M A N U SERVICES FINANCIERS E NUMÉRIQUES ET GESTION DES RISQUES L REMERCIEMENTS Le Partenariat de The MasterCard Foundation et d'IFC pour le Programme d'inclusion financière souhaiterait remercier les institutions participantes à notre étude : Tigo Tanzania, Kopo Kopo Kenya, FINCA RDC, Fidelity Bank Ghana et Zoona, pour leur généreux soutien, ainsi que Genesis Analytics pour leur travail d'appui aux évaluations des risques et leurs contributions au manuel. Les auteurs souhaiteraient également remercier Anna Koblanck pour son important travail de correction, ainsi que les clients d'IFC, les prestataires de SFN et les acteurs du secteur qui ont participé aux entretiens, notamment Software Group, GSMA et CGAP. Enfin, The MasterCard Foundation et IFC souhaiteraient remercier les auteurs, Lesley Denyes et Susie Lonie, et les relecteurs pour leurs contributions : David Crush, Ruth Dueck-Mbeba, Justice Durland, Cameron Evans, John Gutin, Richard Ketley, Andrew Lake, Joseck Mudiri et Patricia Mwangi. Numéro ISBN : 978-0-620-71506-5 M A N U SERVICES FINANCIERS E NUMÉRIQUES ET GESTION DES L RISQUES Avant-propos Ce manuel est conçu pour tout type d'institution financière proposant ou prévoyant de proposer des services financiers numériques, tels que l'argent électronique et les 01_ services bancaires par agent. Il peut s'agir d'institutions de microfinance, de banques, d'opérateurs de réseaux mobiles ou de prestataires de service de paiement tiers. Le APERÇU cadre conceptuel relatif aux risques et à la gestion des risques se fonde sur les normes des techniques de de gestion des risques d'entreprises et les meilleures pratiques internationales (ISO 31000), mais l'application des principes, illustrations et descriptions traite les risques gestion des risques selon tous les points de vue et pour tous les types de prestataires. Les exemples et les études de cas ne sont fournis qu'à titre d'illustration et parfois rendues anonyme pour dissimuler l'identité de l'institution afin d'autoriser une description plus complète 02_ des circonstances entourant l'évènement qui s'est produit. Les exemples sont très caractéristiques du type d'institution et de l'environnement de marché spécifique, et DÉFINITIONS doivent être adaptés avant de pouvoir être appliqués dans des contextes différents. des risques Le manuel ne présuppose aucune connaissance préalable de la gestion des risques ; il se base cependant sur une compréhension moyenne des services financiers numériques et des canaux de distribution alternatifs, notamment les produits, la fonction des agents, le rôle de la technologie et des organismes de règlementation. 03_ Par souci de cohérence, le manuel se référera aux services financiers numériques, une définition plus vaste qui s'applique à de nombreux canaux et produits. Vous trouverez CADRE un glossaire à la page 109 avec des descriptions plus complètes des termes utilisés de gestion des dans le manuel. risques Le manuel se compose de quatre parties : appliqué • La Partie I fournit le cadre conceptuel relatif à la gestion des risques et les éléments 04_ clés du processus. Elle fournit également un contexte général pour la gestion des risques des SFN. ÉCLAIRAGES • La Partie II décrit les principaux types de risques auxquels sont confrontés les prestataires de SFN, incluant des exemples réels tirés de divers marchés. ET OUTILS • La Partie III présente le processus étape par étape de mise en œuvre d'un cadre de gestion des risques. Elle peut être utilisée pour guider la conception initiale et le déploiement d'une stratégie de SFN, ainsi que pour surveiller et gérer les risques pendant la mise en œuvre continue de la stratégie. • La Partie IV souligne les leçons tirées par les clients d'IFC en Afrique, et se penche sur la façon dont les services financiers numériques pourraient évoluer dans les prochaines années, ainsi que les risques et opportunités que les SFN présentent pour les prestataires de services financiers. De plus, le chapitre sur les outils fournit une base de données complète des risques, ainsi qu'un glossaire pouvant être utilisé comme guide de référence lors de l'élaboration d'une stratégie de gestion des risques pour votre institution. 2 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES SOMMAIRE aperçu AVANT-PROPOS 2 ACRONYMES 6 SYNTHÈSE 8 INTRODUCTION 11 définitions PARTIE I : APERÇU DES TECHNIQUES DE GESTION DES RISQUES 12 PARTIE II : DÉFINITIONS DES RISQUES 18 1. Risque stratégique................................................................................................... 20 2. Risque règlementaire................................................................................................24 3. Risque opérationnel................................................................................................. 28 4. Risque technologique................................................................................................33 5. Risque financier.......................................................................................................40 cadre 6. Risque politique....................................................................................................... 44 7. Risque de fraude....................................................................................................... 48 Fraude du client 49 Fraude de l'agent 49 Fraude de l'employé 50 Fraude liée à l'administration du système 50 perspectives et outils Fraude au niveau du prestataire 50 Fraude du personnel de vente et du canal 50 8. Risque lié à la gestion des agents............................................................................... 54 9. Risque de réputation................................................................................................ 58 10. Risque lié au partenariat........................................................................................... 61 Résumé....................................................................................................................................... 66 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 3 PARTIE III : CADRE DE GESTION DES RISQUES APPLIQUÉ 68 Section 1 : Définir le contexte.......................................................................................... 71 Étape 1 : Constituer l'équipe chargée des risques 71 Étape 2 : Définir les rôles et responsabilités 72 Étape 3 : Définir le calendrier et le budget pour le développement 73 Étape 4 : Élaborer un plan 74 Étape 5 : Établir les niveaux de tolérance au risque 74 Section 2 : Identifier le risque..........................................................................................75 Étape 1 : Rechercher les ressources du secteur 76 Étape 2 : Examen historique 76 Étape 3 : Évaluations actuelles 76 Étape 4 : Brainstorming 77 Étape 5 : Consigner tous les risques identifiés dans un registre des risques 77 Section 3 : Analyser et évaluer.........................................................................................78 Qualitatif 78 Étape 1 :Déterminer une probabilité et un impact 78 Étape 2 : Analyse des risques 78 Hiérarchisation des risques 78 Étape 3 : Classer les risques en fonction des risques qualitatifs et quantitatifs 78 Étape 4 : Déterminer quels sont les risques méritant des interventions de traitement 78 Section 4 : Stratégie relative aux risques.......................................................................... 81 Étape 1 : Élaborer une stratégie d’élimination du risque 81 Étape 2 : Élaborer une stratégie de transfert du risque 81 Étape 3 : Élaborer une stratégie de traitement du risque 81 Étape 4 : Élaborer une intervention stratégique de traitement du risque 82 Étape 5 : Développer des Indicateurs Clés de Risque 82 Étape 6 : Consigner les stratégies relatives aux risques dans un registre 82 Section 5 : Suivi et examen............................................................................................. 85 Étape 1 : Réévaluation du risque 85 Étape 2 : Surveiller les risques pendant une période 85 Résumé........................................................................................................................ 86 4 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES PARTIE IV : ECLAIRAGES ET OUTILS 88 Leçons tirées................................................................................................................. 88 Conclusions................................................................................................................... 91 Outils........................................................................................................................... 93 Liste de contrôle de la gestion des risques 93 Modèle de registre des risques 94 Base de données des risques 95 Glossaire.....................................................................................................................109 Références................................................................................................................... 111 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 5 ACRONYMES ANS Accord de niveau de service API Interface de programmation (Application Program Interface) BAD Banque Africaine de Développement CDA Canal de distribution alternatif GAB Guichet automatique bancaire GRE Gestion des risques d'entreprise GSMA Association Groupe Spécial Mobile (Groupe Special Mobile Association) ICP Indicateur clé de performance ICR Indicateur clé de risque IFC Société Financière Internationale IMF Institution de microfinance KYC Obligation de s'informer sur le client (Know Your Customer) LCB/FT Lutte contre le blanchiment et le financement du terrorisme ONG Organisation non gouvernementale ORM Opérateur de réseaux mobiles 6 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES PAR Portefeuille à risque PDA Protocole d'accord (MOU) PDV Point de vente PIB Produit intérieur brut PIN Numéro d'identification personnel (Personal identification number) PSP Prestataire de services de paiement P2P Personne à personne RVI Réponse vocale interactive SDG Services Disponibles au Guichet (Over-The-Counter) SFN Services financiers numériques SIM Module d'identification de l'abonné (Subscriber Identification Module) SMS Service de messages courts (Short Message Service) TPS Transactions par seconde TI Technologies de l'information USD Dollars des Etats-Unis Données de Service Supplémentaires Non Structurées (Unstructured USSD Supplementary Service Data) GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 7 Synthèse La dernière décennie a connu une vague de services financiers innovants visant à desservir les populations non bancarisées sur les marchés émergents. Les individus à faible revenu, les micro-entrepreneurs et les populations rurales qui étaient auparavant exclus du marché en raison des coûts élevés de l'expansion physique, accèdent maintenant aux services financiers grâce aux téléphones portables et aux réseaux d'agents faisant office de représentants de prestataires de services financiers. Cela a entraîné une hausse exceptionnellement rapide de l'inclusion financière dans certains pays. Sur d'autres marchés, l'adoption a été plus lente et les résultats sont moins exceptionnels, mais tous les marchés se développent et devraient continuer à le faire à mesure que les services et les produits se développent. L'expansion des services financiers numériques devrait contribuer de manière significative à l'objectif d'accès financier universel d'ici 2020. Cependant, les nombreuses opportunités fournies par les technologies révolutionnaires et les opérations commerciales innovantes s'accompagnent également de nouveaux risques. Les risques liés à la mise en œuvre des services financiers numériques dépassent de beaucoup les risques opérationnels et techniques. Pour que le secteur de l'inclusion financière puisse profiter pleinement des avantages des services financiers numériques, il est important que les risques qui leur sont associés soient compris et traités de manière adéquate. Dans ce domaine qui évolue rapidement, il est devenu évident que ce qui affecte un prestataire les affecte tous, car les nombreux cas de fraude, par exemple, remettent en question la confiance du consommateur non seulement dans un prestataire mais aussi dans le marché tout entier et dans la promesse de l'inclusion financière numérique dans son ensemble. Le Partenariat pour l'inclusion financière est une initiative conjointe d'IFC et de la MasterCard Foundation visant à développer la microfinance et à faire progresser les services financiers numériques en Afrique subsaharienne. Grâce aux interactions avec les clients du programme ainsi qu'avec le secteur plus général dans la région et ailleurs, nous avons identifié la nécessité de produire un manuel sur la meilleure façon de traiter la gestion des risques pour les services financiers numériques. Il existe un certain nombre de publications du secteur intéressantes qui traitent de risques spécifiques, comme le risque de fraude ou règlementaire, ainsi que des documents axés sur les défis spécifiques auxquels sont confrontés certaines institutions, comme par exemple Risk Management 8 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES Toolkit for Mobile Network Operators de de fraude rapporté publiquement, qu’il centres d'appels pour suivre, contrôler et la GSMA. Il n'existe cependant aucun soit de faible ampleur ou d'envergure, prévoir les cas de figure, l'utilisation de guide complet sur les risques associés n'est probablement pas une coïncidence. robustes processus de rapprochement à la mise en œuvre des SFN en général, Nous avons constaté avec surprise que les et de règlement pour réduire les pertes qui, pourrait, de façon simple, aider une banques de notre échantillon présentaient potentielles, et le fait de prendre les institution à comprendre dès le début quel les niveaux les plus bas de mise en place partenariats au sérieux et de s'assurer sont les risques, comment ils affectent de cadres, alors que les banques sont que les partenaires sont tenus pour le déploiement des SFN, et comment les traditionnellement connues pour être responsables de leurs actes. gérer. En 2015, nous avons lancé une série des institutions présentant une aversion Ce manuel utilise les normes de gestion des de projets de recherche pour répondre à pour le risque et disposant de robustes risques d'entreprise ISO 31000 pour établir ces questions et développer ce manuel. départements de gestion des risques et les principes de la gestion des risques de conformité. Notre conclusion est que Pour l'élaboration de ce manuel, nous associés aux SFN. Les normes ISO utilisent les prestataires de services financiers sur avons interrogé plus de 30 praticiens, le cadre des 7 « R » et des 4 « T » suivants l'ensemble du secteur doivent absolument fournisseurs de logiciels et acteurs du pour développer les cadres de gestion des renforcer les pratiques de gestion des secteur, et réalisé quatre évaluations risques : risques des SFN s'ils veulent atteindre leurs approfondies des risques organisationnels. objectifs commerciaux. • Reconnaître ou identifier les risques La plupart de ces praticiens sont basés en Afrique subsaharienne, mais leurs • Classer (« Ranking ») ou évaluer les La recherche a également mis en évidence risques expériences peuvent également être le fait que, bien que les risques puissent être • Répondre aux risques significatifs utiles pour d'autres régions. Au cours de décrits selon des catégories différentes, ils la recherche, nous avons découvert qu'il »» Tolérer sont souvent fortement liés. Les risques existait très peu d'institutions, notamment »» Traiter technologiques, stratégiques et liés à la de banques, d’IMF et d’ORM, disposant »» Transférer gestion des agents peuvent tous entraîner d'un quelconque cadre de gestion des »» Eliminer des risques de réputation, et les fraudes risques pour les SFN. Une seule institution peuvent causer des pertes financières • Ressources pour les contrôles avait développé un cadre complet de encore plus importantes provoquées par • Planifier la réaction gestion des risques régulièrement utilisé et l’atteinte à la réputation plus que par la • Rendre compte et suivre la performance faisant l'objet d'un compte rendu au niveau fraude elle-même. Des stratégies clés ont en matière de risques du groupe tous les mois. également été identifiées comme étant • Revoir le cadre de gestion des risques Le fait qu'elle était la seule parmi les les plus efficaces en matière de gestion des institutions à n'avoir jamais connu de cas risques, par exemple l'utilisation de GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 9 Lors de la réalisation d'une évaluation Pour aller plus loin, il existe des tendances l'heure actuelle, les espèces dominent des risques, il est important d'examiner clés qui déterminent la façon dont nous toujours. Il est donc essentiel que les les causes des risques et d'identifier les examinons les risques et les SFN. Le prestataires continuent à se concentrer tendances. La prévention est beaucoup rythme des améliorations technologiques sur la gestion de la liquidité et permettent plus efficace que le contrôle des et de la pénétration des smartphones aux clients de retirer régulièrement des dommages après les faits. Un exemple qui déterminera la façon dont les services espèces, ainsi que sur la gestion des risques s'est présenté à plusieurs reprises dans le sont développés et proposés au marché, associés. cadre de notre recherche indiquait que et les règlementations continueront à l'absence de processus opérationnel ou évoluer avec les dynamiques du marché. Nous espérons que ce manuel fournira l'absence de mise en application est à Dans un nombre croissant de juridictions, une orientation et un soutien utiles aux l’origine de la plupart des fraudes internes les organismes de règlementation organisations employant des services à grande échelle. Les fraudes internes commencent à imposer l'interopérabilité financiers numériques pour étendre à grande échelle peuvent entraîner entre les services de paiement, notamment l'inclusion financière. Une bonne gestion l’interruption d'un service, et causer un pour l'argent électronique, et empêchent des risques est nécessaire pour que les tort à la réputation tellement important également les prestataires de signer des opportunités de nouveaux modèles que l'ensemble du marché se contracte. accords d’exclusivité avec les agents. Bien technologiques et commerciaux soient On rend les technologies responsables des que la vision de long terme consiste à pleinement mises en œuvre au profit des fraudes, mais dans de nombreux cas, la réduire l'utilisation des espèces à mesure prestataires, des partenaires, des clients et possibilité de fraude est due à l'absence de que les individus adoptent les SFN pour des économies émergentes. bonnes pratiques opérationnelles. un plus grand nombre de transactions,à 10 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES Introduction IFC soutient les institutions qui cherchent • Définir et décrire clairement tous les au-delà de leur activité fondamentale, à développer des services financiers types de risques auxquels peuvent être telles que les opérateurs de réseaux numériques en faveur de l'expansion de confrontés les prestataires de services mobiles proposant des services financiers l'inclusion financière, et s'engage dans financiers proposant des SFN. par le biais de portefeuilles mobiles ou une multitude d'initiatives sur un éventail • Fournir des directives faciles à suivre pour les banques et IMF qui s'associent à des de marchés par le biais de son portefeuille réaliser les diagnostics, les évaluations ORM pour proposer des produits bancaires d'investissement et de ses projets de conseil. des risques, développer les cadres de traditionnels par le biais de nouveaux En Afrique subsaharienne, de nombreux gestion des risques, et mettre en œuvre canaux. On constate un besoin croissant projets de conseil sont mis en œuvre en les outils de gestion des risques. de conseils en matière de gestion des partenariat avec la MasterCard Foundation risques des SFN qui soient pertinents et • Analyser comment différents types dans le cadre d'une initiative conjointe accessibles à tous les types de prestataires. d'institutions financières évaluent qui inclut également un programme de actuellement les risques et mettent en Il existe plusieurs excellents documents de recherche complet. Une bonne partie œuvre les outils de gestion des risques. référence qui fournissent des informations des premiers apprentissages tirés de ces projets a été consignée dans le manuel • Identifier les leçons générales tirées par techniques sur l'élaboration d'un cadre de intitulé Canaux de distribution alternatifs les prestataires de services financiers gestion des risques (voir page 111), et cette et des technologies1 qui constitue un quant à la gestion des risques associés publication ne vise pas à reproduire ces guide complet des composantes d'une aux SFN qui sont pertinentes pour documents. Notre priorité est de décrire les stratégie de SFN et, en particulier, de la d'autres marchés et organisations sur principes sous-jacents de base de la gestion façon de comprendre les composantes des sujets tels que l'intégration aux des risques pour les praticiens qui ne sont technologiques essentielles à la réussite cadres de gestion des risque existants à pas des spécialistes des risques mais qui d’un déploiement. En plus d’assurer l'échelle de l'institution, les indicateurs sont impliqués dans l'établissement et la l'expansion de l'inclusion financière par le clés de risque, les types les plus courants protection d'une activité de SFN. Comme biais des SFN, il est important de veiller à de risques, la façon d’atténuer au mieux pour tout nouveau service, il y a beaucoup leur pérennité et fiabilité par la mise en les risques et les meilleures pratiques de à apprendre et de nombreux défis et œuvre de pratiques de gestion des risques gestion des risques associés aux SFN. risques inattendus à traiter. Ce manuel efficaces et responsables. sert de guide des praticiens pour identifier, Nous avons constaté que, même si la évaluer et atténuer les risques spécifiques La recherche effectuée pour ce manuel plupart des prestataires avaient étendu aux SFN. incluait trois composantes : des entretiens leurs cadres de gestion des risques avec 30 praticiens environ, quatre études pour inclure les canaux alternatifs, ils de cas approfondies portant sur Tigo commençaient à peine à comprendre les Tanzanie (ORM), FINCA RDC (IMF), Kopo risques supplémentaires que présentent Kopo Kenya (PSP) et Fidelity Bank au Ghana, les SFN. Cela est d’autant plus pertinent ainsi qu’un atelier de deux jours avec des que les déploiements de SFN signifient clients, organisé au Cap en novembre 2015. souvent que les organisations s'engagent Les objectifs de la recherche étaient de : dans des activités commerciales qui vont 1 Manuel des Canaux de distribution alternatifs et des technologies, IFC, 2015 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 11 01_ PARTIE 1 Aperçu des techniques de gestion des risques Le risque peut être décrit2 comme étant « l'effet de l'incertitude sur les objectifs ». Il existe de nombreuses définitions, approches et cadres utilisés dans diverses entreprises et secteurs, l'une des normes internationales clés étant ISO 31000. Les conséquences d'un changement de circonstances ou d'événements peuvent être positives ou négatives. Cette section du manuel définit les principes conceptuels d'un cadre de gestion des risques, le processus d'évaluation des risques et les composantes clés du développement d'un cadre de gestion des risques pour les SFN. La gestion des risques commence par le mandat et l'engagement de la direction et des organes directeurs de l'institution, et est suivie par la conception d'un cadre, la mise en œuvre de la gestion des risques, le suivi et l'examen du cadre et enfin l'amélioration continue du cadre. L'établissement d'un cadre de gestion des risques efficace est un aspect essentiel d'une bonne gouvernance d'entreprise pour toutes les sociétés et doit constituer une priorité clé pour les conseils d'administration et la haute direction. La mise en œuvre d'un cadre de gestion des risques requiert un service chargé des risques approprié pour la taille et la complexité de l'organisation. Presque toutes les institutions financières sont tenues de disposer d'un directeur de la gestion des risques, ainsi que d'employés ou services responsables des différents domaines de risques. Pour les SFN, le domaine généralement le moins développé est celui des risques opérationnels ; il requiert la plus grande attention. Les équipes participant à la gestion des opérations de SFN sont celles qui savent le mieux ce qui est requis et ce qui peut mal se passer, et doivent être incluses dès que possible au processus de planification d'une stratégie des risques associés aux SFN. Cela fournit un contrepoids très utile aux équipes de développement commercial qui n’arrivent souvent pas à anticiper les risques dans les stratégies qu'ils promeuvent ou considèrent l'évaluation des risques comme une entrave à la progression. 2 Guide ISO 73 tiré de ISO 31000 12 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES “La gestion Figure 1: Cadre de gestion des risques (basé sur ISO 31000) des risques commence par MANDAT ET ENGAGEMENT le mandat et l'engagement de CONCEPTION DU CADRE la direction.” • Organisation et son contexte • Politique de gestion des risques • Intégrer la gestion des risques MISE EN ŒUVRE DE LA GESTION DES RISQUES • Mise en œuvre du cadre AMÉLIORATION DU CADRE • Mise en œuvre du processus de gestion des risques SUIVI ET EXAMEN DU CADRE Source: AIRMIC, Alarm, IRM: 2010 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 13 01_APERÇU Cadres de gestion des risques Toutes les entreprises sont soumises à • Répondre aux risques significatifs : • Ressources pour les contrôles : Le une palette de risques, dont certains sont L'élaboration de stratégies relatives aux développement de budgets alloués aux anticipés mais dont la plupart ne sont ni risques fondées sur la probabilité et réponses contre les risques. prévus ni gérés efficacement. L'adoption l'impact potentiel : • Planifier la réaction : L’élaboration d'un cadre formel de gestion des risques d’interventions stratégiques face au peut aider les entreprises à planifier plus »» Tolérer : Les risques à probabilité et risque. efficacement, comprendre pourquoi les impact potentiel faibles peuvent être • Rendre compte et suivre la performance choses ne se sont pas passées comme acceptés ou tolérés car le coût de leur en matière de risques : Compte rendu prévu et, dans l'idéal, prendre des mesures atténuation ou élimination peut être périodique sur la performance en avant d'encourir des pertes. L'objectif plus élevé que celui de leur impact matière de risques pour préciser si le d'un cadre efficace de gestion des risques potentiel. risque s'est réalisé et les pertes se sont est d'être proactif plutôt que réactif en »» Traiter : Les risques à probabilité et produites, s'il est réalisé et a été atténué gérant les risques inhérents à un modèle impact potentiel modérés peuvent ou s'il ne s'est pas encore réalisé. économique. être traités pour atténuer la perte • Revoir le cadre de gestion des risques : Conformément à ISO 31000, il existe 7 « R » et potentielle découlant de la survenue Le processus d'examen et de réitération 4 « T » dans les cadres de gestion des risques : des événements. du processus de vérification de la gestion • Reconnaître les risques : Réflexion des risques de manière périodique ou sur tous les types et sous-types »» Transférer : Les risques à probabilité et quand des événements significatifs se d'événements à risque pouvant se impact potentiel élevés peuvent être produisent. produire et affecter la mise en œuvre des transférés à un tiers en externalisant Les cadres de gestion des risques se SFN ou en souscrivant une assurance. composent d’un ensemble complet de • Classer ou évaluer les risques : »» Eliminer : Les risques à probabilité et politiques visant à réduire l'impact des L'utilisation de critères qualitatifs basés impact potentiel très élevés peuvent risques associés aux SFN. Le cadre est sur la probabilité et l'impact potentiel être éliminés en interrompant l'offre l'aboutissement de tous les processus de pour classer les risques par degré de SFN ou en ayant recours par planification et d'évaluation, et le registre d’importance, de la plus élevée à la plus exemple à de nouveaux partenaires des risques est le principal ensemble de faible ou fournisseurs. connaissances et document de travail. Vous trouverez la méthodologie relative au développement d'un cadre de gestion des risques dans la Partie III de ce manuel. 14 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES Processus d'évaluation des risques Le développement d'un cadre de gestion des risques consiste à suivre un processus d'évaluation des risques incluant l'identification, l'évaluation et le développement de stratégies de traitement des risques quant aux risques associés au SFN. Figure 2: Processus d'évaluation des risques CONTEXTE ÉTABLI COMMUNICATION ET CONSULTATION ÉVALUATION DES RISQUES SUIVI ET EXAMEN IDENTIFICATION DES RISQUES ANALYSE DES RISQUES ÉVALUATION DES RISQUES TRAITEMENT DES RISQUES Source: AIRMIC, Alarm, IRM: 2010 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 15 01_APERÇU Un cadre de gestion des risques commence par l'établissement d'un contexte des risques ; il doit viser à identifier et classer les risques concernés (et dans l'idéal mesurer les risques) ; évaluer, estimer et analyser les risques ; évaluer et planifier pour réduire ces risques au maximum ; développer des traitements des risques ; et suivre et examiner les résultats du traitement des risques. Le produit final d'une évaluation des risques est un cadre de gestion des risques incluant un registre des risques. Aussi appelée matrice des risques, l'expression registre des risques est utilisée de manière similaire pour décrire la base de données centrale des risques identifiés, ainsi que leurs descriptions, causes, effets et politiques - s'il sera toléré, traité, transféré ou éliminé. Les registres des risques sont essentiels au cadre de gestion des risques car ils consignent tous les événements possibles et permettent aux utilisateurs de surveiller, rendre compte et réévaluer les risques de manière continue. Les registres des risques permettent aussi aux prestataires de définir tous les sous-niveaux de risques et d'élaborer des stratégies relatives aux risques de sorte que si un événement se produit à un certain niveau, il existe une stratégie pour l'empêcher de passer au niveau suivant, comme dans le cas de logiciels malveillants qui infiltrent un système mais qu’on empêche d'avoir accès aux données sensibles. Les registres des risques incluent : CATÉGORIE DE RISQUE CAUSE RÉPONSE STRATÉGIQUE Risque stratégique, règlementaire, L'événement, s'il s'est produit, qui DE TRAITEMENT opérationnel, technologique, résulterait sur la matérialisation du financier, politique, de fraude, lié à la Les implications en termes de risque politique ou de procédure de la gestion des agents, de réputation ou lié au partenariat stratégie de traitement du risque EFFET NOM DU RISQUE L'impact que l'événement aurait s'il INDICATEUR CLÉ DE se produisait RISQUE Nom clairement défini du risque identifié Un indicateur utilisé pour l'alerte précoce indiquant que les effets STRATÉGIE RELATIVE AUX négatifs associés au risque donné DESCRIPTION RISQUES pourraient se produire Description détaillée du risque Tolérer, Traiter, Transférer ou Eliminer STATUT ACTUEL RESPONSABLE DU RISQUE STRATÉGIE DE Si l'événement à risque ne s'est pas encore produit, s'il s’est produit et Personne responsable de la TRAITEMENT DU RISQUE a été traité avec succès ou s'il s’est surveillance du risque et de la La stratégie relative à la façon produit et a causé des pertes. mise en œuvre de la stratégie de d'atténuer ou de contrôler le risque traitement du risque 16 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES Des exemples sont fournis dans la section suivante pour illustrer ce processus. Le registre des risques est un document dynamique qui est réévalué et mis à jour sur la base d'une période prédéfinie ou à la survenue d'un événement majeur inattendu. Il est utilisé comme l'ensemble des connaissances sur les risques encourus par l'institution et sa mise en œuvre des SFN. Vous trouverez un modèle de registre des risques dans la section Outils de ce document. GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 17 02_DÉFINITIONS 02_ PARTIE II Définition des risques Le potentiel que présentent les SFN s'accompagne de risques inhérents car les opérations et les interactions avec les clients sont sous-traitées aux agents qui ouvrent des comptes et effectuent des transactions pour le compte du prestataire. Dans l'histoire récente, quelques cas de fraude remarquables ont affecté la réputation et la viabilité financière de certaines opérations. Bien que le risque de fraude soit le plus connu et le risque le mieux compris associé aux SFN, il en existe bien d'autres qui ne sont pas toujours inclus au cadre de gestion des risques d'un prestataire alors qu'ils peuvent être tout aussi dommageables. Il s'agit notamment des risques stratégiques, règlementaires, opérationnels, technologiques, financiers, politiques, de fraude, liés à la gestion des agents, de réputation ou liés au partenariat. Chacune de ces catégories de risques est décrite et expliquée dans cette section, en incluant un nombre important de sous-catégories. Pour chaque risque, des stratégies appropriées d'atténuation du risque sont également identifiées et étudiées. Les études de cas et les exemples concrets permettent une meilleure compréhension des concepts. Chaque catégorie de risque illustre également la façon dont un registre des risques pourrait être utilisé pour documenter les éléments clés tels que l'identification du risque, la responsabilité de la surveillance du risque, l'évaluation du risque, le traitement du risque et les indicateurs de risque, dans le cadre d'une stratégie de gestion des risques d'une organisation. Une liste de contrôle utile pose au lecteur des questions cruciales et l’incite à réfléchir à ses propres risques organisationnels. 18 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES Figure 3: Catégories de risques et interactions RISQUE STRATÉGIQUE RISQUE RISQUE FINANCIER RÈGLEMENTAIRE RISQUE DE RISQUE FRAUDE OPÉRATIONNEL RISQUE LIÉ À RISQUE DE LA GESTION RÉPUTATION DES AGENTS RISQUE LIÉ AU RISQUE PARTENARIAT TECHNOLOGIQUE RISQUE POLITIQUE Les risques n’appartiennent pas à une s'il n'existe pas de système de Back Office seule et unique catégorie. Si une situation approprié, ou un risque de fraude si les de risque se produit dans un domaine, elle fonctionnalités de prévention des fraudes peut souvent créer une situation de risque attendues ne sont pas mises en œuvre, dans un autre domaine, et tous les risques ou un risque de réputation si l'expérience doivent être considérés collectivement. client est mauvaise. Par conséquent, la Par exemple, de mauvaises décisions nécessité stratégique de réduire le risque stratégiques concernant le service et de fraude peut aussi rendre nécessaires la sélection des technologies peuvent des mesures de prévention des risques entraîner un risque technologique qui, en dans les domaines des opérations, des retour, provoque de nombreux autres types technologies, de la gestion des agents et de risques, tels qu'un risque opérationnel et ainsi de suite. un risque de gestion des agents GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 19 02_DÉFINITIONS 1. Risque stratégique Quel est votre Le risque stratégique se définit dans les Les prestataires doivent bien comprendre appétence et grandes lignes comme les pertes réelles qui résultent de la mise en œuvre d'un business la nature et la portée des risques associés à leur stratégie commerciale et la tolérance tolérance au plan infructueux ou les pertes potentielles à leur impact potentiel. Pour traiter résultant d'opportunités manquées. Des le risque stratégique, les prestataires exemples pourraient être des produits risque ? doivent s'efforcer de rassembler des inefficaces, l'incapacité à réagir face données et de prendre en compte les à un changement de l'environnement points de vue externes émanant de commercial ou l’allocation inadéquate des sources extérieures, notamment les ressources. clients, les blogueurs, les prescripteurs en matière d'information, les concurrents À mesure que la dépendance aux et les analystes du marché. Pour de technologies augmente, les prestataires nombreuses offres de SFN, la concurrence sont de plus en plus exposés aux peut être assez différente de celle du risques résultant de l'innovation et des cœur de l'organisation, et ces nouveaux technologies de rupture sur le marché. concurrents doivent être identifiés et La définition de la stratégie de la société compris. Les modèles financiers peuvent incombe généralement au conseil être utilisés pour développer une analyse d'administration, qui devrait mettre de scénarios et un test de résistance afin à profit son expérience dans d'autres de mieux comprendre les facteurs clés de la sociétés et secteurs pour identifier les rentabilité telle que le volume, la valeur, les risques auxquels est confrontée la stratégie revenus et les coûts. en matière de SFN de la société. Les risques stratégiques sont notamment les La façon de développer un registre des risques associés à l'image de marque, aux risques est décrite à la Partie III. Un tendances économiques, à la réputation, exemple de risque stratégique dans un aux modèles économiques et aux registre des risques est fourni ci-dessous, positionnements concurrentiels. Ils sont et inclut la catégorie, la description, le également associés à la technologie, qui responsable de la gestion du risque, la requiert un système réputé, exploitable, cause, l'effet, la probabilité, l'impact, la modulable et sécurisé afin de minimiser le stratégie, et l'indicateur clé de risque. risque stratégique. 