Appétence au risque dans les banques suisses : comment la rédiger ?

appétit au risque

La prise de risque mesurée est au cœur de l’activité bancaire. Elle demande une rédaction des processus et une approbation par le conseil d’administration une fois par année. Cette formalisation écrite de l’appétit au risque repose sur les objectifs stratégiques de chaque banque. Elle permet de mesurer l’efficacité des actions menées pour les atteindre. Nous vous détaillons ce que revêt cette notion appelée plutôt “tolérance au risque” par les établissements bancaires suisses. Nous vous procurons les sources réglementaires qui la régissent ou l’évoquent. Enfin, nous apportons quelques conseils afin de préparer votre déclaration d’appétit pour le risque.

1 – Appétit et tolérance au risque : définitions et différences

Au niveau international, appétit et tolérance ne revêtent pas exactement la même signification.

1.1 – Risk appetite ou appétit au risque : définition

L’appétit au risque est la traduction littérale de l’expression anglaise “risk appetite”. Cette notion correspond au niveau de risque qu’une entité ou un groupe accepte de courir, selon les objectifs stratégiques retenus.

1.2 – Définition de l’appétit au risque selon le COSO 2 : une vision stratégique

Le COSO est le Committee of Sponsoring Organizations of the Treadway Commission. Cette structure qui fait référence mondialement en contrôle interne a défini la notion de risk appetite dans son document de juin 2017 intitulé “Enterprise Risk Management – Integration with Strategy and Performance”. Ainsi, le COSO considère que l’appétit au risque correspond au type et au niveau de risque qu’une organisation accepte de prendre, tout en créant de la valeur.

1.3 – Définition de la tolérance au risque : une mesure de la performance des objectifs stratégiques

À l’échelon mondial, la tolérance au risque est souvent distinguée de l’appétit au risque. Elle suppose de mesurer le niveau de risque qu’une entité accepte d’assumer. Par exemple, pour un investisseur, c’est le montant ou taux de pertes qu’il peut supporter, face à la volatilité des marchés financiers. Ce concept s’attache donc à fixer des indicateurs, métriques et barèmes pour évaluer l’atteinte des objectifs définis sur le plan stratégique par une entreprise, donc l’appétit au risque.

1.4 – Terminologie utilisée dans la réglementation financière suisse : la tolérance au risque

La réglementation suisse parle plutôt de tolérance au risque quand il s’agit d’évoquer le risk appetite. En quelque sorte, ce concept représente une manière de traduire la stratégie de l’établissement bancaire : quelle activité déployer et pour quel secteur, avec quel niveau de risque tolérable ? Ces éléments s’intègrent dans une déclaration d’appétit pour le risque, avec une délimitation claire tant sur le plan qualitatif que quantitatif de chaque activité ou service.

2 – Appétence au risque : exigences réglementaires en Suisse

Que dit la réglementation suisse sur le plan de l’appétence au risque ? Passons en revue la documentation qui traite du sujet ainsi que les textes réglementaires qui y font référence.

2.1 – Les textes qui régissent la notion d’appétit au risque

De nombreuses sources réglementaires évoquent ce concept et l’encadrent.

Que dit l’OB ?

L’Ordonnance sur les banques (OB) comporte un article 12 intitulé “séparation des fonctions et gestion des risques” qui fait référence à l’art. 3 al. 2 let. a, 3f et 3g de la loi sur les banques (LB). Ce texte explique que chaque établissement doit définir et documenter sa tolérance au risque.  

Que dit la circulaire FINMA 17/01 ?

La circulaire FINMA 17/01 précise que “la tolérance au risque inclut des considérations tant quantitatives que qualitatives concernant les principaux risques que l’établissement est prêt à assumer pour atteindre ses objectifs commerciaux stratégiques, compte tenu de sa planification des fonds propres et des liquidités”. Cette circulaire spécifie ensuite que la tolérance fait l’objet d’une fixation pour chaque catégorie de risques ainsi que pour l’ensemble de l’établissement si c’est pertinent.

