Accéder au contenu principal
Point de vue:
Point de vue

Gouvernance et culture de risque : qu’y a-t-il de nouveau dans les attentes de la BCE ?

Synthèse 

 

  • Les faiblesses dans la gouvernance des banques et la culture de risque sont depuis longtemps un sujet d’attention et de préoccupation de la BCE. Les résultats du SREP (Supervisory Review and Evaluation Process) 2023 soulignent à nouveau l’importance du travail à réaliser dans ce domaine. 
  • Le nouveau Guide consultatif de la BCE sur la gouvernance et la culture de risque comprend de nouvelles indications, plus particulièrement sur la culture de risque, la rémunération, la préparation aux exigences CRD6 et les risques émergents.  
  • La BCE insiste sur la nécessité pour les banques de traiter les problèmes de gouvernance à la racine. Cela implique de s’intéresser aux facteurs comportementaux et culturels qui génèrent les difficultés en matière de gouvernance et de culture des risques. 
  • Outre les nouvelles exigences CRD6 pour les banques de disposer de déclarations individuelles formalisant les rôles, responsabilités et lignes de reporting des dirigeants et titulaires de postes clés, le Guide reprend aussi les attentes de la BCE concernant le fonctionnement de l’organe de direction et des fonctions de contrôle interne. La BCE suggère que les banques devraient s’atteler à mettre en œuvre les nouvelles exigences CRD6 dès maintenant, sans attendre l’entrée en application de la directive CRD6 (janvier 2026). 
  • La BCE souligne que les politiques de rémunération doivent tenir compte d’indicateurs clés de performance relatifs à la maitrise des risques et au contrôle, y compris à la remédiation des faiblesses identifiées par l’audit interne ou les superviseurs.  
  • Dans le cadre de la réforme du SREP, la BCE envisage de recourir à des astreintes quotidiennes pour inciter les banques à résorber effectivement les faiblesses identifiées dans les meilleurs délais. Le nouveau guide de la BCE doit permettre aux établissements de mieux comprendre le niveau des attentes du superviseur concernant la gouvernance et la culture de risque.  

La BCE a publié pour consultation en juillet 2024 un nouveau Guide sur la gouvernance et la culture de risque qui a vocation à remplacer la position de la BCE sur la gouvernance et l’appétit au risque, publiée en juin 2016. Le Guide s’adresse aux banques sous supervision directe ou indirecte de la BCE. Il signale à nouveau l’importance que la BCE accorde aux problèmes de gouvernance et de culture de risque dans les banques, en particulier à la lumière des enseignements tirés de la grande crise financière et de la crise bancaire du printemps 2023 aux Etats-Unis et en Suisse. Elle considère en effet que les insuffisances dans ce domaine sont à l’origine des défauts bancaires observés.   

Les résultats des exercices annuels de SREP insistent sur l’ampleur des faiblesses identifiées dans ce domaine malgré les progrès réalisés dans certaines banques, la BCE ayant imposé des mesures qualitatives relatives à la gouvernance interne et à la gestion des risques à 74% des banques sous sa supervision. L’un des objectifs de la réforme du SREP de la BCE en cours est d’accroître la place et de renforcer l’efficacité des mesures qualitatives dans le cadre du Pilier 2 afin notamment d’accélérer la remédiation des faiblesses identifiées en matière de gouvernance.  

La plupart des banques devraient être familiarisées avec l’essentiel du nouveau Guide, la BCE ayant indiqué qu’il reprend les exigences actuelles et les bonnes pratiques ayant émergé depuis 2016.  Cependant, l’étendue des sujets couverts par le nouveau Guide est sans commune mesure avec la position de la BCE de 2016, puisqu’il est trois fois plus long. Par ailleurs, le nouveau Guide doit être lu conjointement avec d’autres guides de la BCE, notamment ceux sur l’évaluation de l’honorabilité, des connaissances, des compétences et de l’expérience, les risques liés au climat et à l’environnement, l’agrégation des données et le reporting sur les risques et les options et facultés prévues par le droit de l’Union

Le nouveau Guide comprend néanmoins de nouvelles indications, plus particulièrement sur la culture de risque, la rémunération, la préparation aux exigences CRD6 et les risques émergents. De plus, les « bonnes pratiques » et « signaux d’alerte » évoqués dans les différents chapitres du document créent de facto de nouvelles attentes ou des attentes renforcées pour les banques qui devront en tenir compte pour démontrer que leur gouvernance interne et leur culture de risque sont en phase avec le niveau d’exigence du superviseur.  