20 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES MPLE 1 EXE Registre des risques Risque stratégique - Analyse de rentabilité irréaliste Exemple de prestataire de SFN : ORM qui propose un portefeuille mobile Catégorie de risque : Risque stratégique Catégorie secondaire : Risque de réputation Nom : Le portefeuille mobile de l'ORM ne réussit pas à atteindre la viabilité dans les délais prévus Description : Les SFN n'atteignent pas les objectifs de recettes et de dépenses et produisent des revenus nets et un retour sur investissement négatifs. Propriétaire : Directeur de l'argent électronique Cause : Mauvaise conception du produit ou du canal, incompréhension de la demande du marché et/ou de la concurrence Effet : Perte de l'investissement Probabilité : 2 sur 5 Probabilité assez faible sur la base d’une étude de marché et d’une modélisation financière Impact : 3 sur 5 Impact moyen basé sur le fait que l’équipe des opérations aura probablement des opportunités de traiter les problèmes à régler avant que les opérations ne cessent Stratégie relative au risque : Traiter Stratégie de traitement : • Utiliser les études de marché et les points de référence du secteur pour poser des hypothèses • Réitérer le modèle financier à mesure que la mise en œuvre progresse • S'assurer que les cibles sont communiquées et alignées sur les ICP • Suivre la performance et mettre à jour la stratégie si nécessaire Réponse stratégique de • Déterminer les causes de la mauvaise performance (conception du produit, réponse du marché) et élaborer des plans de résolution traitement : • Ajuster l'analyse de rentabilité et les objectifs pour refléter la nouvelle phase du cycle de vie du produit Indicateur clé de risque : • Revenus nets • Clients actifs • Transactions par client • Agents actifs • Clients par agent • Taux d'intérêt sur le compte de fonds de caisse Statut actuel : Ne s'est pas réalisé GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 21 02_DÉFINITIONS Encadré 1 Études de cas sur le risque stratégique A) Lancer un service mal défini : Les symptômes de la mise en Cela apporte des avantages Quand le premier service d'argent œuvre précipitée et de la mauvaise commerciaux évidents à l'ORM en électronique en Afrique subsaharienne exécution des décisions stratégiques termes d'acquisition et de fidélisation a été lancé, il est rapidement devenu se manifestent dans les nombreux de clients, mais limite également la très populaire, et a été considéré par services infructueux lancés au tout taille maximale potentielle des SFN l’ORM prestataire de service comme début. Le marché a explosé avec à la taille de la clientèle de l'ORM, une activité « anti-résiliation » qui plus de 200 services lancés ou en et si l'activité fondamentale des protègerait son activité fondamentale développement au cours des cinq télécommunications décline, l'activité des télécommunications grâce à premières années, cinq pour cent d'argent électronique décline aussi. l'acquisition et à la fidélisation de peut-être parvenant à s'approcher Lorsque l'argent électronique est clients. En conséquence, de nombreux d’un semblant de succès. La situation apparu, de nombreux ORM ont ORM africains se sont préoccupés s'améliore, mais il existe toujours de considéré que l'avantage clé des du risque stratégique encouru par nombreux services qui souffrent en SFN était leur potentiel à fournir leur activité fondamentale s'ils ne conséquence directe de ces mauvaises une différenciation qui améliorerait proposaient pas un service similaire. décisions, comme un sous-effectif et l'attrait de leur activité fondamentale Cela a incité de nombreux ORM un budget insuffisant pour développer de télécommunications. De nos à lancer des services d'argent l'activité et des difficultés liées à une jours, la plupart des ORM en électronique sans bien comprendre le technologie inappropriée. Afrique subsaharienne proposent de marché, la proposition commerciale, l'argent électronique comme partie la fonctionnalité technique nécessaire B) Perte au niveau de l'activité intégrante de leur portefeuille, ce ou les ressources requises pour fondamentale que sont les service n'apporte donc plus cette fournir un service prospère. Le télécommunications : En règle différenciation à moins qu'il n'apporte résultat paradoxal en fut qu'ils furent générale, pour s'enregistrer à un un avantage indiscutable que la soumis aux conséquences d'un risque service d'argent électronique d'un concurrence n’offre pas. stratégique différent en entrant sur ORM, le client doit s'abonner à un nouveau marché pour lequel ils l'activité télécommunications de La Tanzanie compte plusieurs ORM étaient mal préparés et fournissaient l'ORM et utiliser sa carte SIM. prospères et la concurrence dans des services de mauvaise qualité. l'espace des télécommunications est rude. De nombreux clients ont 22 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES plusieurs cartes SIM et utilisent passer par celui de la personne qui Certains agents sont des complices celle qui est la plus avantageuse. Ils effectue le dépôt. Cette procédure actifs en effectuant des dépôts directs, fournissent tous des services d'argent est contraire aux modalités de tandis que d'autres ne sont pas électronique similaires et il est courant fonctionnement car il n'existe conscients de ce qu’il se passe. Des que les clients ouvrent plusieurs alors aucune trace de l'identité de efforts sont entrepris pour identifier comptes d'argent électronique.3 Il l'expéditeur, ce qui peut enfreindre les agents en infraction en déterminant existe donc un véritable problème : les règlementations KYC. Le fait de si un retrait se produit dans un autre quand un ORM propose une offre contourner la transaction P2P peut lieu peu après le dépôt. Il n'y a guère de télécommunications séduisante aussi avoir un impact négatif grave sur de justification à déposer et retirer durable aux clients, l'activité des SFN la rentabilité du modèle économique. très rapidement de l'argent, et si le se développe aussi, tandis que les SFN L'agent doit percevoir une commission retrait a été effectué loin du dépôt, de la concurrence en pâtissent par pour avoir fourni le service de dépôt, la transaction était probablement un défaut. Pour atténuer ce risque, des et celle-ci est habituellement financée, retrait direct. Une autre approche SFN à valeur ajoutée sont introduits pour le moins en partie, par les recettes consiste à suivre la localisation de sur de nombreux marchés, notamment P2P. De plus, l'expéditeur n'a même l'agent et du bénéficiaire du dépôt les comptes d'épargne, l'accès à des pas besoin d'être un abonné mobile. en utilisant l'identifiant du téléphone prêts et le partage des profits sur les portable ; des localisations différentes fonds détenus dans les comptes. Les dépôts directs sont donc à l’origine indiquent encore une fois un dépôt d'un risque potentiel règlementaire direct. Les agents effectuant des C) Opérations de « dépôt direct » et financier, mais l'impact le plus niveaux élevés de dépôts directs sont en hausse : Le processus standard important est sans aucun doute qu'ils mis en garde, et exclus du service si de dépôts de fonds par le biais d'un sapent le rôle stratégique des SFN en nécessaire. Ce processus de détection portefeuille consiste à ce que le client matière de soutien et de protection est chronophage et laborieux, mais remette des espèces à un agent, qui de l'activité fondamentale des constitue actuellement le meilleur verse les fonds en effectuant une télécommunications. moyen à disposition pour protéger transaction de personne-à-personne. l'activité du risque lié aux dépôts Bien que le dépôt soit généralement La plupart des ORM pâtissent des directs. gratuit, presque tous les services niveaux croissants de dépôts directs. prélèvent des frais sur chaque transfert P2P. Il est possible pour les clients de contourner la transaction P2P et d’éviter ces frais au moment où ils déposent l'argent en donnant à l'agent le numéro de téléphone du portefeuille bénéficiaire au lieu du leur. RISQUE STRATÉGIQUE - QUESTIONS CLÉS ans quelle mesure ma stratégie est-elle véritablement bien définie ? • D Les fonds sont déposés directement • Quelle est l'ampleur des risques que nous considérons ? Avons-nous pris en compte tous sur le compte bénéficiaire sans jamais les facteurs internes et externes ? • Quels scénarios de risque avons-nous pris en considération pour tester nos plans ? 3 En 2014, les utilisateurs de SFN en Tanzanie détenaient en moyenne 2 comptes d'argent électronique http:// • Quel est notre appétence et tolérance au risque ? www.gsma.com/ mobilefordevelopment/wp-content/ • Avons-nous affecté nos risques à des indicateurs clés de performance et à des mesures uploads/2014/03/ Tanzania-Enabling-Mobile-Money- Policies.pdf de la valeur ? GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 23 02_DÉFINITIONS 2. Risque règlementaire Le risque règlementaire désigne le risque Ces règlementations peuvent aussi associé à la conformité (ou non-conformité) Ai-je identifié les constituer des obstacles majeurs au aux directives et règles règlementaires, développement et au déploiement des comme la lutte contre le blanchiment services financiers numériques sur les domaines éventuels d'argent/ le financement du terrorisme, l'obligation de s'informer sur le client, la marchés émergents, en entravant par exemple la capacité des clients à s’abonner de risque de non- confidentialité des données, les limites sur les comptes et les transactions, les comptes à un service en raison de pièces d’identité de mauvaise qualité, de justification de conformité ? fiduciaires et les règlementations relatives au recours à des agents. Le risque règlementaire domicile insuffisante ou d'absence d'outils de vérification biométrique. Plusieurs inclut également les règles plus générales banques centrales dans le monde ont relatives au fonctionnement d'une institution autorisé la KYC à plusieurs niveaux comme particulière comme par exemple l'octroi de moyen d'introduire la proportionnalité licence, le capital et les liquidités. La non- dans la gestion des risques des services conformité peut concerner des domaines qui mobiles. Le risque que d’importantes ne sont pas directement associés aux SFN sommes d'argent transitent par des mais qui ont un impact significatif sur les comptes mobiles à des fins de blanchiment opérations de l'entreprise, notamment les d'argent et de financement du terrorisme amendes, les pénalités et même le retrait de est probablement limité car la plupart la licence. La banque centrale de chaque pays des comptes sont plafonnés en tant que définit les exigences applicables aux services comptes à faible valeur, ils permettent de bancaires mobiles, à l'argent électronique et remonter jusqu'au numéro de téléphone aux services bancaires par agent au sein de sa portable avec les montants et les dates, juridiction4. Celles-ci incluent généralement requièrent des PIN de sécurité et font les politiques qui régissent les SFN, souvent l'objet d'un suivi permanent. La KYC à une loi nationale sur les paiements, une loi plusieurs niveaux adopte une approche sur l'inclusion financière ou une loi sur la basée sur le risque et étend l'accès protection des clients. Les banques centrales proportionnel au compte en fonction de chaque pays décident si elles autoriseront du niveau d'exigences en termes de KYC. les banques, les ORM, les prestataires de Des limites proportionnelles s'appliquent services de paiement ou une combinaison de au montant par transaction, au chiffre ceux-ci, à fournir des services par le biais des d'affaires du compte par jour, mois ou SFN. Outre les types d'institutions qui seront année, et au solde maximum pouvant être autorisés à proposer les services, les banques détenu à tout moment. centrales imposent également des exigences Gestion des agents : Le recours à des sur les sujets suivants : agents agissant pour le compte des Obligation de vigilance à l'égard de la institutions financières est strictement clientèle : L’un des domaines clés couverts régi par les organismes de règlementation par les règlementations relatives aux SFN dans la plupart des marchés. Des exigences est l'obligation de vigilance à l'égard de opérationnelles peuvent être imposées la clientèle, notamment l'obligation de pour recruter des agents, notamment sur s'informer sur le client (KYC), la lutte contre le fait qu’'ils soient enregistrés ou titulaires le blanchiment d'argent et la lutte contre le d'une licence, des exigences de capital financement du terrorisme. minimum ou même des restrictions sur le type d'activité. Les organismes de 4 Sur quelques marchés, ces règlementations sont toujours en cours de développement et pas encore mises en œuvre. réglementation imposent également les 24 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES fonctions que les agents peuvent exercer, car ils ne sont pas autorisés à être des En Afrique subsaharienne, les transferts par exemple s'ils peuvent ouvrir ou non intermédiaires financiers, et les soldes des nationaux de « compte à compte » des comptes, recueillir des données sur la portefeuilles sont garantis à 100 % dans interopérables sont actuellement KYC, effectuer des opérations de dépôt et des comptes fiduciaires, généralement disponibles5 en Tanzanie, au Rwanda et à de retrait ou effectuer des opérations au détenus dans des institutions financières Madagascar. guichet. L'organisme de règlementation tiers. Comptes fiduciaires : Tous les prestataires peut inclure des stipulations concernant Protection de la vie privée : Comme de SFN non bancaires, notamment les l'exclusivité des agents, par exemple pour tous les services financiers, la ORM et les prestataires de services de imposer le fait que les agents ne puissent protection des données sur les clients paiement, sont agréés par les organismes pas travailler exclusivement pour une seule est primordiale et ce risque peut être de règlementation, par le biais de l'octroi institution financière. atténué par un contrôle de l'accès au d'une licence ou de « certificats de non- Les règlementations relatives à la gestion système informatique et un cryptage pour opposition », par une banque centrale, une des agents varient d'un pays à l'autre. Dans protéger l'utilisation abusive des données commission des valeurs et des changes certains pays, les règlementations relatives par le personnel du prestataire. Les ou un organisme de règlementation des aux services bancaires par agent et à l'argent réglementations relatives à la protection communications, avec des dispositions électronique sont clairement établies de la vie privée peuvent être traitées par devant être respectées pour détenir des et incluent des exigences complètes le biais de lois nationales sur la protection fonds dans un ou plusieurs comptes pour le recrutement, la validation, la de la vie privée, de règlementations fiduciaires. Le montant des fonds d'argent formation et la gestion continue des sur les télécommunications et/ou électronique doit correspondre au agents. Dans des pays comme la Tanzanie, de règlementations sur les services montant des fonds détenus à la banque l'organisme de règlementation doit valider financiers. La protection des données et les prestataires ne sont pas autorisés à individuellement chaque agent qu'une est une préoccupation croissante des jouer un rôle d'intermédiation financière banque ou une IMF recrute. Dans d'autres institutions car les piratages de données comme une institution financière marchés, tels que Madagascar, il n'existe publiques à grande échelle ont été bien règlementée le ferait. L'objectif est de actuellement aucune règlementation documentés dans les médias, entraînant s'assurer que les fonds des clients sont et la banque centrale n'a donné aucune des pertes financières et portant atteinte protégés et facilement disponibles sur indication formelle sur ce qui est autorisé à la réputation. L'absence d'intégrité quant demande. Ces fonds sont réservés et ou interdit concernant les types d'agents aux données sur les clients peut entraîner les prestataires ne peuvent les utiliser à recruter, leurs exigences opérationnelles des poursuites judiciaires, et fournir des pour payer les frais d'exploitation ou ou les fonctions qu'ils sont autorisés à opportunités de vol d'identité et de fraude. rembourser des créanciers. En fonction de exercer. Sur des marchés comme ceux-là, Interopérabilité : L'interopérabilité se la règlementation, les intérêts acquis sur le risque règlementaire devient l'un des définit comme la capacité de l'utilisateur le compte fiduciaire peuvent devoir être principaux risques de la mise en œuvre des d'un compte ou d'un portefeuille géré versés aux clients ou peuvent être utilisés SFN, car les institutions opèrent dans des par un prestataire, de recevoir ou comme recettes du prestataire. circonstances totalement inconnues. d'effectuer des transferts vers le compte Exigences relatives au capital minimum : Outre les risques règlementaires associés ou portefeuille d'un utilisateur géré Pour les banques, les exigences relatives aux agents, il existe plusieurs autres types par un autre prestataire. On peut aussi au capital minimum constituent une de risques qui sont détaillés dans la section décrire l'interopérabilité au niveau de composante habituelle des exigences Risque lié à la gestion des agents de ce l'agent, quand un client d'un prestataire règlementaires pour obtenir une licence. document. peut effectuer des transactions auprès de Sur certains marchés, les organismes de Assurance des dépôts : L'assurance des l'agent d'un autre prestataire. La plupart règlementation les exigent également pour dépôts est une assurance fournie aux des organismes de réglementation n'ont les ORM et les PSP. Outre les exigences selon déposants pour protéger leur dépôt en cas pas rendu l'interopérabilité obligatoire lesquelles les ORM et les PSP doivent détenir d'insolvabilité de l'institution financière. entre les prestataires nationaux, et des fonds dans des comptes fiduciaires, les Il s'agit généralement d'une composante certains ont laissé le marché autoréguler organismes de règlementation peuvent obligatoire des lois régissant les l'interopérabilité. À mesure que les marchés aussi imposer des exigences de capital institutions financières car la protection deviennent plus matures, nous pourrions minimum afin d'assurer les créanciers contre des dépôts des clients est essentielle voir apparaître un niveau d'interopérabilité le risque d'insolvabilité et de s'assurer que pour empêcher les paniques bancaires et obligatoire plus élevé car les organismes l'institution dispose d'un capital suffisant maintenir un secteur financier stable. Les de règlementation viseront à intensifier la pour assumer les coûts d'exploitation lors du banques centrales n'exigent généralement concurrence en vue d'augmenter les choix démarrage. pas une assurance des dépôts pour les des clients et de réduire les prix. 5 GSMA report: State of the Industry 2015 ORM ou les prestataires de paiement GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 25 02_DÉFINITIONS MPLE Registre des risques 2 EXE Risque règlementaire - Enregistrement incorrect du client Exemple de prestataire de ORM qui propose un portefeuille mobile SFN : Catégorie de risque : Risque règlementaire Catégorie secondaire : Risque lié à la gestion des agents Nom : L'agent n'enregistre pas correctement le client au moyen d’une procédure complète KYC Description : Les agents peuvent ne pas se conformer parfaitement aux exigences KYC, car les commissions incitent à effectuer des opérations d'ouverture et de performance des comptes et non à procéder aux vérifications préalables règlementaires. Propriétaire : Directeur de la conformité Cause : Mauvaise conception du produit ou du canal, mauvaise formation de l'agent Effet : Des dépenses accrues pour le suivi et la collecte des données KYC ou la clôture du compte si celles-ci ne peuvent être enregistrées de manière adéquate Probabilité : 3 sur 5 Probabilité moyenne sur la base d'une bonne formation, mais problème courant Impact : 1 sur 5 Impact très faible sur la base de la réaction probable des organismes de réglementation envoyant des avertissements avant que les violations ne soient sanctionnées Stratégie relative au risque : Traiter Stratégie de traitement : • Formation des agents • Conditionner les incitations des agents à l’obtention de comptes parfaitement enregistrés • Revoir la conception des processus commerciaux pour qu'ils soient plus efficaces en matière de gestion de tout document • Si les règlementations le permettent, ouvrir des comptes à des niveaux KYC inférieurs jusqu'à ce que toutes les informations puissent être recueillies • Transactions demandées par des enquêteurs anonymes • Pénalités en cas de non-conformité Réponse stratégique de • Formation supplémentaire des agents traitement : • Imposer les pénalités aux agents et/ou aux chargés de la gestion des agents Indicateur clé de risque : • Pourcentage de clients dont l'enregistrement est incomplet • Pourcentage de clients dont l'enregistrement est rejeté Statut actuel : S'est réalisé et a été atténué 26 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES Encadré 2 Études de cas sur le risque règlementaire Les risques règlementaires les plus Malgré des négociations intenses, Malheureusement, l'organisme de courants sont causés par les deux le lancement a été retardé puis en règlementation ne connaissait pas bien situations extrêmes que sont une définitive annulé, et l'équipe dissoute. l'état de développement technologique « absence de règlementation » et une Trois ans plus tard, la règlementation sur ce marché naissant et avait « règlementation excessive », les deux fut de nouveau modifiée et le service supposé qu'il disposait d'une gamme pouvant entraîner le gaspillage d'un fut finalement lancé. Le coût du retard de fonctionnalités et de capacités qui investissement et la perte de revenus. pour l'ORM, à la fois direct et en ne seraient pourtant pas couramment Dans les marchés où la supervision des termes de perte de recettes, n'a pas été disponibles avant plusieurs années. SFN est faible, voire nulle, il existe une divulgué. De plus, l'analyse de rentabilité incertitude quant à ce que l'organisme Sur un marché africain, la banque relative à ses services reposait sur un de règlementation requiert ou aux centrale a décidé qu'elle imposerait environnement « en circuit fermé » règlementations qui pourraient être certaines contraintes règlementaires à avec une seule entité générant des imposées à une date ultérieure. Par tout déploiement de services d’argent revenus. En conséquence, ce qui devait exemple, un ORM majeur a décidé de électronique en vue de s'assurer qu'il être l'un des marchés leaders des SFN lancer son service d'argent électronique existerait une interopérabilité complète a eu du mal à prendre de la vitesse et a africain couronné de succès sur entre les services dès le départ, et que les suscité peu d'intérêt pendant plusieurs un grand marché de l'Asie du Sud, risques et avantages potentiels associés années jusqu'à ce que la règlementation ciblant un lancement en 2008. L'avis à chaque service seraient partagés soit modifiée pour prendre en compte juridique était qu'en l'absence d'une entre plusieurs banques locales. les réalités du marché. règlementation spécifique, un cadre adapté pouvait être développé pour respecter la règlementation plus générale sur les paiements. Une somme d'argent substantielle a été investie pour adapter la technologie existante aux besoins spécifiques du marché et une équipe importante a été recrutée et formée RISQUE RÈGLEMENTAIRE - QUESTIONS CLÉS pour gérer les opérations locales. Deux st-ce que je comprends parfaitement toutes les exigences règlementaires et leurs • E mois seulement avant le lancement implications applicables à mon institution, mes agents et mes clients ? prévu dans le premier État, l'organisme • Suis-je parfaitement en conformité avec ces réglementations ? de règlementation a ajouté de nouvelles • Ai-je identifié les domaines éventuels de risque de non-conformité ? directives à la règlementation existante • Ai-je l'assurance que les processus sont adéquats pour garantir une conformité continue ? qui interdisaient de fait le lancement. • Ai-je établi une relation positive et productive avec mon organisme de règlementation ? GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 27 02_DÉFINITIONS du service (clients, agents et autres) et que le personnel respecte les processus signaler à la hiérarchie les problèmes opérationnels qu'ils ne peuvent pas résoudre Une technologie adaptée peut être Existe-t-il un • Opérations du back office : telles que la création et la modification des utilisée pour prévenir la survenue de nombreux événements à risque, mais manuel opérationnel comptes des agents et autres comptes d'entreprise, le diagnostic des problèmes en définitive, étant donné en particulier que la technologie pour de nombreux qui détaille tous et le test de tout changement au service (généralement des mises à jour SFN n'est pas encore totalement mature, la meilleure protection contre le risque les processus opérationnelles mineures) • Opérations financières : notamment opérationnel consiste en des processus opérationnels bien développés qui sont opérationnels ? la création d'argent électronique, la garantie que le compte bancaire correctement suivis et mis à jour, et qui sont régulièrement examinés au cours et le compte d'argent électronique d'audits internes pour en garantir la correspondent (contrôle), et la conformité. fourniture de rapports d'activité Contrôle interne : Les procédures • Opérations techniques : la fourniture de contrôle interne sont utilisées de l'environnement d'hébergement et pour se protéger contre la fraude, les l’assistance relative à la technologie. perturbations, le risque de réputation et le Processus opérationnels : Le secret risque de crédit en garantissant l'adhésion des opérations efficaces qui minimisent au processus opérationnel. Le service les risques est de disposer de processus des contrôles internes réalise des audits 3. Risque opérationnel opérationnels de grande qualité, efficients opérationnels portant sur l'organisation Le risque opérationnel est inhérent à toute et efficaces. Les processus opérationnels et ses agents pour s'assurer que les bonnes entreprise, et se réfère aux risques associés doivent toujours ajouter de la valeur aux procédures sont utilisées en termes de aux produits, pratiques commerciales, clients et atténuer les risques. Bien que normes associées aux transactions, dommages aux actifs physiques, ainsi de nombreuses institutions rejettent la ouvertures de compte, KYC et image de qu'à la gestion de l'exécution, de la faute de la fraude sur la technologie ou la marque. Le service des contrôles internes prestation et du processus du service. En gouvernance, de nombreux cas de fraude teste l'efficacité de ces procédures et pratique, cela se réfère à une gamme vaste internes majeurs en matière de SFN normes et fournit des suggestions et et diverse d'activités nécessaires pour peuvent être attribués à des processus révisions aux politiques et procédures en administrer l'entreprise. Pour l'essentiel, opérationnels inadéquats (ou inexistants) se fondant sur une boucle continue de les risques opérationnels sont internes à qui ont permis aux fraudeurs d'utiliser de rétroaction et d'apprentissage. l'organisation et peuvent donc être gérés manière abusive le service. Voir page 48 avec soin. Concernant les SFN, le nouveau pour une description complète des risques Audit interne : Les audits internes domaine d'opérations crucial est l'activité de fraude potentiels. permettent d’assurer et de vérifier quotidienne consistant à soutenir le canal. les processus et contrôles. Le service Chaque processus opérationnel qui est d'audit interne est tenu de s'assurer Il peut notamment s'agir de fonctions réalisé de manière régulière doit être que les comptes rendus financiers sont concernant chaque partie de l'activité, documenté, en décrivant ce qui doit être exacts et reflètent l'état réel des affaires telles que : fait, comment le faire et qui est tenu de le financières de l'institution, que les risques • Les opérations de vente : notamment le faire. Les processus opérationnels doivent de l'entreprise sont évalués et atténués et recrutement et la formation des agents, aussi prendre en compte les exceptions, que les contrôles sont efficaces. Le service ainsi que la gestion permanente des en spécifiant ce qu'il convient de faire si des audits internes peut réaliser des agents quelque chose tourne mal à tout moment audits financiers mensuels de l'institution, donné au cours du processus et que le des fonctions et processus présentant • Les opérations de service clients : fournir processus standard ne peut être suivi. Les un risque élevé, ainsi que des audits une assistance aux utilisateurs externes audits internes sont utilisés pour s'assurer 28 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES opérationnels ponctuels des agences et des investissements et garantir une détection la gestion de l'exécution, de la fourniture agents, garantissant une gestion adéquate précoce des problèmes, qu'ils soient d'ordre et du processus inclut les risques tels des liquidités, de l’enregistrement des opérationnel ou financier. Les comptes que les erreurs de saisie des données, les opérations, et pour détecter les fraudes rendus sont généralement produits tous erreurs comptables, l'absence de rapports commises par des agents et autres délits. les trimestres quand il s'agit de rapports obligatoires et la perte par négligence financiers et tous les semestres quand des avoirs de la clientèle. Il est également Séparation des fonctions : La séparation il s'agit de rapports qualitatifs sur les étroitement lié aux risques technologiques des fonctions est une méthodologie progrès, les défis et les leçons tirées. et est plus courant dans les SFN en raison de procédurale qui permet de s'assurer qu'il la sous-traitance d’opérations aux agents. existe un équilibre des pouvoirs adéquat Audit externe (financier) : La plupart des Dans certaines régions, les organismes en place pour se protéger des conflits institutions, en particulier les institutions de règlementation mettent maintenant d'intérêts et des défaillances en termes de règlementées ou publiques, sont tenues en œuvre de nouvelles directives pour contrôle. Un exemple de séparation des de se soumettre à des audits externes au réduire ce risque et protéger les fonds des fonctions est le principe comptable parfois moins une fois par an. Un audit externe clients. L'atténuation du risque d'erreur de appelé « maker, checker and approver » traite essentiellement des informations l'opérateur peut inclure « la séparation des (« créateur, vérificateur et approbateur ») financières de l'institution et vise à fonctions » entre la personne effectuant la selon lequel la personne qui exécute une assurer un enregistrement adéquat des transaction ou autre activité, la personne opération ou un processus est distincte de transactions ainsi qu'une dépréciation l'enregistrant ou l'examinant et la celle qui enregistre ou examine l'activité et estimation adéquates des actifs de personne la validant ; l'accès au système et de celle qui valide l'activité, afin de l'institution. Il peut aussi inclure des basé sur les rôles ; la formation des agents minimiser les erreurs et les possibilités de vérifications plus poussées des contrôles, et du personnel ; le suivi des transactions fraude et de mauvaise gestion des fonds. en particulier pour les activités et processus dans les comptes d'attente ; le suivi des Les systèmes informatiques peuvent être présentant un risque élevé. transactions douteuses pour signaler les configurés de sorte qu'il existe un accès erreurs fréquentes dans la séquence de basé sur les rôles dépendant des exigences Dommages aux actifs physiques : la transaction ou les agents ou personnel de chaque poste. Un exemple d'accès Les dommages sur les actifs physiques spécifiques qui font fréquemment des basé sur les rôles consiste à mettre en peuvent résulter d'une usure normale, erreurs. L'analyse des données, les tableaux application la séparation des fonctions de catastrophes naturelles, d'actes de de bord et les algorithmes peuvent être afin qu'un opérateur ne puisse accéder terrorisme ou de vandalisme. Les risques de puissants outils pour atténuer les qu’aux fonctions requises pour effectuer peuvent être amplifiés dans le cas des erreurs des opérateurs s’ils sont suivis son travail. Par exemple, le service après- SFN car les actifs physiques sont confiés d'une résolution, d’une formation ou d’une vente n'a pas besoin d'avoir accès à la à des parties extérieures comme les amélioration de la politique qui réduit le section financière où l'argent électronique agents et peuvent se situer dans des lieux risque d'erreurs permanentes. est créé ; le service financier n'a pas besoin géographiques où l'institution n’effectue d'avoir accès à la section des ventes où pas de visites régulières en personne. Il est Rapprochement et écart de compte : les comptes des agents sont créés ; les important que les dommages potentiels Le risque que la valeur réelle dans les membres de l'équipe de rangs inférieurs aux actifs physiques soient inclus au plan comptes fiduciaires soit différente du peuvent avoir accès aux tâches de créateur de continuité des affaires et aux plans montant reflété dans le système d'argent (« maker »), mais pas aux tâches de de reprise après sinistre. Les stratégies électronique, ainsi que le risque que les vérificateur (« checker ») ; et ainsi de suite. d'atténuation potentielles peuvent inclure transactions en externe (par ex. retraits l'assurance des biens, des systèmes de aux GAB et paiements de facture) ne Comptes rendus externes : Les sauvegarde, et le stockage des données puissent pas être rapprochées des comptes grands bailleurs de fonds, donateurs hors site. internes. Des écarts peuvent toujours se et actionnaires, tels que les maisons produire, mais des niveaux élevés d'écart mères, peuvent exiger des comptes Gestion de l'exécution, de la livraison ou ceux qui ne peuvent être rapprochés, rendus supplémentaires afin de suivre la et du processus : Le risque opérationnel peuvent entraîner des pertes financières. performance, minimiser le risque de leurs émanant d'une erreur de l'opérateur dans GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 29 02_DÉFINITIONS MPLE Registre des risques 3 EXE Risque opérationnel - Manuels insuffisants Exemple de prestataire de Un service bancaire par agent OU un ORM proposant un portefeuille d'argent électronique SFN : Catégorie de risque : Risque opérationnel Catégorie secondaire : Risque règlementaire Nom : Manque de manuels opérationnels et de processus opérationnels Description : Inefficacité du Back office car les manuels d'opération sont incomplets, n'incluant pas les processus d'exception quand les choses ne se déroulent pas comme prévu. Propriétaire : Directeur des SFN Cause : Mauvaises planification et mise en œuvre des procédures opérationnelles visant à soutenir les SFN Effet : Pourrait entraîner la mauvaise gestion des systèmes, des comptes clients ou des fonds, résultant sur des violations de la conformité ou la perte de fonds Probabilité : 2 sur 5 Modérément faible, sur la base de la connaissance du risque et du développement d'outils, cependant, il existe toujours un risque que les scénarios ne soient pas tous couverts Impact : 3 sur 5 Impact modéré, basé sur le fait qu'il porte préjudice à la réputation et entraîne des pertes financières, mais pas suffisamment pour cesser les opérations Stratégie relative au risque : Traiter Stratégie de traitement : • Revoir le manuel opérationnel par rapport à la liste des procédures suivies. Ajouter toutes procédures manquantes, mettre à jour les procédures existantes si nécessaire et ajouter les cas d'utilisation exceptionnels à toutes les procédures. S'assurer que les services pertinents valident chaque processus • Créer des listes de contrôle des processus et s'assurer que les processus sont documentés et régulièrement revus et mis à jour si nécessaire • Faire de la maintenance des processus opérationnels un livrable clé de l'équipe des opérations. Réponse stratégique de • Identifier les procédures d'exception manquantes. Réunir une équipe pour déterminer ce que ces procédures devraient être et quels postes en assument la responsabilité traitement : • Documenter ces exceptions • Former le personnel à la mise en œuvre Indicateur clé de risque : • Productivité de l'équipe de back office mesurée par »» le nombre de transactions en attente résolues »» ou le nombre de jours pendant lesquels les transactions restent dans des comptes en attente »» ou le temps nécessaire pour résoudre les litiges • Exceptions pour les transactions ayant un statut « en cours » • Taux de résolution des problèmes du centre d'appel Statut actuel : Ne s'est pas réalisé 30 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES Encadré 3 Études de cas sur le risque opérationnel Suite au succès de l'argent électronique la technologie qu'ils ont initialement incomplètes qui n'ont pas été mises en Afrique de l'Est, tel qu'indiqué achetée et son incapacité à réaliser les à jour depuis leur création et sont plus haut, de nombreux ORM ont opérations nécessaires (et ce, souvent rarement utilisées. décidé qu'ils devaient proposer leur malgré une incapacité à formuler ce Quand on leur demande leurs propre service d'argent électronique qu'ils attendaient de la technologie processus opérationnels d'entreprise, dès que possible. Généralement, ils quand ils l'ont achetée). ils se contentent de produire des réfléchissaient peu aux exigences La technologie doit renforcer, non manuels de formation pour exploiter techniques ou opérationnelles quand remplacer, de robustes processus la technologie. Par exemple, un ils recherchaient un système d'argent opérationnels qui spécifient comment simple processus opérationnel pour électronique et se fiaient au fournisseur un service doit être géré. Il est intégrer de nouveaux agents pourrait de la technologie pour comprendre ce malheureusement encore courant que être représenté6 par le diagramme ci- qui était requis. Comme il s'agissait les prestataires de SFN ne disposent dessous : d'un nouveau type de service, il d'aucun processus d'entreprise formel n'existait aucune solution technique Figure 4: Les processus opérationnels couvrent la tâche de ou qu’ils disposent de procédures bout en bout, pas uniquement les instructions pour exploiter prête à l'emploi, mais de nombreux le système de SFN fournisseurs, essentiellement des prestataires de logiciels ayant des systèmes réussis de transfert d'argent ou DÉMARRAGE FIN de transfert de temps de communication, étaient désireux de combler le manque. L'équipe des ventes OUI obtient le formulaire La plupart d'entre eux avaient de demande et les Envoie les papiers Contacte SUCCES? Informe l’agent à l'admin. des l’agent pour NON du statut et des acquis une bonne compréhension documents auprès de ventes résolution étapes suivantes l'agent de l'expérience de l'utilisateur, des clients et des agents, mais n'avaient VENTES pas accès au système de back office et NON Crée l’agent dans Transfert à Admin. aux tâches que les opérateurs d'argent Vérifie tous l'équipe de des ventes le système Organise la les documents SUCCES? OUI formation électronique devaient accomplir ou ne reçus conformité pour informée du Alloue éléments de l'agent une vérification problème de PDV les comprenaient pas. En conséquence, bon nombre des premiers systèmes ADMIN. DES VENTES semblaient corrects du point de vue NON de l'utilisateur mais ne fournissaient Contrôle pas la fonctionnalité ou les rapports les sous- SUCCES? OUI processus nécessaires pour exploiter les services CONFORMITE de manière efficace. Le secteur des SFN Cet exemple est fourni à des fins d'illustration et ne constitue est truffé de récits narrant la déception 6 pas une description complète de l'ensemble du processus des prestataires de services quant à opérationnel décrit GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 31 02_DÉFINITIONS Le diagramme décrit toutes les tâches Le nouveau détenteur de ce numéro, service collectif comme référence. nécessaires pour intégrer les agents, n'ayant pas ouvert le compte SFN, Les numéros de compte indiqués dont la saisie des coordonnées dans le ne connaît pas le code PIN et ne sur les factures de services collectifs système de SFN (en rouge) ne constitue peut utiliser ce compte ; il ne peut contenaient tous un espace au milieu, qu'une partie. En l'absence de pas non plus ouvrir un nouveau mais dans le système de la compagnie processus documentés, les opérateurs compte SFN affecté à ce numéro. Les d'électricité, cet espace n'existait pas. peuvent facilement oublier quelques ORM recyclent plusieurs milliers de Les clients qui incluaient l'espace étapes du processus, en particulier numéros tous les mois, mais comme ce quand ils payaient leurs factures les « exceptions » quand les choses problème n'est devenu apparent que voyaient l'argent être déduit de leur se passent mal, par exemple si l'agent longtemps après le lancement des SFN, portefeuille, mais la référence ne ne satisfait pas à certains contrôles de les processus permettant de détacher pouvant être reconnue par le système vérification ou si la documentation les comptes SFN des numéros recyclés du service collectif, leurs comptes complète le concernant n'est pas reçue. sont souvent négligés. passaient en arriérés, entraînant des Cela peut entrainer le fait que des coupures du service pour bon nombre candidatures d'agents potentiellement De plus, l'équipe des opérations doit d'entre eux. L'équipe des opérations bons accusent des retards ou que pouvoir répondre rapidement aux des SFN a dû trouver rapidement un des détaillants inappropriés soient nouveaux problèmes imprévus. Par moyen d'identifier les comptes clients acceptés en tant qu'agents. exemple, un problème majeur est présentant ce problème, inverser les survenu quand les paiements de facture paiements pour renvoyer l'argent En l'absence de processus opérationnels ont été introduits la première fois sur dans les portefeuilles des clients, complets, des tâches opérationnelles un marché car pendant le paiement de puis contacter les clients et expliquer essentielles peuvent être ignorées. Les la facture, il était demandé aux clients comment réaliser le paiement processus manquants sont souvent les de saisir leur numéro de compte de correctement. « exceptions » quand les choses ne se passent pas comme prévu. Un bon exemple est le recyclage des SIM. En raison de l'éventail limité des numéros de téléphone pouvant être utilisés par un ORM, si le numéro n'est pas utilisé pendant une période prolongée, généralement 6 mois, la carte SIM RISQUE OPÉRATIONNEL - QUESTIONS CLÉS affecté à ce numéro est déconnectée, isposez-vous d'un conseil d'administration indépendant et d'un département d'audit • D le numéro recyclé et utilisé avec une interne ? nouvelle carte SIM. • Existe-t-il un manuel des opérations détaillant tous les processus opérationnels, qui est régulièrement revu et mis à jour ? S'il n'existe pas de processus pour • Les processus opérationnels cruciaux sont-ils identifiés et les contrôles pertinents évalués ? détacher le compte SFN du numéro de • Existe-t-il une séparation adéquate des tâches ? téléphone, alors la nouvelle carte SIM • Existe-t-il in processus de rapprochement entre les comptes bancaires et les comptes est déjà liée à un compte SFN existant d'argent électronique pour réduire au maximum les erreurs et détecter les cas de fraude ? associé à son numéro de téléphone. • Existe-t-il des audits internes et indépendants, réguliers, rigoureux et adéquats ? 