Dans un établissement assujetti à la Finma, la gouvernance des risques et la culture du risque relèvent, in fine, du Conseil d’administration. Cette responsabilité s’est renforcée, notamment sur la prise de risques, la lutte contre le blanchiment et d’autres sujets connexes tels que la résilience. Les administrateurs sont ainsi appelés à se prononcer sur des enjeux dont la technicité et l’interdépendance augmentent.
Faut-il, pour autant, attendre de chaque membre du Conseil qu’il maîtrise la matière au niveau d’un Chief Risk Officer (CRO)? À ce stade, la réponse est nuancée. Le Conseil doit disposer d’une vision globale et stratégique: poser les bonnes questions, apprécier la fiabilité des reportings et juger, de manière pragmatique, la pertinence des dispositifs de mitigation. En revanche, exiger de tous des compétences aussi pointues qu’un CRO n’est pas, pour l’instant, nécessaire.
Il faut toutefois reconnaître que l’évolution du contexte ne simplifie pas la tâche. Les risques géopolitiques, les conflits, les sanctions, les taxes et d’autres facteurs macroéconomiques produisent des effets indirects mais bien réels sur l’économie. Parallèlement, les dépendances de plus en plus marquées envers certains fournisseurs rendent les banques plus vulnérables. Sans compter les avancées technologiques comme l’IA qui induisent de nouveaux risques et la nécessité de poser une nouvelle gouvernance.
La présence, au sein du Conseil, d’une compétence spécifique en matière de risques est un plus. Elle n’est toutefois pas systématique, notamment dans les banques de plus petite taille.
Dans ce cadre, jusqu’où doit aller la haute direction, et plus particulièrement le Conseil? Trois responsabilités structurent le rôle de l’organe suprême. La première est de fixer l’appétit au risque, dans le cadre d’une stratégie posée. Il convient de rappeler qu’une recherche de risque zéro, traduite par un excès de contrôle, peut inhiber la notion de business et devenir contre-productive. La deuxième responsabilité est d’obtenir la garantie que les divers reportings lui remontent une information fiable. La troisième responsabilité est de s’assurer que les dispositifs de mitigation mis en place atténuent efficacement les risques inhérents les plus marquants. Sans compter de multiples autres responsabilités induites par les dernières évolutions réglementaires. Bref, le membre du Conseil doit comprendre et se prononcer, avec courage, de manière éclairée.
Comment, alors, se prononcer de manière éclairée? La présence, au sein du Conseil, d’une compétence spécifique en matière de risques est un plus. Elle n’est toutefois pas systématique, notamment dans les banques de plus petite taille. Dans tous les cas, la sensibilisation à la culture du risque et des contrôles doit concerner l’ensemble des administrateurs: chacun doit comprendre les approches et avoir pleinement conscience, au niveau de chacune des activités de la banque, des risques induits.
Lorsque cette compétence existe, son positionnement dans un comité «Audit & Risques» ou «Risques & Stratégie» s’impose naturellement pour soutenir une gouvernance robuste. Il est toutefois essentiel de dissocier «évaluer» de «faire». Un administrateur doté d’expérience en risques ne doit pas devenir un consultant déguisé qui dit comment faire, au risque d’être à la fois juge et partie. En revanche, il peut donner un cadre sur ce qu’il souhaite obtenir afin de mieux évaluer.
Enfin, un Conseil d’administration ne peut se limiter à une vision à un instant donné. En tant qu’organe suprême, il doit aussi développer une lecture prospective: anticiper l’évolution plausible des risques, tout en sachant que de nouveaux risques peuvent devenir critiques à tout moment.
En conclusion, il ne s’agit pas de faire de chaque administrateur un CRO en puissance. En revanche, un professionnalisme renforcé, fondé sur une sensibilisation structurée et un minimum de formation, devient de plus en plus incontournable pour exercer pleinement, avec courage et discernement, la responsabilité qui incombe au Conseil.