Quelles sont les principales nouveautés ?  

 

Culture de risque 

 

Il s’agit de la thématique sur laquelle le Guide consultatif se distingue particulièrement de la position BCE de 2016, en raison du volume des indications contenues sur ce sujet. Bien qu’il ne s’agisse pas d’un sujet nouveau en soi – le module SREP relatif à la gouvernance comprend déjà une évaluation de la culture de risque des banques – la BCE a éprouvé le besoin de détailler ses attentes en ce domaine après avoir noté des carences sévères de la culture de risque comme l’un des facteurs ayant contribué à la dégradation des notes de gouvernance dans le SREP 2023. Le projet de Guide indique que les banques doivent définir leur culture de risque, disposer d’un code de conduite, surveiller et évaluer le respect de ce code au sein de la banque, et s’assurer que les résultats de ces évaluations sont reportés au moyen d’un tableau de bord et qu’ils fassent l’objet de discussions au sein de l’organe de direction.    

La BCE établit qu’une culture des risque solide repose sur au moins 4 ingrédients : 

  • L’impulsion et le ton donnés par les dirigeants. La communication et les actions de l’organe de direction, à la fois dans ses fonctions exécutives et de supervision, doivent être cohérentes avec une saine gestion des risques et une solide culture de risque, y compris la conformité, l’éthique, et le risque de comportement1. La qualité du dialogue avec les superviseurs en fait partie intégrante. 

  • Une culture de communication efficace sur les risques, de questionnement constructif et de diversité des points de vue à tous les niveaux de la banque. 

  • Des responsabilités clairement établies concernant la gestion et la maitrise des risques avec des conséquences évidentes en cas d’infraction aux normes internes, ce qui implique que les fonctions et métiers soient bien familiarisés avec tous les aspects du cadre de gestion des risques les concernant (y compris les stratégies risques, le cadre d’appétit au risque et les limites) et avec les valeurs éthiques affirmées au sein de la banque. Les processus d’escalade et d’alertes doivent être clairement établis et efficaces. 

  • Des incitations à une saine gestion et maîtrise des risques (y compris en termes de rémunération), reposant sur des politiques de rémunération, de gestion des talents et de promotion alignées sur les intérêts à long terme de la banque et favorisant les comportements éthiques et une saine gestion des risques. Les banques doivent disposer de procédures internes disciplinaires ou de sanctions en cas d’infraction aux normes internes et externes, y compris en matière d’éthique, de culture des risques, et de risque de comportement1.  

Ces 4 ingrédients ne sont pas fondamentalement nouveaux car ils sont en ligne avec ceux établis par le Conseil de Stabilité Financière dans son guide sur la culture de risque des institutions financières d’avril 2014. De plus, ils reposent sur une terminologie cohérente avec celle de la directive CRD et du guide de l’EBA sur la gouvernance interne de juillet 2021. Cependant, le Guide de la BCE insiste particulièrement sur la nécessaire diversité des profils, des expertises et des points de vue pour éviter les effets potentiellement néfastes de la « pensée unique » dans un groupe, ainsi que sur « l’indépendance d’esprit » des membres de l’organe de direction dans sa fonction de supervision grâce à une bonne gestion de possibles conflits d’intérêt.  

