Les établissements financiers doivent aujourd'hui faire évoluer leur business model et adapter la gestion de leurs risques au nouveau contexte réglementaire, réponse des régulateurs nationaux et internationaux à l'enchainement des récentes crises financières (subprimes, liquidité,...) et économiques (dettes souveraines,...). Tous les établissements ont aujourd'hui engagé des efforts significatifs en vue de renforcer leurs fonds propres et leurs réserves de liquidité. Néanmoins, les dispositifs de pilotage des risques en place ne reflètent pas complètement le niveau de risque réel et, surtout, ne permettent pas aux dirigeants de disposer de tous les éléments d'anticipation requis.
Optimiser la vision actuelle des risques grâce à un reporting on time, juste et pertinent
Dans ce contexte de plus en plus exigeant, l'efficacité du pilotage des risques s'affirme pourtant comme un levier majeur de la performance de l'établissement, en complément des éléments constitutifs de la rentabilité.
Pour progresser vers cet objectif, le pilotage des risques doit avant tout répondre à deux enjeux : s'inscrire dans la stratégie globale de l'établissement et refléter le plus fidèlement possible les risques inhérents aux activités.
Schématiquement les établissements déterminent leur appétit aux risques au regard de leurs objectifs stratégiques, notamment en fixant des limites et des seuils de tolérance (ex. ratios de concentration ou de fonds propres) à respecter dans le cadre des activités courantes. Il en découle la définition d'une batterie d'indicateurs de suivi mesurant l'écart entre le profil de risques de l'établissement et les limites et seuils fixés. Produits régulièrement et restitués sous forme de tableaux de bord, les indicateurs de risques alimentent les reportings à destination des instances de pilotage telles que le comité des risques ou le comité exécutif.
Dans les faits, la fiabilité de ces reportings représente un enjeu opérationnel majeur. Un constat fréquent est que les indicateurs fournis à ces instances ne couvrent pas l'ensemble des risques sur toutes les activités et zones géographiques. De plus, les dispositifs de reporting ne garantissent généralement pas la cohérence entre les indicateurs de risques macro (au niveau de l'établissement) et les indicateurs micro, au niveau des portefeuilles et des activités. En conséquence, le suivi du profil de risque de l'établissement comme résultat de la stratégie mise en œuvre reste imparfait.
Définir des indicateurs de risques adéquats
Une première étape d'optimisation du pilotage est de mettre en phase les indicateurs de risques avec la stratégie, la difficulté étant d'assurer la cohérence entre une vision micro et une vision agrégée pour les instances de décision.
A cette fin, la Direction des risques doit travailler avec les différentes parties prenantes (lignes métiers, entités locales, comités des engagements,...) pour définir les indicateurs, leur maille et les règles de calcul nécessaires à l'obtention d'une vision fidèle et cohérente des risques encourus.
Mettre en place un dispositif de reporting efficace
Une fois les indicateurs précisément définis, la seconde étape consiste à assurer leur production de façon régulière et fiable grâce à la mise en place d'un dispositif de reporting efficace. Un tel dispositif repose sur trois piliers :
- l'identification des données sources au niveau de maille requis pour le calcul des indicateurs de risques ;
- la gestion de la qualité des données sources permettant de s'assurer qu'elles présentent l'exhaustivité, l'exactitude et la disponibilité souhaitées ;
- la remontée des données mises en qualité et leur centralisation dans un entrepôt dédié où les calculs d'indicateurs seront industrialisés et stockés;
Les données sont le reflet de l'activité de l'établissement et constituent un actif essentiel qu'il convient de valoriser sous forme d'information intelligente pour faciliter l'aide à la décision et le pilotage. Ainsi, une attention particulière doit être accordée à la qualité des données sources qui conditionne l'efficacité de tout le dispositif. L'expérience montre que confier aux business units locales la responsabilité du contrôle de la qualité des données fournies est un bon moyen pour fiabiliser progressivement les données au fil du temps : c'est en corrigeant les données erronées dans les systèmes de gestion locaux qu'on évite leur propagation et la reconduction d'erreurs.