32 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 4. Risque technologique Le risque technologique a plusieurs implications pour les prestataires. Etant dans l'incapacité Puis-je mesurer de réaliser des transactions, les agents comme les clients peuvent ne plus avoir confiance en le produit s'ils ne peuvent pas accéder à leurs fonds. Cela peut entraîner un risque de réputation le niveau de service et des pertes financières car les clients et les agents deviennent inactifs et la pression de la concurrence leur fournit d'autres choix. Une défaillance technologique donne aussi des du point de vue de opportunités aux fraudeurs de tirer profit des inadéquations du système pour réaliser des transactions non autorisées, résultant sur le vol de fonds. Voir la section sur le Risque de l'utilisateur fraude ci-dessous pour des descriptions complètes des types de fraude pouvant se produire. final ? Le risque technologique se réfère à une défaillance technologique menant à l'incapacité d'effectuer des opérations. Il est étroitement lié au risque opérationnel. Les transactions au sein d'un système SFN passent par plusieurs systèmes de communication et dispositifs pour initier la transaction, transférer les fonds et communiquer les confirmations aux clients. Le processus peut être exposé à des pannes potentielles provenant d'un certain nombre de sources, par exemple le piratage, une panne de courant, des défaillances du système, etc. et toute rupture dans cette chaîne entraîne une incapacité à conclure une transaction. Si la défaillance technologique est durable et sévère, l'organisme de règlementation peut intervenir et imposer des pénalités ou retirer la licence, ou les clients peuvent abandonner le service. Figure 5: À mesure que l’interconnexion des systèmes de SFN s’intensifie, le nombre de points de défaillance potentiels augmente COMPTES CAISSIERS SYSTÈMES BANCAIRES GAB PASSERELLE PLATEFORME DE Clients finaux USSD TRANSACTION GOUVERNANCE AUTRES GESTION DES SMSC DONNÉES SÉCURITÉ SYSTÈMES SFN PASSERELLE INTERNET Agent PASSERELLES DE PAIEMENT (VOIX) RVI BASES DE DONNÉES FACTURATION SYSTÈME DE PRÉPAYÉE COMMERÇANTS, REPORTING FACTURIERS SERVICES COLLECTIFS Commerçant FACTURATION APPLICATIONS POSTPAYÉE D'ENTREPRISE SYSTÈME ORM SYSTÈME SFN SWITCHS DE PAIEMENT GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 33 02_DÉFINITIONS Quand ils déterminent les niveaux de peuvent être minimisées en employant de considérablement influencée par l'échelle service fournis par la technologie, bonnes pratiques rigoureuses. des opérations, et un ICP couramment la plupart des services techniques utilisé est le nombre de transactions L'identification des défaillances logicielles se concentrent sur la qualité et la par seconde pouvant être gérées. A potentielles commence par l'identification disponibilité de la technologie dont ils sont mesure que l'activité se développe, il est de tous les systèmes impliqués dans chaque responsables. Pour les SFN complexes à important d'organiser régulièrement des type de transaction. Il existe plusieurs plusieurs composantes, cela peut entraîner réunions entre les équipes techniques et systèmes et types de logiciels différents une mentalité de cloisonnement selon commerciales pour s'assurer qu'il existe pouvant être impliqués dans la mise en laquelle chaque équipe essaie de rejeter la une planification des capacités suffisantes œuvre des SFN, notamment les systèmes faute d'une défaillance du système sur un pour gérer la croissance et soutenir toutes bancaires principaux, les systèmes de autre partenaire. Il est donc important de campagnes marketing pouvant entraîner paiements, les switchs, les systèmes de disposer de processus clairs et acceptés de une montée en flèche de la demande. gestion des agents, les applications PDV/ diagnostic, de résolution et de signalisation GAB, les applications mobiles, les systèmes Défaillance matérielle : Une défaillance à la hiérarchie des défaillances en place. biométriques et le logiciel de gestion de matérielle est l'incapacité à effectuer une Un autre risque associé à la division des la relation client. Une fois identifiés, une transaction en raison d'une défaillance responsabilités est que chaque équipe analyse des risques peut être réalisée pour des appareils physiques, notamment les technique ne mesure la qualité du service comprendre les vulnérabilités potentielles GAB, les dispositifs du PDV et les appareils que de sa partie du système, et il peut des systèmes propres aux institutions mobiles, ainsi que les serveurs de back office être difficile d'obtenir un tableau complet et de leurs interactions avec d'autres et les composantes de l'interconnexion des de l'expérience utilisateur finale. Lors de systèmes. Dans la mesure du possible, les réseaux. De plus, certains canaux peuvent la conclusion d'accords entre partenaires prestataires doivent aussi comprendre dépendre d'appareils périphériques pour fournir des SFN, il est essentiel de les points névralgiques des systèmes de tels que les lecteurs biométriques, les déterminer au préalable les ICP tels que les leurs partenaires pour s'assurer que les imprimantes et les lecteurs de carte. Le transactions par seconde ou le temps de partenaires peuvent parfaitement garantir plus grand risque est clairement associé disponibilité du système et de s'assurer que les niveaux de service requis. Pour chaque aux serveurs qui hébergent les applications ceux-ci sont intégralement mesurés. niveau, les prestataires doivent disposer de SFN. Les prestataires doivent s'assurer Défaillance logicielle : La possibilité de d'un plan cohérent pour former, tester et qu'ils disposent d'un solide plan de problèmes logiciels est inhérente à tout maintenir le logiciel, avec des mesures continuité de l'activité en place. Il doit système technique. Il existe de nombreuses proactives pour prévenir et détecter tous inclure des serveurs de sauvegarde qui causes potentielles de défaillances problèmes potentiels pouvant affecter le peuvent être facilement utilisés en cas logicielles, telles que les bogues, les service. De plus, les prestataires doivent de défaillance, dans l'idéal par le biais changements apportés à des systèmes s'assurer qu'ils disposent d'un accord de d'un service « miroir » qui s'assure que les apparemment sans rapport, qu'il s'agisse niveau de service clair, leurs prestataires serveurs en ligne sont dupliqués en temps de systèmes internes ou du partenaire, et de service et fournisseurs de technologie réel de sorte que, en cas de défaillance, les mauvaises procédures de mise à jour et détaillant non seulement les temps de la sauvegarde soit immédiatement de maintenance. Si les systèmes ne font pas réponse et de résolution des problèmes, disponible. Les coupures de courant l'objet d'une maintenance adéquate et ne mais confirmant aussi les rôles et peuvent représenter un problème sur sont pas toujours disponibles, entraînant responsabilités de chaque partie. de nombreux marchés émergents, des une situation où les clients, commerçants systèmes d'alimentation électrique de Généralement, pour les systèmes et agents ne peuvent accéder à leurs secours sont donc nécessaires. Il peut opérationnels critiques, le prestataire fonds et effectuer des transactions quand s'agir de groupes électrogènes dans les de SFN doit spécifier la disponibilité ils en ont besoin, cela peut découler sur grands établissements tels que les bureaux du système et autres ICP pour assurer une perte d'activité pour le prestataire du prestataire ou de simples chargeurs la qualité du service, puis travailler à de SFN et porter un préjudice significatif solaires pour les terminaux de PDV. De plus, mettre ces normes en application avec à sa réputation. Il n'est pas réaliste de il est nécessaire de disposer de systèmes de toutes les parties impliquées dans le penser qu'un système peut être toujours reprise après sinistre qui peuvent être mis canal. La performance du système est disponible, mais les interruptions de service en ligne rapidement en cas de défaillance 34 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES catastrophique des principaux serveurs, sélection des appareils des agents, il doit ses agents puissent passer de l'un à l'autre telle qu'un incendie, une inondation ou exister des accords légaux concernant quand un opérateur est défaillant. une attaque terroriste. la maintenance, la réparation et le Retards de transaction : Les retards de remplacement des appareils, notamment De nombreux pays disposent de transaction peuvent être causés par le fait les responsabilités, délais et coûts ainsi règlementations imposant une distance que la technologie dispose de capacités que les taux de défaillance habituels des minimale entre le site principal et celui insuffisantes pour gérer la demande, appareils. Il est important de noter qu’une du système de reprise après sinistre et un entraînant des files d'attente dans le défaillance matérielle peut être causée délai maximal du passage de l'un à l'autre système. Il existe de nombreux systèmes par une défaillance de l'appareil même ou avant que le service ne soit de nouveau interconnectés impliqués dans les SFN et une défaillance de sa connexion au logiciel disponible. une panne à tout point de la chaîne peut dorsal. Il est important que le prestataire entraîner un retard de la transaction, le L'usure inévitable nécessite une puisse diagnostiquer rapidement la cause client et l'agent ignorant souvent si la maintenance et une mise à jour régulières première de la défaillance matérielle pour transaction a été achevée ou non. Cela du matériel. De nombreuses entreprises savoir quel type de solution appliquer pour peut inclure des retards de réception du exploitent maintenant des systèmes en maintenir le service. SMS de confirmation sur l'appareil du cloud et partent du principe que cela Défaillance de la connectivité du client. Les files d'attente des transactions permet d’assurer un système décentralisé réseau : Une défaillance matérielle peuvent aussi avoir des conséquences constamment maintenu et mis à jour, peut aussi inclure des problèmes de plus significatives, telles que le système dans lequel les capacités augmentent et connectivité, qui représentent toujours se retrouvant dans l'incapacité de traiter la reprise après sinistre est garantie. Ces un défi majeur dans les marchés en les transactions ou les laissant en suspens hypothèses doivent être confirmées dans développement, en particulier dans indéfiniment. le contrat d'hébergement et régulièrement les zones rurales. La couverture par reconfirmées. Cependant, l'utilisation Réexécution des transactions : Les intermittence, la disponibilité insuffisante du cloud présente d'autres risques. Les opérateurs mobiles utilisent des schémas et les temps d'arrêt du réseau empêchent services en cloud dépendent de connexions de type « recommencer la transaction », les transactions et peuvent entraîner une internet de qualité élevée, et le prestataire qui renvoient automatiquement les perte d'activité. La connectivité commence doit utiliser au moins deux services internet demandes de transactions si une par les réseaux internes du prestataire indépendants dans le pays présentant une confirmation immédiate n'est pas reçue. et s'étend jusqu'à l'infrastructure de capacité et une disponibilité suffisantes sur Ces réexécutions entraînent le risque que communication qui connecte aux tiers différents routages internet. La sécurité l'utilisateur initie de multiples demandes impliqués dans l'offre du canal et aux constitue un autre risque des services de transaction car il ne réalise que la clients. en cloud ; les serveurs basés sur le cloud transaction a été traitée avec succès rendent le prestataire de SFN dépendant Si les réseaux sont à l'arrêt, l'utilisateur la première fois qu'après avoir déjà du prestataire du cloud chargé de s'assurer ne peut pas initier de transaction. Si le fait plusieurs tentatives. Il existe aussi que les mesures de sécurité adaptées sont problème persiste, cela entraîne un risque un risque que le réseau crée plusieurs en place, et le prestataire de SFN peut de réputation car cela affecte l'expérience messages ayant pour origine un seul devoir réaliser un audit des sites et des client quand celui-ci attend de longues message provenant de l'utilisateur. protocoles d'hébergement pour confirmer périodes avant que les réseaux ne soit Perte de données : La protection des que cela est vraiment le cas. disponible. Étant donné que les canaux voix données doit être incluse aux plans de et SMS sont relativement plus stables et Le matériel de l'agent peut être continuité de l'activité des prestataires se caractérisent par une disponibilité plus directement fourni par le prestataire pour s'assurer que les données des clients importante que les réseaux de données, de SFN ou peut être acheté de manière ne sont pas perdues ou compromises suite de nombreux prestataires choisissent autonome par l'agent. Les appareils ne à un vol, une perte, une négligence ou des d'utiliser ces canaux à la place des données. sont généralement pas couverts par les pratiques non sécurisées. Les données des Dans un exemple, une IMF a acheté des accords de niveau de service, mais plutôt clients doivent être stockées hors site avec terminaux de PDV à double- SIM afin que par les garanties du fabricant. Lors de la des sauvegardes. GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 35 02_DÉFINITIONS Cyber-attaques : Les cyber-attaques sont Les cyber-attaques sont souvent réalisées • Les contrôles techniques, une des menaces de sécurité contre l'intégrité en suivant quatre phases : l'infiltration composante centrale du programme des données sur les transactions ou un quand le pirate obtient le premier accès ; de cyber-sécurité d'une entreprise, client du prestataire, ainsi que des attaques la propagation quand il étend l'accès dépendent beaucoup de chaque cas de potentielles d'espionnage industriel afin par le biais de portes dérobées ou d'une figure. d'obtenir un accès au processus interne récupération du mot de passe ; l'agrégation • Les institutions doivent développer, et aux stratégies technologiques par le au cours de laquelle il collecte les registres mettre en œuvre et tester des plans piratage ou un logiciel malveillant. Les et les données ; et l'exfiltration quand d'intervention en cas d'incidents. services financiers étaient le deuxième les données sont exportées. La majeure Les éléments clés de ces plans secteur le plus attaqué en 20157, après les partie de la défense se concentre sur la sont notamment l'endiguement soins de santé. L'introduction de SFN fournit phase d'infiltration, mais les attaquants et l'atténuation, l'éradication et la aux pirates potentiels des points d'accès étant souvent plus compétents dans reprise, l'enquête, la notification et la supplémentaires par le biais desquels ce domaine, une défense réussie doit communication aux clients. ils peuvent attaquer les systèmes et les inclure toutes les phases. Pour gérer le • Les institutions font généralement appel données, et peut créer de nouveaux risques. risque de cyber-attaques, les prestataires à des sous-traitants pour les services, ce Plusieurs facteurs déterminent peuvent travailler avec des auditeurs qui fournit à ces derniers un accès aux l'exposition aux menaces à la cyber- pour développer des modèles de menace informations sensibles sur l'entreprise sécurité. L'interaction entre les progrès dans lesquels les points de violation ou les clients ou un accès aux systèmes technologiques, les changements dans les sont cartographiés et des stratégies de l'entreprise. Elles doivent gérer les modèles économiques et les changements d'atténuation élaborées. De plus, expositions au risque de cyber-sécurité dans la façon dont les entreprises et les prestataires peuvent se protéger qui découlent de ces relations en faisant leurs clients utilisent les technologies, en utilisant les services en cloud qui preuve d'une solide vérification préalable crée des vulnérabilités dans les systèmes sont probablement plus sécurisés que tout au long du cycle de vie des relations technologiques d'information. Par l'hébergement propriétaire, ou en avec les sous-traitants. exemple, les activités basées sur le achetant une assurance contre les cyber- • Un personnel bien formé constitue Web peuvent donner aux attaquants attaques pour se protéger contre les une défense importante contre les des opportunités de perturbation ou pertes, qu’il s’agisse de pertes financières cyber-attaques. Même les employés d'obtention d’un accès aux informations et de données ou de frais juridiques. bien intentionnés peuvent devenir par sur l'entreprise et le client. De même, Les institutions doivent développer inadvertance des vecteurs de la réussite les employés et les clients utilisent des leurs cyber-capacités en ayant les points des cyber-attaques, par exemple par le appareils mobiles pour accéder aux suivants à l'esprit : biais d'un téléchargement involontaire informations émanant des institutions d'un logiciel malveillant. Une formation • Un solide cadre de gouvernance avec financières, ce qui crée plusieurs nouvelles efficace contribue à réduire la probabilité un leadership robuste est essentiel. vulnérabilités à des attaques potentielles. que ces attaques soient couronnées de L'engagement au niveau du conseil La population d’acteurs à redouter inclut succès. d'administration et de la direction sur les les cybercriminels dont l'objectif peut être • Les institutions doivent tirer parti questions de cyber-sécurité est essentiel de voler de l'argent ou des informations à des opportunités de partage des au succès des programmes de cyber- des fins commerciales, les États nations renseignements pour se protéger sécurité. qui peuvent acquérir des informations contre les cyber-attaques. Il existe des pour faire avancer des objectifs nationaux, • Les évaluations des risques servent opportunités significatives de s'engager les « hacktivistes » dont les objectifs d'outils de base permettant aux dans une auto-défense collaborative peuvent être de perturber et embarrasser institutions de comprendre les risques grâce à ce type de partage avec d'autres une entité. Les attaquants et les outils associés à la cyber-sécurité auxquels ils institutions financières ou organismes à leur disposition sont de plus en plus sont confrontés sur toute la gamme des de règlementation. sophistiqués. activités et actifs de l'entreprise — quels que soient la taille de l'entreprise ou le 7 Auditing Cyber Security in an Unsecured World, The Institute of Internal Auditors, 2015 modèle économique. 36 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES MPLE Registre des risques 4 EXE Risque technologique - Échec de la connectivité du réseau Exemple de prestataire de Un service bancaire par agent qui utilise une technologie mobile comme moyen principal pour effectuer des transactions OU un ORM qui propose un portefeuille d'argent électronique SFN : Catégorie de risque : Risque technologique Catégorie secondaire : Risque de réputation Nom : Échec de connectivité du réseau Description : Le client ne peut effectuer les transactions par le biais de l'application mobile ou auprès d'un agent car : • le service de téléphonie mobile n'est pas disponible • le système du fournisseur connaît un temps d'arrêt temporaire Propriétaire : Directeur de l'Informatique Cause : Mauvaise performance de la technologie du fournisseur, capacité insuffisante du système de SFN, service de l'ORM inadéquat Effet : Les transactions ne peuvent être exécutées, entraînant une perte de recettes et une mauvaise expérience client Probabilité : 2 sur 5 Modérément faible sur la base d’une sélection rigoureuse des fournisseurs et d’accords de niveau de service Impact : 3 sur 5 Modéré à court terme car le client essaiera probablement jusqu'à ce qu'il réussisse. Cependant, des problèmes persistants nuiront à la réputation et entraîneront une perte financière Stratégie relative au risque : Traiter Stratégie de traitement : • Tester la capacité de l'opérateur mobile à délivrer les messages selon le niveau de service requis de façon périodique • Tester périodiquement le temps pris par le processus de transaction de bout en bout et le taux de succès • Installer des contrôleurs de la performance afin d’indiquer quel est le trafic du système et sonner l'alarme s'il s'approche des TPS maximum • Définir toutes les transactions avec des limites claires en termes d'achèvement, permettant ainsi d'établir des procédures de relance claires dans le cas de transactions inachevées • Accords de niveau de service avec les prestataires du système qui ont des stratégies détaillées pour leur mise en application • Mises à jour du système • Utiliser des PDV prenant en charge les USSD comme recours aux données mobiles (3G) pour réduire la dépendance vis-à-vis de la connectivité des données Réponse stratégique de • Imposer aux fournisseurs les pénalités stipulées dans les accords de niveau de service traitement : • Développer des modes de transaction hors ligne Indicateur clé de risque : • Taux de succès des transactions (les demandes de transaction atteignant le système) • Capacité suffisante pour gérer le taux de transaction maximal • Appels au service clients pour les transactions qui n'aboutissent pas Statut actuel : S'est réalisé et a été contrôlé GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 37 02_DÉFINITIONS Encadré 4 Études de cas sur le risque technologique A) Quand M-PESA a été lancé au trois mois, il est devenu clair que les de lancement sous-dimensionnée a été Kenya, un système sur mesure a été prévisions étaient trop basses. extrêmement important. commandé à un développeur de logiciels. Il existait peu de données La technologie rencontrait des B) Fidelity est une banque de premier concrètes sur lesquelles baser les difficultés à suivre le rythme du plan au Ghana comptant près d'un prévisions de volume, qui en retour nombre considérable imprévu de million de clients, 80 agences, 110 fourniraient la base des exigences en transactions soumises. Une équipe GAB et 1 000 agents bancaires. Pour termes de capacité du système. Il a été de travail a été constituée pour remédier à l'exclusion financière de 70 estimé qu'une prévision optimiste mais trouver des moyens d'augmenter pour cent des Ghanéens, la banque a réaliste était qu'à la fin de la première rapidement la capacité, mais malgré établi l'Unité d'inclusion financière année, un tiers du million de clients cela, les clients ont commencé à pour être le pionnier des services actifs utiliseraient le service, chacun subir des retards de transaction et bancaires par agent en 2013. Le effectuant trois transactions environ des pannes occasionnelles du système produit phare est le Smart Account, un par mois. Le système a été développé qui nécessitaient une intervention produit basé sur une carte d'entrée de avec la capacité de répondre à cette manuelle pour traiter les transactions gamme, en ayant recours à des agents exigence en prenant en compte une par une large équipe de représentants pour les services de base généralement marge d'erreur raisonnable. Étant du service clients. Pendant plusieurs fournis dans les agences bancaires. donné qu'il aurait été très coûteux mois, la technologie progressait constamment « pour garder la tête Pour soutenir l'activité du Smart et injustifié d'ajouter des capacités hors de l'eau », trouvant des moyens Account, un nouveau système pour le traitement d'un grand nombre d'ajouter des capacités qui étaient déjà autonome a été acheté. Les services de transactions, pour des bases de saturées au moment où elles étaient bancaires par agent constituaient à données plus importantes, pour déployées. En parallèle, l'équipe ce moment-là un secteur d'activité contenir plus de registres de clients développait des solutions de plus long naissant, comptant de nombreux et de transactions, et pour toute terme aux contraintes architecturales fournisseurs de technologies qui l'architecture associée « juste au cas intrinsèques. Bien que les problèmes créaient de nouveaux systèmes, et où », le système a été développé pour de capacités aient été finalement quelques services avaient fait leurs répondre à la demande attendue. Bien résolus, le surcoût des améliorations preuves. Fidelity décida de tester la sûr, le succès de M-PESA a dépassé constantes apportées à la technologie température de l'eau en sélectionnant toutes les attentes et en l'espace de 38 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES une plateforme technologique celui de l'agent du Smart Account), Fidelity investit dans l'amélioration de complémentaire distincte de le problème a contraint l’équipe à sa plateforme technologique et cherche son système bancaire principal. consacrer ses efforts à lutter contre à transférer son activité de services Le déploiement d'une nouvelle un incendie permanent au lieu de bancaires par agent et son Smart technologie est toujours source de développer l'activité, et ce à un Account sur la même plateforme que risques. mauvais moment, car le nombre la banque principale. de Smart Accounts explosait (pour L'activité des agents étant nouvelle atteindre environ 300 000). La technologie peut être une source au Ghana et pour Fidelity Bank, majeure de risque, en particulier quand l'évaluation des besoins du marché Même si le Smart Account et le canal vous êtes un pionnier comme dans le par la banque a pris du temps et, bancaire des agents avaient augmenté cas de Fidelity Bank. Aujourd'hui, en conséquence, celle-ci ne pouvait de façon exponentielle depuis le dotée de deux ans d'expérience et étant intégrer à l'avance la souplesse dont début, les objectifs ambitieux fixés toujours la seule banque commerciale le système avait besoin pour permettre par Fidelity Bank n'étaient pas comptant des agents bancaires au des changements à mesure que le encore atteints. Grâce aux progrès Ghana, Fidelity estime que son risque projet progresserait. des systèmes de gestion des agents ces technologique a été considérablement dernières années, réduit à mesure qu'elle améliore sa « Il faut enquêter minutieusement, plateforme technologique actuelle. anticiper vos exigences, et affirmer et réaffirmer. Sinon, le fournisseur peut vous donner une solution pour aujourd'hui et pas pour demain. » ~Dr. William Derban Le Smart Account a été lancé en juillet 2013 et a suscité des attentes RISQUE TECHNOLOGIQUE - QUESTIONS CLÉS très élevées. A la fin des six premiers • Ai-je conclu des accords de niveau de service avec mon fournisseur de système pour mois, Fidelity avait ouvert plus de 55 assurer la durée de fonctionnement des logiciels ? 000 comptes. Le nombre d'agents a • Des accords de niveau de service ainsi que des procédures de diagnostic et de réparation rapidement augmenté, ainsi que le des défaillances sont-ils en place avec mes partenaires ? volume de transactions. • Puis-je mesurer le niveau de service du point de vue de l'utilisateur final ? • Mon logiciel communique-t-il de manière adéquate avec les appareils pour minimiser Si l’on ajoute des taux d'échec les échecs de transaction ? des transactions inacceptables • Les prestataires et fournisseurs tiers sont-ils efficaces et adéquats en termes de (les terminaux de PDV des agents protocoles de sécurité et d'approches à la gestion du risque ? commençaient à indiquer des taux • L'accès aux actifs informatiques de l'entreprise est-il restreint et n’est-il accordé qu’en fonction d’un cadre d'accès basé sur les rôles établi ? d'échec de 20 pour cent environ et • Est-ce que je dispose d'un mécanisme en place pour prévenir les pertes ou fuites des problèmes apparaissaient pour d'informations sensibles (informations confidentielles, propriété intellectuelle, relier le système bancaire principal à information à caractère personnel) ayant l'organisation pour origine ? GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 39 02_DÉFINITIONS 5. Risque financier Le risque financier est l'un des risques à Dans ce cas, l'institution paierait un Mes comptes l'impact le plus important associés aux SFN. Bien que les risques abordés jusqu'ici montant d'intérêts aux créanciers supérieur à que ce qu'elle gagne en le fiduciaires sont- dans ce document puissent entraîner des pertes financières directes ou indirectes, il prêtant, engendrant des pertes financières significatives. ils correctement existe des risques spécifiques associés à la gestion financière d'un prestataire de SFN Risque de taux de change : Les pertes tels que décrits ci-dessous. diversifiés ? de change peuvent se produire quand on échange des devises, ou quand il existe une Risque de liquidité : Le risque de liquidité asymétrie des devises dans lesquelles les est le risque que l'institution soit incapable prêts et les dépôts sont libellés. Les valeurs de respecter ses engagements en termes comptables des titres de créance peuvent de trésorerie et devienne insolvable. Les augmenter substantiellement suite aux tendances transactionnelles, telles que fluctuations défavorables de la devise, les montants moyens des dépôts, les entraînant ainsi des pertes. Le risque de entrées et les sorties de fonds et les durées change peut également poser problème si doivent être étroitement suivies après le les revenus de l'organisation sont générés lancement des SFN car le comportement dans un pays différent de celui où les coûts des clients peut être influencé par un accès sont encourus. pratique aux fonds, ce qui peut modifier le profil actif/passif de l'institution financière. Risque de concentration : Le risque de concentration se réfère à une surexposition Risque de crédit : Le risque de crédit est à une contrepartie (crédit) ou secteur le risque que les clients ne remboursent particulier. S'il existe une concentration pas leurs emprunts et qu'ils ne disposent des fonds détenus dans une banque pas de garanties suffisantes ou que particulière, l'institution se retrouve l'institution ne puisse pas les saisir. Dans ce confrontée à un risque de perte excessive cas, l'institution est toujours responsable des fonds des clients si la banque devient envers ses petits épargnants et doit insolvable. Le placement des fonds dans trouver d'autres moyens de les rembourser plusieurs banques contribue à atténuer ce si les prêts deviennent douteux. risque, bien que cela entraîne davantage de procédures administratives. De même, Risque de taux d'intérêt : Le risque de une dépendance excessive vis-à-vis d'un taux d'intérêt sur les fonds empruntés segment particulier de la clientèle peut augmente, alors que l’institution ne peut mettre en péril des montants élevés de augmenter le taux d'intérêt facturé aux revenus si les préférences des clients clients car les taux sur les prêts de long évoluent de telle sorte que des montants terme sont fixes. élevés de dépôts sont retirés. Zoona est un prestataire de services financiers indépendant qui propose des services financiers au guichet 40 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES MPLE Registre des risques 5 EXE Risque financier - Exposition au taux de change Exemple de prestataire de Tout prestataire de SFN dont une proportion élevée des coûts est libellée dans une devise différente de celle des recettes. Par exemple, un PSF opérant sur plusieurs marchés depuis un siège social central. SFN : Catégorie de risque : Risque financier Catégorie secondaire : Risque stratégique Nom : Risque de change Description : Le risque que des pertes financières soient encourues en raison des fluctuations des taux de change. Propriétaire : Directeur financier Cause : Causes externes telles que la performance économique et les politiques monétaires des gouvernements locaux. Effet : Entraîne des pertes réelles ou comptables si le passif est libellé en devise étrangère et qu'il connaît une appréciation Probabilité : 2 sur 5 Probabilité modérément faible en raison des taux de change stables depuis une dizaine d'années Impact : 4 sur 5 Impact modérément élevé si la fluctuation est suffisamment importante Stratégie relative au risque : Transfert Stratégie de traitement : • Emprunts auprès de sources locales ou emprunts à l'étranger en monnaie nationale dans la mesure du possible • Négocier les contrats avec les sous-traitants et fournisseurs dans la devise de l'emprunt • Transférer le risque restant ne pouvant être évité Réponse stratégique de • Acheter des swaps de devise pour le risque auquel le PSF est exposé traitement : Indicateur clé de risque : Taux de change • Statut actuel : Ne s'est pas réalisé GESTION DES RISQUES DIGITAL FINANCIAL DES SERVICES SERVICES FINANCIERS NUMÉRIQUES 41 RISK MANAGEMENT 02_DÉFINITIONS Encadré 5 Études de cas sur les risques financiers par le biais de réseaux d'agents en en fonction des besoins. Le niveau Zambie, et plus récemment au Malawi. des effectifs est donc faible, 60 pour Ses 1400 agents actifs fournissent cent environ de la main-d'œuvre essentiellement des services de étant basé dans le bureau de soutien transfert d'argent domestiques à 1,3 et le reste sur les marchés locaux. million de clients individuels, plus de Néanmoins, le coût le plus important 90 pour cent des transactions émanant pour l'entreprise se rapporte aux coûts de son entreprise zambienne établie associés au personnel. depuis plus longtemps. Cette séparation géographique des Zoona dispose d'un bureau de opérations avec les marchés signifie soutien centralisé, qui gère l'assistance que Zoona présente une asymétrie de technique, le service clients et d'autres devises en ce sens qu'elle gagne des fonctions d'entreprise pour toutes revenus en monnaie nationale mais les entités opérationnelles. Seule une qu’une grande partie de ses dépenses équipe de taille relativement modeste sont en rands sud-africains ou en est donc nécessaire dans les pays dollars américains. Quand les taux de d'exploitation pour fournir un soutien change étaient relativement stables, à la vente, la mise en place du service cela ne posait aucun problème. et autres fonctions opérationnelles Cependant, la majorité de ses recettes devant être effectuées au niveau local. provient actuellement de la Zambie, et Cette centralisation vise à assurer des le Kwacha a connu une diminution de économies d'échelle à mesure que sa valeur par rapport au Rand de près l'activité se développe sur de nouveaux de 60 pour cent à la fin de 20158. marchés. Heureusement le taux de change Une technologie en cloud est utilisée, semble revenir aux niveaux réduisant les frais généraux techniques précédents. Les fluctuations actuelles et permettant une expansion rapide 8 Graphique de change tiré de http://fx-rate.net/ZAR/ZMK/ ) 42 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES Taux de change historique entre le Rand et le Kwacha ZAR/ZMK sont évidemment hors du contrôle ZK 950 de Zoona, mais le risque est si élevé ZK 900 que des mesures doivent être prises ZK 850 pour atténuer ce risque. Outre les ZK800 techniques de couverture ordinaire ZK 750 de la trésorerie, la direction adopte une approche de diversification sur un ZK 700 certain nombre de marchés différents ZK 650 pour contribuer à atténuer l'impact ZK 600 des fluctuations d’une devise. ZK 559 ZK 500 01/15 02/15 03/15 04/15 05/15 06/15 07/15 08/15 09/15 10/15 11/15 12/15 01/16 RISQUE FINANCIER - QUESTIONS CLÉS • Est-ce que je dispose de fonds et d'espèces suffisants pour répondre aux engagements et assurer les flux de trésorerie imprévus ? • Est-ce que je dispose de politiques des risques en place, notamment d'évaluation des risques de crédit et d'ICP pour le suivi du portefeuille ? • Est-ce que je classe mon portefeuille à risque par ancienneté et est-ce que je crée des réserves pour pertes sur prêts conformément à mes exigences règlementaires ? • Mon ou mes comptes fiduciaires sont-ils correctement diversifiés et couverts par une assurance des dépôts ? • Mes fonds en devises étrangères sont-ils couverts ? • Les processus de back-office internes, les rapprochements et les contrôles sont-ils conçus de manière adéquate, vérifiés et régulièrement suivis ? GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 43 02_DÉFINITIONS 6. Risque politique Le risque politique est la possibilité que des décisions, évènements ou conditions politiques Existe-t-il affectent de manière significative la rentabilité d'une entreprise ou la valeur attendue d'une action économique donnée. Les risques politiques auxquels sont confrontées des menaces les institutions découlent, entre autres, de troubles civils, du terrorisme, de la guerre, de la corruption ou de la contraction de la croissance économique, ou de conditions politiques économiques défavorables suite à des changements dans les politiques fiscales ou monétaires décidés par le gouvernement. Les évènements relevant d’un risque politique prévisibles ? ont des impacts sur le risque opérationnel, en particulier la perturbation de l'activité, ils doivent donc être inclus aux plans de continuité des activités. Les risques politiques sont hors du contrôle des organisations et des clients qui en sont affectés, mais peuvent avoir un impact sérieux sur l'activité. Bien qu’on ne puisse pas les éviter, dans certains cas, on peut les prévoir, tels que les élections connues, et des réserves pour imprévus peuvent être mises en place au cas où le risque se matérialiserait, comme cela est arrivé à deux partenaires d'IFC tel qu'indiqué dans l'Encadré 6 ci-dessous. 