Le cm 71 ajoute que “le contrôle des risques surveille le profil de risque de l’établissement, notamment à l’aune de la tolérance au risque et des limites posées en matière de risques définies par la politique de risque et les principes de gestion des risques à l’échelle de l’établissement.”

Que dit l’Oliq par exemple ?

L’appétit au risque doit couvrir tous les aspects de la stratégie de l’établissement financier ainsi que tous les risques pour lesquels la réglementation l’exige explicitement. C’est le cas par exemple du risque de liquidité.

En effet, l’ordonnance sur les liquidités des banques et des maisons de titres spécifie à l’article 6 les fonctions de direction, de contrôle et de pilotage. Voici les deux premiers alinéas :

  • “une fois que les banques ont défini dans quelle mesure elles sont disposées à prendre des risques de liquidité (tolérance au risque de liquidité) ;
  • elles définissent leurs stratégies de pilotage du risque de liquidité en conformité avec leur tolérance au risque de liquidité”.

La suite de l’article 6 spécifie que chaque banque doit tenir compte de ses coûts et de ses risques, pour chaque activité, lors de la fixation des prix ou le calcul des rendements de nouveaux produits.

Que dit la circulaire FINMA 15/02 relative au risque de liquidité ?

Cette circulaire a trait aux exigences qualitatives en matière de gestion du risque de liquidité et quantitatives en matière de détention des liquidités. La tolérance au risque de liquidité constitue le point de départ pour rendre les stratégies internes d’une banque opérationnelles : 

  • gestion du risque de liquidité ;
  • ensemble de directives relatives aux liquidités ;
  • processus de surveillance et de pilotage des risques.

Que dit la circulaire FINMA 23/01 en matière de risque opérationnel ?

La circulaire précise que la gestion des risques opérationnels entre dans la gestion globale des risques d’une banque. Elle définit le rôle de l’organe responsable de la haute direction en termes de risques opérationnels. Ainsi, il doit approuver annuellement au minimum la tolérance aux différents types de risques opérationnels. Elle donne leur périmètre, soit notamment : 

  • les risques du type cyber ;
  • les risques TIC ;
  • les risques qui surgissent tant lors de la conception que le déploiement du BCM ;
  • les risques relatifs aux services transfrontaliers.

Que dit la communication FINMA sur la surveillance 05/2023 ?

Ce document relatif à l’analyse des risques de blanchiment et d’argent cite aussi le cm 53 de la circ.-FINMA 17/07 et rappelle l’importance que chaque établissement définisse correctement la tolérance au risque. Il souligne que ce concept doit également inclure les risques de blanchiment d’argent.

2.2 – Les textes de la réglementation qui prévoient une tolérance au risque

Vous souhaitez retrouver d’un coup d’un seul l’ensemble des textes réglementaires qui abordent cette notion de risk appetite ? Avec notre solution RegTech, e-Reg, rien de plus simple ! 

Utilisez la fonctionnalité de recherche réglementaire en saisissant dans le moteur le mot-clé “tolérance au risque”. Vous obtenez immédiatement tous les extraits de la réglementation qui y font référence :

appétit au risque : recherche réglementaire

3 – Rédaction de l’appétit au risque dans les banques suisses

Comment s’organiser pour rédiger l’appétit au risque d’un établissement ? Mieux vaut maîtriser l’ensemble du cadre réglementaire qui évoque ce concept et connaître tous les textes qui comportent des dispositions à mettre en place. C’est là que la solution RegTech peut grandement aider, notamment avec sa fonctionnalité de recherche réglementaire. 

3.1 – Les principes à analyser dans une banque afin de rédiger l’appétit au risque

Un établissement ou un groupe bancaire doit mettre en œuvre son appétence au risque en décrivant sa vision stratégique du métier, du business model et de sa cible de clients, dans un environnement de marché donné.

La déclaration d’appétit pour le risque s’élabore autour de principes comme :

  • la description de l’organisation mise en place par la banque, services, métiers et produits et en fonction de la couverture géographique internationale, suisse ou cantonale ;
  • la liste des activités et des marchés qui ne font pas partie de la stratégie ;
  • la répartition des ressources en fonction de l’importance stratégique des activités (par exemple les limites pour les différents types de crédit) ;
  • l’explication de l’organisation physique et virtuelle de la banque ;
  • les fondements de la stratégie de croissance retenue ;
  • la politique RSE et de finance verte ;
  • l’implication dans la transformation technologique.

