

Dans ce contexte inédit, des risques spé­ci­fiques liés notam­ment à la « dis­tan­cia­tion » sont appa­rus (aug­men­ta­tion des risques de fraude, risque cyber…). Nos équipes risque ont dû y faire face afin de main­te­nir un haut niveau de sécu­ri­té pour nos clients notam­ment au niveau de l’accès aux comptes et de la sur­veillance des ten­ta­tives de fraude ; elles ont éga­le­ment tra­vaillé sur la sen­si­bi­li­sa­tion de nos clients au dan­ger que repré­sentent les e‑mails qui contiennent des liens sus­pects. Pour nos col­la­bo­ra­teurs, nous avons adap­té nos pro­cé­dures dans le cadre du déploie­ment du télé­tra­vail, de la sécu­ri­sa­tion des accès aux sys­tèmes d’informations, de la ges­tion des risques… 

Depuis le début de la pan­dé­mie, nous sommes ame­nés à inter­ve­nir dans l’urgence avec le lan­ce­ment des prêts garan­tis par l’État (PGE) pour nos clients entre­prises, le trai­te­ment des demandes de reports d’échéance pour nos clients par­ti­cu­liers, et l’adaptation des solu­tions, au cas par cas, pour pal­lier la dégra­da­tion finan­cière de nos clients. 

Au-delà, nous nous attendons à une détérioration de la situation des entreprises. Qu’en est-il ? Comment anticipez-vous ce sujet ? 

Nous avons ren­for­cé notre dis­po­si­tif de sui­vi du risque pour opti­mi­ser la ges­tion des dos­siers des clients entre­prises en dif­fi­cul­tés, trou­ver des solu­tions adap­tées, comme men­tion­né pré­cé­dem­ment, anti­ci­per les risques inhé­rents sur les dif­fé­rents portefeuilles. 

Aujourd’hui, le risque avé­ré reste faible. Néan­moins, avec la levée pro­gres­sive du sou­tien de l’État, une dégra­da­tion de la situa­tion de cer­taines entre­prises, plus fra­giles avant crise ou dont le modèle d’activité a été fra­gi­li­sé par les chan­ge­ments d’habitudes de leurs clients, est à attendre.

En parallèle, depuis quelques années, deux nouveaux risques se sont imposés : le risque cyber et le risque climatique et environnement (RCE). Qu’est-ce que cette évolution implique pour la Banque Postale ? 

La Banque Pos­tale a pour ambi­tion de se posi­tion­ner comme un acteur de réfé­rence en matière de ges­tion du risque cli­ma­tique et envi­ron­ne­men­tal. Notre ambi­tion est de viser les meilleures pra­tiques et de maî­tri­ser l’exposition tout en répon­dant aux exi­gences régle­men­taires. Concrè­te­ment, cela implique d’intégrer les risques liés aux cri­tères extra-finan­ciers (ESG) dans nos dis­po­si­tifs de ges­tion des risques. C’est une démarche indis­pen­sable pour nous enga­ger en faveur d’une finance durable au ser­vice d’une tran­si­tion juste notam­ment pour accom­pa­gner la tran­si­tion éner­gé­tique. Au-delà des exi­gences régle­men­taires, nous avons aus­si fait le choix d’en faire un axe de pilo­tage à part entière au tra­vers de l’indice d’impact glo­bal (2IG). Cet indice vise à mesu­rer l’impact de nos acti­vi­tés sur les dimen­sions envi­ron­ne­men­tales, socié­tales et ter­ri­to­riales. Il sera pris en compte dans les déci­sions de la banque pour l’octroi de cré­dits ou d’investissement et per­met­tra aux clients de flé­cher leur épargne. C’est, d’ailleurs, l’une des appli­ca­tions concrètes de notre rai­son d’être dévoi­lée en juin der­nier. Pour Phi­lippe Heim, pré­sident du direc­toire de La Banque Pos­tale : « Notre rai­son d’être offi­cia­lise la volon­té de La Banque Pos­tale d’accompagner la socié­té dans ses grandes tran­si­tions – numé­rique, ter­ri­to­riale, démo­gra­phique et éco­lo­gique […] ». L’enjeu est de recher­cher et de trou­ver l’équilibre le plus juste entre crois­sance éco­no­mique, pro­grès socié­tal, social, et res­pect environnemental.

Au niveau du risque cyber, la crise sani­taire et le pas­sage mas­sif au tra­vail à dis­tance ont ren­du les sys­tèmes infor­ma­tiques des entre­prises plus vul­né­rables. Le nombre de cybe­rat­taques contre les ins­ti­tu­tions finan­cières dans le monde a tri­plé entre février et avril 2020, les ten­ta­tives d’extorsion de don­nées per­son­nelles ont été mul­ti­pliées par neuf, et les vire­ments ban­caires frau­du­leux ont ain­si été le prin­ci­pal vec­teur de cybe­rat­taques en 2020. Pré­ci­sons que les cybe­rat­taques sont davan­tage liées à des erreurs humaines qu’au déve­lop­pe­ment digi­tal des banques. Les clients peuvent éga­le­ment être vic­times de phi­shing, c’est-à-dire un vol d’identifiants au moyen d’un mes­sage élec­tro­nique ou SMS fal­si­fié pour avoir accès à leur compte ban­caire. Dans ce cadre, en com­plé­ment des com­mu­ni­ca­tions d’information et de sen­si­bi­li­sa­tion auprès de nos clients, le groupe s’est fixé trois priorités : 

