Banques : les Prestations de Services Essentiels Externalisées

Elles souffrent également d’obligations réglementaires plus fortes et de l’accroissement de la pression concurrentielle avec l’émergence de nouveaux acteurs (banques en ligne, FinTechs…). Enfin, des marchés globalement tumultueux et des événements géopolitiques comme le Brexit renforcent les incertitudes qui pèsent sur les banques. Tous ces éléments rendent plus incertains les revenus des banques traditionnelles, qui doivent trouver de nouveaux leviers de croissance et offrir de nouveaux services pour consolider leurs marges.

Dans ce contexte, le recours aux Prestations de Services Essentiels Externalisées (ou PSEE) apparaît comme un levier de croissance et de rationalisation des coûts. Cette notion a été introduite par le CRBF dans son Règlement n°97-02 du 21 février 1997 : « Activités externalisées : les activités pour lesquelles l'entreprise assujettie confie à un tiers, de manière durable et à titre habituel, la réalisatio de prestations de services ou d'autres tâches opérationnelles essentielles ou importantes ».

En septembre 2009, la Fédération Bancaire Française a publié une liste indicative de PSEE dans son document « Externalisation : Contrôle des activités externalisées à des prestataires communs ». Cette liste est une interprétation du CRBF 97-02.

Depuis plusieurs années, l’externalisation et en particulier l’externalisation métier ou BPO (Business Process Outsourcing) est ainsi devenue un élément central pour les banques. Un BPO complet réduit les coûts et les risques tout en améliorant la qualité et la souplesse du service, permettant ainsi à l’établissement de se concentrer davantage sur son métier de base : le développement commercial de son activité bancaire. Les avantages à recourir à de telles prestations de services semblent en effet multiples.

D’une part, cela permet d’amortir des SI de plus en plus onéreux et de mieux maîtriser les coûts des fonctions support et du back office, dont l’allègement est fondamental pour une industrialisation réussie du secteur bancaire. D’autre part, cela permet de faire appel aux meilleurs spécialistes sans avoir à se doter de ce type de compétences en interne, et donc d’être plus flexible face aux variations d’activité et plus souple dans la mise en œuvre de la prestation. Enfin, un des effets positifs de l’externalisation métier est qu’elle permet une démultiplication des services bancaires avec des offres avantageuses et modulaires pour les clients, sans compter que le taux de Straight-Through-Processing s’en trouve amélioré.

Néanmoins, le recours à des PSEE s’accompagne aussi de contraintes et de risques opérationnels à prendre en compte pour conserver une capacité de pilotage efficace de ses activités. En effet, une sécurité insuffisante des systèmes d’information, une défaillance des processus, ou une déperdition des contrôles sont autant de situations à envisager lors de la mise en place des contrats de prestations de services. A cet égard, le règlement CRBF 97-02 spécifie précisément que les fonctions déléguées et exécutées par le sous-traitant doivent demeurer sous le contrôle de l’entreprise délégante et respecter les principes définis par cette dernière. Il s’agit donc pour les banques de mettre en place des Service Level Agreements de façon systématique, incluant des clauses d’audit spécifiques telles que la reproduction du dispositif de contrôle interne au niveau du sous-traitant et un droit de suite du régulateur. Ce dispositif de contrôle « permanent et périodique » (tel que défini par le régulateur) peut s’appuyer sur plusieurs normes de qualité au niveau du prestataire : rapport SAS 70, normes ISO, standards COSO ou COBIT... Enfin, dans les articles 313-56 et de 313-72 à 313-75 de son Règlement (Livre III. PRESTATAIRES, Chapitre III. Règles d’observation), l’AMF a introduit l’obligation de mise en œuvre d’un plan de continuité d’activité (PCA) pour les prestataires de services opérationnels « essentiels ou importants pour la fourniture d’un service ou l’exercice d’activités ».

Ces contraintes opérationnelles et réglementaires expliquent en partie pourquoi malgré l’essor important du recours à l’outsourcing, celui-ci reste circonscrit à des domaines très spécifiques et clairement identifiés comme les fonctions supports, le back-office ou les services liés aux technologies de l’information. Ainsi et pour exemple, près de 80 % des banques ont accès à des services tels que l’infogérance, mais aucune d’entre elles ne souscrit à un service informatique global. La majorité des établissements demeurent en effet opposés à l’externalisation d’activités stratégiques. De même, l’externalisation d’activités du cœur de métier bancaire demeure quasi-exclusivement réservée à des filiales spécialisées (intra-groupe). Cela permet aux banques à la fois de s’affranchir de risques supplémentaires mais aussi d’éviter de créer de nouvelles sources de concurrence via des transferts de compétences très spécifiques. Ainsi, celles-ci tendent à préférer des groupements de moyens (intra-groupes ou partagés avec d’autres banques) ainsi que des entités domestiques non-financières, plutôt que des prestataires externes potentiellement concurrents.

Lorsqu’il s’agit d’étudier l’opportunité d’externaliser certaines activités au sein de la banque, il convient d’adopter une stratégie d’analyse et de prise de décision de type Make or Buy, afin d’atteindre un « point d’équilibre » économique et stratégique, situé à mi-chemin entre le « tout interne » (Make) et le « tout externe » (Buy). Plusieurs critères entrent en jeu et sont liés aux avantages apportés par chacune des deux options : alors que la stratégie Make valorise les compétences développées en interne et permet une plus grande stabilité sur le long terme, la stratégie Buy permet quant à elle de mieux maîtriser ses budgets tout en étant plus souple et en faisant appel aux meilleurs spécialistes disponibles sur le marché. Il s’agit également de mesurer les risques associés à ces deux stratégies, plus élevés pour la stratégie Buy – impliquant aussi une plus grande rentabilité. Par ailleurs, il convient aussi de rappeler que l’externalisation peut entraîner le transfert de certains risques à l’entreprise proposant le service.

Plusieurs facteurs sont déterminants dans la prise de décision d’externaliser un processus. Tout d’abord, il faut s’interroger sur la qualité de ce processus en interne et son rôle dans la compétitivité de la banque. Connaître parfaitement les besoins de son entreprise permet de mieux maîtriser les capacités des fournisseurs et de satisfaire au mieux son marché client. Ensuite, il convient d’évaluer la maturité de ce processus par rapport aux technologies et savoir-faire disponibles sur le marché. Une analyse concurrentielle doit également être réalisée afin de situer le processus vis-à-vis des pratiques des autres établissements.

Enfin, pour mettre en œuvre la décision si une stratégie Buy est actée, la définition claire d’un plan d’action permet de piloter et contrôler au mieux et dès le départ son processus externalisé. Ce plan d’action devra également inclure la possibilité d’une réintégration future du processus mais surtout d’une solution de back-up en cas de dysfonctionnement.