Dans le paysage institutionnel et du droit des entreprises contemporain, le risque, la continuité et la résilience ne doivent pas être appréhendés comme des éléments dissociés du vocabulaire de la gouvernance, mais comme trois dimensions étroitement imbriquées d’une même question de pilotage intégré, qui touche au cœur même de la conduite des organisations dans un contexte d’incertitude persistante, d’interdépendance croissante et d’accélération des pressions extérieures. Dans de nombreuses organisations, institutions financières, entités semi-publiques et systèmes publics, ces notions continuent d’exister côte à côte au sein de domaines de responsabilité distincts, de cycles internes de politiques et de dispositifs d’assurance séparés : le risque est inscrit dans des cadres d’identification, de classification et de maîtrise ; la continuité dans la continuité d’activité, la gestion de crise ou la disponibilité opérationnelle ; et la résilience dans des notions plus larges de rétablissement, de robustesse ou de capacité d’adaptation. À première vue, cette séparation paraît ordonnée, en ce qu’elle délimite les rôles de gouvernance, les lignes hiérarchiques de reporting et les champs de responsabilité. C’est précisément pour cette raison qu’elle est trompeuse. Dès lors que les menaces n’évoluent plus de manière linéaire, mais naissent de l’interaction entre dépendances de chaîne, concentrations numériques, pressions géopolitiques, vulnérabilités d’intégrité, risques de livraison, défaillances humaines, dynamiques réputationnelles et attentes normatives des autorités de surveillance, de la société et du marché, une approche fragmentée perd à la fois sa force explicative et sa capacité de pilotage. Un risque qui paraît maîtrisable dans l’abstrait peut, dans des circonstances concrètes, mettre immédiatement sous tension la continuité de fonctions critiques. Une mesure de continuité qui semble opérationnellement rationnelle peut compromettre la résistance générale aux chocs lorsqu’elle repose sur l’épuisement des équipes, sur des procédures d’urgence ingérables ou sur une dépendance disproportionnée à l’égard de tiers. L’invocation de la résilience peut devenir vide de substance si l’on n’a pas préalablement déterminé quelles fonctions, quelles valeurs, quelles structures de décision et quelles limites normatives doivent être préservées sous contrainte. Dans une telle configuration, il n’est plus convaincant de laisser coexister le risque, la continuité et la résilience comme des disciplines distinctes, dotées de leur propre terminologie et d’un cadre conceptuel partagé limité. La question de gouvernance est plus fondamentale. Elle consiste à savoir si une organisation ou un système est conçu de telle manière qu’il puisse identifier à temps les menaces pertinentes, continuer à assurer sous pression les fonctions critiques dont dépendent la légitimité, la fourniture de services et la conformité, et s’adapter pendant ou après une perturbation de façon à empêcher l’érosion progressive de son noyau institutionnel.
Dans cette perspective, le centre de gravité de l’analyse se déplace lui aussi. La question centrale de gouvernance ne consiste pas seulement à savoir quelles menaces existent, ni uniquement quels processus doivent être maintenus en état de fonctionnement, ni même uniquement selon quelles modalités un rétablissement doit être organisé après un incident. La question essentielle est de savoir si l’ensemble constitué par la gouvernance, la position informationnelle, la priorisation, la prise de décision, les contrôles, les structures d’escalade, la capacité financière, les relations de chaîne et les limites normatives présente une cohérence suffisante pour éviter que la menace ne dégénère automatiquement en désordre, que le désordre ne se transforme de lui-même en discontinuité et que la discontinuité ne se mue progressivement en affaiblissement structurel de l’institution. Cette problématique est particulièrement pertinente dans le cadre de la Gestion intégrée des risques de criminalité financière, où les risques se manifestent rarement de manière isolée. Les risques de criminalité financière affectent non seulement la conformité ou l’exposition juridique, mais aussi le service à la clientèle, la réputation, les relations de banque correspondante, la qualité des données, la surveillance des transactions, l’intégrité du personnel, la faisabilité opérationnelle, la confiance dans la gouvernance et la capacité de l’organisation à continuer de fonctionner de manière cohérente sous la pression prudentielle. Il en va de même dans les contextes publics et semi-publics, où les atteintes à l’intégrité, les interruptions d’information, les perturbations de chaîne et les ruptures de confiance dans la société se renforcent mutuellement et peuvent rapidement rétrécir la marge de manœuvre des organes de direction. Une approche intégrée reconnaît donc que le risque ne renvoie pas uniquement à l’exposition, la continuité pas uniquement à la disponibilité, et la résilience pas uniquement au rétablissement. Il s’agit de gouverner les interdépendances : entre la menace et la fonction, entre la fonction et la dépendance, entre la dépendance et la priorité normative, et entre l’adaptation et la préservation du noyau institutionnel. C’est là que réside la signification profonde du risque, de la continuité et de la résilience comme enjeu intégré de gouvernance : non pas la promesse d’une invulnérabilité, mais le développement d’un ordre de pilotage qui demeure fiable, explicable, juridiquement soutenable et fonctionnel sous contrainte.