• Ren­for­cer notre capa­ci­té à trai­ter les cybe­rat­taques effi­ca­ce­ment : il est aujourd’hui indis­pen­sable de dis­po­ser de l’organisation et de l’expertise néces­saires pour trai­ter ce type de situa­tion et mini­mi­ser les impacts pour le groupe ; 
• Orga­ni­ser la pro­tec­tion des don­nées sen­sibles : il s’agit d’un sujet cri­tique, car les don­nées sont sou­vent la cible des cybe­rat­ta­quants, mais aus­si l’objet de mul­tiples exi­gences réglementaires ;

Maî­tri­ser effi­ca­ce­ment la ges­tion des iden­ti­tés et des accès.

L’enjeu est plus que jamais de développer une véritable culture risque dans le monde de la banque et de l’assurance. Quel regard portez-vous sur ce sujet ? 

La culture risque fait par­tie inté­grante de notre culture d’entreprise. C’est la nature même du métier de ban­cas­su­reur que de prendre des risques, mais de manière maî­tri­sée, rai­son­nable et accep­tée. Les obli­ga­tions règle­men­taires qui incombent aux acteurs majeurs du sec­teur finan­cier nous obligent, certes, mais il ne faut pas s’arrêter là. Il faut aller au-delà ! La culture risque contri­bue à garan­tir une crois­sance saine et durable de l’entreprise. C’est réel­le­ment l’un des fac­teurs clés de suc­cès pour atteindre les objec­tifs stra­té­giques que nous nous sommes fixés à hori­zon 2030.

Concrè­te­ment, une culture risque saine et solide repose sur quatre piliers fon­da­men­taux : le lea­der­ship (le ton adop­té et les mes­sages por­tés par les diri­geants à l’ensemble des col­la­bo­ra­teurs sur les sujets risques) ; l’organisation (l’application des codes et des pro­cé­dures édic­tées par l’organisation pour pré­ve­nir les col­la­bo­ra­teurs dans leur acti­vi­té quo­ti­dienne) ; le dis­po­si­tif de ges­tion des risques (la com­pré­hen­sion et la connais­sance par tous les col­la­bo­ra­teurs des enjeux de la maî­trise des risques et des pro­cé­dures d’alertes et de remon­tée en cas de sur­ve­nance d’un inci­dent) et les inci­ta­tions (les dif­fé­rents leviers que sont la ges­tion de car­rière, la poli­tique de rémunération). 

La culture risque doit pas­ser par une infor­ma­tion régu­lière auprès de l’ensemble des col­la­bo­ra­teurs, une com­mu­ni­ca­tion fluide à tous les niveaux de l’entreprise, une ges­tion docu­men­taire effi­cace ain­si que par des actions régu­lières de sen­si­bi­li­sa­tion et de for­ma­tion sur les dif­fé­rents sujets pour acqué­rir les bons réflexes. Les risques ne concernent pas uni­que­ment les équipes risques, c’est l’affaire de tous les col­la­bo­ra­teurs ! D’ailleurs, nous avons récem­ment copro­duit avec l’EBR (l’école de la banque et du réseau) un module de for­ma­tion « Les risques, tous concer­nés » visant à accé­lé­rer l’acculturation de tous à ce sujet stra­té­gique et critique. 

Et pour relever l’ensemble de ces défis, le capital humain, les talents et les compétences sont essentiels. Pour renforcer vos équipes, quels sont les profils dont vous avez besoin ? 

La filière risque du groupe La Banque Pos­tale regroupe aujourd’hui plus de 1 160 col­la­bo­ra­teurs exer­çant plus de 40 métiers d’expertise autour des 4 grands pôles métiers. Nos besoins sont à la hau­teur de la diver­si­té de nos métiers d’expertise ! Les équipes risques couvrent l’ensemble des risques (opé­ra­tion­nel, cré­dit, contre­par­tie, mar­ché, RSE, liqui­di­té, assu­rance…). Aujourd’hui, nos prin­ci­paux défis sont d’adapter notre orga­ni­sa­tion et le dimen­sion­ne­ment des équipes au regard de l’accroissement et de la com­plexi­fi­ca­tion de nos acti­vi­tés ; de conti­nuer à déve­lop­per les com­pé­tences et les exper­tises au sein de la filière risques ; de pro­po­ser des évo­lu­tions de car­rières moti­vantes notam­ment en créant des pas­se­relles entre les métiers au sein du groupe. Nous opé­rons dans un envi­ron­ne­ment sti­mu­lant et en constante évo­lu­tion ; nous sommes donc constam­ment à la recherche de nou­veaux talents ! 

---

Articles similaires :

La ges­tion des risques, un levier de crois­sance et de performance Quand les risques sont gérés l’entreprise et le tis­su éco­no­mique sont durables Ges­tion des risques : un besoin ren­for­cé d’innovation et d’agilité Exper­tise, qua­li­té de ser­vice et inno­va­tion pour mieux assu­rer les entreprises Exper­tise & assu­rance : des spé­cia­listes des risques indus­triels et com­mer­ciaux à la pointe des enjeux de demain