Naviguer dans les écosystèmes financiers : concilier innovation et maîtrise

Le secteur financier connaît une transformation profonde. Les modèles classiques et linéaires cèdent la place à des services fondés sur des écosystèmes, au sein desquels banques, plateformes, partenaires technologiques et sources de données créent conjointement de la valeur.

La finance intégrée, l’open banking et la prise de décision fondée sur les données accélèrent l’innovation, mais font aussi émerger une nouvelle réalité : des composantes critiques de la chaîne de valeur se trouvent en dehors de l’organisation, tandis que la responsabilité reste en son sein.

Pour les établissements financiers, l’enjeu est donc particulièrement clair :

• Comment garder le contrôle lorsque la dépendance à l’égard de tiers augmente de manière exponentielle ?
• Comment concilier rapidité et innovation avec sécurité, conformité et transparence ?

Les organisations qui y parviennent ne multiplient pas les niveaux de contrôle. Elles développent une approche intégrée des risques, du contrôle, de la conformité et des données, capable d’évoluer au rythme de leur écosystème.

C’est précisément là que réside notre valeur ajoutée : aider à rendre les nouveaux écosystèmes opérationnels, grâce à des solutions à la fois solides sur le plan stratégique, robustes sur le plan réglementaire et réalisables sur le plan opérationnel.

Les nouveaux risques nécessitent une évaluation plus large

Dans ce contexte, une évaluation classique des risques à l’échelle de l’entité ne suffit plus. Alors que les analyses de risques portaient autrefois principalement sur les processus et les entités internes, les principales vulnérabilités se situent aujourd’hui souvent aux interfaces entre les organisations, les systèmes et les flux de données. Il peut s’agir, par exemple, de décisions de crédit fondées sur des données externes, de l’onboarding réalisé par l’intermédiaire de partenaires de plateforme ou de processus critiques reposant sur l’infrastructure cloud de tiers.

Dépendances et risques

Une approche de l’analyse des risques axée sur les écosystèmes permet de mieux faire apparaître les dépendances à l’égard des tiers. Elle offre une meilleure visibilité sur les risques liés à la qualité des données, aux intégrations d’API et au partage des responsabilités, tout en permettant d’intégrer plus systématiquement les risques ESG et climatiques dans le cadre global de gestion des risques.

Nous avons ainsi accompagné une banque proposant des crédits par l’intermédiaire d’une plateforme de vente au détail externe. En élargissant l’évaluation des risques aux risques liés à l’onboarding par des tiers, à la fiabilité des données externes et à la responsabilité de bout en bout, la banque a non seulement obtenu une vision plus réaliste de ses risques, mais aussi une base nettement plus solide pour définir des mesures de maîtrise ciblées.

 
Le contrôle interne doit être conçu de bout en bout

Cette même évolution a une incidence directe sur le contrôle interne. Lorsque les processus s’étendent à plusieurs parties, il ne suffit plus de concevoir les contrôles exclusivement au sein de sa propre organisation. Les établissements financiers doivent maîtriser l’ensemble de la chaîne, et pas uniquement leur propre maillon.

Grant Thornton aide à repenser les dispositifs de contrôle interne afin de les adapter à cette réalité distribuée. Cela implique de mettre en place des contrôles de bout en bout couvrant l’intégralité des parcours clients, d’adapter les processus de conformité classiques, tels que le KYC et l’AML, aux environnements numériques en temps réel et d’assurer un suivi continu des activités critiques confiées à des parties externes.

Onboarding et responsabilité

Un parcours d’onboarding intégré illustre parfaitement cet enjeu. Lorsqu’un client s’inscrit par l’intermédiaire d’une plateforme partenaire, l’établissement financier reste responsable de la conformité, même si la première interaction a lieu en dehors de son propre environnement. Dans le cadre de tels parcours, nous aidons à délimiter clairement les rôles et les responsabilités, à ancrer des points de contrôle dans les flux de données et à mettre en place des tableaux de bord offrant une visibilité en temps réel sur les indicateurs de conformité. L’organisation peut ainsi démontrer qu’elle conserve la maîtrise, sans ralentir l’expérience client.

La gestion des risques liés aux tiers comme condition essentielle

La dépendance croissante à l’égard de parties externes fait de la gestion des risques liés aux tiers une composante essentielle du cadre global de gestion des risques. Alors que les processus traditionnels de gestion des fournisseurs sont souvent statiques et génériques, le contexte actuel exige une approche dynamique fondée sur les risques, en particulier sous l’effet de la pression réglementaire croissante liée à des textes tels que DORA et NIS2.

De la due diligence au suivi continu

La gestion des risques liés aux tiers nécessite aujourd’hui une approche plus structurée, depuis l’identification et la classification des tiers critiques jusqu’à la due diligence, aux dispositions contractuelles et au suivi continu. Il en résulte un cadre qui répond aux attentes des autorités de surveillance tout en restant utilisable dans les activités quotidiennes.

DORA comme levier d’une gouvernance renforcée

Dans le cadre d’un projet DORA, nous avons notamment accompagné un établissement financier dans l’identification de ses fournisseurs ICT critiques, le renforcement de dispositions contractuelles telles que les droits d’audit et les stratégies de sortie, ainsi que la mise en place d’une gouvernance centralisée des risques liés aux tiers. Il en a résulté un dispositif à la fois conforme aux exigences réglementaires et opérationnellement applicable.