 

Rémunération 

 

Le volet rémunération du guide reprend pour l’essentiel les indications à ce sujet dans le guide sur la gouvernance interne de l’EBA. Toutefois, le guide de la BCE est plus détaillé sur plusieurs aspects, plus particulièrement du fait des bonnes pratiques identifiées, mais également des « signaux d’alerte » comportementaux et culturels soulignés dans le document et considérés comme n’étant pas alignés avec la promotion d’une solide culture de risque.   

Ainsi, la BCE attend des banques d’inclure dans leur politique d’évaluation de la performance des objectifs liés à la maitrise des risques et au contrôle, ainsi que des indicateurs de performance associés à la remédiation des faiblesses identifiées par les fonctions de contrôle et par les superviseurs. Ce dernier point est à considérer dans le contexte de la réforme du SREP engagée par la BCE visant notamment à accélérer la correction des faiblesses identifiées par les superviseurs et l’attention à nouveau portée par la BCE à l’efficacité des fonctions d’audit interne.

La BCE souhaite également un lien renforcé entre la politique de rémunération et le cadre d’appétit au risque, au moyen d’indicateurs de performance cohérents avec les métriques-clés du cadre d’appétit au risque et d’ajustements de primes individuelles ou collectives basés sur la conformité au cadre d’appétit au risque.  

La BCE insiste aussi sur l’importance pour les banques de considérer les actions et les comportements encourageant des prises de risque excessives, non seulement dans le cadre de la politique de rémunération mais également dans les autres formes d’incitations (ex. : promotions, gestion des talents).  

Ces dispositions ne sont pas fondamentalement nouvelles pour la plupart des établissements, bien qu’elles aillent plutôt dans le sens d’une hausse des attentes des superviseurs en ce qui concerne le lien entre la gestion des risques et la politique de rémunération. Désormais, grâce au guide de la BCE, les superviseurs disposeront d’un inventaire des bonnes pratiques et des signaux d’alerte à partir desquels évaluer les politiques de rémunération et les autres incitations mises en œuvre au sein des banques.  

 

Se préparer aux exigences CRD6 d’évaluation de l’honorabilité, des compétences et de l’expérience (« fit and proper ») 

 

La directive CRD6 introduit un nouveau cadre harmonisé d’évaluation de l’honorabilité, des compétences et de l’expérience des dirigeants et des détenteurs de fonctions-clés. Afin de permettre aux superviseurs d’évaluer les aptitudes individuelles et collectives des membres de l’organe de direction, la directive exige en effet des banques des déclarations individuelles formalisant les rôles, responsabilités et lignes de reporting, y compris fonctionnelles, de tous les membres de l’organe de direction dans ses fonctions exécutives, des directeurs généraux2 et des titulaires de postes clés3. La directive doit être transposée par les Etats Membres avant le 10 janvier 2026.  

La BCE suggère que les banques devraient s’y atteler sans tarder. L’expérience acquise de la mise en œuvre de dispositions similaires dans d’autres juridictions, par exemple le régime SMCR (Senior Managers and Certification Regime) au Royaume-Uni, a montré en effet qu’il s’agit d’un travail qui peut être significatif et complexe. Il ne doit pas être simplement vu comme un exercice purement administratif car la définition et la formalisation des responsabilités des dirigeants et détenteurs de fonctions-clés a des conséquences sensibles sur la manière dont ils perçoivent leurs rôles et peut donner lieu à d’épineuses discussions concernant les rémunérations et leurs responsabilités effectives.  

 

Une attention accrue portée aux risques émergents 

 

Une des différences marquées entre le projet de Guide de la BCE et sa position de juin 2016 sur la gouvernance et l'appétit au risque provient de l’importance donnée dans le Guide aux risques émergents, tels que ceux résultant des évolutions géopolitiques, de la digitalisation (développements de l’Intelligence Artificielle, cryptoactifs, finance décentralisée, etc.) et des risques ESG (Environnement, Sociaux et Gouvernance).  