44 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES MPLE Registre des risques 6 EXE Risque politique - Perturbations soudaines du système Exemple de prestataire de Tout prestataire de SFN, car ils dépendent tous d'agents et des technologies de communication. SFN : Catégorie de risque : Risque politique Catégorie secondaire : Risque de réputation Nom : Incapacité à accéder au compte ou à effectuer des opérations. Description : Les violences post-électorales, troubles civils, guerres ou activités terroristes perturbent les opérations habituelles de l'entreprise, suite à la fermeture pure et simple de l'entreprise ou de la fonction d'un partenaire essentiel, telle que le réseau mobile ou les détaillants qui opèrent en tant qu'agents. Propriétaire : Directeur des risques Cause : Instabilité politique, élections, guerre, attaque terroriste et/ou perturbation extérieure. Effet : Les clients ne peuvent accéder à leurs comptes en raison de l'absence de connectivité ou de l'incapacité des agents à effectuer leurs opérations habituelles Probabilité : 1 sur 5 Très faible étant donné la paix historique ou civile sur le marché local Impact : 3 sur 5 Impact modéré basé sur la possibilité de perturbation de l'activité Stratégie relative au risque : Tolérer Stratégie de traitement : • Élaborer un plan en cas de perturbation du service pour les agents, le personnel et/ou les agences Réponse stratégique de • Présenter le plan en cas de perturbation du service aux agents et au personnel traitement: Indicateur clé de risque : • PAR • Disponibilité du service (durée de fonctionnement) • Activité de l'agent • Activité du client Statut actuel : Ne s'est pas réalisé GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 45 02_DÉFINITIONS Encadré 6 Études de cas sur le risque politique A) FINCA RDC est une institution gouvernement de la RDC a désactivé a continué à se faire ressentir bien de microfinance fondée en 2003 qui tous les services Internet, voix et de longtemps après. a lancé un service bancaire par agent données mobiles. Les ORM et les en 2011 pour élargir sa présence au- prestataires de services internet se Les troubles politiques devant se delà de ses 18 agences. Ses 548 agents sont plaints d'avoir perdu des millions poursuivre en RDC, FINCA est constituent le réseau de services de dollars pendant la coupure. Les naturellement préoccupée par la bancaires par agent le plus important terminaux des PDV des agents de situation, et élabore des plans pour en République démocratique du FINCA sont devenus inopérables et minimiser l'impact commercial. Les Congo, où seulement 4 pour cent de la les clients ne pouvaient plus accéder facteurs politiques restent hors de son population de 75 millions d'habitants à leurs comptes. En conséquence, les contrôle, et les conséquences d'une ont un compte auprès d'une institution clients ne pouvaient rembourser leurs période prolongée sans connectivité financière formelle. FINCA gère engagements sur les encours de prêts au réseau pourraient être profondes. maintenant un quart du million de à FINCA. La notation du portefeuille B) LAPO Microfinance Bank est une comptes clients pouvant être utilisés à risque de FINCA s’est dégradée, banque de microfinance nigériane pour l'épargne et les prêts. Plus de et n’était toujours pas revenue à son opérant dans 26 États, et fournissant la moitié de l'activité de FINCA est niveau précédent des mois après des services de microfinance à prise en charge par des agents utilisant la perturbation. Le PAR étant un 1,3 million de clients. Elle crée des terminaux de PDV biométriques. indicateur clé de performance pour actuellement un service bancaire par Les informations sur les transactions évaluer la qualité du portefeuille, agent pour compléter l'activité de ses sont communiquées depuis le terminal les quelques jours de perturbation agences régionales. de PDV de l'agent par un réseau de au début de 2015 ont entraîné une données mobiles vers un switch qui est performance négative de long terme LAPO dispose d'actifs significatifs relié aux serveurs de FINCA via une et des pertes financières significatives. dans le Nord-est du Nigeria où connexion internet sécurisée. Le réseau mobile (voix) a été rétabli plusieurs attaques terroristes ont été en l'espace de deux à trois jours, et perpétrées ces dernières années. Cela En réaction aux manifestations contre l'internet rétabli pour les entreprises, a entraîné la fermeture d’ agences le prolongement proposé du mandat y compris les institutions financières, dans de brefs délais, et dans un cas, présidentiel en janvier 2015, le au bout de dix jours, mais l'impact le personnel et les clients ont été 46 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES confinés dans une agence pendant manuel au personnel donnant des plusieurs heures lors d'un incident conseils sur ce qu'il convient de faire à proximité. En termes financiers, dans le cas d'une attaque terroriste l'incertitude causée par les troubles dans le voisinage. Le modèle des civils a également un impact sur la agents est particulièrement vulnérable qualité des actifs de prêts, affectant la aux perturbations politiques, étant capacité de l’institution à développer donné que LAPO dépend de ses son portefeuille. relations avec les agents pour gérer la perturbation de l'activité. Des LAPO lance son réseau d'agents en techniques d'atténuation doivent être 2016, et la perturbation causée par intégrées aux systèmes de formation et les groupes terroristes est susceptible de gestion des agents. de continuer. LAPO a pris un certain nombre de mesures pour atténuer les risques, notamment en organisant une formation et en fournissant un RISQUES POLITIQUES - QUESTIONS CLÉS • Existe-t-il des menaces politiques prévisibles ou des évènements imminents qui pourraient entraîner une menace politique? Si tel est le cas, suis-je préparé ? • Ai-je un plan d'urgence pour gérer les implications d'une interruption du service due à des évènements politiques ? • Quel est mon plan de communication auprès des clients, des partenaires et des investisseurs dans le cas d'un risque politique affectant mon activité ? GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 47 02_DÉFINITIONS 7. Risque de fraude Avons-nous La fraude est un risque tristement célèbre parmi les SFN et la cause d'une grande inquiétude chez les prestataires de SFN. Le risque de fraude est multiforme et se rapporte à plusieurs développé des autres risques. Le risque opérationnel et le risque technologique peuvent entraîner un risque de fraude, et la fraude peut entraîner un risque financier. La fraude est également un moteur significatif du risque de réputation. Des cas de fraude d'envergure dans le contrôles de secteur de l'argent électronique ont été signalés ces dernières années et ont causé des dommages financiers s'élevant à plusieurs millions de dollars. Ces cas sont attribuables à détection des des fraudes de clients, d'agents et d'employés créant des comptes fictifs et effectuant des transactions frauduleuses. Des fonds ont été volés à des prestataires, des agents et des fraudes ? clients. La fraude peut avoir un impact important sur la réputation d'une institution, et du secteur dans son ensemble. Si des fonds sont volés des comptes clients par la faute des prestataires, ces derniers doivent s'assurer que les fonds sont immédiatement restitués aux clients. Le processus visant à prévenir les fraudes inclut la réalisation d'évaluations pour comprendre à quel niveau la fraude pourrait être détectée et évitée, en déterminant l'appétence au risque et en établissant des contrôles efficaces. La fraude peut généralement être définie comme étant une fraude majeure si elle implique d'importantes sommes d'argent, fraude en général commise contre l'institution financière et souvent par le personnel, et comme étant une fraude mineure si elle voit des agents ou des clients être victimes ou auteurs de la fraude et concerne des sommes d'argent moins importantes. Il existe de nombreuses raisons pour lesquelles des individus commettent des fraudes, mais un modèle courant réunissant celles-ci est le Triangle de la fraude9. L'hypothèse est que la fraude est susceptible de résulter d'une combinaison de trois facteurs généraux : La pression (ou la motivation à commettre la fraude), la possibilité (en général en raison de systèmes ou processus médiocres) et la rationalisation (en général lié au fait que les auteurs ne seront pas identifiés). L'un des moyens les plus efficaces de prévenir la fraude est de réduire les possibilités de fraude, en disposant d'excellentes technologies et procédures de prévention et de détection des fraudes. Cela confirme la nécessité d'une gestion des risques de fraude. Les types les plus courants de fraude associée aux SFN sont définis dans la publication de MicroSave Fraud in Mobile Financial Services (La fraude dans les services financiers mobiles) (2012)10 et sont résumés ci-dessous par source de fraude. 9 http://www.cimaglobal.com/Documents/ImportedDocuments/cid_techguide_fraud_risk_ management_feb09.pdf.pdf 10 MicroSave Fraud in Mobile Financial Services, Mudiri, 2012 48 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES Figure 6: Le Triangle de la fraude : Cadre pour détecter les situations de fraude à haut risque LE TRIANGLE DE LA FRAUDE Un cadre pour détecter les situations de fraude TRAITEMENT DES RISQUES Force financière et émotionnelle incitant à la fraude POSSIBILITÉ FRAUDE RATIONALISATION Capacité à exécuter un plan Justification personnelle des sans être identifié actes malhonnêtes Fraude du client Fraude de l'agent CLIENTS ESCROQUANT LES AGENTS AGENTS ESCROQUANT DES CLIENTS • Fausse monnaie : Le risque que les clients déposent de la fausse monnaie auprès • Accès non autorisés aux PIN des clients : d'un agent inconnu en échange d'une valeur électronique, puis qu'ils tirent en toute Les agents obtiennent un accès aux PIN légitimité des espèces auprès d'un autre agent. des clients et effectuent des opérations • L'accès non autorisé aux outils de transaction des agents : Les clients ont accès aux frauduleuses. terminaux de PDV de l'agent pour effectuer des transactions frauduleuses. • Imposition de frais non autorisés aux • La fraude sur le canal Web de l'agent : Les clients ont accès au canal Web de l'agent sans clients : Les agents facturent aux clients autorisation et réalisent des transactions frauduleuses. des frais de transactions supérieurs • La fraude liée aux bons : De faux bons sont fabriqués pour représenter des bons aux prix habituels ou ne figurant pas authentiques émis par des ONG ou le gouvernement et donnés aux agents en échange sur la liste des prix et conservent d'espèces ou de leur valeur électronique. frauduleusement les frais au lieu de les reverser au prestataire. CLIENTS ESCROQUANT LES CLIENTS • Fractionnement des retraits : Les clients demandent à effectuer un retrait auprès • Accès non autorisé au PIN : les clients obtiennent un accès au PIN d'un autre client et de l'agent, et l'agent fractionne le retrait réalise des transactions non autorisées. en deux transactions ou plus afin de • Vol d'identité : Les clients utilisent l'identité d'autres clients pour obtenir un accès aux percevoir davantage de commissions de comptes. décaissement au détriment des clients. • Le phishing, la mystification par SMS, les faux SMS : les clients fraudeurs envoient de faux SMS aux agents depuis leurs propres téléphones ou générés depuis des ordinateurs. Le SMS semble authentique aux yeux du destinataire. GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 49 02_DÉFINITIONS AGENTS ESCROQUANT LES PRESTATAIRES FRAUDE PAR DES SUPER-AGENTS • Fractionnement des dépôts : Les clients • Retraits non autorisés des comptes • Utilisateurs individuels aux droits demandent à effectuer un dépôt auprès de l'agent : les super-agents font une multiples : Des employés se voient d'un agent, et l'agent fractionne le utilisation abusive des comptes de attribuer l'accès à plusieurs niveaux au dépôt en deux opérations ou plus afin l'agent et retirent des fonds. sein des systèmes et les manipulent pour de percevoir davantage de commissions • Déductions illégales des commissions effectuer des opérations frauduleuses. d'encaissement au détriment du gagnées par les agents : Les super- • Mots de passe/PIN de transaction prestataire. agents facturent des frais de répartition médiocres : Les mots de passe des • Dépôts directs : Les agents déposent des commissions excessifs à l'agent. employés sont piratés en raison d'une directement les fonds d'un client dans configuration médiocre du mot de le compte d'un autre client au lieu de Fraude de l'employé passe. l'encaisser, puis d’envoyer une demande de transfert de fonds, afin d'éviter de EMPLOYÉS ESCROQUANT LES ENTREPRISES Fraude au niveau du payer les frais. • Enregistrement de clients avec de • Les employés associent le mauvais prestataire numéro de portable aux comptes fausses informations : Les agents FRAUDE DU CENTRE D'A PPEL ET DE L'A S- bancaires : Les employés associent inscrivent des clients qui ne fournissent SISTANCE OPÉRATIONNELLE leur propre numéro de portable ou le pas des informations KYC exactes. numéro de portable d'un complice à un • Enregistrement de clients inexistants : • Accès non autorisé aux registres de compte bancaire afin d'obtenir un accès Les agents créent des comptes fictifs paiement des clients : Les employés illégal au compte. afin de percevoir les commissions utilisent de façon abusive l'accès aux • La contre-passation illégale des registres des clients. d'enregistrement. paiements des clients à l'entreprise : • Enregistrement d'individus en tant • Transfert illégal de fonds depuis les Les employés annulent les paiements qu'entreprises : Les agents inscrivent des comptes de clients : Les employés effectués par les clients et conservent clients à un compte d'entreprise afin de effectuent des opérations frauduleuses. les espèces. percevoir des commissions plus élevées. • Échanges de SIM non autorisés : Le • Les transferts illégaux depuis • Usurpation d'identité du statut du personnel du centre d'appel change les les comptes de l’entreprise : Les prestataire : Un agent non autorisé agit numéros de PIN des clients. employés effectuent des transactions en tant qu'agent autorisé pour effectuer • Accès non autorisé aux droits d'accès frauduleuses en transférant des fonds des opérations frauduleuses. du système des collègues : Le personnel des comptes de l'entreprise vers des • Blanchiment d'argent sur la plateforme : du centre d'appel obtient un accès comptes frauduleux. Les agents réalisent sciemment des aux droits d'accès de collègues en vue d'effectuer des opérations frauduleuses. opérations pour les clients à des fins de blanchiment d'argent afin de percevoir Fraude liée à une commission. l'administration du Fraude du personnel de système vente et du canal EMPLOYÉS DES AGENTS ESCROQUANT DES • Utilisation abusive des mots de passe : • Pots de vin : L'équipe des ventes AGENTS Les employés utilisent l'accès aux mots corrompt des agents et/ou des clients ou de passe pour effectuer des transactions demande des paiements non autorisés. • Vol de fonds : Les employés des agents frauduleuses. volent des fonds dans les fonds de caisse • Accès non autorisé aux données • La création de faux utilisateurs/ transactionnelles des agents : Le de l'agent. d’utilisateurs non existants : Les personnel des ventes utilise les données • Sous-déclaration des soldes de trésorerie : employés créent de faux comptes afin de d'un agent pour effectuer des opérations l'employé de l'agent fournit un faux solde réaliser des transactions frauduleuses. frauduleuses. du fonds de caisse à l'agent. 50 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES MPLE Registre des risques 7 EXE Risque de fraude : Fractionnement des dépôts Exemple de prestataire de L'ORM qui propose un portefeuille d'argent électronique et a recours à des agents pour encaisser des frais de commission fixes (ou progressifs) SFN : Catégorie de risque : Risque de fraude Catégorie secondaire : Risque lié à la gestion des agents Nom : Fractionnement des dépôts Description : Les agents forcent les clients à fractionner leurs dépôts en un certain nombre de transactions de plus faible valeur afin de générer des commissions plus élevées au détriment du prestataire. Propriétaire : Directeur des SFN Cause : Les structures de commission favorisent la mauvaise conduite des agents. Effet : Le prestataire est forcé de verser des commissions plus élevées à l'agent qu'initialement voulu, ce qui peut avoir un impact sérieux sur les recettes nettes. Probabilité : 1 sur 5 Modérément faible sur la base de politiques et contrôles stricts Impact : 1 sur 5 Très faible car la perte potentielle la plus importante concerne les frais de transaction Stratégie relative au risque : Tolérer Stratégie de traitement : • Utiliser les outils d'analyse des données pour signaler les transactions douteuses telles que les transactions multiples vers ou depuis le même compte auprès du même agent dans un délai de 24h. • Développer un processus de vérification préalable complet pour le recrutement des agents afin de minimiser le recrutement d'agents ayant une mauvaise réputation ou ceux susceptibles de commettre des fraudes. • Transactions effectuées par des enquêteurs anonymes pour identifier les agents essayant de fractionner les transactions et pratiquer une bonne gestion des agents au moyen de mesures correctives. • Formation des agents en incluant des avertissements contre le fractionnement des transactions dans les supports de formation des agents • Centre d'appel pour que les clients signalent les activités douteuses Réponse stratégique de • Former à nouveau les agents traitement : • Application de pénalités en cas de mauvaise gestion par des agents et résiliation des contrats d’agents Indicateur clé de risque : • Rapports sur les transactions douteuses Statut actuel : S'est réalisé et a été contrôlé GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 51 02_DÉFINITIONS Encadré 7 Études de cas sur les risques de fraude Une des fraudes de grande ampleur nombre d'employés ont fabriqué de système complexe de back office et la plus signalée dont a été victime l'argent électronique « contrefait » ne pouvaient donc pas reconnaître les un SFN était due à de mauvaises qui n'était pas couvert par de l'argent comportements inappropriés de leurs pratiques opérationnelles. Le service « réel », et ont trouvé des moyens collègues ni corriger un quelconque était l'un des premiers déploiements créatifs de l'encaisser, par exemple par problème. La pire omission était de SFN en Afrique et a rapidement l'intermédiaire d'agents complices ou probablement le fait qu'il n'existait été couronné de succès. En raison de en ouvrant de faux comptes clients. pas de procédures en place pour ce succès sur un marché extrêmement Cela a été possible grâce à l'absence de enquêter sur les problèmes signalés, concurrentiel, les prestataires de contrôles opérationnels qui a permis les diverses activités frauduleuses ont service s'attachaient à augmenter le aux auteurs de la fraude d'utiliser de donc duré plusieurs années avant nombre de clients et de transactions, manière abusive le système en toute d'être découvertes. et en conséquence, portaient peu impunité. Les opérateurs pouvaient d'attention aux nombreux signes créer leurs propres identifiants, les Il existe de nombreux cas signalés de avant-coureurs indiquant que tout ne individus ayant plusieurs identités fraude de petite ampleur commis par se passait pas correctement. Quelques d'utilisateurs pour brouiller toute des agents. L'un des plus courants mois après le lancement, les employés piste d'audit. Il n'existait aucune consiste à fractionner des transactions chargés du rapprochement quotidien, séparation des tâches mise en place d'envergure en transactions de s'assurant que l'argent électronique pour empêcher les opérateurs de traiter valeur plus faible. Par exemple, le émis correspondait à l'argent dans de fausses transactions, et aucun suivi « fractionnement des retraits » se le compte bancaire, ont signalé des des comportements douteux pour produit quand un client souhaite écarts importants. Ces avertissements identifier les cas de fraude potentiels. retirer un montant spécifié et au lieu ont été ignorés par la direction. Les nouvelles recrues n'étaient pas d'effectuer une seule transaction, Pendant près de deux ans, un certain formellement formées à gérer le l'agent effectue plusieurs retraits 52 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES d'un montant inférieur et perçoit clients le sachent ou y consentent, une somme fixe sur chacun. Cela est afin de percevoir une commission. possible car la plupart des services Une sophistication supplémentaire rémunèrent l'agent une somme fixe à cette escroquerie se produit par retrait au lieu d'un pourcentage, occasionnellement quand un agent rendant possible le fait de percevoir enregistre un client sincère, puis lui la même commission plusieurs fois au propose de lui montrer comment le lieu d'une seule fois. service fonctionne en effectuant un dépôt, immédiatement suivi d'un Un autre moyen pour les agents retrait, en utilisant le téléphone du d'escroquer le prestataire est nouveau client. L'agent perçoit une d'enregistrer au service d'argent commission sur l'encaissement et le électronique des clients qui sont décaissement alors qu'aucun échange venus pour acheter du temps de réel d'argent ne s'est produit. communication, et ce sans que ces RISQUE DE FRAUDE - QUESTIONS CLÉS • Avez-vous déterminé votre niveau de pertes financières acceptables attribuables à des fraudes ? • Avez-vous identifié les domaines clés de risques de fraude potentiels pour votre institution ? • Avez-vous développé des contrôles de prévention et de détection de la fraude ? • Effectuez-vous activement un suivi et un examen de votre stratégie de gestion des risques de fraude ? GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 53 02_DÉFINITIONS 8. Risque lié à la gestion des agents Fournissez-vous L'introduction d’agents agissant pour le compte de prestataires de services L'utilisation peu fréquente des SFN peut résulter sur le fait que les agents oublient une formation financiers présente de nombreux avantages en termes de coûts, de portée comment proposer le service ou oublient leur PIN et ne peuvent donc pas servir les suffisante géographique et d'échelle, mais présente aussi de nouveaux risques. La gestion clients, même s'ils ont la liquidité. Liquidité insuffisante : Les agents ont aux agents et et la supervision des agents sont des besoin d'espèces suffisantes à disposition composantes indispensables d'un service et de valeur électronique pour gérer au qui fonctionne bien et qui protège les distributeurs ? clients. Le recours à des agents peut entraîner des risques opérationnels, quotidien les demandes de transaction des clients, qu’il s’agisse de dépôts ou de retraits. Pour répondre à ces besoins, les technologiques, juridiques, de réputation agents utilisent en général le fonds de et de fraude, qui sont couverts dans caisse de leurs entreprises existantes, d'autres sections. De plus, il existe des se déplacent fréquemment dans une risques directement associés à la gestion agence ou auprès d'un autre agent pour des agents : échanger des espèces contre de la valeur Densité des agents : Les clients ont électronique ou, pour les agents très recours aux agents pour accéder à leur actifs, établissent une relation avec un service financier mobile, en particulier gestionnaire de liquidités, tel qu'un super- pour les dépôts et les retraits, et doivent agent, auprès duquel ils peuvent avoir être à proximité d'un agent pour pouvoir accès à une rotation rapide et fréquente effectuer une transaction. Cependant, des espèces et des fonds de caisse. Dans fournir le bon nombre d'agents pour certains cas, des facilités de trésorerie répondre à la demande des clients peuvent être proposées par le prestataire constitue toujours un défi pour tout SFN. de services financiers ou un tiers sous la L’insuffisance d’agents peut se référer à forme d'une injection initiale de capital un manque d'agents à proximité ou à un ou d'un découvert à court terme pour manque de capacité des agents à proximité compenser les déficits en termes de à répondre à la demande des clients, liquidités. Des processus et des facilités entraînant de longues files d'attente ou des de gestion de liquidité efficaces sont problèmes de liquidité (voir ci-dessous). requis pour s'assurer que les agents sont satisfaits et non incommodés, et que les D'un autre côté, un nombre trop important clients sont certains que des fonds sont d'agents peut aussi présenter un risque immédiatement disponibles sur demande. car les clients sont répartis entre ces Vol du fonds de caisse en espèces : Les agents et aucun agent ne dispose de la opérations commerciales d'un agent masse critique de clients lui permettant peuvent être mises en péril par des dépôts de percevoir des commissions suffisantes excessifs. Les espèces peuvent être volées, pour compenser le coût de la gestion du risque particulièrement élevé si l'agent fonds de caisse d’argent électronique et a la réputation de détenir d'importantes d’espèces. Dans ces situations, les agents sommes en espèces. Les gestionnaires de ne réussissent souvent pas à maintenir liquidité doivent proposer des services de un fonds de caisse et se retrouvent donc collecte et de livraison pour atténuer ce dans l'incapacité de servir les clients. risque. 54 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES Erreurs des caissiers : Les agents et leurs mécanismes permettant aux agents de réputation. L'offre de supports de caissiers peuvent faire des erreurs de frappe de gérer les plaintes et demandes de marketing doit être suffisante pour aider critiques lors de la saisie des transactions renseignements des clients, tels que le les clients lors de leur première utilisation ou des erreurs de comptage dans la gestion diagnostic de base des problèmes, la du service. des espèces qui résultent sur le fait qu’un fourniture du numéro du centre d'appel fonds de caisse ne peut être rapprochés et et l'enregistrement des plaintes pour les Même si les organismes de règlementation sur des pertes considérables au détriment transmettre au responsable de l'agent, adoptent une approche non de l'agent ou du client. Les erreurs des doivent être inclus à la formation sur les interventionniste vis-à-vis des agents sur caissiers incluent le risque d'égarer ou politiques et procédures. de nombreux marchés, des pays peuvent d’endommager des registres papier, ce exiger que le recours par un prestataire à qui pourrait faire courir à l'agent et au Un mauvais service clients fourni par des agents soit validé par les organismes prestataire un risque de non-conformité l'agent peut avoir un impact sur les de règlementation et, dans certains cas, règlementaire. prestataires car cela peut entraîner la que chaque agent se voie attribuer une perte de clients, des comptes inactifs et un licence. La supervision des agents peut Formation insuffisante : La formation des risque de réputation. être effectuée par les organismes de agents est généralement standardisée et règlementation ; cependant, même si tel inscrite dans les politiques et procédures Mauvaise sélection des agents : Les est le cas, les prestataires doivent aussi du prestataire afin de se conformer aux politiques de sélection des agents incluent effectuer eux-mêmes une supervision. directives règlementaires. Les politiques généralement des critères d'aptitude La supervision des agents par les de formation incluent le contenu de la minimum (basés sur les exigences prestataires, notamment l'analyse des formation, la fréquence requise et le règlementaires et l'évaluation par le données et les visites en personne, réduit calendrier de la formation des agents, prestataire des capacités requises). Une les risques associés aux opérations de ainsi que les qualifications requises du mauvaise sélection des agents peut SFN, tel que le risque de fraude, le risque formateur. La formation des agents doit aboutir à des agents inactifs, un risque de réputation, le risque règlementaire et être minutieuse et inclure des cours de de réputation, un risque règlementaire et le risque stratégique, et améliore aussi la remise à niveau pour atténuer les risques des pertes financières pour le prestataire. probabilité de succès en augmentant les d'erreur et fournir une expérience client Les agents doivent être bien formés taux d'activité des agents et des clients. cohérente auprès de tous les agents. Il aux exigences relatives au maintien de est essentiel que les individus servant leur statut d'agents, être régulièrement des clients dans les points de service des contrôlés et leur activité fermée s'ils ne agents soient formés, et pas uniquement répondent pas aux critères minimum. le propriétaire du service d'argent, et cela peut constituer un défi. Il est courant que Image de marque et marketing les agents mal formés prétendent que inadéquats : Les supports relatifs à le service ne fonctionne pas, plutôt que l'image de marque et au marketing d'admettre qu'ils ne savent pas comment doivent être standardisés et inclus aux l'utiliser. Les clients qui ont connu une politiques et procédures de gestion des mauvaise première expérience auprès d'un agents. Les supports relatifs à l'image agent sont souvent peu enclins à utiliser de de marque et au marketing doivent être nouveau le service, et cela peut même les fournis par le prestataire de services dissuader d'utiliser tous les SFN. financiers et peuvent inclure des panneaux, brochures et autres types de Gestion du service clients : Les agents documents. Une expérience utilisateur constituent le service clients de première cohérente est importante pour réduire le ligne des prestataires de service. Les risque d'inactivité des clients et le risque GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 55 02_DÉFINITIONS MPLE Registre des risques 8 EXE Risque lié à la gestion des agents - Contraintes de liquidités Exemple de prestataire de Tout prestataire de SFN ayant recours à des agents détenant une réserve de valeur (ou d'argent électronique) sur leurs comptes pour prendre en charge les dépôts des clients. Par exemple, un ORM qui propose un portefeuille d'argent SFN : électronique. Catégorie de risque : Risque lié à la gestion des agents Catégorie secondaire : Risque de réputation Nom : Manque de liquidité de l'agent Description : Le client ne peut effectuer une transaction de dépôt d'espèces car l'agent ne dispose pas d'un montant suffisant d'argent électronique Propriétaire : Directeur des SFN Cause : L'agent est limité en capital ou choisit de ne pas investir dans les opérations de SFN ou ne dispose d'aucun mécanisme pratique pour accéder rapidement à de l'argent électronique Effet : Le client ne peut déposer d' espèces car il n'y a pas d'argent électronique disponible, ce qui donne lieu à une mauvaise expérience client Probabilité : 3 sur 5 Probabilité modérée basée sur la difficulté de contrôler les niveaux de liquidités des agents Impact : 2 sur 5 Impact modérément faible basé sur la capacité du client à revenir ultérieurement ou à se rendre auprès d'un autre agent. Si le service est au début de son cycle de vie ou si le problème persiste, l'impact sera plus élevé. Stratégie relative au risque : Traiter Stratégie de traitement : • Le recours à des agents et des super-agents pour résoudre le problème de liquidité • Journal du centre d'appel • Processus visant à alerter les agents quand le fonds de caisse d'argent électronique est faible • Contrôler le déploiement des agents pour s'assurer qu'il existe une couverture géographique suffisante et que chaque agent a un nombre suffisant de clients pour soutenir son activité • Processus visant à identifier les cas où les agents ne répondent systématiquement pas à leurs besoins en liquidité, et procédures d'atténuation • Préfinancer les besoins en capitaux des agents par le biais de prêts ou de partenariats avec une institution de prêt • Transactions effectuées par des enquêteurs anonymes et bonne gestion des agents Réponse stratégique de • Augmenter les exigences de capital et la vérification préalable des agents avant de recruter de nouveaux agents traitement : • Réévaluer la structure des commissions pour s'assurer que des incitations suffisantes sont en place. Indicateur clé de risque : Soldes d'argent électronique de l'agent Statut actuel : S'est réalisé et a été atténué 56 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES Encadré 8 Études de cas sur le risque lié aux agents Selon la GSMA11, en moyenne 51,4 non fiable et peu sûr. Une mauvaise Si les clients ne peuvent avoir facilement pour cent des agents de SFN sont expérience auprès de l'agent peut accès à l'argent dans leurs comptes ou actifs, autrement dit la moitié environ endommager la réputation des SFN et s'ils pensent que le bénéficiaire voulu des agents recrutés pour proposer dissuader les clients potentiels de les de l'argent rencontrera des difficultés utiliser, en particulier si cela se produit pour les retirer, cela les dissuade des SFN aux clients les propose au cours des premières expositions des d'utiliser le service. Cela crée un réellement. Sur certains marchés, engrenage défavorable, car les agents clients au service. Les causes courantes le niveau d'inactivité est beaucoup ne cherchent même plus à maintenir de l'inactivité des agents sont que les plus élevé. Cela signifie que les agents ne savent pas utiliser le service leurs fonds de caisse d'argent clients peuvent se rendre auprès d'un ou qu’ils ont oublié leurs codes PIN ou électronique en l'absence de demande agent de SFN parfaitement équipé n'ont plus de fonds de caisse d'argent des clients, donc davantage de clients pour réaliser une opération et qu’on électronique. connaissent une mauvaise expérience leur affirme que l'agent n'est pas auprès des agents et arrêtent d'utiliser Les agents doivent être approvisionnés les SFN (ou ne commencent jamais). opérationnel. Pire encore, pour sauver en fonds de caisse d'argent C'est pour cela que les prestataires de la face, ces agents disent souvent aux électronique à envoyer aux clients SFN prospères disposent d'un éventail clients qu'ils ne peuvent pas les servir qui souhaitent déposer de l'argent ; de stratégies pour s'assurer que leurs « car les SFN ne fonctionnent pas et ils ont besoin d'espèces à donner agents ont accès à plusieurs moyens de aujourd'hui », ce qui sape le service aux clients qui souhaitent effectuer gérer les fonds de caisse, par exemple en le faisant passer pour un service un retrait. Même parmi les agents en permettant à des agrégateurs actifs, les problèmes de liquidité sont et des super-négociants d'aider les GSMA state of the industry report: mobile money 2015. 