Dossier Contrôle des risques

Les banques réfléchissent à une nouvelle architecture informatique

le 13/10/2011 L'AGEFI Hebdo

Elles doivent refondre leur système d'information pour bénéficier d’une vision consolidée de tous les risques auxquels elles sont exposées.

Au début de l’été, BNP Paribas a lancé un appel d’offres concernant, entre autres, le renouvellement de son outil de cartographie des risques. De son côté, Société Générale a lancé un appel d’offres avec un lot concernant un outil dédié au contrôle interne. « Le marché des outils de cartographies des risques est en pleine évolution, relève Jean-Laurent Schwartz, expert en cartographie des risques chez Accenture France. Les grandes banques ont un bon niveau d’équipement, mais elles arrivent aux limites de ces outils basés essentiellement sur du déclaratif. Il y a encore assez peu d’intelligence dans ces outils. » Dans les banques, concernant la gestion des risques, une multitude d’outils ont été intégrés, bon gré, mal gré, à l’architecture existante. Concernant la cartographie et la gestion des risques opérationnels, tous les éditeurs de solutions GRC (governance, risk, compliance) et de lutte antiblanchiment sont présents. Compte tenu de l’existant, il est complexe de supprimer les applications vieillissantes. « Bâle II a apporté un grand changement : avant, le calcul des risques était basé sur une vision uniquement comptable, transactionnelle. Désormais, il faut rapprocher les données de gestion et de la comptabilité, explique Jean-Michel Bouhours, responsable du pôle risque, finance et pilotage chez CSC. C’est la fameuse convergence risque finance, sans oublier la bonne articulation avec la troisième filière commerciale. » Autant de silos verticaux qu’il faut intégrer ensemble au risque d’être confrontés à des incohérences dans les indices de risques déclinés au niveau des différents métiers de la banque.

La convergence risque finance

« Aujourd’hui, on note une certaine prise de recul sur le schéma global d’architecture fonctionnelle des banques, constate Jean-Michel Bouhours. Concernant la surveillance des risques, les dirigeants ne sont pas sereins et se plaignent au sujet de la définition de certains indicateurs et d’une différence de vision entre le niveau central et le niveau local. » Et de citer l’exemple du RWA (Risk Weighted Asset), un indicateur mesurant, dans le cadre de Bâle II, le capital minimal requis par les banques en fonction du niveau de risque desdits actifs : « Déterminé au niveau central, à l’aide de multiples calculs, référentiels et diverses agrégations, les responsables ont beaucoup de mal à expliquer ses variations aux différentes entités locales (directions métiers, filiales…). » Au-delà du rapprochement des différentes bases de données métiers pour une vision transverse cohérente des risques, il s’agit aussi de mieux contrôler certaines pratiques engendrant des risques opérationnels. « Les collaborateurs ont du mal, c’est humain, à déclarer des erreurs ou des pertes engendrées par leurs actions, explique Valérie Villafranca, responsable des activités de conseil en gestion des risques pour le secteur bancaire chez Accenture France. Avec le rapprochement des outils de surveillance risques et la comptabilité, la qualité des informations obtenues s’améliore. » On assiste à la convergence des fonctions risques et finances avec, en particulier, la construction d’entrepôts de données, véritables réceptacles des informations financières de l’entreprise et outils permettant notamment de disposer d’une vision consolidée de l’exposition de l’établissement à un risque spécifique, par exemple la dette grecque, ainsi que les conséquences pour un département ou une filiale. « De nombreuses banques se sont lancées dans ce type de projet, dont on verra les premiers résultats concrets dans les dix prochaines années », renchérit Valérie Villafranca. De leur côté, les éditeurs mettent au point, depuis peu, des solutions adaptées à un déploiement sur un périmètre étendu et permettant l’analyse multidirectionnelle, le rapprochement entre la comptabilité et les transactions financières. « Les éditeurs d’ERP développent des modules de gestion des risques, note Valérie Villafranca. Les spécialistes de la GRC (comme eFront ou Sas, NDLR) ont mis au point des connecteurs pour s’interfacer avec les différents outils du système d’information. »

Refonte de l’architecture fonctionnelle

« Depuis dix-huit mois environ, les différents responsables, au sein des grandes banques, tentent de trouver un consensus sur les schémas cibles rapprochant les logiques métiers et celle du système d’information », rappelle Jean-Michel Bouhours. Deux schémas d’architectures semblent se dégager. Le premier, dit en X, constitue une vision très centralisée où les entités du niveau local doivent alimenter un entrepôt de données unique sans véritable retour. C’est un schéma peu adapté aux banques françaises exerçant beaucoup de métiers différents. Le second schéma est dit en boucle. « On estime, dans les banques françaises, qu’il y a un réel besoin de réciprocité entre niveau local et niveau central : le local possède la connaissance métier et le central, de par sa position, doit mettre à disposition des métiers des indicateurs consolidés pertinents et adaptés, permettant de réduire le coût du risque ou de bénéficier d’une meilleure signature de marché », rapporte Jean-Michel Bouhours. Un domaine dans lequel les Banques Populaires ont été précurseurs. « En 2005, leurs dirigeants ont fait appel à nous pour pallier un problème de performances de leurs entrepôts de données », raconte Christophe Gendre, responsable du secteur financier chez l’éditeur Teradata, spécialiste des très grosses bases de données décisionnelles. Un entrepôt unique est donc mis en place rassemblant, de façon étanche, toutes les données des 21 caisses des Banques Populaires. Elles sont alors centralisées avec des référentiels métiers communs, mais chacune des banques garde son autonomie dans la gestion de ses données. « Avec ce nouvel entrepôt, ils ont pris conscience de la couverture fonctionnelle dont ils disposaient », précise Christophe Gendre. Le groupe Banque Populaire gère donc ses risques en alimentant ses différents systèmes Norkom pour l’antiblanchiment ou encore SAS. HSBC s’est également doté d’une entrepôt de données unique Teradata à partir duquel sont effectuées toutes les requêtes des moteurs de risques depuis 2009. Ces projets de refonte informatique reposant sur un datawarehouse unique nécessitent deux ou trois ans de déploiement. Ils commencent souvent avec un objectif marketing, pour mieux analyser les attentes des clients. Et finissent par gérer les risques, la comptabilité, en alimentant les différentes applications informatiques afférentes. 

A lire aussi