De longue date, la BCE a souligné la nécessité pour les banques d’identifier et de maîtriser les risques nouveaux et émergents et de s’adapter aux évolutions structurelles de long-terme qui affectent l’industrie bancaire et financière. On notera cependant l’attention accrue du superviseur portée à la bonne prise en compte des risques géopolitiques dans le cadre de gouvernance des banques.  

Le développement et le maintien d’une solide culture de risque est nécessaire à l’identification et une saine gestion des risques émergents. Les employés et les dirigeants doivent être incités à être proactifs dans l’examen des risques émergents et, lorsque nécessaire, à questionner le statu quo, plutôt que de se limiter à l’examen des risques les plus évidents.  

Il est difficile d’acquérir toutes les expertises nécessaires à la bonne gestion des risques émergents au niveau de l’organe de direction et dans chacune des trois lignes de défense. L’obsolescence des compétences doit être évitée au moyen de formations et de plan de succession appropriées, compte tenu des développements rapides dans ces différents domaines. La demande en expertises (internes et externes) peut largement excéder l’offre dans certains domaines de risques émergents.  

Les établissements doivent en particulier tenir compte du fait que les superviseurs s’attendent à ce que les responsabilités pour l’identification, la gestion et le suivi des risques émergents soient effectivement exercées dans chacune des trois lignes de défense. Par exemple, si toute l’expertise sur un sujet émergent et complexe se trouve concentrée au sein de la seconde ligne, il y a un risque que celle-ci ne devienne le responsable unique pour la gestion du risque concerné avec un engagement insuffisant des première et troisième lignes.  

 

La réaffirmation des fondamentaux d’une saine gouvernance des risques 

 

Fondamentalement, le projet de Guide indique la volonté de la BCE de voir les banques traiter leurs problèmes de gouvernance à la racine, ce qui implique un travail plus en profondeur sur les causes des problèmes au regard des 4 ingrédients de la culture de risque rappelés ci-dessus. Les banques qui se contenteraient de ne revoir que le cadre de fonctionnement de la gouvernance sans effectuer un travail sur la culture de risque, s’exposent à ne pas réellement traiter les problèmes de fond identifiés par les superviseurs. 

Le Guide de la BCE conforte le modèle des 3 lignes de défense pour l’organisation de contrôle interne. Le superviseur réaffirme ses attentes concernant les rôles et les responsabilités de chacune des fonctions de contrôle, alors que certaines banques peuvent être tentées d’optimiser les coûts et d’ajuster les ressources de chacune des lignes. Les banques qui chercheraient à optimiser leur dispositif par des réductions de moyens alloués aux fonctions de contrôle ou à des combinaisons de moyens au sein de la seconde ligne s’exposent à de sérieuses questions du superviseur.  

Bien que le Guide de la BCE n’évoque pas ce sujet, il apparaît important que les banques s’assurent de l’organisation optimale des différentes fonctions de contrôles permanents, sans redondances dans la nature et les objectifs des contrôles, et que les contrôles effectivement réalisés soient régulièrement adaptés pour en maintenir la pertinence et l’efficacité. Les fonctions concernées devraient donc régulièrement et fréquemment s’interroger sur le point de savoir si leurs moyens sont convenablement répartis, suffisants, et si l’intensité des contrôles reste proportionnée aux risques inhérents à chaque activité. Ceci implique qu’elles aient une démarche d’analyse et les outils pour déterminer sur quelles activités elles doivent intensifier leurs contrôles au regard de l’évolution des risques et, à l’inverse, celles pour lesquelles elles peuvent réduire l’intensité ou la fréquence des contrôles. De plus, la plupart des bonnes pratiques évoquées dans le Guide de la BCE et applicables à la troisième ligne de défense, notamment pour le suivi des faiblesses identifiées, sont également pertinentes pour la seconde ligne.  

Enfin, le Guide de la BCE souligne que l’organe de direction dans sa fonction de surveillance doit être en mesure de questionner de façon indépendante les propositions et décisions des fonctions exécutives, requérant des banques qu’elles prennent au besoin des mesures spécifiques pour que ce soit le cas.  Celui-ci doit évaluer chaque année le fonctionnement des fonctions de contrôle, y compris pour les contrôles externalisés et les filiales et succursales, et se forger une opinion sur leurs forces et faiblesses.  