11 courants, en particulier dans les zones agents et en autorisant les paiements Les agents inactifs sont définis comme n'ayant servi aucun client le mois précédent. rurales qui se situent loin de la banque marchands par le biais des SFN afin de la plus proche où les espèces peuvent réapprovisionner sans cesse la réserve être déposées pour se réapprovisionner d'argent électronique des agents. en argent électronique. RISQUE LIÉ À LA GESTION DES AGENTS - QUESTIONS CLÉS • Avez-vous établi des accords concrets avec les agents pour couvrir tous vos risques et respecter la règlementation locale ? • Disposez-vous d'un programme de formation complet pour les agents et les distributeurs ? • Disposez-vous d'un éventail de plans d'urgence pour faciliter la gestion des liquidités ? • Disposez-vous de processus de feedback en place pour identifier et résoudre les problèmes de performance des agents ? GESTION DES RISQUES DIGITAL FINANCIAL DES SERVICES SERVICES FINANCIERS NUMÉRIQUES 57 RISK MANAGEMENT 02_DÉFINITIONS Les partenaires sont-ils évalués en Le meilleur moyen de protéger l'entreprise contre le risque de réputation est de un plan d'urgence pour gérer la presse défavorable, de manière réactive ou termes de risque disposer d'une solide fonction de gestion des risques pour prévenir les risques les proactive, en fonction de ce que la situation exige. La plupart des organisations de réputation ? plus susceptibles d'affecter le service ou la réputation de la société. La prévention des disposent déjà d'une stratégie de RP pour limiter les dommages, et l'activité des risques consiste notamment à minimiser SFN doit y être incluse, le personnel clé les possibilités de fraude ou les risques informé des services afin qu'il puisse réagir causés par une mauvaise expérience client rapidement face aux menaces pesant sur telle que l'échec de transactions, le manque la réputation. Les SFN pouvant être assez de connectivité et de liquidités ou une complexes, il est conseillé de désigner mauvaise expérience auprès de l'agent. également une personne au sein de La prévention du risque de réputation l'équipe des SFN chargée de collaborer avec peut être réalisée en se concentrant sur le responsable des relations publiques afin 9. Risque de réputation l'expérience client et en développant la confiance. Une bonne expérience client de s'assurer que les bons messages sont communiqués. Le risque de réputation se réfère au risque peut être garantie en s'assurant que les de pertes faisant suite à un préjudice causé clients peuvent avoir accès à leurs fonds Bien que les conférences de presse à l'image d'un prestataire, partenaire ou quand et s'ils en ont besoin, ainsi qu'en constituent la première mesure pour partie prenante, entraînant une baisse créant des voies de recours pour les atténuer le risque de réputation, il est de la confiance des clients et des agents. clients, par exemple en encourageant et également conseillé de communiquer Les pertes peuvent se produire en termes soutenant les agents à fournir un service directement avec les agents, les de diminution des recettes et de la valeur clients de premier niveau, en opérant des commerçants et tout autre partenaire de l'action, ainsi que d'augmentation des centres d'appel bien gérés pour résoudre des SFN pour les rassurer sur la situation. frais d'exploitation ou de la responsabilité les plaintes et répondre aux demandes de De plus, les services clients doivent être juridique. Le risque de réputation n'est renseignements des clients et en rendant informés et recevoir des déclarations pas un risque direct, mais est le résultat aux clients leurs fonds en cas de fraude. convenues pouvant être communiquées d'autres problèmes associés aux risques, Le risque de réputation peut aussi être aux clients concernés. Il est également tels que bon nombre de ceux abordés attribuable au risque lié au partenariat important de communiquer en interne dans ce manuel. Cependant, par nature, si les partenaires ne répondent pas aux pour prendre la température du personnel ses conséquences peuvent être graves et attentes des clients. Le prestataire doit être et le rassurer. durables. Les risques les plus susceptibles prêt à traiter les problèmes et maintenir de causer une atteinte à la réputation les relations clients, même si l'évènement sont la défaillance technologique était imputable au partenaire. entraînant une incapacité à effectuer des transactions, le manque de transparence Pour les risques ne pouvant être évités, des politiques et de la tarification, la une stratégie d'atténuation est utilisée. fraude, une mauvaise expérience client, le Une composante clé d'une stratégie manque de liquidité des agents et des prix d'atténuation consiste à disposer d'une élevés. stratégie de relations publiques contenant 58 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES MPLE Registre des risques 9 EXE Risque de réputation - Échecs de transaction Exemple de prestataire de Par exemple, une IMF qui propose des services bancaires par agent SFN : Catégorie de risque : Risque de réputation Catégorie secondaire : Risque technologique Nom : Une mauvaise expérience client causée par un risque technologique Description : Les agents ne peuvent réaliser une transaction quand les clients la demandent car le service n'est pas disponible pendant plusieurs heures Propriétaire : Directeur des SFN Cause : Les SFN subissent une panne technique imprévue Effet : Le service acquiert la réputation de ne pas être fiable. Les agents sont gênés. Les clients ne sont pas certains de pouvoir accéder à leur argent. Au fil du temps, ils arrêtent d'utiliser le service Probabilité : 2 sur 5 Modérément faible en raison d'une solide atténuation du risque technologique Impact : 2 sur 5 Modérément faible basé sur le fait qu'il est improbable de perdre tous les clients Stratégie relative au risque : Traiter Stratégie de traitement : • Prévention de l'évènement à risque qui entraînerait un risque de réputation • Un ANS solide avec le fournisseur de la technologie, basé sur une technologie robuste • Processus de résolution des incidents et matrice de signalisation à la hiérarchie en place • Service clients doté de ressources adéquates • Canaux pour recevoir le feedback des clients par le biais des agents, centres d'appel, médias sociaux, e-mails, agences ou autre canal Réponse stratégique de • Plan de communication pour alerter l'entreprise de l'interruption du service puis pour que les agents et autres partenaires soient tenus informés du problème et de son délai de résolution attendu traitement : • Procédure en place pour gérer les demandes de renseignements de la presse quant à l'incident • Le service clients est conseillé quant à la façon de traiter les appels des clients et des agents Indicateur clé de risque : ICP de court et long termes (l'incident a-t-il affecté la performance escomptée de l'entreprise ?) Statut actuel : Ne s'est pas réalisé GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 59 02_DÉFINITIONS Encadré 9 Études de cas sur le risque de réputation A) Un prestataire de SFN important On ne sait pas quelle aurait été « Les dommages ont sans aucun doute a découvert qu'il avait été escroqué l'ampleur de la baisse des ventes si le dépassé de loin l'argent électronique d'un montant significatif par des prestataire avait gardé le silence et si dans notre pays... Ils ont dépassé employés corrompus. La police a été la fraude avait fait les gros titres des l'ORM et touché toute la sphère de appelée et les suspects inculpés. Il médias. Tout compte fait, le prestataire l'argent électronique. Les torts à la était donc peu probable qu'il puisse de SFN estime maintenant qu'il aurait réputation ont été multiples. » « étouffer » l'affaire et éviter un dû se taire et espérer que tout se passe scandale. Après quelques débats, il au mieux. Pendant longtemps, les torts causés à décida de rendre l'affaire publique sa réputation ont dépassé les SFN pour dans la presse, en expliquant ce qui B) Un ORM africain majeur était l'un toucher sonactivité fondamentale des s'était passé, qu'il avait mis un terme des premiers prestataires de SFN à télécommunications. De plus, tout le au problème et qu'aucun client n'en connaitre le succès. Quelques années secteur des SFN sur ce marché a été avait souffert. La réaction du public, après le lancement, il a été victime touché : son concurrent principal a comme l'on pouvait s'y attendre, fut d'une fraude interne rapportée dans la confirmé que cet incident avait affecté que les clients préférèrent se tourner presse nationale. Un scandale s'en est ses ventes de SFN car la perte de vers la concurrence en raison des suivi. L'ORM admet les préjudices que confiance des clients avait entraîné une préoccupations de sécurité, ce qui ce scandale a causé à son entreprise : contraction de tout le marché. entraîna une baisse des ventes. RISQUE DE RÉPUTATION - QUESTIONS CLÉS • Est-ce que je comprends la valeur financière de la réputation ou le coût potentiel associé à sa perte ? • Est-ce que je prends en compte le risque de réputation lorsque j’évalue le risque stratégique ? • Est-ce que je dispose de normes claires liées au maintien de la réputation et de l'intégrité ? • Les partenaires sont-ils évalués en terme de risque de réputation ? • Est-ce que je dispose d'un plan de communication et de relations publiques pour traiter de manière proactive les rumeurs ou les préoccupations ayant trait à mon service ? • Est-ce que je dispose d'une ligne d'assistance à la clientèle destinée aux clients et aux agents capable de traiter tous les problèmes ? • Des garanties sont-elles en place pour protéger les fonds des clients et des agents ? 60 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 10. Risque lié au partenariat Les partenariats de SFN sont souvent • L'absence de règles du jeu équitables Partagez-vous les nécessaires et précieux en termes de prestation de services étendus aux dans les environnements règlementaires entraîne des accords de partenariat résultats attendus clients et d'amélioration de l'efficacité opérationnelle. Dans certains cas, la sous-optimaux. et les ICP avec vos constitution de partenariats est requise par les règlementations. Dans tous les Le risque associé à un partenariat commercial peut inclure la rupture partenaires ? cas, un certain degré de coopération et des relations avec des partenaires de partenariat est requis car les banques opérationnels et stratégiques, notamment dépendent des réseaux des ORM en les distributeurs, les agents principaux, termes de connectivité et les ORM les fournisseurs, les prestataires de la dépendent des banques pour détenir des technologie, les partenaires à la mise en fonds en fiducie. Les partenariats efficaces œuvre et les bailleurs. Il peut aussi être sont des relations fructueuses pour tous source de risque de réputation. ses membres ; ils ont des propositions de valeur uniques pour chaque partie et Partenariats entre banque et ORM : assurent une meilleure expérience client. Le monde des SFN s'élargissant pour inclure de nouveaux produits tels que Le programme de Partenariat pour l'octroi de prêts basé sur des algorithmes l'inclusion financière a publié une étude et les intégrations de compte bancaire à en 201412 présentant les leçons tirées des portefeuille électronique, les partenariats partenariats en matière de SFN. Cette entre une banque et un ORM sont de plus étude a indiqué qu'il existait quatre en plus courants. Sur de nombreux marchés facteurs clés de succès des partenariats de en Afrique subsaharienne, les intégrations SFN : de compte bancaire à portefeuille électronique sont maintenant courantes, • Des lacunes dans les partenariats et autorisent les clients à transférer leurs imputables à l'un ou plusieurs des fonds entre des comptes bancaires et des partenaires qui ne jouent pas un portefeuilles mobiles et à déposer ou retirer rôle essentiel à leur succès, ou un ou des fonds en ayant recours aux agents de plusieurs des partenaires qui jouent un leur banque ou de leur ORM. La fluidité rôle pour lequel ils sont mal armés ou des fonds crée une meilleure expérience qu'ils ne sont pas motivés à jouer ; utilisateur pour le client, mais les modèles • Les partenariats de SFN doivent hybrides impliquant des banques et des permettre aux partenaires de produire ORM présentent également un risque une valeur pour leurs entreprises plus élevé de rupture du partenariat. respectives ; Les deux institutions doivent collaborer pour développer un seul produit proposé • Les rôles des partenariats dans la en définitive au client, et la question de mise en œuvre des SFN doivent être savoir à qui est le client devient souvent en adéquation avec les avantages une discussion difficile. Si le partenariat compétitifs et comparatifs ainsi que la venait à se disloquer, la rétention du motivation ; produit comme du client pourrait être en péril. Les institutions doivent développer Partnerships in Mobile Financial Services: Factors for 12 Success, IFC, 2014 une stratégie d'atténuation pour retenir GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 61 02_DÉFINITIONS le client dans le cas où cela se produirait. Fournisseurs : Les fournisseurs jouent un est donc essentiel que la qualité du service Les stratégies d'atténuation pourraient rôle important dans le déploiement des de l'organisation partenaire soit bien inclure une gestion proactive des relations SFN. Le risque de défaillance technologique comprise avant que le partenariat ne soit clients par le biais du service clients, de a un impact important sur l'expérience confirmé. Une mauvaise qualité émanant campagnes de marketing et d'image client, et le partenariat que le prestataire d'un partenaire est souvent attribuée de marque, ainsi que l'établissement établit avec ses fournisseurs peut affecter au prestataire de SFN. Par exemple, si le d'accords de « propriété » des clients au le risque de défaillances des transactions et switch de paiements est saturé, le client sein des accords de partenariat et incluant de retards du service. doit essayer d'effectuer sa transaction des clauses relatives à des éléments tels plusieurs fois avant que la facture ne soit Intégrations techniques : La plupart des que l'exclusivité et la non concurrence. payée, et cela est généralement considéré services dépendent d'interfaces techniques Sur certains marchés, les banques sont le comme une défaillance du SFN. A la base avec des tiers. Le besoin numéro un de partenaire de SFN de plus petite taille et de tous les partenariats techniques, il l'intégration technique est la connectivité. moins dominant, et pourraient estimer doit exister une compréhension claire Les SFN ont un besoin inhérent d'utiliser des qu'il leur est difficile de négocier sur un pied des niveaux de service atteignables par réseaux de données ou voix pour proposer d'égalité avec les ORM. Elles pourraient le partenaire, et une performance (en des services au moyen de la technologie. décider qu'elles s'en sortiraient mieux termes de couverture) attendue convenue. Cela inclut l’utilisation d'accès à un réseau si elles jouaient un rôle en coulisse de Les partenaires doivent être soumis à mobile, notamment les services de SMS, détention des comptes et des prêts, tandis des pénalités en cas de performance d’USSD et de 3G. que l'ORM gèrerait les relations directes insuffisante constante par rapport à ces avec la clientèle. Outre les besoins de base associés à la niveaux de service. Un point important connectivité, à mesure que les services de souvent négligé est la nécessité de définir Distributeurs agents : Quand on a SFN deviennent matures, ils intègrent de exactement ce que l'on entend par niveau recours à des structures de réseau d'agents plus en plus d'autres technologies, souvent de service et la façon dont il doit être complexes dans un modèle économique par le biais d'Interfaces de programme mesuré. de SFN, la performance des agents d'application. Il s'agit notamment de peut dépendre beaucoup de la capacité l'intégration aux systèmes bancaires Autre point crucial, il doit exister un accord de l'agent principal à les gérer. Cela principaux pour autoriser le transfert quant à la façon dont les incidents seront comprend généralement la formation, la de fonds entre les comptes de SFN et les gérés. Quand un incident technique fourniture de liquidités et les supports de comptes bancaires ou d'IMF traditionnels, impliquant deux technologies ou plus se marketing et incitations. La relation entre de l'intégration à des facturiers telles produit, le plus grand problème peut être le prestataire et l'agent principal joue un que des entreprises de service collectif, de déterminer où se situe la défaillance, rôle clé, et la rupture de cette relation peut directement ou par le biais de switchs chacun prétendant que la technologie de entraîner une perturbation de l'expérience de paiement, de l'intégration à divers l'autre partie est à blâmer. Cela peut se client. Les accords de partenariat avec terminaux de PDV, et de l'intégration à produire dans une situation très tendue les distributeurs agents doivent couvrir des organisations de transfert d'argent si la défaillance est sérieuse, il est donc tous les niveaux de service, et stipuler pour faciliter les transferts de fonds important de disposer de procédures clairement les attentes et la rémunération internationaux. L'interopérabilité entre les acceptées au préalable dans le cadre afin de réduire le risque lié au partenariat SFN commence également à se produire, desquelles toutes les parties travaillent inhérent à la relation. Ils doivent contenir de manière bilatérale ou par le biais de ensemble, dans la mesure du possible, aussi des règles claires quant à la façon switchs. pour identifier et résoudre le problème. dont il sera mis fin au partenariat afin de Il doit également exister des processus minimiser l'impact sur le client ou l'activité. Chaque fois qu'il existe une intégration de signalisation à la hiérarchie pour les technique, il existe une dépendance vis-à- incidents qu'il est impossible de résoudre vis du service partenaire, et l'intégration au moyen des procédures standards. est en soi un point défaillance possible. Il 62 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES MPLE Registre des risques 10 EXE Risque lié au partenariat - Indisponibilité du service Exemple de prestataire de Une banque proposant des services bancaires par agent avec PDV et accès mobile au client fourni par la connectivité d'un ORM partenaire SFN : Catégorie de risque : Risque lié au partenariat Catégorie secondaire : Risque de réputation Nom : Difficultés relationnelles entre les propriétaires du service - entraînant une interruption du service Description : Difficulté relationnelle significative au sein du consortium partenaire qui entraîne une indisponibilité du service pour les clients. Propriétaire : Directeur des SFN Cause : Incapacité du partenaire à répondre aux exigences de capacités croissantes du prestataire de SFN car l'activité s'est développée plus rapidement que prévu Effet : Indisponibilité du service pour les clients et les agents, et les clients ne peuvent accéder aux comptes. Probabilité : 2 sur 5 Modérément faible sur la base des accords de partenariat et des dispositions commerciales correctement structurées Impact : 5 sur 5 Impact très élevé en raison d'une dépendance complète vis-à-vis du partenaire pour la fourniture du servicee Stratégie relative au risque : Transfert Stratégie de traitement : • Niveaux de service détaillés dans le contrat du partenaire • Examens techniques mensuels avec les partenaires, notamment les volumes attendus, pour assurer une planification des capacités anticipant la courbe de demande • S'assurer que le partenaire bénéficie d’incitations suffisantes pour maintenir le service en fonctionnement et qu'il se développe avec celui-ci. Réponse stratégique de • Action en justice contre le partenaire pour avoir échoué à fournir le service traitement : • Si possible, sélectionner un prestataire secondaire pour travailler en parallèle ou le tenir en réserve Indicateur clé de risque : • Durée de fonctionnement du système • Performance par rapport aux ICP Statut actuel : Ne s'est pas réalisé GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 63 02_DÉFINITIONS Encadré 10 Études de cas sur le risque lié au partenariat A) L'entreprise Kopo Kopo a été par ailleurs pris en charge le rôle M-PESA (cette initiative n'est pas sans initialement fondée au Kenya en d'intermédiation dans les litiges. risque financier, mais aucun problème 2012 pour exploiter la possibilité que n'était survenu au moment de la M-PESA soit utilisé pour les paiements A la fin de 2015, Kopo Kopo avait rédaction de ce document). en magasin (commerçants) des biens recruté 4 000 commerçants actifs sur et services. Safaricom, la société des canaux spécifiques de vente au détail A la fin de 2015, la société générait plus proposant M-PESA, avait lancé « Lipa tels que la restauration, la coiffure, de recettes provenant de ses avances na M-PESA » (Payer par M-PESA) l'agroalimentaire et les stations- d'espèces au Kenya que de son activité à destination des consommateurs service. En raison de sa croissance, fondamentale. un ou deux ans auparavant. Les Safaricom a vu l'opportunité de gérer cette activité en interne et est En s'appuyant sur son investissement • capacités existaient donc, mais peu de maintenant en concurrence directe existant dans le logiciel d’acquéreur commerçants avaient accepté ce service avec Kopo Kopo pour recruter de pour le compte de commerçants et son utilisation était très faible. Kopo nouveaux commerçants. Safaricom pour Lipa na M-PESA, elle en a fait Kopo a formé un partenariat avec profite d’avantages en termes d'échelle, un produit en marque blanche que Safaricom pour fournir un service de de réputation et d'offre d'un service d'autres institutions peuvent utiliser paiements marchands afin d'augmenter moins cher car la société ne facture que en dehors du Kenya. Le logiciel le nombre de détaillants acceptant sa partie des frais de transaction. Cette sera vendu sur la base d'un droit de Lipa na M-PESA et donc favoriser activité connait beaucoup de succès. licence et Kopo Kopo a conclu des l'utilisation par les consommateurs. Anticipant le risque d'un changement accords commerciaux avec plusieurs Le service est gratuit pour les dans la relation, passant de partenaire prestataires. Le produit devrait être consommateurs mais les commerçants à concurrent, Kopo Kopo a cherché lancé en 2016 au Ghana, en Ouganda versent un faible pourcentage de la à diversifier son activité dans deux et au Zimbabwe, et fournira un flux valeur de la transaction comme frais directions : de recettes supplémentaire, sous réparti entre Kopo Kopo et Safaricom. réserve que le service d'assistance Kopo Kopo a recruté des commerçants Pour rester compétitive sur le marché • n'excède pas les attentes. en leur fournissant des données sur les kenyan, la société a développé un service populaire d'avance d'espèces L’état de préparation de Kopo Kopo transactions, une veille économique aux commerçants, en proposant des face à l'émergence inévitable de son et un accès rapide à des fonds par le fonds en fonction d'une notation partenaire comme concurrent a été un biais d'applications Web et Android, du crédit qui est constamment mise facteur majeur de sa survie commerciale ainsi que des capacités de paiements à jour fondée sur la performance sur un marché très concurrentiel. de masse et de SMS groupés. Il a historique du commerçant via Lipa na 64 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES B) Un prestataire de SFN majeur (hors le prestataire a identifié les moyens par télécommunications) a été victime lesquels la fraude avait été commise. d'une fraude commise par l'un de ses partenaires. Il avait signé des contrats Il a remarqué que tous les agents avec les trois plus grands ORM du affectés utilisaient des téléphones pays pour utiliser leurs réseaux de d'agents connectés au même ORM, communication, en particulier les et cela a fourni l'indice essentiel. La canaux SMS et USSD, et pouvoir fraude impliquait un employé ayant une fournir le service d'argent électronique fonction technique au sein de l'ORM à tout client ou agent ayant une carte et accès aux systèmes de gestion des SIM de l'un d'entre eux. Un certain cartes SIM. Les fraudeurs avaient mis nombre d'agents ont commencé à au point une escroquerie selon laquelle signaler le même problème : leurs le PIN de l'agent était récupéré et la fonds de caisse d'argent électronique carte SIM temporairement échangée disparaissaient. D’abord signalé par tandis que les fonds étaient retirés un agent par jour, ce problème a, du compte. Dès que cette escroquerie en l’espace de deux semaines, été a été identifiée, l'ORM partenaire a signalé par trois ou quatre agents été contacté et le problème expliqué. par jour, chacun déclarant des pertes L'ORM a vraisemblablement rendu de plusieurs centaines de dollars. En ses procédures d'échange de SIM plus examinant les relevés d'opérations des strictes car l'escroquerie s'est arrêtée agents affectés au moment des fraudes, dans les 24 heures et ne s’est jamais puis en suivant les séquences des reproduite. opérations et des comptes concernés, RISQUE LIÉ AU PARTENARIAT - QUESTIONS CLÉS • Avez-vous établi un contrat ou un protocole d'entente avec votre partenaire qui inclut des protections et des plans d'urgence ? • Avez-vous des accords de niveau de service avec vos agents principaux et distributeurs ? • Partagez-vous les résultats attendus et les ICP avec vos partenaires ? • Avez-vous des niveaux de service technique réalistes et mesurables convenus avec vos partenaires ? • Existe-t-il un processus technique de signalisation à la hiérarchie convenu pour résoudre les incidents ? GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 65 02_DÉFINITIONS Résumé Les dix catégories de risque décrites ci- dessus sont des catégories générales utilisées pour décrire les risques associés aux SFN. Vous trouverez une liste complète incluant un certain nombre de sous- catégories dans la base de données des risques à la page 95. A mesure que le secteur des SFN évolue, de nombreux autres risques commenceront à apparaître et la tâche consistant à identifier, comprendre et atténuer les risques sera permanente. A présent qu'une compréhension générale a été établie dans la Partie I, et que les risques les plus courants actuellement connus ont été identifiés dans la Partie II, les institutions peuvent passer au développement des cadres de gestion des risques. La Partie III fournit des instructions, étape par étape, sur la façon de développer et de mettre en œuvre ces cadres. 66 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 67 03_CADRE 03_ PARTIE III Cadre de gestion des risques appliqué Dans la partie précédente du manuel, nous avons décrit et illustré les principaux risques associés à la mise en œuvre des SFN. Dans cette partie, nous évoquerons les concepts du cadre de gestion des risques décrits dans la Partie I, et emmèneront le lecteur dans un processus étape par étape du cycle de gestion des risques. Cela commence par l'établissement du contexte, se poursuit par l'identification des risques, l'évaluation et l'élaboration de la stratégie de gestion des risques, et se conclut par le suivi et l'évaluation. Il existe plusieurs sources d'ouvrages traitant du processus de mise en œuvre d'un cadre de gestion des risques. La GSMA a également publié une boite à outils de la gestion des risques sous format Excel pour guider les ORM en matière de risques associés à l'argent électronique13. Ce manuel se base vaguement sur les normes du secteur ISO 31000 en matière de gestion des risques. Il a été adapté et contextualisé pour la gestion des risques propres aux SFN. Le processus commence par constituer l'équipe de projet et fixer les objectifs et les niveaux de risque acceptables. Ensuite, tous les risques possibles sont identifiés et formulés. L'évaluation des risques est réalisée par le biais de méthodes qualitatives ou quantitatives pour estimer la probabilité et l'impact potentiel du risque. L'évaluation permet aux institutions de hiérarchiser les risques et d'identifier les risques qui peuvent être tolérés, transférés, éliminés ou qui exigent l'élaboration d'une stratégie de traitement (abordée à la Section 4). Enfin, le cadre est mis en œuvre et des examens périodiques sont effectués, en retournant à la phase de planification et d'identification afin de s'assurer que les risques auxquels l'institution est confrontée sont toujours pris en compte de manière opportune et précise. En utilisant le Processus d'évaluation des risques ISO 31000 décrit dans la Partie I, le développement de cadres de gestion des risques suit cinq sections, tel que l'indique la Figure 7. 13 Risk Management Toolkit, GSMA & Consult Hyperion, 2015 (http://www.gsma.com/mobilefordevelopment/managing- risk-in-mobile-money-a-new-comprehensive-risk-toolkit) 68 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES Figure 7: Processus d'évaluation des risques RECOMMENCERR DÉFINIR LE ÉLABORER IDENTIFIER ÉVALUER UNE EXAMINER CONTEXTE STRATÉGIE ATTRIBUER LA DÉFINIR L'ÉQUIPE RECHERCHER PROBABILITÉ ET ELIMINER RÉÉVALUER L'IMPACT RÔLES & EXAMINER ANALYSER TRANSFÉRER SUIVRE RESPONSABILITÉS L'HISTORIQUE CALENDRIER & ÉVALUER HIÉRARCHISER TRAITER BUDGET AUJOURD'HUI ÉLABORER UN RÉPONSE RÉFLÉCHIR RÉPONDRE PLAN STRATÉGIQUE DÉFINIR LA ENREGISTRER LES DÉVELOPPER LES TOLÉRANCE RISQUES INDICATEURS CONSIGNER LES RISQUES Les sections suivantes décrivent les activités et les domaines prioritaires dans chacune des étapes du diagramme ci- dessus. GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 69 03_CADRE Encadré 11 Constituer une unité de gestion des risques Bien que de nombreuses organisations Prévention des fraudes - Ces activités élément majeur de fonctionnalité, d'envergure disposent d’un type se répartissent selon deux types : doivent être évalués et approuvés d’appui à la gestion des risques au fraudes internes et fraudes vis-à-vis des par l'équipe des risques. Elle adopte niveau du groupe, Tigo Peza Tanzanie clients. La fraude interne potentielle une approche pratique face à tout est l'une des rares sociétés opérant est contrôlée par une combinaison changement et est impliquée dès le au niveau local disposant d'une de procédures opérationnelles : début du processus de développement. équipe nationale dédiée à la gestion l'analyse des données pour découvrir des risques associés aux SFN et qui toute activité inhabituelle et le Conformité aux règlementations - est chargée de prévenir, détecter suivi des interactions du personnel Il incombe à l'équipe de fournir les et atténuer les risques potentiels. avec les systèmes pour identifier rapports spécifiés et toutes autres L'équipe de gestion des risques a été les comportements suspects. La informations demandées par la constituée en 2012, deux ans après majeure partie de l'activité consiste banque centrale, et d'évaluer et le lancement de Tigo Pesa, avec la à détecter et atténuer les fraudes vis- mettre en œuvre tous changements nomination d'un Responsable des à-vis des clients. Par exemple, il a aux opérations de compte rendu finances et des risques liés aux SFN, été constaté une incidence croissante ou commerciales requis quand les rendant compte au directeur de de clients envoyant de l'argent à de règlementations changent. Un la division et au directeur général mauvais numéros et de destinataires membre de l'équipe fait office d'agent financier des SFN du groupe Millicom. prétendant frauduleusement que chargé de signaler le blanchiment Depuis, l'équipe s'est développée l'argent leur appartenait. En plaidant d'argent. pour compter cinq personnes qui pour le développement d'une nouvelle L'équipe de gestion des risques s'acquittent d'un certain nombre de fonction permettant de confirmer est soumise à des évaluations par fonctions pour protéger l'entreprise : le nom du bénéficiaire pendant les les pairs régulières, effectuées par transactions, l'équipe a réussi à Processus et contrôles - Doit s'assurer les responsables des SFN d'autres réduire ce type de fraude d'un taux que les processus opérationnels sont membres du groupe, à un audit interne impressionnant de 60 pour cent. disponibles pour toutes les activités de par le groupe Millicom et à un audit Tigo Pesa, et qu'ils sont régulièrement Intégrité de la plateforme et assurance externe par Ernst & Young. examinés et mis à jour si nécessaire. du projet - Tous les changements Contrôle aussi l'accès pour se apportés à la technologie, qu'il s'agisse connecter aux systèmes de Tigo Pesa. d'ajustements mineurs ou d'un nouvel 70 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES Section 1: Définir le contexte L'objectif du processus de planification de la gestion des risques consiste à élaborer une stratégie globale de gestion des risques associés aux SFN et de déterminer la manière de la mettre en œuvre et de l'intégrer au plan global de mise en œuvre des SFN. Le processus de planification commence par la constitution d'une équipe, qui détermine alors le calendrier, les coûts et l'ébauche du plan de gestion des risques, la méthodologie et le processus et les modèles qui seront utilisés pour développer le cadre de gestion des risques. Étape 1 : Constituer l'équipe chargée des risques L'équipe sera composée de divers membres du personnel et parties prenantes qui seront responsables du succès des SFN et fourniront également des informations générales contrastées et complémentaires afin de s'assurer que le cadre de gestion des risques couvre une liste complète des risques et leur analyse, ainsi que les stratégies d'atténuation associées. L'équipe doit compter des membres des services de gestion des risques, de gestion des canaux de SFN, des ventes et du marketing, de l'informatique, des finances, du contrôle interne et de la conformité, de la direction, ainsi que des experts, consultants ou facilitateurs externes. Tableau 1 : Exemple d'équipe chargée des risques Nom Titre Département Coordonnées Chargé des risques Services bancaires par agent/Argent électronique Directeur des services bancaires par Services bancaires par agent/Argent agent/Argent électronique électronique Responsable de la distribution Services bancaires par agent/Argent électronique Responsable des produits Services bancaires par agent/Argent électronique Directeur de l'Informatique Informatique Responsable du marketing Marketing Responsable du centre d'appel Service clients Chargé de la règlementation Conformité Responsable des Finances Finances Chargé des enquêtes sur les cas de Finances fraude GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 71 03_CADRE Étape 2 : Définir les rôles et responsabilités L'équipe de projet pluridisciplinaire est essentiellement tenue de mettre en place l'évaluation et le cadre de gestion des risques. L'équipe sera dirigée par un responsable des risques, qui, dans l'idéal, devrait aussi participer à l'évaluation et à la gestion des risques d'autres projets pour assurer une gestion des risques cohérente à l'échelle de l'organisation. Les rôles de chaque membre de l'équipe doivent être clairement définis et formulés avant le processus de planification et consignés dans le plan de projet. Les responsabilités du chargé des risques sont notamment les suivantes : • Solliciter le soutien de la haute direction en faveur du cadre de gestion des risques • Déterminer les niveaux de risque acceptables, en consultation avec les parties prenantes • Développer et approuver le plan de gestion des risques • Promouvoir le processus de gestion des risques • Faciliter la communication • Approuver les réponses aux risques si nécessaire • Rendre compte régulièrement du statut des risques à la direction et aux parties prenantes clés Tableau 2 : Exemple de rôles et responsabilités de l'équipe chargée des risques Nom Titre Dirige ou soutient Chargé des risques Dirige Directeur des services bancaires par agent/Argent Dirige électronique Responsable de la distribution Soutient Responsable des produits Soutient Directeur de l'Informatique Soutient Responsable du marketing Soutient Responsable du centre d'appel Soutient Chargé de la règlementation Soutient Responsable des Finances Soutient Chargé des enquêtes sur les cas de fraude Soutient 72 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES Étape 3 : Définir le calendrier et le budget pour le développement Le calendrier pour le cadre de gestion des risques sera déterminé par l'équipe de planification et inclura les dates de début et de fin de chaque phase, les étapes clés et les livrables. Les calendriers doivent aussi inclure les intervalles convenus pour la réévaluation du cadre de gestion des risques. Il pourrait être nécessaire d'allouer un budget au développement du cadre de gestion des risques si l'on s'attend à ce que les activités incluent une collecte de données externes, le recrutement de consultants et facilitateurs ou les coûts des réunions hors site. Les budgets peuvent aussi inclure des fonds pour imprévus visant à couvrir les pertes potentielles en se fondant sur l'analyse quantitative réalisée pendant la phase d'évaluation des risques. Tableau 3 : Exemple de calendrier et budget du cadre des risques Nom Date de début Date de fin Budget estimé Identification des risques Semaine 1 Semaine 8 Examen des publications Semaine 1 Semaine 1 Examen historique Semaine 2 Semaine 2 Évaluation actuelle Semaine 3 Semaine 6 15 000 USD pour le consultant externe chargé de fournir des conseils techniques Réflexion Semaine 7 Semaine 8 6 000 USD pour le facilitateur Évaluation des risques Semaine 9 Semaine 12 Attribution d’une probabilité Semaine 9 Semaine 10 10 000 USD pour le consultant externe chargé de fournir des conseils techniques Attribution d’un impact Semaine 9 Semaine 10 10 000 USD pour le consultant externe chargé de fournir des conseils techniques Hiérarchisation des risques Semaine 10 Semaine 10 10 000 USD pour le consultant externe chargé de fournir des conseils techniques Élaboration de la stratégie Semaine 11 Semaine 12 relative aux risques Élaboration de la stratégie de Semaine 11 Semaine 12 10 000 USD pour le consultant externe chargé de fournir des traitement des risques conseils techniques Développement de la réponse Semaine 11 Semaine 12 10 000 USD pour le consultant externe chargé de fournir des stratégique aux risques conseils techniques Définition des ICR Semaine 11 Semaine 12 10 000 USD pour le consultant externe chargé de fournir des conseils techniques Examen de la gestion du cadre Semaine 13 Semaine 14 10 000 USD pour le consultant externe chargé de fournir des des risques conseils techniques Examen du cadre Tous les 6 mois GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 73 03_CADRE Étape 5 : Établir les niveaux de tolérance au risque Pendant le processus de planification, l'équipe chargée des risques établira les niveaux de Étape 4 : Élaborer un plan tolérance au risque de l'institution, en termes de niveaux quantitatifs des pertes ainsi que La planification du développement du cadre de gestion des risques inclura le de niveaux qualitatifs de tolérance. Les valeurs développement des processus, ébauches, méthodologies, définitions et modèles quantitatives des pertes potentielles peuvent approuvés par tous les membres de l'équipe de gestion des risques. être évaluées pour la plupart des risques identifiés par le biais du processus d'évaluation des risques décrit ci-dessous. L'équipe chargée Processus : Décrire le processus qui sera utilisé pour développer le cadre de des risques établira le niveau de tolérance gestion des risques et la façon dont il sera intégré à l'activité générale des SFN. au risque, de sorte que tout risque identifié associé à une perte potentielle supérieure Ébauche : Pendant le processus de planification, l'équipe de planification au seuil devra être évité ou transféré, et si développera une ébauche du cadre de gestion des risques. Voir la page 93 pour la perte potentielle est au-dessous du seuil une liste de contrôle applicable au développement d'un cadre de gestion des inférieur, le risque sera accepté. Par exemple, risques. une institution peut décider que tout risque ayant un impact potentiel de moins de 10 000 USD sera accepté, situé entre 10 000 et Méthodologie : La méthodologie décrite dans l'ébauche de plan identifiera 100 000 USD sera atténué et au-dessus de 100 les moyens permettant de réaliser l’évaluation qualitative et quantitative des 000 USD sera évité ou transféré. risques, l'évaluation et l'analyse, le classement des risques et l'enregistrement dans le registre des risques avec les traitements associés. Le plan de la Les pertes financières dues à des fraudes méthodologie décrira également les moyens par lesquels l'organisation doivent être associées à un certain niveau déterminera si elle doit éliminer, traiter, tolérer ou transférer le risque. d'acceptation, car la mise en œuvre des politiques de gestion des risques visant à éliminer totalement ces pertes serait plus Définitions : Les définitions décrites dans le cadre de gestion des risques coûteuse que l'acceptation d'un certain consisteront en un glossaire des termes afin que l'équipe travaille en utilisant niveau de fraude. Une fois convenu, le niveau des définitions communes des risques. acceptable des pertes dues aux fraudes doit être budgétisé et inclus aux prévisions, et utilisé Modèles : Le plan inclura les modèles convenus qui seront utilisés lors du comme Indicateur clé de risque pour mesurer la développement du cadre de gestion des risques. Les modèles doivent inclure le performance. La référence du secteur pour les registre des risques tel que décrit ci-dessous, les modèles pour les sessions de pertes gérables dues aux fraudes est sept points réflexion visant à identifier, analyser et évaluer les risques. Le modèle du cadre de base du volume total des transactions, soit de gestion des risques sera également inclus à l'ébauche du plan de gestion 0,07 pour cent. des risques. Le classement qualitatif décrit ci-dessous peut aussi être utilisé pour définir les niveaux de tolérance au risque, de sorte que pour les risques identifiés ayant une note qualitative de 1 à 5 : le risque est accepté, de 6 à 12 : le risque est contrôlé et de 13 à 25 : le risque est évité ou transféré. Il peut exister d'autres politiques de tolérance du risque que l'institution pourrait vouloir mettre en place telles que la tolérance zéro pour les activités illégales ou les violations de la règlementation. 