Risk Appetite Framework : premiers constats, prochaines étapes

Les régulateurs attendent des institutions une définition détaillée de leur appétit au risque articulée autour des mesures qualitatives et quantitatives spécifiques. Les institutions doivent clairement spécifier les niveaux de tolérance aux risques les plus importants et s’assurer de les intégrer au niveau opérationnel en restant en ligne avec les process de gestion des risques en place.

Les éléments qui soutiennent l’appétit au risque et notamment le couple Profil de Risque/Rendement doivent ainsi être accompagnés par des précisions sur des limites et sur les seuils de tolérance, déployés dans l’ensemble des lignes métiers, activités, filiales ...

Les éléments pris en considération, comme par exemple la sensibilité des résultats aux cycles conjoncturels, aux événements de crédit, de marché ou opérationnels et l’impact de l’environnement macro-économique, doivent désormais être matérialisés par des critères quantitatifs et qualitatifs très précis. Les exigences des régulateurs sont très fortes, notamment avec la demande de preuve d’interaction entre le RAF et l’ICAAP, l’ILAAP, le Budget, les plans de remédiation et la rémunération.

Les SI (Significative Institutions) sont en train de développer leurs RAFs (30% RAF développés, 12% en cours de développement). Le premier constat du JST (Joint Supervisory Team) qui émane du rapport est que le dispositif est assez récent et son rodage est loin d’être parfait.

Les risques matériels d’une institution sont identifiés par le JST et doivent couvrir les risques suivants : business risques et rendement, risque de solvabilité, de liquidité et risque de taux pour le banking book (IRRBB), le risque de crédit, marché, liquidité, donc en synthèse les risques reconnus et traités par le comité de Bâle plus le risque de business et de profitabilité. 

En plus, l’ECB attend à ce que les institutions financières incluent dans le RAF de façon claire et explicite les risques non-financiers, exprimés par des proxies quantitatifs ou des déclarations qualitatives. Cela concerne, en particulier, le risque de compliance, de réputation, de systèmes d’information (IT Tools), le risque légal et éthique.

Le JST considère que le nombre optimal des métriques pour présentation au Board doit être entre 20 et 30, en fonction de la taille et la complexité de l’institution. Donc un nombre suffisant pour couvrir les différentes dimensions mais assez restreint pour assurer une clarté dans la lecture du tableau de bord.

La revue thématique du JST a également considéré les limites associées au RAF, et leur retour a été assez critique : des limites qui ne permettent pas de gérer la prise de risque de façon efficace, qui n’incluent pas une concentration par domaine (par émetteur, secteur ou pays). Egalement critique vis-à-vis de la procédure d’escalade en cas de dépassement de limites qui n’est souvent pas définie/documentée ou doit être largement amendable, avec une détermination claire des rôles et des responsabilités des parties prenantes.

A cet égard, le JST signale que les systèmes d’information, la remontée en temps et en heure des dépassements des limites et l’agrégation des données vont être dans le viseur de la surveillance du SSM pour 2016.

La détermination et la formalisation de l’appétit au risque passent au premier plan et peuvent donner place à une appréhension légitime au top management quant à la marge de manœuvre que les politiques et procédures concises peuvent laisser au business. En particulier, on peut s’interroger sur les impacts lors d’une période d’appétit au risque structurellement très faible et les modalités d’ajustement du cadre de l’appétit au risque lors d’un possible retour à la normale.

 L’arbitrage pouvant apparaître entre les objectifs business et le niveau d’appétit au risque, notamment lorsque ce dernier est structurellement faible, nécessite des décisions de mise en cohérence au niveau du top management. Afin de les éclairer, il est nécessaire de s’appuyer sur une formalisation idoine de l’appétit au risque, et d’un processus d’actualisation régulier.

Plus précisément, les institutions devraient développer un tableau de bord, agrégé et consolidé, comparant les limites d'exposition au risque et de risque à l'appétit pour les risques financiers et non financiers. Ce tableau de bord doit être présenté au conseil d'administration régulièrement (au moins tous les trimestres pour les grandes institutions) pour soutenir son examen, la surveillance et suivi du profil de risque de l'institution.

Au-delà des aspects réglementaires, in fine assez théoriques, il serait intéressant de suivre comment le dispositif de Risk Appetite va faire les preuves de son utilité et sa flexibilité dans un contexte particulier avec l’intégration par exemple du risque de Brexit qui peut impacter tous les établissements d’importance systémique.