3.2 – Rédaction de l’appétit au risque en fonction des domaines

L’ensemble des risques sont à décrire et à délimiter, comme le risque  : 

  • de crédit, en pensant aux effets de concentration (quelles politiques de crédit et de collatéral avec quels niveaux de risques) ;
  • de contrepartie ;
  • de marché ;
  • de taux d’intérêt et de change ;
  • opérationnel (il inclut la non-conformité ainsi que le risque de réputation) ;
  • de liquidité ;
  • de financement ;
  • etc.

3.3 – Exemples de choix stratégiques d’une banque privée en matière de crédit hypothécaire

Une banque privée fait le choix stratégique de ne pas proposer de crédit hypothécaire. Elle dispose donc d’un appétit au risque nul pour les crédits hypothécaires. 

Inversement, une banque retail régionale choisit une autre stratégie. Elle offre uniquement des crédits hypothécaires aux clients de la région X et pour des crédits hypothécaires “normaux”. Par exemple, elle limite l’hypothèque à la valeur totale du crédit. Elle exclut les biens de “luxe” ou de rendement et elle agit seulement sur le taux d’avance maximal.

Une stratégie commerciale se traduit donc en différentes limites pour chaque typologie de risque. Ces limites permettent d’évaluer le respect de la stratégie de l’établissement. Elles rendent possible une analyse précise :

  • du profil du risque pris (c’est-à-dire le niveau de risque actuel) ;
  • et de sa conformité avec l’appétit au risque (le niveau de risque maximal visé).

Un dispositif d’appétit au risque suppose notamment pour les banques de maîtriser la réglementation qui s’applique. Quels que soient le scénario stratégique et les indicateurs retenus pour mesurer la résistance au risque, les services financiers trouvent dans notre plateforme RegTech, des outils adaptés à la rédaction de leur documentation en la matière. Pour mieux visualiser comment vous servir d’e-Reg pour un tel processus, inscrivez-vous pour une démonstration personnalisée de l’outil.

Risques émergents : définition et tour d’horizon pour 2024

risques émergents

La couverture et la gestion des risques demandent d’anticiper, de se projeter loin et de rester à l’affût des nouveaux risques qui surviennent. C’est d’autant plus vrai dans un contexte mondial mouvant, incertain et souvent en crise. Tous les secteurs d’activité, les banques, les compagnies d’assurance, les cabinets d’audit, mais aussi l’ensemble des entreprises, ont intérêt à se préoccuper des risques émergents.

Voici un article qui aborde en détail cette notion, même en l’absence de définition normée. Découvrez les nouveaux risques majeurs des dernières années ainsi que ceux qui apparaissent, le tout illustré d’exemples ou de publications sur le sujet.

1 – Risques émergents : tentative de définition

Cette notion ne fait pas l’objet d’une définition standardisée ou normée. De nombreuses autorités nationales, européennes ou mondiales donnent leur propre définition du concept d’emerging risks.

1.1 – Notion de risques émergents : pas de définition normée

Les risques existent dans tous les domaines. La norme ISO 31000 de 2018 précise que le risque est l’effet de l’incertitude sur les objectifs. Parfois, la nature de ces risques est toute nouvelle. On parle alors de risques émergents.

La notion d’emerging risks peut se définir comme les risques qui viennent juste d’être identifiés ou pour lesquels une évaluation ou une analyse approfondie devient pertinente. En effet, ces risques qui surgissent sont généralement moins bien connus et maîtrisés.

De nombreuses définitions d’organismes qui gravitent dans la gestion des risques existent. Nous avons choisi de vous en proposer deux, l’une suisse et l’autre européenne.