Pour autant, les données doivent subir de nouveaux contrôles en central avant de pouvoir être utilisées dans le calcul des indicateurs. De plus, la gestion des rejets et des anomalies doit faire l'objet de processus organisationnels local / central définis précisément et aboutissant à la mise de place de règles de gouvernance des données.
Pour renforcer la fiabilité des indicateurs, il est aussi primordial que les données sources utilisées soient cohérentes avec celles de la comptabilité. Pour atteindre cet objectif, les établissements doivent définir des processus de collecte des informations qui comportent au moins deux niveaux de contrôle et d'ajustement.
Le premier niveau de contrôle repose sur une récupération des informations chiffrées commune avec l'interface comptable, une piste d'audit conservant la correspondance entre flux comptables et flux risques. Ces informations sont ensuite enrichies de données de nature non comptable de façon à obtenir l'ensemble des données nécessaires au reporting des risques. Un traitement de rapprochement entre comptabilité générale et données risques boucle le dispositif de contrôle en permettant de calculer, visualiser et corriger les écarts à la maille définie.
En termes de technologie, le cœur du dispositif de reporting est constitué d'un entrepôt de données (et des datamarts associés) dont la structure doit permettre d'agréger les données, de produire les indicateurs et d'analyser les risques en vision multi-axes. Par exemple, les crédits doivent pouvoir être examinés par catégorie de clientèle, par secteur économique, par classe de notation, par type de produits etc.
La restitution de ces informations fait appel à deux grands types d'outils complémentaires aux usages différents : les plate-formes décisionnelles, dont les établissements financiers sont généralement équipés et les outils dynamiques de discovery et self-service.
Les plate-formes décisionnelles assurent le plus souvent la production des reportings périodiques standardisés destinés aux différents comités ou aux régulateurs. A ce stade, le processus de reporting doit être défini précisément et prévoir les enchainements et ordonnancement des tâches (ex. production de tableaux, rédaction des analyses,...) afin d'être en mesure d'assurer une production et une diffusion fiables dans le respect des délais et d'éviter la prolifération de reportings redondants. Il est également essentiel de définir clairement les rôles et responsabilités de chaque acteur (ex. administrateur, responsable production, responsable validation & analyse,...).
Les outils de discovery et self-service, plus souples et réactifs, permettent d'analyser les données à la volée, par exemple pour comprendre l'évolution d'un indicateur spécifique sur une période et un périmètre donnés. Ils peuvent être mis directement à la disposition du middle-management, notamment pour gérer des situations urgentes ou de crise, fournir des analyses ad hoc,... Très flexibles, ils permettent aux utilisateurs métier de s'approprier les données et de conduire les analyses complémentaires dont ils ont besoin.
Intégrer une dimension prospective au reporting des risques pour renforcer les capacités d'anticipation
Rendre plus efficace le dispositif de reporting constitue le socle sur lequel les établissements vont pouvoir s'appuyer pour aller plus loin dans l'optimisation du pilotage des risques. Il s'agit à ce stade d'intégrer une dimension prospective aux reportings en se dotant des capacités de simulation nécessaires à l'anticipation des évolutions du profil de risques.
Les établissements recourent à deux grands types de simulation : des études de sensibilité ad hoc et des tests de résistance ou stress tests.
Les études de sensibilité sont des simulations de type "what-if" portant sur un ou plusieurs portefeuilles et sur des risques spécifiques. Elles consistent typiquement à stresser un facteur de risque pour voir comment un portefeuille d'opérations réagit. Sur un portefeuille obligataire, on observe par exemple comment la variation des taux d'intérêt influe sur la valeur du portefeuille. On détermine ainsi les pertes potentielles qu'une évolution brutale ou persistante peut engendrer. Autre exemple, sur un portefeuille de crédit, on simulera une hausse des probabilités de défauts et l'impact sur les provisions.