Une gestion intégrée des risques à travers les fonctions, les menaces et les domaines d’impact
La gestion intégrée des risques suppose, en premier lieu, que le risque ne soit plus lu comme un ensemble d’expositions distinctes pouvant être réparties selon des lignes organisationnelles familières, mais comme une constellation de menaces qui n’acquiert une signification de gouvernance qu’en relation avec les fonctions qui doivent être assurées en toutes circonstances. Dans de nombreuses institutions, la gestion des risques demeure largement organisée selon des catégories, des titulaires de responsabilité et des taxonomies : le risque financier, le risque opérationnel, le risque de conformité, le cyberrisque, le risque d’intégrité, le risque lié aux tiers et le risque réputationnel sont identifiés, pondérés et agrégés dans leurs propres cadres. Ce modèle produit de la classification, mais non nécessairement une véritable intelligence de gouvernance. Une institution peut disposer d’un registre des risques techniquement sophistiqué tout en ne percevant pas clairement quelle combinaison de risques apparemment délimités est en réalité susceptible de provoquer la défaillance d’une fonction critique. Ce problème devient plus aigu à mesure que les processus se numérisent, que les chaînes deviennent plus internationales et que les attentes prudentielles s’intensifient. Une perturbation dans le cadre de la connaissance du client peut avoir simultanément des conséquences sur l’intégration des clients, la surveillance des transactions, les relations de correspondance bancaire, les obligations déclaratives, la réputation et la position commerciale. Un risque de sanctions peut sembler, à l’origine, de nature juridique ou de conformité, mais se traduire rapidement par des blocages opérationnels, une pression accrue sur les capacités de management, un renforcement du regard externe et une dégradation de l’accès au marché. La gestion intégrée des risques ne commence donc pas par la question de savoir quel type de risque est en cause, mais par celle de savoir quelles fonctions sont essentielles au maintien d’un fonctionnement continu, licite et crédible, quelles menaces pèsent sur ces fonctions et par quels chemins le dommage peut se propager à travers différents domaines d’impact.
Une telle approche exige un déplacement, de l’évaluation linéaire vers une analyse relationnelle. Ce n’est pas seulement la probabilité de survenance d’un incident ou l’ampleur du dommage immédiat qui importe, mais avant tout l’interconnexion entre les processus, les systèmes, la prise de décision, les parties externes et les obligations normatives. Lorsqu’elle n’est pas intégrée à travers les fonctions, les menaces et les domaines d’impact, la gestion des risques fait apparaître un schéma récurrent : des mesures de maîtrise individuelles peuvent sembler localement adéquates, tandis que la véritable résistance de l’ensemble aux chocs s’affaiblit. Un contrôle fortement renforcé à un point nodal peut détourner des capacités ailleurs ; une externalisation conçue de manière efficiente peut accroître la concentration des dépendances ; un processus de réponse à l’incident juridiquement correct peut s’avérer opérationnellement trop lent au regard de la vitesse avec laquelle se développent un dommage réputationnel ou une intervention du superviseur. Une gestion intégrée des risques exige donc que les organes de direction et le senior management ne considèrent pas uniquement les positions de risque prises isolément, mais également leurs effets combinés, leurs trajectoires d’escalade et la charge cumulative qu’ils exercent sur les fonctions critiques. Cela implique une conception de la gouvernance dans laquelle l’information sur le risque n’est pas transmise sous la forme d’un empilement de rapports sectoriels, mais comme une représentation cohérente des points où l’ordre lui-même devient vulnérable, des marges de sécurité qui sont véritablement porteuses et des endroits où la convergence des pressions peut réduire matériellement la capacité d’action de l’organisation.