1.2 – Risques émergents : définition de l’ASA (Association Suisse d’Assurances)

L’ASA écrit : “les nouvelles technologies et l’évolution de la société moderne sont porteuses de nouvelles opportunités, mais aussi de nouveaux risques. Ces risques d’un nouveau genre concernent notre vie future. Du fait de leur évolution dynamique, ils sont difficiles à identifier et à évaluer, c’est ce que l’on appelle les risques émergents”.

Cette association  fédère des assureurs dont le métier consiste à couvrir les risques ajoute : “en assurance, elle désigne habituellement les risques possiblement susceptibles de survenir dans le futur et affichant une potentialité de sinistres élevée”.

1.3 – Risques émergents : définition de l’EFSA (autorité européenne de sécurité des aliments)

L’EFSA écrit que le risque émergent est :

  • “un risque résultant d’un danger nouvellement identifié auquel une exposition significative pourrait se produire ;
  • ou un risque résultant d’une exposition et/ou d’une sensibilité nouvelle ou accrue et inattendue à un danger déjà connu”.

2 – Enjeux des risques émergents dans le pilotage des organisations

Quelle que soit l’activité, la finance, les assurances, la santé, la sécurité des aliments, etc. finalement toute entreprise privée comme publique se doit de piloter les risques, y compris les risques émergents.

2.1 – Caractéristiques majeures des risques émergents pour une banque

Voici 4 critères qui correspondent aux risques émergents pour les établissements financiers :

  • la nouveauté, avec notamment le fait de devoir relever des défis pour lesquels la banque ne dispose d’aucune expérience ;
  • l’incertitude du risque, car le niveau de son impact et la probabilité de sa survenance restent complexes à estimer ou à prévoir ;
  • la possibilité d’une évolution rapide du risque émergent, dans un environnement complexe externe, face à des technologies nouvelles, des risques de marché ou géopolitiques ;
  • le risque d’effet en cascade dans l’établissement bancaire, qu’il s’agisse d’impacts opérationnels, financiers, stratégiques voire de nuisance à la réputation.

2.2 – Importance et utilisation pratique des risques émergents dans les entreprises

Les métiers de l’audit interne ou de l’audit légal notamment l’ont bien compris : les enjeux sont conséquents. L’insertion d’une analyse des risques émergents dans les organisations permet de se projeter au-delà des cartographies traditionnelles des risques.

En intégrant l’identification et la gestion des risques émergents, chaque organisation peut :

  • accroître sa maîtrise de la situation dans un contexte mouvant externe à l’entreprise ;
  • améliorer sa capacité d’anticipation afin de réduire l’impact des risques identifiés ;
  • accroître sa gestion globale du risque et déployer une culture des risques ;
  • renforcer les processus stratégiques de la structure.

3 – Les risques émergents majeurs des années 2020 pour le secteur bancaire

Connaissez-vous les risques émergents qui ont surgi ces dernières années, notamment au cours de la période de la COVID-19 et juste après ? Nous les passons en revue avec un zoom sur le greenwashing et la manière dont la FINMA y a répondu.

3.1 – Les risques émergents récents dans les banques

Les établissements financiers ont été confrontés à l’arrivée de nouveaux risques comme : 

  • les cryptomonnaies, la blockchain ;
  • le greenwashing ou écoblanchiment sur les marchés financiers ;
  • les nouveaux risques liés au climat ou changements climatiques ;
  • les risques induits par la forte hausse des taux d’intérêt ;
  • les risques d’approvisionnement en énergie (manque d‘électricité et de gaz lors de l’hiver 2022) ;
  • l’intelligence artificielle (voir chapitre 4) ;
  • la pandémie de la COVID-19 et notamment le travail à distance. 

3.2 – Le greenwashing : comment la FINMA y a mis fin en 2021 

C’est une préoccupation forte chez les régulateurs, comme les administrations nationales et internationales, sans oublier les entreprises. Le greenwashing ou écoblanchiment en français est en réalité un processus marketing. Il se rencontre quand une organisation se donne une apparence éco-responsable en communiquant de façon trompeuse sur ses actions ESG.