74 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES Section 2 : Identifier les risques Le processus d'identification des risques vise à déterminer tous les risques identifiables associés aux SFN. Cependant, étant donné qu'il est impossible d'identifier tous les risques, il convient d'utiliser un processus itératif pour effectuer des réévaluations de manière périodique. L'identification des risques doit donc être réalisée dès que possible au cours du développement des SFN afin d’avoir le plus de temps possible pour développer les réponses au risque. Cependant, plus le processus d'identification est effectué tôt, moins l'organisation aura de certitude quant à la probabilité et à l'impact potentiels du risque. Le processus d'identification des risques peut inclure différentes méthodologies pour l'identification et doit inclure l'éventail complet des risques associés à un SFN tel que décrit ci-dessus. Encadré 12 Gestion des risques centrée sur le client Le plus grand risque pour toute stratégie commerciale est que le nombre anticipé de clients n'adoptent pas le service. Ces problèmes sont souvent associés à une mauvaise conception du produit ou dus à un décalage entre les localisations du client et de l'agent. Les clients ferment aussi rarement un compte. Ils se contentent de retirer leurs fonds. Ce risque commercial doit être compris par le biais d'interactions appropriées avec les clients, souvent gérées par le centre d'appel ou par le biais d'entretiens périodiques avec les clients qui permettent d'identifier les raisons pour lesquelles les clients n'utilisent pas le service, et doit être ajouté aux conclusions du registre des risques. GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 75 03_CADRE Étape 1 :Rechercher les ressources du secteur Il est recommandé de commencer par l'examen des publications afin d'identifier les risques qui sont applicables et pertinents pour votre institution. Il existe une importante variété de ressources disponibles qui sont spécifiques aux différents types d'institution ou aux risques associés à des SFN spécifiques, telles que : • Risk Management Toolkit, GSMA & Consult Hyperion, 2015 (http://www.gsma.com/mobilefordevelopment/managing-risk-in- mobile-money-a-new-comprehensive-risk-toolkit) • MMU Managing the Risk of Fraud in Mobile Money, GSMA, 2012 (http://www.gsma.com/mobilefordevelopment/wp-content/ uploades/2012/10/2012_MMU_Managing-the-risk-of-fraud-in-mobile-money.pdf) • Mobile Financial Services Risk Matrix, USAID et Booz Allen Hamilton, 2010 (http://www.gsma.com/mobilefordevelopment/wp- content/uploades/2012/06 • /mobilefinancialservicesriskmatrix100723.pdf) • Bank Agents: Risk Management, Mitigation, and Supervision, CGAP, 2011 (http://www.cgap.org/publications/bank-agents-risk- management-mitigation-and-supervision) • Digital Financial Services Risk Assessment For Microfinance Institutions, A Pocket Guide, AFI, 2014 (https://lextonblog.files. wordpress.com/2014/09/dfs_risk_guide_sept_2014_final.pdf) • Mobile Financial Services Technology Risks, AFI, 2013 (http://www.afi-global.org/sites/default/files/pdfimages/AFI_MFSWG_ guidelinenote_TechRisks.pdf) • Fraud in Mobile Financial Services, Mudiri, MicroSave, 2012 (http://www.microsave.net/resource/fraud_in_mobile_financial_ services#.VmWI9E10xes) • Risk Management in Mobile Money, Lake, IFC, 2013 (http:// • www.ifc.org/wps/wcm/connect/37a086804236698d8220ae0dc33b630b/Tool+7.1.+Risk+Management.pdf?MOD=AJPERES)) De plus, une liste complète des risques est incluse à la section sur la Base de données des risques de cette publication et peut être utilisée à titre de référence. Étape 2 : Examen historique Étape 3 : Évaluations actuelles commenceront à émerger à mesure Le processus d'identification des risques L'évaluation actuelle du développement que l’équipe étudiera les définitions commencera par une étude rétrospective des SFN examine de manière critique des produits, la stratégie relative aux des risques, en prenant en compte les l'état actuel de la mise en œuvre afin agents et à la distribution, les contrats risques qui ont été tolérés ou traités ou de comprendre quels sont les risques avec les agents, les contrats avec le réalisés au cours d'autres cycles de vie de les plus susceptibles de se matérialiser. partenaire technologique, les directives projets, notamment les mises en œuvre L'évaluation de la mise en œuvre consistera règlementaires locales, les spécifications passées de produits et de canaux par votre en une analyse du modèle financier technologiques, les manuels de procédures propre institution ou d'autres institutions actuel, des spécifications du produit, du opérationnelles, les projections financières, au sein du marché. L'examen historique modèle économique, du développement l'étude de marché ou autres documents sera réalisé par le biais d'une recherche de la technologie, des approbations disponibles à des fins d'examen. En ayant secondaire sur la documentation interne règlementaires, une analyse de la à l'esprit les catégories de risque, l'équipe relative à la gestion des risques, ainsi que concurrence et une étude de marché. En peut également être chargée d'identifier sur des sources externes telles que les utilisant les catégories de risque décrites tous les risques qu'elle juge pertinents pour ci-dessus, l'équipe chargée des risques ses domaines d'opération. A ce stade, il est contacts dans le secteur et les médias. pourra commencer à dresser la longue important de lister autant de risques que liste des risques. De nombreux risques possible sans juger de leur importance. 76 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES Étape 4 : Brainstorming Pour compléter les évaluations historiques et actuelles, des techniques créatives peuvent être utilisées pour les sessions de réflexion, pouvant inclure des experts ou facilitateurs externes. Étape 5 : Consigner tous les risques identifiés dans un registre des risques C'est la première étape du développement d'un registre des risques. Tous les risques identifiés doivent être consignés en précisant leur nom, la description et le responsable du risque, ainsi que toute remarque sur les réponses préliminaires au risque survenue pendant la phase d'identification. A ce stade, la liste vise à être aussi exhaustive que possible. Pendant la phase d'évaluation, les risques seront classés et catégorisés afin de déterminer leur importance relative. Tableau 4 : Exemple d'une Phase d'identification des risques pour le risque stratégique des SFN Type de risque : Risque stratégique Nom Description Cause Effet Responsable du risque Le SFN n'atteint pas la Le SFN n'atteint pas les Mauvaise offre de produit, Entraîne des revenus nets et un Directeur des services rentabilité dans le délai objectifs de recettes et mauvaise gestion du canal, retour sur investissement négatifs. bancaires par agent/ prévu de dépenses dans le délai mauvaise gestion des ressources, Argent électronique spécifié mauvaises prévisions Le prestataire ne Une mauvaise Mauvaise élaboration de la Aboutit au développement de Directeur du marketing comprend pas compréhension des stratégie, mauvaise étude de produits inappropriés et à de faibles parfaitement son besoins du client et des marché, mauvais test client du adoption et utilisation marché cible pour les ressources disponibles produit ou du canal SFN. Le prestataire n'investit Les effectifs d'appui aux Les besoins en investissements Le prestataire ne peut atteindre ses Directeur des ventes pas pleinement dans ventes sont dotés de de long terme du canal des SFN objectifs en termes d'acquisition les ressources requises moyens insuffisants ne sont pas compris ou pas d'agents, les objectifs en termes de pour atteindre ses estimés par la direction et le revenus ne sont donc pas atteints objectifs. conseil d'administration. et la rentabilité n'est pas assurée. Concurrence Les concurrents gagnent Les concurrents fournissent un Les clients migrent vers d'autres Directeur des services des parts de marché meilleur service ou proposent des prestataires bancaires par agent/ prix inférieurs. Argent électronique GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 77 03_CADRE Section 3 : Analyser et évaluer Une fois tous les risques identifiés, le Étape 1 :Déterminer une Hiérarchisation des risques processus d'analyse peut commencer probabilité et un impact afin de les évaluer et de les hiérarchiser. Étape 3 : Classer les risques en Pour chaque risque identifié, une Les méthodes qualitatives d'analyse sont fonction des risques qualitatifs et évaluation qualitative de la probabilité et les plus couramment utilisées, comme le de l'impact doit être réalisée. L'impact est la quantitatifs développement d'un système de notation Les risques peuvent maintenant être perte potentielle si le risque se matérialise. et de classement, tel que décrit ci-dessous : hiérarchisés en fonction de l'impact Il pourrait s'agir de pertes financières, de pertes en termes de réputation ou potentiel et de la probabilité. En utilisant la Qualitatif de sanctions légales ou règlementaires. méthodologie de classement qualitative, L'impact peut être mesuré sur une échelle les risques présentant la note combinée L'analyse qualitative vous permet de de 1 à 5, 1 étant l'impact le plus faible et 5 de probabilité et d'impact la plus élevée commencer à classer les risques identifiés le plus élevé. Une mesure de 1 représente seront classés comme les plus élevés, et selon leur importance, et commence un impact négligeable, 2 un impact faible, ceux présentant la note combinée la plus par l'évaluation des caractéristiques et 3 un impact modéré, 4 un impact élevé et 5 faible comme les plus bas. Si l'on utilise priorités en fonction de paramètres de un impact extrême. la méthodologie quantitative, ceux qui mesure définis pendant le processus présentent la valeur de classement la plus de planification des risques. L'analyse La probabilité est la possibilité supposée élevée seront classés comme les risques qualitative s'appuie sur le processus que l'évènement se produise. Elle est les plus élevés. Le classement des risques d'identification des risques et évalue les également attribuée sur une échelle de par priorité permettra à l'équipe de projet causes et impacts. Les risques peuvent 1 à 5, 1 étant une possibilité lointaine, 2 d’élaborer des stratégies relatives aux être catégorisés en fonction de la source improbable, 3 possible, 4 probable et 5 risques pour chaque risque en travaillant ou de la cause, ou par impact, afin de une quasi-certitude que l'évènement se d'abord sur les plus importants. faciliter le développement de réponses produira. Une notation du risque est alors au risque pendant l'analyse qualitative. quantifiée en multipliant le classement Étape 4 : Déterminer quels sont les Le produit final d'une analyse qualitative attribué à la probabilité et à l'impact, ce qui risques méritant des interventions sera la définition du risque, sa probabilité donne une note combinée pour ce risque et son impact potentiel. Par exemple, de traitement particulier. le risque que des concurrents gagnent En utilisant la notation quantitative, des parts de marché se voit attribué une l'institution peut maintenant décider s'il probabilité de 3 sur la base de l'exemple Étape 2 : Analyse des risques convient de tolérer, traiter, transférer ou fictif d'une institution financière dans un L'analyse des risques est une éliminer le risque. Les seuils de notation environnement hautement compétitif documentation écrite pour le registre des suivants peuvent être utilisés : 1 à 5 : caractérisé par de faibles barrières à risques qui inclut une analyse des causes et Accepter le risque, 6 à 12 : Contrôler le l'entrée, et un impact potentiel de 3 effets du risque, une description expliquant risque et 13 à 25 : Transférer ou éviter le en s’attendant à quelques pertes de pourquoi la probabilité et l'impact ont risque. recettes financières, mais pas à des pertes été déterminés à ce niveau, les risques complètes car la fidélité des clients envers secondaires, la priorité, le calendrier de sa cette institution particulière est élevée. concrétisation éventuelle et tous moyens potentiels de le traiter. Les étapes de l'analyse qualitative sont décrites ci-dessous : 78 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES Figure 8 Matrice de notation qualitative du risque Impact Probabilité Négligeable (1) Faible (2) Modéré (3) Élevé (4) Extrême (5) Certaine (5) 5 10 15 20 25 Probable (4) 4 8 12 16 20 Possible (3) 2 6 9 12 15 Improbable (2) 2 4 6 8 10 Lointaine (1) 1 2 3 4 5 Une fois l'analyse achevée, les risques doivent être catégorisés par type ou priorité, et consignés dans le registre des risques. GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 79 03_CADRE Tableau 5 : Exemple de phase d'évaluation des risques pour un risque stratégique associé aux SFN Nom Description Cause Effet Responsable Probabilité Impact Note Classement du risque (1 – 5) (1 – 5) combinée Le SFN n'atteint Le SFN n'atteint Mauvaise offre de Entraîne des Directeur 2 3 6 n°2 pas la rentabilité pas les objectifs produit, mauvaise revenus nets et des services dans le délai prévu de recettes et de gestion du canal, un retour sur bancaires par dans le délai dépenses mauvaise gestion investissement agent/Argent spécifié des ressources, négatifs. électronique mauvaises prévisions Le prestataire ne Une mauvaise Mauvaise Aboutit au Directeur du 1 2 2 n°4 comprend pas compréhension élaboration développement marketing parfaitement son des besoins de stratégie, de produits marché cible pour du client et mauvaise étude de inappropriés les SFN. des ressources marché, mauvais et de faibles disponibles test client du adoption et produit ou du utilisation canal Le prestataire Les effectifs Les besoins en Le prestataire ne Directeur des 1 3 3 n°3 n'investit pas d'appui aux investissements peut atteindre ventes pleinement dans ventes sont de long terme du ses objectifs les ressources dotés de moyens canal des SFN ne en termes requises pour insuffisants sont pas compris d'acquisition atteindre les ou pas estimés et d'activation objectifs. par la direction de clients, et le conseil les objectifs d'administration. en termes de revenus ne sont donc pas atteints et la rentabilité n'est pas assurée. Concurrence Les concurrents Les concurrents Les clients Directeur 3 3 9 n°1 gagnent des fournissent un migrent des services parts de marché meilleur service ou vers d'autres bancaires par proposent des prix prestataires agent/Argent inférieurs. électronique 80 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES Section 4 : Stratégies de gestion des risques A ce stade du processus, tous les risques une assurance contre le vol pour le compte convenues, attribuées et acceptées. A ont été évalués et classés en fonction de de l'agent ou en exigeant des agents qu'ils ce stade du processus, il est important la probabilité et de l'impact. En fonction souscrivent eux-mêmes une assurance d'impliquer toute ressource pertinente des seuils d'acceptation des risques définis dans le cadre de l'accord avec les agents. du service des opérations, pour s'assurer lors du processus de planification, l'équipe que le risque est traité au moyen d'une de projet peut maintenant identifier quels Étape 3 : Élaborer une stratégie de approche « ascendante » pour prévenir risques seront tolérés, traités, transférés l'élaboration de stratégie inappropriée ou traitement du risque ou éliminés. Les risques présentant une infaisable. Toute stratégie de traitement faible probabilité et un faible impact L'élaboration d'une stratégie de des risques proposée doit répondre aux seront plus susceptibles d'être tolérés et traitement des risques constituera critères suivants : aucune autre mesure ne sera requise. Pour l'une des tâches les plus importantes les risques qui exigent un traitement, un réalisée par l’équipe de projet chargée • Cohérente avec les valeurs transfert ou une élimination, une stratégie de la gestion des risques. Il pourrait être organisationnelles, les objectifs du doit être élaborée. nécessaire de faire des compromis lors business plan des SFN et les attentes de de la détermination des stratégies de la direction traitement, étant donné que des réponses • Techniquement faisable Étape 1 : Élaborer une stratégie proposées peuvent être mutuellement d'élimination du risque • L'équipe de projet ou les responsables exclusives ou contreproductives. Par L'élimination du risque est réalisée aux plus des risques doivent avoir la capacité et exemple, l'atténuation du risque de délais hauts niveaux de probabilité et d'impact les ressources pour mettre en œuvre la excessifs avant le lancement d'un service combinés. Cela consiste à prendre les mesure requise pourrait coûter de l'argent, créant ainsi mesures requises pour s'assurer que la de nouveaux risques en augmentant la • Trouver un équilibre entre la réduction menace ne peut se concrétiser ou qu'elle ne pression sur le budget. L'élaboration d'une de l'impact du risque et la capacité à peut pas avoir d'effet significatif sur le projet. stratégie de traitement des risques doit répondre aux objectifs du projet. L'éventail des stratégies d'annulation du aussi adopter une vision globale de toutes Les stratégies de traitement des risques risque inclut une annulation complète les réponses proposées et s'assurer qu'elles sont requises pour couvrir tous les risques de la mise en œuvre du SFN ou le sont cohérentes. identifiés. Plusieurs stratégies peuvent changement d'éléments fondamentaux de Le traitement des risques peut inclure des être utilisées pour s'assurer qu'il n'existe la stratégie commerciale, pour redéfinir les politiques ou des mesures qui réduiront aucune exposition résiduelle au risque spécifications du produit ou les stratégies la probabilité ou l'impact d'un risque comme le montre la Figure 9 ci-dessous. de gestion des agents. spécifique, réduisant ainsi sa note dans Étape 2 : Élaborer une stratégie de une fourchette acceptable avant que transfert du risque le projet ne commence, ou inclure une mise en œuvre progressive de la stratégie Les stratégies de transfert des risques de traitement à mesure que le risque sont appliquées quand le risque peut être devient plus important. Les stratégies transféré à un tiers qui est mieux placé de traitement des risques peuvent aussi pour traiter cette menace particulière. Des inclure des stratégies de réponse relatives accords doivent être établis avec une partie à la façon de contrôler les dommages tierce, et définir clairement quelle partie uniquement si le risque s'est réalisé. couvre les responsabilités de l'autre partie. Un exemple de stratégie de transfert des En général, les stratégies de traitement risques se rapporte au vol des espèces doivent être appropriées, opportunes, d'un agent dans les locaux de l'agent. Ce économiques, faisables, atteignables, risque peut être transféré en souscrivant GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 81 03_CADRE Figure 9: Étapes impliquées dans l'élaboration Étape 4 :Élaborer une intervention stratégique de traitement du risque de stratégies d'atténuation des risques Une fois les stratégies de traitement des risques élaborées, une réponse stratégique, axée sur des mesures, doit également être développée pour chaque stratégie. Les réponses stratégiques doivent être intégrées à la documentation sur les SFN, telle que IDENTIFIER LES STRATÉGIES le business plan ou les plans de travail. DE GESTION DES RISQUES Étape 5 : Développer des Indicateurs Clés de Risque La détection de la survenue de l'évènement peut être réalisée par le biais du suivi des SÉLECTIONNER LES indicateurs clés de risque associés à chaque risque identifié. La section sur la Base RÉPONSES de données des risques qui se trouve dans le Chapitre Outils de ce manuel fournit des exemples d’ICR appropriés à utiliser pour mesurer et détecter la survenue d'un Non évènement. Des paramètres d'ICR acceptables doivent être développés et acceptés par la direction et le comité des risques pour permettre aux chefs de projet de suivre les TOUS LES RISQUES SONT- procédures de signalisation à la hiérarchie quand des signalements sont déclenchés ILS TRAITÉS? par l'absence de performance des ICR. Des paramètres et des limites doivent être établis par la fonction des risques ou le comité des risques du conseil d'administration. Oui Ils traduisent généralement la tolérance au risque de l'institution. PLANIFIER ET DOTER LES Étape 6 : Consigner les stratégies relatives aux risques dans un MESURES DE RESSOURCES registre Enfin, les stratégies de gestion des risques doivent être consignées dans le registre avec les informations obtenues antérieurement pour chaque risque identifié. METTRE À JOUR LE REGISTRE DES RISQUES EXAMINER L'EXPOSITION RÉSIDUELLE PRÉVUE EXPOSITION PRÉVUE ACCEPTABLE METTRE A JOUR LE CADRE DE GESTION DES RISQUES Source: Project Management Institute: Practice Standard for Project Risk Management 82 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES Tableau 6: Exemple de phase d'élaboration d'une stratégie relative aux risques pour le risque stratégique associé aux SFN En utilisant les seuils de notation suivants : Niveau du risque 1 à 5 6 - 12 13 - 25 Mesure Tolérer Traiter Transférer ou Éliminer Pour le risque identifié au Tableau 5, les risques classés 3 et 4 peuvent être tolérés car ils ont une note combinée inférieure à 5. Les risques 1 et 2 exigeront une stratégie de traitement car ils appartiennent à la fourchette de seuil de contrôle des notes situées entre 6 et 12. Risque stratégie n°1 : Catégorie de risque : Risque stratégique Catégorie secondaire : Risque financier Nom : Concurrence Description : Les concurrents gagnent des parts de marché Responsable du risque : Directeur du marketing Cause : Les concurrents fournissent un meilleur service ou proposent des prix inférieurs. Effet : Les clients migrent vers d'autres prestataires Probabilité : 3 sur 5 Impact : 3 sur 5 Stratégie relative au risque : Traiter Stratégie de traitement : • Effectuer une recherche pour comprendre l'offre du concurrent, ses forces et ses faiblesses • Contrôler les historiques du centre d'appel quant aux plaintes relatives aux niveaux de service • Promotions pour que les clients restent engagés et actifs • Ventes croisées d'autres produits et services pour renforcer l'adhésion des clients Réponse stratégique de • Réévaluer la conception du produit et du canal, la tarification et les structures de commission traitement : • Réaliser une étude de marché pour mieux comprendre la demande du marché et développer une nouvelle proposition de valeur Indicateur clé de risque : % des parts de marché GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 83 03_CADRE Risque stratégique n°2 Catégorie de risque : Risque stratégique Catégorie secondaire : Risque de réputation/financier Nom : Le SFN n'atteint pas la rentabilité dans le délai prévu Description : Le SFN n'atteint pas les objectifs de recettes et de dépenses, ce qui entraîne des revenus nets et un retour sur investissement négatifs Responsable du risque : Directeur des SFN Cause : Mauvaise conception du produit ou du canal, incompréhension de la demande du marché et/ou de la concurrence Effet : Perte de l'investissement Probabilité : 2 sur 5 Impact : 3 sur 5 Stratégie relative au risque : Traiter Stratégie de traitement : • Utiliser les études de marché et les points de référence du secteur pour poser des hypothèses • S'assurer que les objectifs sont réalistes et alignés sur les ICR • S'assurer que des ressources suffisantes (personnes/fonds) sont allouées pour atteindre les objectifs • Suivre la performance et mettre à jour la stratégie si nécessaire Réponse stratégique de • Réitérer le modèle financier à mesure que la mise en œuvre progresse traitement : • Réévaluer la tarification et les structures de commission • Réaliser une étude de marché pour comprendre la demande du marché • Réaliser une activité promotionnelle pour stimuler l'adoption Indicateur clé de risque : • Revenus nets • Clients actifs • Transactions par client • Agents actifs • Clients par agent • Taux d'intérêt des fonds de caisse 84 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES Section 5 : Suivi et examen L'efficacité du cadre de gestion des risques dépend de la qualité de sa mise en œuvre. La mise en œuvre consiste notamment à effectuer un travail sur les réponses stratégiques traitées dans la Section 4, ainsi qu'un examen et une réévaluation périodiques. À mesure que les SFN deviennent matures et évoluent, de nouveaux risques apparaîtront, et la probabilité et l'impact des risques antérieurement identifiés changeront au fil du temps. Le cadre de gestion des risques et le registre des risques sont des documents dynamiques. L'équipe de projet décidera des intervalles de comptes rendus et de réévaluation au début du développement du cadre de gestion des risques. Il est recommandé que les rapports sur les risques soient produits tous les trimestres et une réévaluation complète effectuée tous les ans. Étape 1 : Réévaluation du risque Outre l'examen régulier, il peut être nécessaire d'effectuer une réévaluation si l'un des évènements suivants se produit : • Survenue d'un évènement majeur ou inattendu • Un changement fondamental du business plan ou de la stratégie de gestion des SFN • Un nouveau type de service est proposé par le biais des SFN • Fin de la phase de mise en œuvre. Étape 2 : Surveiller les risques pendant une période Pour chaque période examinée, chaque risque sera signalé comme : • ne s'étant pas réalisé • s'est réalisé et un plan d'urgence a été appliqué • s'est réalisé et a affecté le projet (délai, coût et qualité) Outre les comptes rendus sur le registre des risques existant, il convient également de signaler si un risque nouveau ou qui n'a pas été antérieurement identifié a été constaté, de rendre compte de l'efficacité des stratégies de gestion des risques ou de tous changements aux causes et effets des risques au sein du registre. Il est également très utile de suivre le profil des principaux risques au fil du temps, car l’évolution des circonstances (notamment la mise en œuvre de stratégies de prévention et d'atténuation des risques) peuvent rendre plus ou moins probable le risque qu'un évènement spécifique se produise, ou changer son impact potentiel. GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 85 03_CADRE Résumé Pour réussir la mise en œuvre d'une pour déterminer tous les risques associés stratégie de SFN, une structure à la mise en œuvre des SFN. Une fois standardisée est requise pour le identifiés, des méthodologies d'évaluation développement d'un cadre de gestion des appropriées et cohérentes peuvent être risques afin de soutenir et pérenniser les utilisées pour évaluer et classer par opérations. Le processus commence par ordre de priorité les risques identifiés. l'établissement du contexte, notamment L'élaboration des stratégies de traitement la constitution de l'équipe et l'obtention consiste notamment à décider s'il convient de l'adhésion complète de la direction de tolérer, traiter, transférer ou éliminer et du conseil d'administration. La partie le risque, et à élaborer une stratégie la plus importante du développement appropriée pour ce faire. Une fois achevé, du cadre est l'identification des risques, le cadre de gestion des risques peut être l'évaluation et l'élaboration de la stratégie contrôlé et examiné. Il est très important de traitement. Un vaste groupe d'individus que le cadre de gestion des risques soit un aux parcours divers doit participer au document dynamique, et qu’il soit utilisé processus d'identification des risques. pour rendre compte de manière active de Les examens documentaires, les examens l'apparition des risques ; il doit également historiques et les examens des aspects être examiné et mis à jour périodiquement actuels du projet peuvent tous être utiles ou à la survenue d'un évènement majeur. 86 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 87 04_ Partie IV Éclairages et Outils Leçons tirées La plupart des institutions interrogées dans le cadre de nos travaux de recherche disposaient d'un type de cadre de gestion des risques pour leur activité fondamentale, cadre qui a été étendu aux SFN. Les implications de la façon dont les SFN changent le profil de risque, en réduisant certains risques mais en ajoutant de nouveaux problèmes potentiels, sont comprises par certaines tandis que d'autres ne savent pas comment réagir. Il existe un besoin croissant de conseils quant à la gestion des risques associés aux SFN qui soient pertinents et accessibles pour tous les types de prestataires. Les principales leçons tirées de nos travaux de recherche et discussions avec un éventail de prestataires sont résumées dans les observations suivantes. Plus important encore, il existe un besoin de cadres de gestion des risques exhaustifs. À mesure que les SFN continuent à se développer et à étendre la gamme de services disponibles partout dans le monde, ils deviennent plus vulnérables aux risques imprévus ou nouveaux. La meilleure connaissance du public des services ainsi que le volume et la valeur accrus des transactions peuvent attirer l'attention de sphères et individus indésirables. Pour protéger ces nouvelles entreprises en développement, leurs clients et leurs partenaires (tels que les agents), il est clairement nécessaire que la plupart des prestataires de SFN améliorent leur connaissance, approche et mise en œuvre de la gestion des risques. Tandis qu’une minorité a élaboré des stratégies de traitement des risques efficaces, de nombreux prestataires de SFN adoptent une approche superficielle résultant sur un faible traitement, si tant est qu'il en existe un. Des registres des risques ont été créés par quelques prestataires de SFN, mais on ne sait pas s'ils sont largement utilisés dans la gestion de l'entreprise. Il semblerait que la compréhension et la connaissance14 de la façon de les mettre en œuvre soient limitées. Les registres sont généralement limités aux risques qui entraîneraient des pertes financières immédiates, telles que les problèmes de fraude ou techniques, et ne couvrent pas les risques plus généraux et plus profondément ancrés tels que les risques stratégiques, les risques de réputation, les risques liés à la cyber-sécurité, les risques liés aux partenariats ou les risques politiques. Leur création est souvent considérée comme l'objectif final (pour satisfaire les auditeurs ou les comités de gouvernance) plutôt que comme le début d'un processus continu visant à réduire les risques auxquels sont confrontées les organisations. Enfin, ils ne sont souvent pas liés de manière claire ou sérieuse à l'atteinte des objectifs. Lors de la préparation de cette publication, IFC a interrogé un éventail de prestataires de SFN, de fournisseurs de 14 technologie, d'ONG et autres organisations associées 88 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES s on Les risques technologiques, ainsi que les e-mails, les SMS, le personnel 1 Leç stratégiques et liés à la des ventes ambulant et le personnel des gestion des agents peuvent agences formé tous entraîner un risque de • La technologie fonctionne toujours, réputation. c.à.d. la connectivité données et voix Si les clients ne peuvent avoir accès à leur est disponible, les services logiciels sont argent quand ils en ont besoin, il existe un disponibles, le matériel est exploitable, risque de réputation potentiel pouvant et il n'existe aucun retard ni défaillance entraîner une réduction de l'adoption des transactions à aucun moment de la par les clients, une diminution des taux communication d'activité et une augmentation des comptes • Une réception exacte et en temps voulu dormants : tous ces éléments infligeant des SMS des pertes potentiellement élevées à • Les clients sont toujours remboursés en un prestataire car il ne peut atteindre cas d'activité frauduleuse les objectifs définis dans son business plan. Quand cela se produit, il existe des • Les frais sont faciles à comprendre répercussions encore plus graves si les • Les menus sont faciles à utiliser conseils d'administration et la direction • Les agents sont toujours disponibles et perdent confiance et réduisent les budgets disposent de liquidité ou réorientent les ressources économiques, • Les agents sont bien formés pour servir et ont recours à des stratégies alternatives les clients (non SFN) pour stimuler la croissance des • Les agents sont clairement et clients et des recettes. Il est donc primordial constamment associés à la marque. que l'expérience client se passe sans s heurt, que le service clients soit meilleur on La fraude peut avoir un 2 Leç et la tarification compétitive. Les risques impact considérable sur la technologiques, stratégiques et liés à la réputation gestion des agents jouent tous un rôle pour La fraude peut causer des pertes financières pouvoir fournir un meilleur service au client directes suite à un retrait non autorisé de et incluent les éléments suivants : fonds ou à la création non autorisé d'argent • Les produits répondent aux besoins des électronique. De plus, l'impact total de clients la fraude peut toucher d'autres sphères. • La conception du canal répond aux Une fois rendue publique, on sait que besoins des clients l'activité frauduleuse réduit la confiance des consommateurs dans les SFN, mais • La tarification est compétitive aussi dans les services fondamentaux • Les comptes peuvent être ouverts auprès du prestataire tels que les activités des agents et, dans l'idéal, les clients voix de l'ORM ou les services bancaires peuvent y accéder instantanément de détail. Les problèmes de confiance • Les clients peuvent aussi avoir accès des consommateurs peuvent aussi se à leurs comptes par le biais d'autres répercuter sur d'autres prestataires, et canaux si nécessaire, tels que les agences affecter le marché dans son ensemble. C'est et les GAB pour cela que l’on a vu plusieurs incidents • Les centres d'appel sont dotés d'un de fraude majeurs entraîner des pertes, et personnel suffisant, bien formé dont les prestataires qui en ont été victimes • Il existe plusieurs points de service en ont empêché la divulgation publique. clients, notamment les centres d'appel, D'autres n'ont pas gardé leurs pertes GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 89 04_ÉCLAIRAGES ET OUTILS secrètes, au détriment de leur activité de aussi être utilisés à des fins de gestion des cas d'une forte dépendance vis-à-vis d'un SFN comme de leur activité fondamentale. risques en utilisant les historiques des seul partenaire ; le partenaire peut ne pas Une institution a mis en œuvre une centres d'appel pour identifier les risques avoir établi d'accords d'exclusivité, et peut stratégie d'atténuation consistant à potentiels pesant sur les SFN, et également utiliser le partenariat pour apprendre et contacter la presse au sujet d'un cas de suivre les indicateurs clés de risque. reproduire le service pour son compte. fraude dans l'espoir que cela minimiserait le Une fois les problèmes signalés au centre Les partenariats ne doivent être établis préjudice causé à la réputation, mais a eu le d'appel, les institutions doivent s'efforcer qu'après une vérification préalable et des sentiment rétrospectivement que cela n'a de résoudre la majorité d'entre eux lors du discussions complètes sur les rôles et fait qu'attirer l'attention sur le problème et premier appel. Si cela prend plus de temps, responsabilités. Les accords de partenariat effrayer les clients. Les prestataires ne sont ou que des appels de suivi sont nécessaires, peuvent prendre la forme de contrats, de toujours pas d'accord sur la meilleure façon cela réduira la confiance dans le service et protocoles d'entente entre prestataires de gérer les cas de fraude d'envergure. entraînera des risques de réputation et des ou d'accords de niveau de service avec les En raison du dommage potentiel que pertes financières potentielles. fournisseurs. Les protocoles d'entente la fraude peut infliger à l'ensemble du De mauvais processus et les ANS définissent clairement les marché des SFN, il existe des arguments on s de rapprochement et de 4 produits de chaque partie, les voies Leç valables en faveur d'un meilleur partage règlement exposent les de signalisation des défaillances à la des expériences et des leçons tirées au sein institutions à des pertes hiérarchie, la disponibilité des services, les du secteur. Cependant, le défi consistant à potentielles coûts, les modalités de paiement, les droits convaincre les prestataires, qui sont aussi Les règlements et rapprochements de propriété intellectuelle et les accords des concurrents en matière de SFN et dans constituent un processus laborieux qui de confidentialité. Pour le partenaire de d'autres domaines, de coopérer ne doit pas peut avoir un impact significatif sur les plus petite taille, l'élément le plus critique être sous-estimé. coûts d'exploitation et réduire la confiance de ces partenariats est la protection et la s clarté fournies par l'accord de partenariat on des consommateurs si les transactions 3 Leç L'utilité d'un centre d'appel finissent dans des comptes en attente quant au moment et à la façon dont pendant de longues périodes. Par exemple, les partenaires peuvent se livrer une L'utilité d'un centre d'appel est immense, les transactions de débit sans décaissement concurrence. Des accords bien pensés dépassant de beaucoup l'objectif premier peuvent nécessiter une semaine, rendant peuvent contribuer de façon importante à qu'est la réponse aux besoins des clients. les clients frustrés et les laissant sans protéger une institution d'une incapacité Les centres d'appel peuvent être utilisés espèces. Un rapprochement automatique et non prévue à respecter les engagements pour l'éducation des clients, le feedback quotidien est recommandé non seulement ou d'une absence de conformité des des clients et l'amélioration de la valeur pour réduire le nombre de transactions en partenaires. Cependant, il convient de de la marque de l'institution. Les heures attente, mais aussi comme outil utile pour la noter que les accords ne peuvent pas d'ouverture du centre d'appel doivent détection précoce des fraudes. toujours garantir la redevabilité. Si le couvrir les soirées et les weekends pour partenaire est de taille ou plus puissant, pouvoir répondre à un volume d'appels on s Choisir les partenaires avec vous pourriez ne pas pouvoir le tenir 5 Leç élevé quand les clients sont les plus soin, puis les tenir pour pour responsable de ses actes, ou si le susceptibles d'effectuer des transactions responsables de leurs actes partenaire est de très petite taille, il peut et ne peuvent se rendre dans une agence tout simplement ne pas avoir les capacités Les partenaires peuvent se référer à d'autres ou un centre de service. Il doit exister un pour respecter les exigences définies prestataires qui collaborent sur des produits processus permettant d'alerter et de tenir dans les accords. Dans la plupart des ou services conjoints, ou à des fournisseurs informé le personnel du centre d'appel de cas, il est sage d'éviter l'exclusivité. Pour qui offrent des services technologiques ou tout problème concernant le système afin une fourniture de services techniques, de gestion des risques par exemple. Dans qu'il puisse rassurer les clients préoccupés il convient de rechercher, si possible, le contexte des produits conjoints, il existe qui appellent. Les centres d'appel peuvent plusieurs fournisseurs de canaux. un important risque stratégique dans le 90 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES Conclusions Ce manuel fournit un guide concernant le type de risques auxquels l’on peut être confronté lors du déploiement d'une stratégie de SFN. Bon nombre des études de cas révèlent l'importance considérable du risque stratégique, le risque que la stratégie ne parvienne pas à atteindre ses objectifs en raison du déploiement de services inappropriés, d'une mauvaise technologie, du comportement des clients non conforme aux modèles initiaux ou de changements imprévus sur le marché. Il est toujours risqué de fournir une liste des risques, et peut-être encore plus de fournir une liste des risques futurs, mais un certain nombre de tendances émergent déjà et façonneront probablement l'évolution de la gestion des risques en matière de SFN. 