Matrice des risques 101 : Comprendre les bases d'une évaluation des risques efficace

Une matrice d'évaluation des risques est l'un des outils qui permettent aux professionnels du risque de mieux dormir la nuit. Elle est utilisée dans divers secteurs : sécurité, changement climatique, fraude, conformité... et équipes de lutte contre le blanchiment d'argent. Ici, nous nous concentrerons sur la construction et la mise en œuvre d'une matrice de risque très simple dans le contexte d'une fintech B2B qui évalue le risque de blanchiment d'argent des clients commerciaux entrants. Nous partagerons également un modèle de base.

Pourquoi utiliser une matrice d'évaluation des risques ?

Lors de l'onboarding nouveaux clients, les institutions financières doivent.. :

• Recueillir des informations sur les clients (nous avons écrit à ce sujet et partagé un modèle ici),
• Effectuer la procédure KYC,
• Évaluer les risques, et
• Décider de faire ou non des affaires avec ce nouveau client

La procédure KYC est une séquence de tâches visant à évaluer l'identité d'une entreprise. Par exemple, les équipes chargées des risques vérifient généralement que l'entreprise existe, qu'elle est actuellement active et opérationnelle, etc... Les procédures KYC exigent également de vérifier l'identité des personnes, d'effectuer des contrôles sur les sanctions, les PPE et les médias, et de procéder à des contrôles de prévention de la fraude.

Une fois cette étape franchie, les équipes chargées des risques disposent généralement d'un grand nombre de données sur la nouvelle entreprise. C'est alors que la matrice d'évaluation des risques entre en jeu.

Une matrice de notation des risques est un moyen simple de résumer ces informations en un score de risque : un chiffre élevé lorsque l'entreprise semble risquée et un chiffre faible lorsque l'entreprise ne semble pas risquée. Une matrice d'évaluation des risques est un outil qui permet d'obtenir une vue d'ensemble cohérente et impartiale des clients.

Et pour simplifier encore, les sociétés de services financiers associent généralement ce score à un label de risque grâce à une échelle. Voici un exemple d'échelle :

• de 0 à 7, l'étiquette de risque est Faible
• de 7 à 15, l'étiquette de risque est Moyenne
• de 15 à plus, l'étiquette de risque est "élevé

Une fois le score et l'étiquette de risque calculés, les dossiers des clients à risque faible ou moyen sont prêts à faire l'objet d'une décision, tandis que les équipes chargées du risque continueront à faire preuve de diligence supplémentaire à l'égard des clients à risque élevé. Un label de risque "élevé" ne signifie pas nécessairement qu'une entreprise ne doit pas travailler avec cette entreprise. Un ensemble spécifique de processus et de contrôles peut être mis en place expressément pour ces clients.

Les matrices de risques fonctionnent et sont largement utilisées par les sociétés de services financiers interentreprises. De plus en plus, les régulateurs exigent des entreprises qu'elles les élaborent et les tiennent à jour.

Comment est-il construit ?

Une matrice de risque simple applicable aux fintechs B2B peut être construite en utilisant la logique suivante :

Il s'agit tout d'abord de définir un ensemble de règles simples permettant d'évaluer les différents risques d'une nouvelle entreprise.

Les lignes de la matrice des risques sont constituées de règles. Chaque règle est associée à un poids. Une règle évalue un facteur de risque à l'aide d'un ensemble de conditions. Lorsque le résultat de cette condition est vrai, le score de risque total est augmenté d'un montant égal au poids associé à la règle.

Deuxièmement, un score de risque est généré pour chaque nouvelle entreprise en appliquant toutes les règles et en additionnant les pondérations des règles déclenchées(notez ici que les deux dernières règles seront cumulatives si la nouvelle entreprise a moins d'un an d'existence) . Notez également que, dans notre exemple, le score maximum est techniquement illimité car une entreprise peut avoir autant d'administrateurs qu'elle le souhaite. Mais si une entreprise avait deux administrateurs déclenchant la règle PEP et que toutes les autres règles étaient activées, elle obtiendrait un score de 16 points.

L'échelle d'étiquetage recommandée pour cette matrice des risques serait la suivante :

• 0 : Faible
• 1 à 3 : moyen
• 4 à plus : Élevé

Troisièmement, itérer en ajustant le poids de chaque règle et la portée de l'échelle d'étiquetage pour améliorer l'efficacité.

Vous êtes à la recherche d'un modèle pour démarrer votre matrice et commencer à développer vos muscles en matière de gestion des risques ? Ceci est pour vous :

Se muscler

L'élaboration d'une matrice des risques consiste à déterminer vos règles et à disposer d'un cadre cohérent pour évaluer les risques dans toutes les activités entrantes.

Plus vous ajoutez de règles, plus votre score total devient granulaire. La complexité d'une matrice de risques dépend souvent de l'activité de la fintech. Par exemple, les institutions qui traitent les paiements ont généralement les matrices de risques les plus complexes. Il est courant dans ces secteurs d'avoir plus d'une douzaine de règles. Au contraire, les activités à faible risque du point de vue de la lutte contre le blanchiment d'argent - comme certains types de produits d'assurance - peuvent utiliser moins de règles dans leurs matrices de notation.

Il est important de noter que la matrice d'évaluation des risques est généralement revue et mise à jour régulièrement pour refléter les changements survenus sur le marché et dans l'environnement de l'entreprise. Il s'agit d'un outil en constante évolution.

En outre, la gestion des risques est comme un muscle. Ainsi, même si vous n'en êtes qu'au début de votre parcours, vous pouvez commencer par une matrice des risques simple, même avec trois règles dans un outil aussi simple qu'une feuille Google. Les outils que vous utilisez et la matrice des risques que vous avez initialement conçue évolueront avec votre activité, et cela vous semblera plus naturel que de mettre en œuvre une matrice des risques à partir de zéro après avoir ajouté un millier de clients.

‍