Plus compliqués à réaliser, les stress tests reposent sur des scénarios économiques combinant des chocs sur plusieurs facteurs. Ils peuvent porter sur un domaine d'activité ou sur la totalité de l'établissement comme dans les stress tests réglementaires imposés par les différents régulateurs (ex. l'EBA - European Banking Authority). A titre d'illustration, un scénario anticipant une baisse du PIB dans les pays de l'OCDE doit être traduit pays par pays (avec identification des impacts sur le revenu des ménages, le taux de chômage, etc.), puis décliné sur les différents facteurs de risques de l'établissement.
Les principaux objectifs des études de sensibilité et stress-tests sont de fixer ou tester les limites d'exposition et seuils et éventuellement de les modifier, réviser les politiques de gestion de la liquidité ou d'adéquation du capital au profil de risques, réévaluer l'appétit au risque, répondre à des interrogations du management (par exemple face à une crise) ou challenger les stratégies de développement des activités, satisfaire aux exigences réglementaires, etc.
Créer un environnement de simulation conçu pour la prise de décision
Définir des scénarios, les traduire en facteurs de risque, simuler ces risques sur les différents portefeuilles et calculer les indicateurs correspondants (provisions, pertes économiques sur un portefeuille d'opérations de marché...) est une tâche complexe. Ainsi, un établissement ayant précédemment optimisé son système de reporting des risques – en mettant en place un entrepôt de données central avec des données de qualité couvrant l'ensemble des activités au bon niveau de maille et disposant de capacités d'agrégation multi-axes et de production des indicateurs – aura l'avantage de pouvoir utiliser cette base de données réelles pour les stress tests et l'ensemble de ses simulations.
Pour compléter son dispositif de simulation, l'établissement financier devra construire une base centralisée de scénarios, alimentée d'une part par les données de marché, des scénarios déclinés par activité (crédit, marchés, liquidité...) en lien avec ce que font déjà les risk managers des business units, et, d'autre part, des hypothèses sur l'activité de l'établissement (prévision de rentabilité par portefeuille, ratio de fonds propres, notations cibles...) définies en lien avec les prévisions et objectifs du Contrôle de gestion. Les résultats de la traduction des scénarios en impacts sur les facteurs de risque seront également stockés dans cette base ainsi que les paramètres de risque stressés.
En s'appuyant sur ces deux bases de données, datawarehouse central et base de scénarios, l'établissement pourra calculer une version simulée des indicateurs de risques et les intégrer plus facilement au reporting périodique des risques. Le fait d'utiliser les mêmes données sources, les mêmes formules de calcul mais avec les paramètres stressés de la base de scénarios permet ainsi d'obtenir une vision prospective cohérente avec la vision réelle et la possibilité de comparer immédiatement les chiffres réels et simulés pour prendre des décisions.
Anticiper les évolutions du business model
En permettant d'identifier, quantifier et corréler les risques appréhendés jusqu'ici de manière cloisonnée, un dispositif de pilotage optimisé fournit au top management les moyens de mieux évaluer le profil de risque courant de l'établissement et une capacité d'anticipation des difficultés. Il devient ainsi possible d'adapter le business model non plus en réaction au passé mais à la lumière des risques anticipés, facteur indéniable d'agilité stratégique.
C'est maintenant que cela se joue
Malgré les incertitudes actuelles sur les modes de rémunération de ces différents produits et services, il est essentiel que les asset managers se lancent dès maintenant dans les adaptations et investissements qu'exige Solvabilité II. S'ils ne le font pas, ils prennent le risque de perdre des parts du marché des investisseurs institutionnels qui, pour certains d'entre eux, représentent une partie très importante de leur activité.
Le bon dimensionnement des investissements à réaliser dans les mois et années à venir, en termes de technologies et de compétences, dépend fondamentalement du dialogue qu'ils seront capables d'établir avec leurs principaux clients assureurs pour prendre la mesure exacte de leurs attentes. En engageant dès maintenant cette réflexion sur un mode collaboratif, les asset managers ont l'occasion unique de packager une offre à forte valeur ajoutée qui satisfera leurs clients existants et renforcera leur capacité à se développer.