'un des risques les plus importants est • L • Les institutions financières souhaitant lié à la rapidité des innovations et aux élaborer une stratégie de SFN devront changements perturbateurs dans les développer leurs connaissances stratégies relatives aux canaux de SFN techniques quant à la façon de gérer ces qui peuvent rendre une stratégie de risques. SFN superflue avant que la technologie Sur des marchés tels que le Kenya où les • ne soit déployée. Le rythme des services bancaires par agent ont connu changements en matière de technologie un succès, les commerçants disposent et de plateforme est sans précédent. Non maintenant d'un nombre incroyable de seulement les prestataires de services terminaux de PDV et de téléphones sur doivent déterminer les plateformes à lesquels gérer les transactions pour un soutenir, mais les exigences des clients nombre croissant d'institutions. Il est évoluent rapidement aussi. Une banque donc probable que les services bancaires au Mozambique a déployé des terminaux par agent évoluent, en passant d'un de PDV dans les taxis ; deux ans plus tard, service dans lequel chaque banque Uber desservait le même marché dans cherche à activer autant d'agents que sept des plus grandes villes d'Afrique possible à une situation dans laquelle avec des smartphones et une facturation tout commerçant peut gérer un dépôt directe sur les cartes de crédit. ou un retrait sur un seul appareil pour Étant donné l'augmentation rapide de • n'importe quelle banque ou ORM, à l'utilisation des smartphones, de plus en condition qu'il ait accepté un ensemble plus de déploiements de SFN ont recours de règles standard. Cela changera à au smartphone du client ou de l'agent/ nouveau la dynamique concurrentielle. commerçant. Cela réduit certaines Des institutions se spécialiseront dans des difficultés que les opérateurs ont les services par agent, tandis que d'autres rencontrées pour gérer la technologie du se spécialiseront dans les services clients PDV et les limites des SMS et USSD. et utiliseront les services bancaires par agent proposés par d'autres. GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 91 04_ÉCLAIRAGES ET OUTILS es règlementations relatives aux services prenant en charge les SFN, tel que l'argent • L électronique et les services bancaires par agent, sont susceptibles de se multiplier et changeront également la dynamique concurrentielle. Dans un nombre croissant de juridictions, les organismes de règlementation commencent à imposer l'interopérabilité entre les services de paiement, notamment d'argent électroniqueélectronique, et empêchent les prestataires de signer des contrats d'exclusivité avec les agents. Bien que les espèces restent un moyen de paiement populaire sur tous les marchés • dans le monde, la diminution progressive des coûts des transactions électroniques s'accompagnera d'une réduction du besoin de services de dépôts/retraits, ce qui doit être pris en compte dans la stratégie de SFN. À long terme, la dépendance aux espèces diminuant, les commerçants verront leurs ventes en espèces diminuer et seront donc moins en mesure de respecter les exigences de liquidité de caisse des services bancaires par agent. Aucun prestataire de SFN ne pourra échapper aux risques associés à la mise en œuvre de nouveaux modèles technologiques et économiques. Les études de cas ont cependant souligné qu'il était possible de gérer ces nouveaux risques pour atteindre les objectifs commerciaux contribuant au développement de l'inclusion financière. 92 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES Outils Liste de contrôle de la gestion des risques Architecture des risques • Déclaration définissant les responsabilités en termes de risques et listant les sujets relatifs aux risques réservés au conseil d'administration • Responsabilités en matière de gestion des risques • Dispositions prises pour garantir la fourniture de conseils appropriés et issus d’entités compétentes sur les risques et les contrôles • Il existe une culture de sensibilisation au risque au sein de l'organisation et des mesures sont à disposition pour renforcer le degré de conscience des risques • Les sources des assurances contre les risques ont été identifiées et validées pour le conseil d'administration Stratégie relatives aux risques • La politique de gestion des risques élaborée décrit l'appétence au risque, la culture vis-à-vis du risque et la philosophie en termes de risque • Les principales dépendances nécessaires au succès sont identifiées, ainsi que les situations devant être évitées • Les objectifs commerciaux sont validés et les hypothèses qui les sous-tendent testées • Les risques significatifs auxquels l'organisation est confrontée sont identifiés, ainsi que les contrôles cruciaux requis • Le plan d'action en matière de gestion des risques est établi et inclut l'utilisation d'indicateurs clés de risque, tel qu'approprié • Les ressources nécessaires sont identifiées et fournies pour soutenir les activités de gestion des risques Les protocoles relatifs aux risques • Le cadre de gestion des risques approprié est identifié et adopté, avec des modifications lorsque cela est approprié • Les évaluations des risques adaptées et suffisantes sont réalisées et les résultats consignés de manière adéquate • Les procédures pour inclure les risques au processus décisionnel sont établies et mises en œuvre • Les informations sur les réponses aux risques requises sont consignées, et les dispositions prises pour suivre les recommandations d’atténuation des risques • Les procédures de signalisation des incidents sont établies pour faciliter l'identification des tendances des risques, ainsi que les procédures de signalisation des risques à la hiérarchie • Les plans de continuité des activités et les plans de reprise après sinistre sont établis et régulièrement testés • Des dispositions sont en place pour auditer l'efficience et l'efficacité des contrôles en place pour les risques significatifs es dispositions sont en place pour les comptes rendus obligatoires sur les risques, notamment les rapports sur les éléments suivants au moins : • D »» Appétence au risque, tolérance et contraintes »» Architecture des risques et procédures de signalisation des risques à la hiérarchie »» Culture de sensibilisation aux risques actuellement en place »» Dispositions et protocoles d'évaluation des risques »» Risques significatifs et indicateurs clés de risque »» Contrôles critiques et lacunes des contrôles »» Sources des assurances disponibles pour le conseil d'administration Source: Enterprise Risk Management (ERM) and the requirements of ISO 31000, AIRMIC, Alarm, IRM: 2010 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 93 04_ÉCLAIRAGES ET OUTILS Modèle de registre des risques Catégorie de risque : Choisissez-en une : Risque stratégique, règlementaire, opérationnel, technologique, financier, politique, de fraude, lié à la gestion des agents, de réputation, lié au partenariat Catégories secondaires : Choisissez-en une ou plus : Risque stratégique, règlementaire, opérationnel, technologique, financier, politique, de fraude, lié à la gestion des agents, de réputation, lié au partenariat Nom : Nom du risque Description : Brève description du risque, qui pourrait nécessiter d'inclure brièvement la cause et l'effet afin de le décrire avec précision Responsable du risque : Personne responsable de la surveillance du risque et du déploiement des stratégies de traitement Cause : La raison pour laquelle l'évènement se produit Effet : L'impact du risque s'il se réalise Probabilité : La probabilité que le risque se réalise. Peut être classée sur une échelle de 1 à 5 ou se voir attribuer un pourcentage de 0 à 100% Impact : Les pertes potentielles si l'évènement devait se produire. Peut être classé sur une échelle de 1 à 5 ou se voir attribuer la valeur des coûts réels de la réalisation du risque Stratégie de gestion des risques : Choisissez-en une : Tolérer, Traiter, Transférer ou Éliminer Stratégie de traitement : Implication en termes de politique de l'institution pour contrôler le risque avant, pendant ou après la survenue de l'évènement Réponse stratégique de traitement : Mesures spécifiques à prendre dans le cas où l'évènement se produit Indicateur clé de risque : Un indicateur utilisé pour alerter de manière précoce de la possibilité que les effets négatifs du risque se produisent Statut actuel : Choisissez-en un : Ne s'est pas réalisé, s'est réalisé et a été traité, s'est réalisé et a eu un impact 94 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES Base de données des risques Risque 15 Description Type Options de politiques & Outils Indicateurs clés d'institution d'atténuation potentiels de risque Risque stratégique Le SFN n'atteint pas la Le SFN n'atteint pas les objectifs Tous Fonder les hypothèses sur l'étude de marché et les Revenus nets rentabilité dans le délai de recettes et de dépenses, ce qui points de références du secteur Clients actifs prévu. entraîne des revenus nets et un retour Réitérer le modèle financier à mesure que la mise en Transactions par sur investissement négatifs œuvre progresse client S'assurer que les cibles sont communiquées et Agents actifs alignées sur les ICP Transactions Suivre la performance et mettre à jour la stratégie si générant des recettes nécessaire. Intérêts perçus sur les comptes de fonds de caisse Le prestataire ne Une compréhension incorrecte du Tous Utiliser l'étude de marché pour développer les Clients actifs par comprend pas client entraîne un développement de spécifications du produit, la conception du canal, et rapport aux clients parfaitement son produits et de canaux non adaptés décider des interfaces technologiques appropriées. enregistrés marché cible pour les aux clients ciblés. Suivre l'adoption et l'activation de comptes clients. Agents actifs par SFN. rapport aux agents Utiliser les discussions de groupe, les historiques du centre d'appel et le feedback des agents pour enregistrés informer la conception des SFN. Transactions par Leçons tirées sur d'autres marchés. client Le prestataire n'investit Les effectifs et le marketing ne sont Tous S'assurer que des ressources adéquates sont allouées Coûts réels du pas pleinement dans pas dotés de ressources suffisantes au préalable pour la dotation en personnel et le personnel et en % des les ressources requises et le prestataire ne peut atteindre ses marketing, sur la base des points de références du coûts totaux pour atteindre ses objectifs en termes d'acquisition et secteur et des coûts locaux du personnel et des Coûts réels du objectifs. d'activation de comptes clients. activités du marketing. marketing et en % Engager des ressources sur toute la période jusqu'à ce des coûts totaux. que la rentabilité soit atteinte ou la stratégie révisée. Retirer la priorité à des Une mauvaise performance entraîne Tous Résoudre les principaux problèmes au sein du service Revenus nets produits ou canaux la réduction du niveau de priorité des de SFN (par ex. risques technologiques, de réputation Clients actifs de SFN. SFN et l'organisation se réoriente ou opérationnels). Agents actifs autour des priorités concurrentes. Réaliser une étude de marché pour identifier les besoins des clients par rapport au service offert. Concurrence Les concurrents gagnent des parts de Tous Améliorer la qualité du service par le biais des agents Parts de marché en marché grâce à un meilleur service ou et du centre d'appel. termes de clients à des prix inférieurs. Réévaluer la tarification et les structures de actifs commission. Réévaluer les caractéristiques du Parts de marché produit. en termes de transactions Des auteurs et tirés de : 15  Mobile Financial Services Risk Matrix, USAID, 2010 Fraud in Mobile Financial Services, Mudiri, MicroSave Mobile Financial Services Technology Risks, Alliance for Financial Inclusion (AFI), 2013 Risk Management in Mobile Money: Observed Risks and Proposed Mitigants for Mobile Money Operators, Lake, IFC, 2013 Digital Financial Services Risk Assessment for Microfinance Institutions: A Pocket Guide, The Digital Financial Services Working Group, 2014 Risk Management Case Studies, Fidelity Bank, Kopo Kopo, FINCA DRC and Tigo Tanzania, IFC & Genesis, 2015 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 95 04_ÉCLAIRAGES ET OUTILS Risque Description Type Options de politiques & Outils Indicateurs clés d'institution d'atténuation potentiels de risque Cannibalisation de la Les agences et les agents débauchent Banque ou IMF Développer des ICP conjoints pour prévenir les Clients servis par les clientèle leurs clients bancaires respectifs pour opérations isolées. agents par rapport répondre à leurs propres ICP. aux agences Services proposés par les agents par rapport aux agences Menace concurrentielle Le partenaire livre une concurrence Tous Les protocoles d'entente avec les partenaires Parts de marché en d'un partenaire directe au prestataire pour acquérir définissent l'exclusivité et la propriété des clients. termes de clients des commerçants, agents ou clients, Fournir un service de qualité aux clients et aux actifs résultant sur des taux de croissance agents. Parts de marché plus faibles ou une perte de clients. en termes de Réduire la dépendance au partenaire en ayant recours à plusieurs partenaires. transactions Campagnes de marketing et de sensibilisation. Étude de marché pour identifier d'autres éléments de différenciation et innovations de produit. Élaborer des stratégies de marketing conjointes L’absence Réseaux en circuit fermé ne pouvant Tous Prévoir une intégration avec d'autres prestataires et Volume des d'interopérabilité du pas transférer de fonds entre autoriser les clients à transférer des fonds entre les transactions P2P réseau empêche les détenteurs de compte appartenant à parties et à effectuer des transactions en externe. Volume global des clients d'effectuer des des réseaux de paiement opérés par transactions transactions avec la des fournisseurs différents en raison partie souhaitée. de l'absence d'interopérabilité. L'interopérabilité Le développement de systèmes Tous, mais Suivre les transactions pendant la phase pilote pour Parts de marché en augmente la perte de interopérables avec des partenaires essentiellement identifier les tendances en matière de mouvement termes de clients clientèle. peut entraîner la perte de clients de les ORM d'espèces et de comportement des clients. actifs l'activité fondamentale car ils n'ont Campagnes de marketing conjointes. Parts de marché plus besoin d'être vos clients pour en termes de Incitations pour favoriser la fidélisation des clients. accéder à vos services. transactions Activité du client Risque associé aux Membres de la direction, Tous Adopter une approche des projets en équipe. Revenus nets personnes clés fondateurs ou membres du Pour chaque poste, disposer d'un suppléant en Budgets totaux par conseil d'administration quittent attente. rapport aux dépenses l'organisation, ce qui a un impact du projet. Assurer le partage des leçons tirées et des direct sur la durabilité ou entraîne la informations. réduction du niveau de priorité des SFN. Risque financier Le prestataire perd les La banque dépositaire devient ORM Identifier la banque dépositaire après vérification Adéquation du fonds des clients suite insolvable, les comptes en fiducie préalable adéquate pour s'assurer de sa stabilité capital de la banque à la faillite de la banque qui ne sont pas légalement séparés financière. dépositaire dépositaire. de l'ensemble des actifs de la banque Les fonds en fiducie détenant la valeur des éléments RCP et RDA de la disponibles pour satisfaire les en transit sont légalement séparés des actifs propres banque dépositaire créanciers peuvent être entraînés du dépositaire dans le cadre de la procédure de faillite. dans le processus de faillite, et leur Les comptes en fiducie sont divisibles et accès bloqué. transférables. Diversification des dépôts dans plusieurs banques. 96 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES Risque Description Type Options de politiques & Outils Indicateurs clés d'institution d'atténuation potentiels de risque Appariement de l'actif Les clients des SFN sont plus Banques, IMF Diversifier le service en ajoutant des capacités Solde moyen des et du passif susceptibles d'effectuer de petits d'épargne ainsi que des prêts de long terme. comptes dépôts de court terme que les clients Proposer des incitations pour les dépôts de long Nombre de d'autres banques, ce qui signifie que terme par le biais de comptes porteurs d'intérêts. transactions de le prestataire est moins en mesure dépôt et de retrait de jouer un rôle d'intermédiation par mois, par client pour convertir les fonds en sources de revenus de plus long terme et plus rentable. Risque de crédit des En raison de la nouvelle structure Banques, IMF Suivre de près les tendances comportementales des Portefeuille à risque clients de distribution, les clients peuvent clients. se sentir moins dans l'obligation Développer des systèmes pour alerter les chargés de rembourser leurs emprunts car de prêts quand des prêts ne sont pas remboursés à ils n'entretiennent plus de relation temps. directe avec le prestataire. Accorder aux agents des incitations pour collecter les remboursements de prêts, similaires aux structures d'incitation accordées aux chargés de prêts. Le risque de crédit Non remboursement des prêts Tous Élaborer des politiques de risque de crédit, des Portefeuille à risque des agents et des accordés aux agents ou aux procédures de vérification préalable des prêts et commerçants commerçants. diversifier le risque de crédit. Mettre en place des provisions pour pertes sur prêts basées sur l'ancienneté du portefeuille. Utiliser des algorithmes pour valider les approbations de prêts et suivre la performance des prêts. Risque de change La dévaluation de la monnaie Tous Couvrir les emprunts libellés en devises. Taux de change nationale augmente les coûts et déprécie les actifs. Risque de règlement Le risque qu'une partie ne puisse Tous Utiliser des systèmes de règlement en temps réel Nombre de verser les fonds à une autre partie au pour les transferts bancaires. transactions dans les moment du règlement. Pour les ORM, accords bilatéraux pour contrôler les comptes en attente règlements. Temps nécessaire pour rapprocher et régler les transactions dans les comptes en attente Risque technologique Violation du compte du Violation du compte du client ou Tous Mettre en place des contrôles pour réduire la Algorithmes client ou de l'agent de l'agent et obtention de l'accès probabilité d'une divulgation non autorisée ou d'un pour détecter les aux certificats de sécurité, aux vol des informations à caractère personnel grâce au comportements informations du compte ou à cryptage, à une authentification à deux facteurs ou à suspects l'historique des transactions, pouvant des droits d'utilisation par niveaux. Historiques du centre entraîner des pertes de fonds, le d'appel pour signaler traitement de transactions illégales les informations à la ou le vol d'identité. hiérarchie Il est possible d'accéder de manière abusive aux informations du compte du client par : L'historique des SMS Un mauvais cryptage du WAP Des attaques de type XSS (Cross-site scripting) sur les sessions USSD Un accès ou une utilisation non autorisée par le personnel ou les agents du prestataire GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 97 04_ÉCLAIRAGES ET OUTILS Risque Description Type Options de politiques & Outils Indicateurs clés d'institution d'atténuation potentiels de risque Le client ne peut Le client ne peut accéder à son Tous Le prestataire doit tester la disponibilité des Taux de succès des accéder à son compte compte par le biais de l'application ou transactions de bout en bout de manière périodique transactions de bout en raison de l'absence de l'agent car : Toutes les interfaces de transaction doivent en bout de disponibilité du Le réseau mobile n'est pas disponible être définies avec des limites claires en termes système et/ou d'une d'achèvement, permettant ainsi d'établir des Le système du prestataire subit un défaillance de la procédures de relance claires dans le cas d'une temps d'arrêt temporaire transaction. incertitude. Accords de niveau de service avec les fournisseurs du système et les partenaires et pénalités dans le cas d'une non-conformité Processus convenus de signalisation des problèmes à la hiérarchie pour résoudre les problèmes. Mises à jour des systèmes. Utilisation des USSD comme solution de repli pour les PDV pris en charge par la 3G afin de réduire la dépendance à la connectivité des données. Logiciel malveillant Des virus, chevaux de Troie ou vers Tous Utiliser une combinaison de logiciels anti-virus, de Signaler les attaques informatiques infectent les fichiers, pare-feu, de systèmes de détection d'intrusion, de réussies sur le service obtiennent un accès à distance, serveurs mandataires, de contenus Web, de filtres installent des logiciels malveillants des pièces jointes et de techniques de cryptage des pour voler des données, effectuer données. des transactions non autorisées ou Développer des procédures pour que le personnel, les bloquer l'utilisation autorisée. agents et les clients signalent les activités suspectes. Réexécution de la Les ORM reçoivent souvent Tous ceux Désactiver les demandes de réexécution. Le système signale transaction par le des demandes de réexécution utilisant des Utiliser les accusés de réception par SMS pour les les transactions en réseau automatiques pour délivrer un SMS à applications transactions afin que les clients vérifient s'il existe des double. un destinataire s'il n'y est pas parvenu SMS doublons. la première fois. Quand cela se produit lors de transactions d'argent électronique, les systèmes peuvent considérer qu’il s’agit de plusieurs demandes de transactions. Retards de transaction Les retards du système peuvent Tous Limiter la capacité du système à ré-exécuter les Plaintes relatives causer des retards de transaction ou transactions. aux transactions en un retard de réception des accusés de Éduquer les agents et les clients pour qu'ils double réception par SMS vérifient les soldes s'ils ne reçoivent pas un SMS Appels au service immédiatement. client sur les SMS non reçus Défaillance matérielle Les terminaux du PDV sont Banque, IMF ou Accord de niveau de service avec le fournisseur du Taux d'échec des défaillants en raison d'une mauvaise PSF matériel, incluant des pénalités en cas de non- transactions construction ou d’une incapacité à se conformité. Taux de panne du connecter au logiciel. Accord de maintenance avec le fournisseur du PDV matériel. Perte de données Panne de l'installation principale Tous Développer des bases de données « en miroir » pour Perte des registres de de stockage et de sauvegarde consigner toutes les transactions en temps réel. transaction (notamment les systèmes basés sur Exporter régulièrement les informations des un cloud) entraînant la perte des transactions vers le stockage. registres de transaction. Défaillance de Le système n'est pas disponible en Tous Audit technique et financier régulier de Disponibilité du l'environnement raison de problèmes techniques l'environnement d'hébergement et du fournisseur. système d'hébergement associés à l'environnement Utilisation d'accords de niveau de service avec Nombre d'hébergement des SFN. l'organisation qui fournit l'hébergement/le prestataire d'interruptions du qui fournit le stockage. service Temps nécessaire Utiliser un logiciel de surveillance du cloud pour pour la reprise du contrôler la robustesse du prestataire du cloud. service après une interruption 98 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES Risque Description Type Options de politiques & Outils Indicateurs clés d'institution d'atténuation potentiels de risque Risque règlementaire Les clients potentiels Lors de l'enregistrement initial à un Tous Campagnes d'éducation des clients pour qu'ils Sensibilisation des n'ont pas de pièce compte, le client ne peut fournir de acquièrent une pièce d'identité, et exigences de KYC clients par rapport à d'identité ou autres pièce d'identité. respectées avant l'enregistrement à un compte. l'enregistrement des exigences de KYC Plaidoyer en matière de règlementation pour clients autoriser des exigences moindres et/ou des substituts Feedback des aux pièces d'identité agents sur les enregistrements de clients refusés Taxes sur les Les gouvernements décident Tous Exercer un plaidoyer auprès du gouvernement et des Réduction nette transactions d'imposer des taxes sur les leaders d'opinion pour éviter l'imposition ou inexpliquée des transactions afin d'augmenter les Frais potentiellement moindres (c.à.d. payer tout ou transactions recettes, ce qui pourrait affecter partie de la taxe pour le compte des clients) négativement la demande des clients. L'agent ne respecte pas Les agents peuvent ne pas se Tous Éducation des agents. Pourcentage des la KYC conformer pleinement aux exigences Accorder les incitations uniquement pour les clients enregistrements de de KYC car les commissions sont correctement enregistrés. clients rejetés par le conçues pour inciter l'ouverture de prestataire de SFN Quand la règlementation l'autorise, ouvrir des compte et l'exécution de transactions. comptes de niveau un avec une KYC moindre jusqu'à ce que toutes les informations soient recueillies. Transactions demandées par des enquêteurs anonymes Pénalités en cas de non-conformité. Changements dans la L'organisme de règlementation Tous Développer des voies d'harmonisation et Communication règlementation change les lois qui ne sont plus de communication avec les organismes de formelle des favorables aux opérations de SFN et règlementation. changements empêchent les prestataires d'obtenir règlementaires les licences. imminents Plaintes de l'organisme de règlementation pour non-conformité Non-conformité Le prestataire ne se conforme pas aux Tous Le service de conformité garantit la conformité totale Rapports d'audit lois et règlementations applicables, aux lois règlementaires. interne, lettre de ce qui entraîne des amendes, une Suivre et planifier les changements applicables aux recommandation de intervention de l'organisme de règlementations et rendre compte à l'organisme de l'audit externe règlementation et en définitive le règlementation. Conformité retrait de la licence. règlementaire S'assurer que le système est mis à jour pour se conformer à tout changement prévu de la règlementation. Risque politique Incapacité à accéder Des violences post-électorales, Tous Plan de perturbation du service développé pour les Rendre compte du aux comptes ou troubles civils, guerres ou actes agents et le personnel. nombre d'heures ou à effectuer des terroristes perturbent les opérations Plans de continuité des activités. de jours sans service transactions. habituelles de l'entreprise. Comparer les temps Plan de communication. d'arrêt avec ceux des principaux concurrents Risque lié aux agents Manque de Les clients ne peuvent accéder aux Tous Mener des campagnes de recrutement des agents Nombre de clients disponibilité de l'agent fonds ou effectuer des transactions en dans les environs des agents actifs surchargés. par agent. raison du nombre insuffisant d'agents S'assurer que la couverture est adéquate en termes Activité des agents dans les environs ou parce que les de densité des agents. Taux d'activité des agents en place sont inaccessibles en clients raison de files d'attente trop longues. GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 99 04_ÉCLAIRAGES ET OUTILS Risque Description Type Options de politiques & Outils Indicateurs clés d'institution d'atténuation potentiels de risque Manque de liquidité de Les clients ne peuvent effectuer des Tous Avoir recours à des agents et super-agents pour gérer Suivre les soldes l'agent transactions de dépôt ou de retrait la liquidité. d'argent électronique car les agents ne disposent pas d'un Utiliser les historiques des centres d'appel pour des agents montant suffisant d'espèces ou identifier les agents posant problème et travailler Nombre de plaintes d'argent électronique. avec eux pour résoudre les problèmes de liquidité. de clients relatives à Déployer des agents parallèlement à l'enregistrement la liquidité des clients pour garantir des incitations adéquates favorables à la gestion des besoins des clients. Rapports pour identifier les agents qui ne respectent pas les exigences en termes de liquidités. Alertes manuelles/automatisées envoyées aux agents quand leur fonds de caisse d'argent électronique atteint un faible niveau. Préfinancer les besoins en capitaux des agents par le biais de prêts ou de partenariats avec une institution de prêt. Transactions effectuées par des enquêteurs anonymes et bonne gestion des agents. Vol subi par l'agent L'agent est victime d'un vol. Tous Exiger/recommander que les agents souscrivent une Suivre et documenter assurance contre le vol. les vols dont sont Éduquer les agents pour qu'ils ne conservent pas de victimes les agents montants excessifs d'espèces dans les locaux. par zone, heure de la journée, nature Effectuer des vérifications des antécédents des du vol employés des agents potentiels ou suggérer que les agents le fassent. Les agents effectuent les rapprochements quotidiens des transactions, du fonds de caisse et des soldes des comptes. Exiger que l'agent se trouve à proximité d'un poste de police. Sécurité physique des espèces par le biais de coffre- forts, de box sécurisés, etc. Inactivité des agents Le prestataire ne parvient pas Tous Déployer des agents parallèlement à l'enregistrement Taux d'activité des à identifier, former et gérer des clients. agents correctement les agents et/ou le Suivre les taux d'activité des agents et augmenter nombre de clients est insuffisant l'éducation et le suivi des agents présentant une pour que les agents soient actifs. mauvaise performance. Systèmes pour signaler de manière précoce les agents inactifs. Cesser les activités avec les agents toujours inactifs. Revoir les structures d'incitation et de tarification pour assurer leur justesse. Erreurs des agents Erreurs de saisie des données, erreurs Tous Fournir une recherche par numéro de téléphone pour Taux de contre- de frappe, etc. commises par l'agent vérifier le nom du compte lors du traitement d'une passation des ou son personnel, causant des transaction. transactions enregistrements ou transactions Exiger éventuellement de saisir les données clés deux Rejet des inexacts. fois à des fins de confirmation. enregistrements de Formation des agents du propriétaire/opérateur et comptes personnel de l'agent. Appel des agents au centre d'appel pour les contre- passations et les demandes de renseignements. Unité de traitement du back-office pour vérifier les renseignements de KYC. 100 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES Risque Description Type Options de politiques & Outils Indicateurs clés d'institution d'atténuation potentiels de risque Risque de solvabilité L'incapacité d'un agent à respecter Tous Vérification préalable des agents pour ne sélectionner Taux de fermeture des agents ses engagements, entraînant son que les agents ayant une bonne réputation et qui des agents insolvabilité et la fermeture de son sont stables activité. Processus pour retirer les éléments de marque et le matériel de SFN des locaux des agents défaillants. Expérience client de Le personnel de l'agent qui sert les Tous Reformer régulièrement les agents et tout le Taux d'activité des mauvaise qualité clients peut ne pas avoir été formé personnel. clients auprès des agents par le prestataire et mal comprendre Les agents appellent le centre d'appel pour demander Plaintes des clients le service. des renseignements. Transactions demandées par des enquêteurs anonymes et bonne gestion des agents. Image de marque de Image de marque de l'agent Tous S'assurer qu'il existe un accord contractuel avec les Registres de non- l'agent incohérente en raison du retrait par agents pour qu'ils respectent une norme minimale conformité produits l'agent/autres merchandiseurs des en termes d'image de marque dans tous les points de par les responsables supports de marque ou incapacité vente des agents. des agents à exploser la marque en raison de Soutien aux ventes pour vérifier l'image de marque et la présence de supports d'autres la disponibilité d'autres supports au cours de visites marques régulières. Transactions effectuées par des enquêteurs anonymes. Rentabilité des agents Risque que les agents puissent ne Tous Incitations proposées aux agents bien structurées. Taux d'activité des pas disposer d'un nombre suffisant Déploiement stratégique des agents auprès des bons agents de clients ou percevoir suffisamment clients et sur le bon territoire. de commissions pour maintenir les Commission des agents pour l'enregistrement de opérations. comptes pour favoriser la pénétration du marché. Soutien fourni à l'agent par les chargés d'agents et les centres d'appel, ainsi qu'une formation. Risque de fraude Le client est escroqué par une partie externe Vol d'identité L'identité d'un client est volée et Tous Envisager l'utilisation d'appareils biométriques pour Registres de non- utilisée pour ouvrir un compte réduire la fraude. conformité produits ou effectuer des transactions Adoption de politiques et de procédures pour par les responsables frauduleuses. renforcer la détection des fraudes. des agents Utiliser les PIN et mener une éducation des clients sur la protection des PIN. Bonnes politiques sur les réinitialisations de PIN pour dissuader les activités frauduleuses. Collecte rapide de la documentation originale auprès de l'agent ou du personnel chargé de l'ouverture des comptes. Dans l'idéal, obtenir une documentation électronique pouvant être transmise au prestataire immédiatement. Enquêter sur la personnalité des agents pendant le processus de nomination. GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 101 04_ÉCLAIRAGES ET OUTILS Risque Description Type Options de politiques & Outils Indicateurs clés d'institution d'atténuation potentiels de risque Usurpation de l'identité Un individu se présente comme un Tous Éduquer les clients pour qu'ils reçoivent une Registres de non- du prestataire ou de employé du prestataire ou un agent confirmation par SMS avant de remettre l'argent. conformité produits l'agent et accepte des dépôts ou obtient un Campagnes d'éducation des clients pour identifier les par les responsables accès non autorisé aux comptes des agents officiels et garder le PIN secret. des agents clients lui permettant d’effectuer des Centres d'appel pour les plaintes des clients. activités frauduleuses. Un processus clair de remontée de l'information et de feedback des clients pour rendre compte des cas de fraude et informer le marché des types de fraude. Rapprochements quotidiens des paiements et reçus par rapport aux systèmes internes. Image de marque des agents claire et cohérente. Phishing Les fraudeurs se présentent comme Tous Limiter les informations rapportées dans les rapports Registres de non- des représentants officiels des agents de transaction au minimum nécessaire. conformité produits ou des prestataires pour obtenir Demander aux clients de signaler toute menace par les responsables un accès aux PIN des agents ou des et cas avéré de fraude aux autorités chargées de des agents clients, aux capacités des comptes, l'application des lois. aux registres des transactions ou aux Campagnes de sensibilisation pour éduquer les soldes des comptes. agents et les clients sur la sécurité des comptes et le fait de garder les PIN, etc. secrets. Développer des procédures et directives claires pour l'identification, la communication et la gestion des fraudes. Échanges de SIM La carte SIM d'un client (ou d'un Tous ceux Documenter un processus clair d'échange de SIM Registres de non- agent) est échangée contre une qui utilisent limitant les individus/organisations autorisés à conformité produits nouvelle sans autorisation. Le des appareils échanger les SIM, et établissant des limites de temps par les responsables détenteur de la carte SIM peut alors mobiles entre le moment où l'échange de carte est effectué et des agents avoir accès au compte du client et le moment où il est mis en œuvre. effectuer des transactions sans que le Suivre les échanges effectués par le biais de rapports. client le sache. Fraude portant sur des Les bons et codes de transaction Tous Développer des processus clairs qui définissent la Plaintes des clients bons générés pour permettre des production des bons, les délais d'expiration et les paiements de biens prédéfinis ou des notifications relatives à l'expiration. retraits chez des commerçants sont Les bons ne doivent être visibles par personne à volés et utilisés sans autorisation. l'exception du bénéficiaire et si ce dernier les égare, il peut informer l'entreprise et obtenir de nouveaux bons directement réémis. Lorsque les clients ne sont pas enregistrés, ils doivent, de préférence, être tenus de s'enregistrer avant d'avoir accès aux fonds. Le client est escroqué par un agent Frais non autorisés L'agent peut surfacturer ou facturer Tous Les prestataires établissent des contrats clairs qui Plaintes des clients des frais en espèces supplémentaires indiquent clairement tous les frais devant être au client. facturés, adaptés aux diverses situations des clients, notamment les différentes langues et niveaux d'alphabétisation. Les frais du service sont visiblement affichés dans les locaux de chaque agent. Les communications sont raisonnablement compréhensibles pour tous les groupes de clients. 