La résilience opérationnelle comme capacité de gestion

Cette même réglementation relève également le niveau d’exigence en matière de résilience opérationnelle. Il ne suffit plus d’identifier et de documenter les risques. Les organisations doivent pouvoir démontrer leur capacité à absorber les perturbations, y compris lorsque les incidents surviennent chez des partenaires externes ou au sein de chaînes numériques critiques.

Traduire la résilience en actions concrètes

La résilience opérationnelle ne se limite pas à la documentation. Les évaluations de maturité, les analyses des écarts et les cadres de résilience permettent de mieux coordonner la gouvernance, les processus, les tests et les procédures d’escalade, afin d’ancrer la résilience dans le pilotage quotidien.

L’incidence sur l’audit interne

L’audit interne doit lui aussi évoluer avec cette nouvelle réalité. Les approches d’audit classiques, principalement axées sur la conformité et les processus internes, n’offrent pas une couverture suffisante lorsque les risques se manifestent au-delà des frontières de l’organisation.

Une approche de l’audit dépassant les frontières organisationnelles

Pour l’audit interne, cela suppose de passer d’une approche en silos à une approche fondée sur des processus de bout en bout. Les risques liés aux écosystèmes, les risques numériques, les risques liés aux tiers, les enjeux ESG et la gouvernance des données doivent dès lors occuper une place plus structurelle dans les plans et les travaux d’audit.

Les enjeux ESG, les données et la transparence comme composantes intégrées du cadre

Outre la digitalisation, la durabilité est également devenue un facteur déterminant dans le paysage des risques. Aujourd’hui, les enjeux ESG influencent non seulement la stratégie et le reporting, mais aussi les décisions de crédit, la gestion des portefeuilles, la gouvernance et la confiance des parties prenantes. L’enjeu consiste à ne pas traiter la durabilité comme une démarche distincte, mais à l’intégrer pleinement dans les cadres existants de gestion des risques, de contrôle et de données.

Ancrer les enjeux ESG dans les cadres existants

En matière d’ESG également, l’enjeu réside dans leur intégration aux cadres existants de gestion des risques, de contrôle et de gouvernance. Cela signifie que les risques climatiques et liés à la durabilité sont intégrés aux évaluations des risques, que les indicateurs ESG sont traduits en contrôles concrets et que les exigences de reporting s’inscrivent dans les structures décisionnelles existantes.

Nous avons ainsi aidé une banque à traduire les risques ESG en indicateurs de risque mesurables, de manière à faire de la durabilité une composante structurelle des décisions de crédit et de la gestion de portefeuille, plutôt qu’un thème de reporting distinct.

La qualité des données ESG constitue à cet égard une condition préalable essentielle. Contrairement aux données financières, ces informations sont souvent fragmentées, incomplètes ou difficiles à valider, alors même qu’elles constituent la base du reporting, du pilotage et des choix stratégiques.

Une approche pragmatique des données : de l’évaluation à l’exploitation des données

C’est pourquoi nous adoptons une approche pragmatique en matière de données. Nous commençons par une évaluation de la maturité afin d’identifier les principales lacunes, puis élaborons une architecture cible réaliste pour les données. Concrètement, les données ESG sont intégrées aux plateformes de données existantes, selon des modalités clairement définies en matière de responsabilité, de qualité et de gouvernance.

Nous avons ainsi accompagné un établissement financier dans l’analyse des risques climatiques associés à son portefeuille de crédits. En combinant les données clients internes, des sources ESG externes et des références sectorielles, puis en complétant les informations manquantes au moyen de modèles, l’organisation a pu, pour la première fois, établir une vision cohérente et exploitable de ses risques.

Reporting et transparence

Ces informations ne servent pas uniquement au reporting. Elles soutiennent également la tarification, la gestion des portefeuilles et les choix stratégiques, et permettent de traduire la durabilité en valeur concrète pour l’entreprise.

Dans le même temps, les exigences de transparence s’intensifient. Les clients, les investisseurs et les autorités de surveillance attendent une visibilité toujours plus grande sur l’incidence des décisions financières. Cette évolution se traduit par de nouvelles formes de reporting et de services, telles que des tableaux de bord ESG, des indicateurs climatiques et des informations étayées.

Dans ce domaine également, nous accompagnons la mise en œuvre concrète : de la définition de cadres de KPI et de reporting spécifiques à la durabilité à la transformation de données complexes en informations claires et exploitables pour la direction, les autorités de surveillance et les utilisateurs finaux.

Conclusion : l’innovation et la maîtrise se renforcent mutuellement

Le fil conducteur de cette évolution est clair : réussir dans les écosystèmes financiers exige une approche cohérente. La finance intégrée, l’open banking, les risques liés aux tiers, la résilience opérationnelle et les enjeux ESG ne sont pas des thèmes isolés, mais les composantes d’une transformation plus large. Les organisations qui y parviennent allient capacité d’innovation, maîtrise, transparence et résilience.

Concrétiser la transformation

Nous associons le conseil stratégique à une expertise approfondie en gestion des risques, en audit interne, en conformité et en données, afin de proposer des solutions qui sont non seulement fondées sur les exigences réglementaires, mais surtout applicables dans la pratique.

Nous aidons ainsi nos clients à ne pas avoir à choisir entre innovation et maîtrise, mais à renforcer délibérément ces deux dimensions. En effet, sur un marché où les services financiers s’inscrivent de plus en plus dans des écosystèmes étendus, ce sont précisément les organisations fiables, durables et agiles qui font la différence.