Dans le domaine financier, il s‘agit par exemple de proposer des investissements ESG (actions ou fonds) qui n’ont d’ESG que le nom en réalité. La difficulté pour les banques comme pour les assureurs consiste donc à estimer la réalité des produits du type green. C’est un risque qui peut être qualifié d’émergent en Suisse, jusqu’à ce que la FINMA clarifie les attentes en 2021.

Ainsi, la communication sur la surveillance 05/2021 et relative à la prévention et lutte contre l’écoblanchiment permet de faire sortir le sujet des risques émergents. La FINMA y précise ses attentes en matière de gestion de placements collectifs durables. Elle met en avant également les risques d’écoblanchiment pour les services financiers qui proposent des produits dans le domaine de la durabilité. Elle y édicte des règles : 

  • d’organisation pour les établissements qui gèrent des placements collectifs de capitaux se référant à la durabilité ;
  • et de conduite pour les points de vente.

4 – Un risque émergent récent pour le secteur financier et les assurances notamment : l’IA

L’intelligence artificielle semble désormais dans toutes les têtes, quels que soient les métiers, les secteurs d’activité ou le type d’organisation, entreprise privée, administration publique, etc. Les banques et compagnies d’assurance n’y échappent pas. 

4.1 – L’intelligence artificielle, une technologie au développement fulgurant

Traitement de données avec le machine learning, recherche sémantique ou vectorielle, création de contenus à base d’intelligence artificielle à l’université, exploitation de l’IA dans le domaine de la santé, les exemples ne manquent pas. Le développement exponentiel de l’IA générative depuis 2022 avec ChatGPT d’OpenAI ou Google Bard a clairement démocratisé le processus auprès du grand public. Ces outils ouvrent le champ des possibles en termes de services et de tâches envisageables au travail comme à titre personnel.

Pourtant, c’est aussi une source nouvelle de risques émergents multiples. Ainsi Axa fait entrer l’IA et le big data à la quatrième place de sa Top liste des risques, selon la dixième édition du Future Risk Report publiée en octobre 2023.

4.2 – L’IA, un risque ? De quoi parle-t-on exactement ?

Même si tous les impacts en matière de risques restent encore à éclaircir, l’intelligence artificielle interroge sur plusieurs points. L’IA évolue en permanence. L’analyse des risques émergents semble toujours en cours et mouvante. Les outils d’IA restent perfectibles et il semble que la méthode soit actuellement celle du test and learn. Chaque nouvelle version des solutions IA apporte de la nouveauté, des progrès, voire la correction de risques.

Voici quelques thématiques concrètes qui entrent actuellement dans les risques émergents sur le plan de l’IA :

  • une protection juridique des données complexes concernant l’IA générative, tant pour l‘exploitation des informations sources par l’IA que pour la propriété des textes créés ;
  • développement de cyberattaques ciblées du type phishing ou installation de malwares de façon massive et automatisée ;
  • manipulation des marchés financiers avec des fake news ou destruction de la réputation de quelqu’un ou d’une société ;
  • accroissement des robots et automates qui fonctionnent avec de l’intelligence artificielle, la difficulté consistant à appréhender la responsabilité civile liée à des produits défectueux ;
  • détournement de systèmes de reconnaissance faciale par l’IA ;
  • corruption des algorithmes de trading par l’IA pour faire évoluer des valeurs de marché de façon artificielle et nuire à la concurrence, etc.

Wikipedia a même créé une page intitulée “risque de catastrophe planétaire lié à l’intelligence artificielle générale” ! Ce risque majeur traite de l’extinction humaine irréversible, liée au développement incontrôlé par l’homme de l’IA. Le débat est ouvert ! Notez que le FLI (Future of Life Institute) a demandé en mars 2023 une pause dans le déploiement de solutions plus puissantes que GPT-4 sur le plan de l’IA générative.

4.3 – Un risque pointé du doigt par le Conseil de stabilité financière américain (FSOC)

Récemment, le FSOC (Financial Stability Oversight Council) à Washington a mis en avant les risques émergents que représente l’intelligence artificielle sur le plan financier. Il estime que c’est même une source de vulnérabilité sur le plan de la finance. Les régulateurs américains considèrent ainsi que l’utilisation de l’IA dans les services financiers exige d’appliquer des principes et règles en matière de gestion des risques. Le FSOC précise toutefois que l’utilisation de l’IA apporte de réels avantages pour la réduction des coûts et pour l’efficacité.