102 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES Risque Description Type Options de politiques & Outils Indicateurs clés d'institution d'atténuation potentiels de risque L'agent reçoit des L'agent reçoit des fonds d'un Tous Campagnes d'éducation des clients pour qu'ils Plaintes des clients espèces remises par le utilisateur du service mais oriente vérifient que la transaction a bien été effectuée avant client mais n'effectue abusivement les fonds pour son de quitter les locaux de l'agent. pas la transaction. propre profit. Utiliser les centres d'appel pour les plaintes des clients. Politiques et procédures relatives à l'utilisation inapproprié par l'agent des fonds des clients, notamment des pénalités et la fermeture des activités de l'agent. L'agent remet des L'agent peut utiliser les paiements Tous Exiger des agents qu'ils utilisent des détecteurs de Plaintes des clients espèces qui s'avèrent par retrait pour distribuer de la fausse fausse monnaie pour s'assurer qu'ils ne collectent pas être de la fausse monnaie ou peut verser de la fausse à tort des fonds en fausse monnaie. monnaie. monnaie reçue des clients sans le Mettre des outils à la disposition des clients dans les savoir. magasins des agents. Campagnes d'éducation des clients. Politiques et procédures relatives à l'utilisation impropre par l'agent des fonds des clients, notamment des pénalités et la fermeture des activités de l'agent.. Accès non autorisé au L'agent accède au PIN du client Tous Développer un processus de vérification préalable Plaintes des clients PIN du client et l'utilise pour retirer des fonds. complet pour le recrutement des agents afin de En raison des faibles niveaux minimiser le recrutement d'agents ayant une d'alphabétisation, le client peut mauvaise réputation ou ceux susceptibles de donner son PIN aux agents sans le commettre des fraudes. savoir. Mener une sensibilisation périodique et planifiée des clients et du marché sur la sécurité du PIN, afin de dissuader la divulgation des PIN. S'assurer que la documentation pertinente de la compagne se trouve également dans les points de vente. Éducation des clients pour qu'ils changent leur PIN quand ils les reçoivent et assurent leur confidentialité. Éducation des clients quant à la façon d'effectuer des transactions en toute sécurité. Fractionner les retraits Les agents forcent les clients à Tous Utiliser les données analytiques pour signaler les Plaintes des clients fractionner les retraits en un certain transactions douteuses. relatives à des nombre de transactions de plus faible Développer un processus de vérification préalable transactions en valeur afin de déclencher des frais plus complet pour le recrutement des agents afin de double élevés pour les clients et de percevoir minimiser le recrutement d'agents ayant une des commissions plus élevées. mauvaise réputation ou ceux susceptibles de commettre des fraudes. Transactions effectuées par des enquêteurs anonymes Politiques et procédures relatives à l'utilisation inappropriée par l'agent des fonds des clients, notamment des pénalités et la fermeture des activités de l'agent. Le client est escroqué par le personnel interne du prestataire Les employés affectent Complicité entre les employés et Tous Maintenir les comptes séparés des reçus et des Plaintes des clients de mauvais numéros les fraudeurs en vue d’attribuer les décaissements pour limiter l'exposition des clients à de téléphone portable numéros de téléphone portable des la fraude. aux comptes bancaires fraudeurs aux comptes de clients, Pour les comptes liés à des portefeuilles, s'assurer facilitant ainsi le retrait de fonds sur que les clients signent l'autorisation de lien avec leur les comptes des clients. compte. Utiliser les accusés de réception par SMS pour informer les clients des liens. Audit par la banque des comptes liés. GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 103 04_ÉCLAIRAGES ET OUTILS Risque Description Type Options de politiques & Outils Indicateurs clés d'institution d'atténuation potentiels de risque Contre-passation Les employés se font complices Tous Utiliser les accusés de réception par SMS pour Rapports d'activités illégale des paiements/ d'une partie tierce et contre-passent informer les clients des transactions. suspectes transferts des clients illégalement les paiements des Développer des procédures maker/checker (créateur/ Plaintes des clients clients. vérificateur) pour toutes les contre-passations. Transferts illégaux Transferts illégaux par des employés Tous Utiliser les accusés de réception par SMS pour Rapports d'activités depuis des comptes depuis des comptes client vers de faux informer les clients des transactions. suspectes mobiles compte ou les comptes des fraudeurs. Développer des procédures maker/checker (créateur/ Plaintes des clients vérificateur) pour toutes les contre-passations. L'agent est escroqué par un client L'agent encaisse des Les faussaires fabriquent de faux Tous Les agents utilisent des appareils de détection de faux Plaintes des agents espèces qui s'avèrent billets, les déposent dans un compte billets. être de la fausse auprès d'un agent, puis retirent de Éducation des agents. monnaie. vrais billets auprès d'un autre agent. Les agents appellent le centre d'appel. Transactions demandées par des enquêteurs anonymes et bonne gestion des agents Accès non autorisé à L'accès des clients aux outils de Tous Exiger des agents qu'ils conservent un appareil Plaintes des agents l'appareil d'un agent. transaction des agents pour effectuer distinct pour leurs activités et une autre carte SIM s’ils des transactions frauduleuses. utilisent des portables, et qu'ils adoptent de bonnes pratiques de gestion des appareils. Limiter les cartes SIM des appareils à la réalisation des activités associées aux SFN uniquement. Limiter les appels vers l'appareil de transaction depuis quelques numéros préautorisés du prestataire uniquement. Les agents appellent le centre d'appel pour signaler les cas de fraude. Permettre les transactions en ligne, utiliser l'authentification à deux facteurs. Chaque employé de l'agent doit avoir un identifiant et un mot de passe uniques. Si les employés sont licenciés, leurs mots de passe doivent être désactivés. Le client demande la Le client demande un retrait. Puis Tous Un processus clair de gestion des rejets et s'assurer Nombre élevé contre-passation d'une le client nie avoir reçu l'argent et que les intérêts de toutes les parties impliquées sont de destinataires transaction valide. demande au prestataire de contre- pris en compte. refusant d'autoriser passer la transaction. La transaction peut être contre-passée, refusée ou les contre- mise en attente jusqu'à ce que l'enquête ait abouti. passations. Éducation des agents pour qu'ils signalent les comportements suspects des clients. L'agent est escroqué par le personnel interne Un employé du Un employé du prestataire utilise un Tous Effectuer des vérifications des antécédents des Plaintes des agents prestataire escroque accès non autorisé aux comptes de employés potentiels du prestataire. un agent l'agent pour manipuler les soldes ou Limiter l'accès du personnel aux comptes des agents. effectuer des transactions pour son Utiliser les accusés de réception par SMS pour les propre profit. transactions des agents. 104 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES Risque Description Type Options de politiques & Outils Indicateurs clés d'institution d'atténuation potentiels de risque Fraude sur les Lorsque les modèles de commission Tous Fournir des informations numériques pour faciliter le Plaintes des agents commissions prévoient le versement d’une rapprochement par les agents des transactions, du immédiates commission immédiate, les chefs fonds de caisse en espèces et électronique. d'entreprise peuvent rencontrer Agrégation des paiements des commissions aux des difficultés à rapprocher les agents afin qu'elles soient versées après une période commissions acquises car elles se de temps déterminée, de préférence mensuelle. mélangent à d'autres transactions. Un rapport doit être périodiquement produit, Les employés peuvent tirer profit de spécifiant les commissions acquises, le mode de cette confusion pour escroquer leurs paiement et tout numéro de référence du paiement. employeurs. Un chargé d'agents Les agents donnent leurs PIN au Tous Éduquer les agents pour qu'ils assurent la Plaintes des agents escroque les agents personnel du prestataire, lui donnant confidentialité de leur PIN ainsi un accès total à leurs comptes Le chargé d'agents doit, dans l'idéal, ne disposer de caisse. que de droits basés sur les rôles et non de droits de connexion lui permettant d'accéder aux fonds depuis l'appareil de l'agent. L'agent est escroqué par un agent principal Un retrait non Les agents principaux effectuent Tous Contrats et directives détaillés relatifs au Plaintes des agents autorisé des fonds un retrait non autorisé des fonds fonctionnement des agents principaux concernant ou commissions d'un sur les comptes d'un sous-agent ou leurs obligations, la dotation en personnel et les agent déduisent une commission. exigences en termes de recrutement des sous-agents. Mettre en œuvre des directives sur le partage des commissions entre les agents principaux et les sous- agents. Fournir aux sous-agents des forums adéquats pour donner leur feedback, notamment des lignes d'assistance, des adresses e-mails, et des forums de sous-agents pour recevoir leurs réactions. Déclarations détaillées sur les commissions des agents à des fins de rapprochement par les agents. Le prestataire est escroqué par un client Décaissements à tort Les clients reçoivent à tort des dépôts Tous Les organisations doivent développer un processus Plaintes des clients de fonds, retirent les fonds et ferment clair de décaissement des fonds pour minimiser les les comptes avant que les fonds erreurs. n’aient pu être gelés et restitués. Processus complet qui couvre l'identification, le suivi, la communication et la gestion des fraudes. Rapprochements quotidiens des paiements et reçus par rapport aux systèmes internes. Le prestataire est escroqué par un agent Fractionnement des Les agents fractionnent les dépôts en Tous Utiliser les données analytiques pour signaler les Rapports sur dépôts un certain nombre de transactions transactions douteuses. les transactions de plus faible valeur pour percevoir Développer un processus de vérification préalable douteuses des commissions plus élevées au complet pour le recrutement des agents afin de détriment du prestataire. minimiser le recrutement d'agents ayant une mauvaise réputation ou ceux susceptibles de commettre des fraudes. Transactions demandées par des enquêteurs anonymes et bonnes pratiques de gestion des agents. Éducation des agents. Centre d'appel pour que les clients signalent les activités suspectes. GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 105 04_ÉCLAIRAGES ET OUTILS Risque Description Type Options de politiques & Outils Indicateurs clés d'institution d'atténuation potentiels de risque Dépôts directs Les agents déposent directement des Tous Mener des campagnes d'éducation des Rapports sur fonds sur le compte d'un bénéficiaire consommateurs pour les sensibiliser à ce type de les transactions - au lieu de le déposer sur le compte fraudes. douteuses du client suivi d’une transaction P2P Analyser et revoir régulièrement les structures de effectuée par le client - afin d'éviter les commission des agents pour détecter toute anomalie frais de transaction. et y remédier. Transactions demandées par des enquêteurs anonymes pour détecter les agents disposés à commettre des fraudes. Utiliser les données du réseau GSM pour identifier la localisation du client et de l'agent afin de s'assurer que la transaction est effectuée au même endroit. Enregistrement de faux Les agents enregistrent de faux Tous La commission associée à l'enregistrement d'un Taux de rejet des comptes comptes ou des clients sans client doit être répartie entre l'enregistrement et la enregistrements de documentation KYC complète pour première transaction. compte percevoir une commission. Le processus de traitement du back-office et le service de la conformité vérifient la KYC. Commission versée uniquement pour les comptes présentant une KYC complète. Le prestataire est escroqué par une partie externe Piratage Une partie externe pirate le système Tous Pare-feu, cryptage, droits d'accès basés sur les rôles, Résultats de l'audit pour obtenir un accès aux comptes etc. informatique du prestataire afin d'effectuer des Rapprochement quotidien des comptes. transactions frauduleuses ou de voler des données. Le prestataire est escroqué par le personnel interne Comptes fictifs Un employé utilise un accès non Tous Rapprochement quotidien des comptes. Audit interne autorisé pour créer des comptes fictifs Vérification et formation du personnel. Résultats de l'audit avec des dépôts fictifs. Sa complicité informatique Politiques et procédures adéquates pour enquêter sur avec des fraudeurs lui permet de les activités suspectes. retirer des fonds auprès d'un agent. Risque opérationnel Rapprochement et Le risque que la valeur réelle dans les Tous Pour les ORM, intégration du système aux comptes % des transactions écarts de comptes comptes fiduciaires soit différente du bancaires afin que tous les changements sur le dans les comptes en montant reflété dans le système. Le compte principal soient automatiquement reflétés. attente risque que les transactions en externe Utiliser des comptes séparés pour les recettes de % d'écart à la fin de la (par ex. retraits aux GAB et paiements l'activité et les décaissements des commissions. journée de facture) ne puissent pas être Rapports des écarts de fin de journée gérés et validés rapprochées des comptes internes. par la direction appropriée de l'entreprise. Robuste fonction de validation et de vérification de l'autorité sur le système Rapprochement quotidien au niveau du prestataire et de l'agent. Le client ne peut Les clients ne peuvent résoudre les Tous Processus efficace de résolution des litiges. Taux de résolution du contester une litiges avec le prestataire du compte Les centres d'appels sont dotés d'un personnel centre d'appel.. transaction ou des frais et les possibilités de recours à un suffisant et formé, avec des politiques claires de sur son compte. organisme public ou à un organisme signalisation des litiges à la hiérarchie à des fins de de règlementation pour arbitrer les résolution. litiges sont faibles ou inexistantes. Normes de services claires et publiées. Perte de carte ou de Le client ne peut effectuer de Tous Politiques de remplacement des cartes. Taux de téléphone portable transaction car il a perdu sa carte de Centre d'appel pour signaler la perte et résolution du remplacement des débit ou sa carte SIM. problème. cartes Formation des agents pour qu'ils fournissent un Taux de service client de premier niveau. réinitialisation des PIN 106 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES Risque Description Type Options de politiques & Outils Indicateurs clés d'institution d'atténuation potentiels de risque Insuffisance des Les manuels opérationnels sont Tous Revoir le manuel opérationnel par rapport à la liste Audit interne manuels opérationnels incomplets, ne contiennent pas les des procédures suivies. Ajouter toutes procédures Examens des risques et des processus processus d'exception et ne sont pas manquantes, mettre à jour les procédures existantes et de la conformité opérationnels régulièrement mis à jour, entraînant si nécessaire et ajouter les cas d'utilisation Temps nécessaire le suivi de mauvaises procédures d'exception à tous les processus. S'assurer que les pour résoudre les opérationnelles services concernés valident chaque processus. litiges Élaborer des listes de contrôle des processus et s'assurer que tous les processus ont été documentés et mis à jour si nécessaire, et communiqués au personnel concerné. Absence d'audits Les procédures opérationnelles Tous Un audit des risques doit être effectué pour identifier Audit interne opérationnels actuelles ne sont pas optimisées les problèmes et assurer l'efficacité et l'intégrité Examens des risques eu égard au traitement des opérationnelles. et de la conformité rapprochements et des recettes. Réinitialisation des PIN Des procédures de réinitialisation Tous Politiques inefficaces relatives aux procédures de Temps nécessaire des PIN longues ou compliquées réinitialisation des PIN pour résoudre les entraînent une mauvaise expérience réinitialisations de client PIN Retrait sans Quand un GAB débite le compte d'un Tous ceux qui Relations plus étroites avec les systèmes de Nombre d'incidents décaissement client sans lui remettre les espèces utilisent des règlement interbancaires concernant les transactions correspondantes causant des retards cartes pour GAB en externe. de décaissement pour le client. Améliorer les procédures opérationnelles de résolution. Augmenter les ressources humaines dédiées à la résolution des litiges. Moderniser les GAB. Absence de contrôles Aucune procédure pour suivre Tous Mettre en œuvre des contrôles internes pour suivre Audit interne internes, de compte l'activité des agents, des employés l'activité de l'entité et des transactions par le biais de Examens des risques rendu interne et de ou des clients. Non-conformité comptes rendus internes et d'un suivi des données. et de la conformité suivi des données potentielle aux exigences règlementaires. Processus de Absence de procédures efficaces de Tous Disposer de processus de rapprochement clairs, % des comptes non rapprochement rapprochement créant des retards de définis et efficaces qui sont, dans l'idéal, automatisés. rapprochés. travail Temps nécessaire pour le rapprochement Erreurs de saisie des Erreurs de saisie des données, de Tous Utiliser des fonctions de créateur et vérificateur pour Contrôle des données typos, erreurs de frappe commises effectuer les tâches. rapprochements par le personnel de back-office du Séparation des tâches. Audit interne prestataire. Risque lié au partenariat Relations difficiles Difficulté relationnelle significative Tous Protocoles d'entente détaillés avec les rôles, Résultats de l'audit entre les propriétaires au sein du consortium partenaire qui responsabilités et la proposition de valeur clairement interne du service - menant entraîne une indisponibilité du service définie pour chaque acteur au sein du partenariat. Résultats de l'audit à une interruption du pour les clients. Dispositions contractuelles claires concernant la informatique service (par exemple continuité du service pendant les litiges. dans les collaborations entre IF, ORM, fournisseurs et/ou autres prestataires de service) GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 107 04_ÉCLAIRAGES ET OUTILS Risque Description Type Options de politiques & Outils Indicateurs clés d'institution d'atténuation potentiels de risque Manque de fiabilité des Les partenaires ne respectent pas les Tous Effectuer une vérification préalable des partenaires. Résultats de l'audit partenaires attentes et les livrables des accords. Etablir des contrats de garantie de bonne fin en vertu interne desquels le paiement est effectué après validation. Appliquer les pénalités pour non-conformité. Les systèmes du Le temps d'arrêt du système du Tous Informer les agents/clients par SMS quand le système Résultat de l'audit partenaire sont en partenaire perturbe le service. connaît des temps d'arrêt. informatique panne Mettre à disposition des lignes d'assistance à la clientèle. Etablir des ANS avec les partenaires pour garantir la durée de fonctionnement du service et appliquer des pénalités en cas de non-conformité. Identifier des partenaires de secours pour répartir le risque. Risque de réputation Fraude La fraude généralisée nuit à la Tous Limiter le risque de fraude. Pertes dues à la confiance des clients et entraîne Stratégie de communication proactive et prudente fraude un risque de réputation pour le pour gérer le risque de fraude. prestataire et le marché dans son ensemble. Défaillances des Les défaillances des transactions Tous Améliorer la technologie/performance. Imposer des Taux d'échec des transactions affectent la confiance en ANS aux fournisseurs et partenaires. transactions l'organisation, et réduisent l'activité et Campagnes d'éducation des clients et de marketing. la fidélisation des clients. Connectivité de l'ORM Les agents situés dans des zones Banque, IMF Développer de meilleures relations avec les ORM pour Volume des caractérisées par une faible et PSF renforcer la qualité du service. transactions dans des connectivité perturbent l'accès des Utiliser des appareils à double SIM liées aux deux zones géographiques clients aux services, rendant les clients ORM les plus robustes dans chaque zone particulière. spécifiques frustrés et réduisant la confiance en le prestataire. Mauvaise expérience Mauvais service client, résolution Tous Processus de résolution des incidents et matrice de Temps pour répondre client des incidents tardive, incapacité à signalisation à la hiérarchie en place. aux appels contacter le prestataire. Département du service clients doté de ressources % des appels sans adéquates. réponse Taux de résolution des appels Risque de marque lié Incapacité des partenaires à Tous Campagne de communication et de publicité auprès Revue de presse aux partenariats ajouter de la valeur à la marque du de la clientèle pour développer la marque. sur les marques des prestataire, et même possibilité Développer plusieurs partenariats pour réduire partenaires d'affecter négativement la marque en l'impact d'une seule relation. raison d'une mauvaise réputation ou d'une mauvaise qualité du service. 108 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES Glossaire TERME DÉFINITION Agent Une personne ou une entreprise sous contrat chargée de traiter les opérations pour les utilisateurs. Les plus importantes d'entre elles sont les retraits et les dépôts (c'est-à-dire, le chargement de valeur dans le système d'argent électronique, puis sa conversion inverse lors de sa sortie) ; dans de nombreux cas, les agents enregistrent également les nouveaux clients. Les agents perçoivent généralement des commissions pour la prestation de ces services. Ils fournissent également souvent un service client de première ligne, tel que la formation des nouveaux utilisateurs sur la manière d'effectuer des opérations sur leur téléphone. En règle générale, les agents gèreront d'autres types d'activité, en plus de l'argent électroniqueélectronique. Les agents seront parfois limités par la règlementation, mais les petits commerçants, les institutions de microfinance, les chaines de magasins et les agences de banques servent d'agents sur certains marchés. Certains participants du secteur préfèrent les termes « commerçant » ou « détaillant » pour éviter certaines connotations juridiques du terme « agent » tel qu'il est utilisé dans d'autres secteurs (GSMA, 2014). Agent principal Une personne ou une entreprise qui achète de l'argent électronique auprès d'un prestataire de SFN grossiste, puis le revend à des agents, qui à leur tour le vendent aux utilisateurs (contrairement aux super-agents, les agents principaux sont tenus de gérer les besoins en liquidités de caisse et de valeur électronique d'un groupe particulier d'agents). Argent électronique Il s'agit d'une valeur stockée dans des comptes tels que des portefeuilles électroniques ou sur des cartes. En général, la valeur totale de l'argent électronique émis correspond aux fonds détenus dans un ou plusieurs comptes bancaires et généralement détenus en fiducie, de sorte que même si le prestataire du service de portefeuille électronique faisait faillite, les utilisateurs puissent récupéreraient la valeur totale stockée dans leurs comptes. Cadre de gestion des Un ensemble complet de politiques visant à réduire l'impact des risques associés aux SFN. Le cadre est l'aboutissement de tous les risques processus de planification et d'évaluation, le registre des risques constituant sa principale composante et document de travail. Canal Le point d'accès du client à un prestataire de services financiers, à savoir avec qui ou avec quoi le client interagit pour accéder à un service ou à un produit financier Canaux de distribution Canaux qui étendent la portée des services financiers au-delà de l’agence traditionnelle. Ceux-ci comprennent les GAB, les services alternatifs (CDA) bancaires par Internet, les services bancaires mobiles, les portefeuilles électroniques et les services de proximité. Centre d'appel Un bureau centralisé utilisé dans le but de recevoir ou de transmettre un grand nombre de demandes de renseignements par téléphone. Outre la gestion des plaintes et des requêtes des clients, il est également utilisé comme canal de distribution alternatif pour améliorer la diffusion et attirer de nouveaux clients grâce à diverses campagnes promotionnelles. Commerçant Une personne ou une entreprise qui fournit des biens ou services à un client en échange d'un paiement. Données de services Un protocole utilisé par les appareils mobiles GSM pour communiquer avec les ordinateurs/le réseau du prestataire de services. Ce supplémentaires non canal est pris en charge par tous les téléphones GSM, et permet une session interactive composée d'un échange de messages dans les structurées (USSD) deux sens selon un menu d'application défini. Évaluation du risque Le processus d'élaboration d'une stratégie d'identification, d'évaluation et d'atténuation des risques. Gestion des risques Le processus de planification, organisation, direction et contrôle des activités d'une organisation en vue de minimiser les effets du d'entreprise (GRE) risque sur le capital et les profits d'une organisation. Guichet automatique Un appareil de télécommunications électroniques qui permet aux clients d'une institution financière d'effectuer des opérations bancaire (GAB) financières sans la nécessité d'un caissier ou d'un employé de banque. Les GAB identifient les clients par une carte magnétique ou à puce, l'authentification se produisant après que le client ait saisi un code PIN. La plupart des GAB sont connectés aux réseaux interbancaires pour permettre aux clients d'accéder à des machines qui n'appartiennent pas directement à leur banque, bien que certains systèmes à boucle fermée existent également. Les GAB sont connectés à un hôte ou à un contrôleur de GAB au moyen d’un modem, d’une ligne louée ou de l'ADSL. Indicateur clé de risque Un indicateur clé de risque permet d'évaluer la mesure dans laquelle une activité est risquée. Il diffère d'un Indicateur clé de (ICR) performance (ICP), en ce sens que ce dernier vise à évaluer la mesure dans laquelle une chose est bien réalisée, tandis que le premier indique la mesure dans laquelle une chose peut être préjudiciable si elle se produisait et quelle est la probabilité qu'elle se produise. Institution de Une institution financière spécialisée dans les services bancaires pour les groupes, petites entreprises ou individus à faible revenu. microfinance (IMF) GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 109 04_ÉCLAIRAGES ET OUTILS Institution financière Un prestataire de services financiers, notamment les coopératives de crédit, les banques, les établissements financiers non bancaires, (IF) les institutions de microfinance et les prestataires de services financiers mobiles. Interfaces de Une méthode de spécification d'un composant logiciel relative à ses opérations, mettant l’accent sur un ensemble de fonctionnalités programmation qui sont indépendantes de leur mise en œuvre respective. Les API sont utilisées pour une intégration en temps réel au CBS/SIG, qui d'applications (API) spécifie comment deux systèmes différents peuvent communiquer entre eux par l'échange de « messages ». Il existe différents types d'API, notamment celles sur le Web, celles des communications TCP, et les API d'intégration directe à une base de données ou les API propriétaires développées pour des systèmes spécifiques. ISO 31000 Directives ISO établies pour la mise en œuvre de la Gestion des risques d'entreprise (GRE). Lutte contre le Les dispositifs de LCB/FT sont des contrôles juridiques appliqués au secteur financier pour contribuer à prévenir, détecter et signaler blanchiment et le les activités de blanchiment d'argent. Les contrôles LCB/FT incluent les montants maximum pouvant être détenus dans un compte financement du ou transférés entre comptes au cours d'une transaction ou d'une journée. Ils incluent également les rapports financiers obligatoires terrorisme (LCB/FT) de KYC pour toutes les transactions excédant 10 000 USD, notamment la déclaration de la source des fonds, ainsi que la raison du transfert. Obligation de s'informer Les règles relatives à la LCB/FT qui obligent les prestataires à effectuer des procédures pour identifier un client et qui évaluent la valeur sur le client (KYC) des informations pour la détection, la surveillance et le signalement des activités suspectes. Opérateur de réseaux Une entreprise qui dispose d'une licence délivrée par le gouvernement pour fournir des services de télécommunications par le biais mobiles (ORM) d'appareils mobiles. Point de vente (PDV) Un appareil électronique utilisé pour traiter les paiements par carte au point auquel un client effectue un paiement à un commerçant en échange de biens et services. Le terminal du PDV est un appareil matériel (fixe ou mobile) qui exécute un logiciel pour faciliter la transaction. Il s'agissait au début d'appareils personnalisés ou de PC, mais on trouve de plus en plus des téléphones portables, des smartphones et des tablettes. Portefeuilles Un compte d'argent électronique appartenant au client du SFN et accessible par son téléphone portable. électroniques Registre des risques La base de données centrale des risques identifiés, avec leurs descriptions, causes, effets et politiques - qu'il s'agisse de les tolérer, (Matrice des risques) traiter, transférer ou éliminer. Services bancaires La fourniture de produits et services bancaires par le biais de canaux de distribution électroniques. électroniques Services bancaires L'utilisation d'un téléphone portable pour accéder à des services bancaires traditionnels. Cela couvre les services transactionnels et non mobiles transactionnels, tels que la consultation des informations financières et l'exécution de transactions financières. Services bancaires par Services bancaires, souvent limités, proposés par un agent. agent Service d'argent Un service qui est fourni en émettant des comptes virtuels contre un seul compte bancaire commun, tels que les portefeuilles électronique/service électroniques, qui sont accessibles en utilisant un téléphone portable. La plupart des prestataires d'argent électronique sont des ORM financier mobile (SFM) ou des PSF. Services financiers L'utilisation de moyens numériques pour proposer des services financiers. Cela englobe toutes les offres mobiles, de carte, de PDV et de numériques (SFN) commerce électronique proposées aux clients par le biais de réseaux d'agents. Service de messages Un canal de communication « enregistrement et retransmission » qui implique l'utilisation du réseau de télécommunication et le courts (SMS) protocole SMPP pour envoyer une quantité limitée de texte entre des téléphone ou entre des téléphones et des serveurs. Smartphone Un téléphone portable qui a la capacité de traitement pour exécuter la plupart des fonctions d'un ordinateur, doté généralement d’un écran relativement grand et d’un système d'exploitation capable d'exécuter un ensemble complexe d'applications, avec accès à l’Internet. Outre le service vocal numérique, les smartphones modernes permettent la messagerie textuelle, l'e-mail, la navigation sur le Web, l'utilisation d'appareil photo et de caméra, un lecteur MP3, la lecture de vidéo et des capacités intégrées de transfert de données/GPS. Super-agent Une entreprise, parfois une banque, qui achète de l'argent électronique auprès d'un prestataire de SFN grossiste, puis le revend aux agents, qui à leur tour le vendent aux utilisateurs. 110 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES References 1. Risk Management Toolkit, GSMA & Consult Hyperion, 2015 (http://www.gsma.com/ mobilefordevelopment/managing-risk-in-mobile-money-a-new-comprehensive-risk- toolkit) 2. MMU Managing the Risk of Fraud in Mobile Money, GSMA, 2012 (http://www.gsma. com/mobilefordevelopment/wp-content/uploads/2012/10/2012_MMU_Managing-the- risk-of-fraud-in-mobile-money.pdf) 3. Mobile Financial Services Risk Matrix, USAID and Booz Allen Hamilton, 2010 (http:// www.gsma.com/mobilefordevelopment/wp-content/uploads/2012/06/mobilefinancials- ervicesriskmatrix100723.pdf) 4. Bank Agents: Risk Management, Mitigation, and Supervision, CGAP, 2011 (http:// www.cgap.org/publications/bank-agents-risk-management-mitigation-and-supervi- sion) 5. Digital Financial Services Risk Assessment For Microfinance Institutions, A Pocket Guide, AFI, 2014 (https://lextonblog.files.wordpress.com/2014/09/dfs_risk_guide_ sept_2014_final.pdf) 6. Mobile Financial Services Technology Risks, AFI, 2013 (http://www.afi-global.org/ sites/default/files/pdfimages/AFI_MFSWG_guidelinenote_TechRisks.pdf) 7. Fraud in Mobile Financial Services, Mudiri, Microsave, 2012 (http://www.microsave. net/resource/fraud_in_mobile_financial_services#.VmWI9E10xes) 8. Risk Management in Mobile Money, Lake, IFC, 2013 (http://www.ifc.org/wps/wcm/ connect/37a086804236698d8220ae0dc33b630b/Tool+7.1.+Risk+Management. pdf?MOD=AJPERES) 9. Enterprise Risk Management (ERM) and the requirements of ISO 31000, AIRMIC, Alarm, IRM, 2010 (https://www.theirm.org/media/886062/ISO3100_doc.pdf) GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES 111 Lesley Denyes Lesley est spécialiste des services financiers numériques auprès d'IFC, et travaille dans le secteur depuis plus de quinze ans, en particulier dans les domaines de la modélisation d'entreprise, de l'analyse financière, des services bancaires mobiles, de la planification stratégique, du développement de produit et de la gestion de canaux en Asie et en Afrique subsaharienne. Lesley a travaillé auprès de banques commerciales, d'opérateurs de réseaux mobiles, de prestataires de service de paiement, d'instituts de recherche, de développeurs d'applications mobiles, d'ONG et de cabinets de conseil ayant pour objectif de toucher les ménages à faible revenu par le biais de la technologie et des services bancaires sans agences. Elle est basée à Toronto, au Canada, et est titulaire d'une licence en Économie quantitative de l'université Dalhousie, au Canada, et d'un master de gestion d’ Edinburgh Business School, Royaume-Uni. Susie Lonie Susie a passé trois ans au Kenya à créer et rendre opérationnel le service de paiements mobiles M-PESA, puis a facilité son lancement sur plusieurs autres marchés, notamment la Tanzanie, l'Afrique du Sud et l'Inde. En 2010, Susie a été corécipiendaire du prix The Economist Innovation Award for Social and Economic Innovation pour son travail sur M-PESA. Elle est devenue consultante indépendante en SFN en 2011 et travaille avec des banques, des ORM et d'autres clients sur tous les aspects de la prestation de services financiers en faveur des populations non bancarisées sur les marchés émergents, notamment l'argent électronique, les services bancaires par agent, les transferts d'argent internationaux et l'interopérabilité. Susie travaille sur la stratégie des SFN, l'évaluation financière, les exigences de conception de produit et fonctionnelles, les opérations, la gestion des agents, l'évaluation des risques, l'évaluation des travaux de recherche, les ventes et le marketing. Elle est diplômée de génie chimique à Edinburgh et Manchester, Royaume-Uni. 112 GESTION DES RISQUES DES SERVICES FINANCIERS NUMÉRIQUES Le Partenariat pour l'inclusion financière Le Partenariat pour l'inclusion financière est une initiative conjointe de 37,4 millions d'USD d'IFC et de The MasterCard Foundation visant à développer la microfinance et à faire progresser les services financiers mobiles en Afrique sub-saharienne Le partenariat est également soutenu par la Fondation Bill & Melinda Gates et la Banque autrichienne de développement (OeEB, Oesterreichische Entwicklungsbank AG). Il travaille également avec des institutions de microfinance, des banques, des opérateurs de réseaux mobiles et des prestataires de service de paiement sur le continent pour tester et évaluer les modèles économiques innovants favorables à l'inclusion financière. Le programme inclut un solide volet de partage des connaissances. Ce manuel est le second d'une série de manuels sur la façon de mettre en œuvre avec succès les services financiers numériques, et l'une des nombreuses publications du Partenariat. Pour plus d'informations et pour avoir accès à tous les rapports, veuilles vous rendre sur : www.ifc.org/financialinclusionafrica A propos d'IFC IFC, un membre du Groupe de la Banque mondiale, est la principale institution internationale de développement exclusivement dédiée au secteur privé sur les marchés émergents. Travaillant avec plus de 2 000 entreprises dans le monde, nous utilisons notre capital, notre expertise et notre influence pour créer des opportunités là où elles sont le plus nécessaires. Au cours de l'exercice 2015, nos investissements de long terme dans les pays en développement ont augmenté pour se situer à près de 18 milliards d'USD, aidant le secteur privé à jouer un rôle essentiel dans l'effort mondial visant à mettre fin à l’extrême pauvreté et à favoriser une prospérité partagée. Pour plus d'informations, veuillez-vous rendre sur le site www.ifc.org A propos de The MasterCard Foundation The MasterCard Foundation travaille avec des organisations visionnaires pour fournir un meilleur accès à l'éducation, à la formation en compétences et aux services financiers à des individus vivant dans la pauvreté, essentiellement en Afrique. Étant l'une des fondations indépendantes les plus grandes, son travail est guidé par sa mission consistant à faire progresser les apprentissages et à promouvoir l'inclusion financière pour réduire la pauvreté. Basée à Toronto, au Canada, son indépendance a été établie par MasterCard quand la Fondation fut fondée en 2006. Pour plus d'informations ou pour vous abonner au bulletin d'information de la Fondation, veuillez-vous rendre sur www.mastercardfdn.org. COORDONNÉES Anna Koblanck IFC, Afrique subsaharienne akoblanck@ifc.org www.ifc.org/financialinclusionafrica 2016