 

Pour conclure

Il est recommandé aux banques d’effectuer une évaluation des écarts entre leur gouvernance interne et leur culture de risque et les attentes formulées dans le Guide. La correction des insuffisances en matière de gouvernance interne et de culture de risque peut nécessiter du temps, en particulier lorsque les causes sont profondément ancrées dans des attitudes ou des comportements inadaptés pour une saine gestion des risques.  

Comme indiqué ci-dessus, les résultats des derniers exercices de SREP indiquent que les faiblesses en termes de gouvernance interne sont largement répandues dans les banques sous supervision du mécanisme de supervision unique (MSU). Toutes les banques ont des voies de progrès : dans le système de score du SREP, sur une échelle de 1 à 4 (1 étant la meilleure note), aucune banque n’a obtenu une note de 1 ou 2+ pour le module de gouvernance au terme du cycle SREP 2023. Près de 60% des banques ont été notées 3 ou moins, indiquant que la BCE estime que le risque de gouvernance a un impact allant de « moyen » à « élevé » sur la viabilité des banques.   

Les problématiques de nature qualitative revêtent une importance accrue dans le cadre du nouveau SREP. Les superviseurs ont signalé leur ferme intention d’utiliser plus largement tous les pouvoirs qui leur ont été donnés, celui en particulier d’imposer des astreintes quotidiennes (pouvant aller jusqu’à 5% du chiffre d’affaires moyen pendant 6 mois, si les exigences ne sont pas mises en œuvre). Il n’est donc pas recommandé de retarder davantage la correction des insuffisances concernant la gouvernance et la culture de risque.  

Nous contacter

Michel Guidoux

Directeur, FSI Risk Advisory

Frédéric Bujoc

Associé Risk Advisory, responsable secteur banque

Nicolas Fleuret

Associé | Risk, Regulatory & Forensic

Avez-vous trouvé cela utile ?

Oui
Non

Merci pour votre retour

Votre avis est important pour nous

Pour nous partager votre avis, vous devez accepter les cookies d'analyse et de performance.

Besoin d'aide pour mettre à jour vos préférences ?

Nos points de vue

2022, une année exceptionnelle pour la production électrique européenne

L’année 2022 a été particulièrement instable et marquée par de nombreux évènements affectant la production et la consommation d’électricité en Europe. Que ce soit à travers la crise ukrainienne, la reprise économique post-covid ou encore les tensions géopolitiques sur le gaz, l’incertitude a prédominé sur le marché européen. Faits récurrents depuis quelques années, les risques de coupure, de black-out, ou encore de recours brutal au charbon ont été au cœur de l’actualité. Quels bilans peut-on désormais tirer de l’année 2022 et de l’hiver 2022-2023 ? Quelles sont les perspectives pour l’Europe à court et long terme ?
Point de vue
Temps de lecture : 4 min

L’élaboration de la politique américaine de contrôle des exportations envers la Chine

Avant la fin de la guerre froide, et de la montée en puissance de la Chine sur la scène internationale, la politique américaine de contrôle des exportations envers la Chine obéissait à une dynamique tout à fait différente de celle d’aujourd’hui.
Point de vue
Temps de lecture : 4 min

La sécurisation de l’intangible

Pour les industries manipulant des données sensibles et stratégiques, la digitalisation croissante pose des défis de sécurité pour les données sensibles contrôlées par des réglementations nationales et internationales. Il est crucial d'identifier, classer et marquer ces données tout en assurant une conformité rigoureuse pour prévenir les exportations non autorisées.
Point de vue
Temps de lecture : 4 min

[#3 Traceability] Key success factors in choosing a traceability tool

The rise of globalization and free trade have favored an increased complexity and fragmentation of supply chains in all industries.
Point de vue
Temps de lecture : 4 min
Découvrir nos points de vue