5 – Des exemples de publications sectorielles qui traitent des risques émergents

Pour terminer ce panorama des risques émergents, voici deux publications en Suisse qui traitent régulièrement de ce sujet. C’est une manière de suivre l’évolution des risques et l’apparition de nouveaux domaines à surveiller.

5.1 – Gestion des risques et risques émergents : les préoccupations majeures des assureurs

Évidemment, les compagnies d’assurance se situent en première ligne en matière de gestion des risques. L’Association Suisse d’Assurances (ASA) regroupe 70 sociétés d’envergure mondiale, assurance des biens et des personnes, assurance-vie et assurance complémentaire maladie.

Cette association publie régulièrement sur sa page dédiée aux risques émergents diverses analyses et réflexions comme :

  • la robotique et l’intelligence artificielle ;
  • les matériaux respectueux de l’environnement et des évolutions du climat face à la sécurité ;
  • les risques latents causés à des tiers et liés aux produits ;
  • l’industrie 4.0 et l’internet des objets ;
  • les pannes d’électricité ;
  • la mobilité autonome et les systèmes d’assistance à la conduite ;
  • adaptation au climat et effets du changement climatique ;
  • risques liés à la pandémie mondiale de la COVID-19 ;
  • etc.

5.2 – La communication annuelle de la FINMA sur le monitorage des risques : une forme d’analyse des risques émergents

Le secteur bancaire n’est pas en reste sur le plan des risques émergents. Qu’il s’agisse de veille réglementaire ou d’identification de nouveaux facteurs de risques pour les services financiers, la FINMA apporte sa pierre à l’édifice. Ainsi, elle publie chaque année un rapport intitulé “monitorage des risques”, qui, même s’il n’utilise pas le concept de risques émergents, traite toutefois exactement de ce sujet.

En effet, le régulateur vise dans cette publication périodique à attirer l’attention sur les risques actuels et ceux qui surgissent tout juste. Pour 2023, le monitorage FINMA des risques identifie 9 points majeurs pour le secteur financier, les deux derniers étant nouveaux :

  • le risque de taux ;
  • le risque de crédit pour les hypothèques ;
  • le risque des autres crédits ;
  • le risque d’écart de rendement 
  • le risque de cyberattaques ;
  • le risque relatif à la lutte contre le blanchiment d’argent ;
  • le risque lié à la difficulté d’accès aux marchés étrangers ;
  • le risque de liquidité et de refinancement ;
  • le risque d’externalisation d’activités opérationnelles.

En outre, ce monitorage des risques de la FINMA zoome chaque année sur une tendance qui pourrait selon elle influer durablement sur les marchés financiers suisses. En 2023, c’est l’utilisation de l’intelligence artificielle qui est ainsi mise en avant avec ses enjeux, ses défis et ses risques.

Le communiqué de presse de 2023 relatif au monitorage des risques précise que la FINMA “attend des établissements assujettis que ceux-ci prennent en compte de manière adéquate les risques liés à l’intelligence artificielle“. La FINMA ajoute qu’elle “examinera la manière dont les assujettis utilisent l’intelligence artificielle en appliquant une approche fondée sur les risques et le principe de proportionnalité”.

Risques émergents : la nécessité de veille pour les services financiers

Probablement que de nouveaux textes de régulation apparaîtront dans les prochains mois ou années sur le plan mondial, comme en Suisse, pour encadrer l’usage de l’IA dans le secteur financier. C’est un des risques émergents pour la finance, mais loin d’être le seul. La veille sur ces thématiques d’emerging risks vous permet de suivre et d’anticiper les évolutions du droit et des règlements. E-Reg, notre solution RegTech se consacre à la simplification de la réglementation financière. Elle vous aide à analyser les textes en vigueur, ainsi que les projets de lois, d’ordonnances ou de règlements. Pour échanger sur les fonctionnalités offertes, prenez rendez-vous avec Enrico Giacoletto.