Au sein de la Gestion intégrée des risques de criminalité financière, cette logique revêt une acuité particulière, car les risques de criminalité financière sont, par définition, transversaux sur les plans organisationnel, fonctionnel et juridique. Une faiblesse dans le dispositif de connaissance du client n’est pas seulement une question de conformité ; elle peut altérer la qualité de l’acceptation des clients, compromettre l’intégrité de la surveillance des transactions, diminuer la fiabilité de l’information de gestion, réduire l’efficacité des déclarations d’opérations suspectes, porter atteinte à la crédibilité externe vis-à-vis des autorités de surveillance et restreindre la marge de manœuvre stratégique de l’institution. Pour cette raison, la Gestion intégrée des risques de criminalité financière ne peut être conçue de manière convaincante comme une collection de contrôles appliqués à des sous-domaines isolés. Elle requiert une gestion intégrée des risques dans laquelle les fonctions, les menaces et les domaines d’impact sont réunis dans un cadre unique, intelligible pour la gouvernance. Ce cadre doit rendre visibles les endroits où les risques d’intégrité se transforment en pression opérationnelle, où les contraintes opérationnelles renforcent à leur tour les risques normatifs, et où les effets prudentiels ou réputationnels peuvent compromettre la continuité d’activités essentielles. Ce n’est qu’alors qu’émerge un modèle de pilotage dans lequel le risque n’est pas géré comme un objet abstrait, mais comme un déterminant concret de la capacité de l’institution à continuer d’assurer ses fonctions fondamentales dans des circonstances défavorables.
L’articulation entre le risque d’intégrité et les risques opérationnels, stratégiques et réputationnels
Dans la pratique de gouvernance et dans la pratique juridique, le risque d’intégrité est encore trop souvent traité comme s’il pouvait être isolé dans les domaines de la conformité, de l’éthique ou de la conduite, alors que sa manifestation réelle est presque toujours plus large et interfère profondément avec la faisabilité opérationnelle, le positionnement stratégique et la solidité réputationnelle. Cette réduction est compréhensible au regard de la logique organisationnelle : les questions d’intégrité sont souvent traitées au moyen de normes internes, d’obligations de diligence, de mécanismes de surveillance, de formations et de procédures d’escalade. Mais dès lors qu’une vulnérabilité d’intégrité se matérialise, son impact demeure rarement limité à une violation normative au sens strict. Une défaillance dans un contrôle de sanctions n’affecte pas seulement la conformité juridique, mais également les flux de paiement, les relations clients, la banque correspondante et l’accès aux marchés extérieurs. Une maîtrise insuffisante des risques de blanchiment a des conséquences sur le traitement des transactions, le dimensionnement des équipes, la constitution de retards, les programmes de remédiation, l’intervention prudentielle, l’exposition à l’exécution forcée et la réputation de marché. Une vulnérabilité culturelle initialement perçue comme un problème de conduite peut évoluer vers une érosion stratégique lorsque la contradiction interne s’affaiblit, que les signaux du management se lissent et que les indicateurs critiques de risque sont captés trop tard de manière structurelle. Le risque d’intégrité ne peut donc être gouverné de manière convaincante comme une catégorie normative étroite. Il doit être compris comme un risque qui affecte la capacité opérationnelle, la liberté stratégique et la crédibilité publique de l’institution.
À cet égard, le lien entre risque d’intégrité et risque opérationnel n’est pas occasionnel, mais structurel. La maîtrise de l’intégrité repose sur les données, les systèmes, le jugement humain, les lignes d’escalade, la qualité des dossiers, la formation, la discipline de gouvernance et la rapidité de la prise de décision. Toute défaillance dans cette chaîne peut accroître la charge opérationnelle tout en approfondissant l’exposition normative. Lorsque les alertes s’accumulent, que les dossiers vieillissent ou que les escalades interviennent trop tard, il ne s’agit pas seulement d’un retard de conformité, mais d’une situation opérationnelle dans laquelle la priorisation se tend, la qualité se dégrade et la marge d’erreur augmente. Il en résulte un mécanisme auto-renforçant : la surcharge opérationnelle peut encore affaiblir la maîtrise de l’intégrité, tandis qu’une maîtrise dégradée de l’intégrité génère à son tour une nouvelle pression opérationnelle sous la forme de remédiations, de revues, de blocages de clients ou d’obligations prudentielles. Le lien avec le risque stratégique est tout aussi essentiel. Lorsque des fragilités d’intégrité conduisent à des mesures coercitives, à des restrictions de développement de produits, à un durcissement des exigences prudentielles ou à un dommage réputationnel, ce n’est pas seulement la position de conformité qui est atteinte, mais aussi la capacité de l’institution à effectuer des choix stratégiques de manière libre et crédible. Les plans d’expansion, les partenariats, l’accès au marché, les décisions d’investissement et même la rétention des talents peuvent s’en trouver directement affectés.
Pour la Gestion intégrée des risques de criminalité financière, cela signifie que le risque d’intégrité ne doit jamais être traité comme un bloc autonome qui ne serait relié qu’ultérieurement à des thèmes plus larges de gouvernance. Cette articulation doit être intégrée dès l’origine dans la manière dont le risque est perçu, présenté et gouverné. Les organes de direction tirent peu de valeur d’une vision isolée du risque d’intégrité qui n’établit aucun lien avec la capacité opérationnelle, les implications stratégiques et les effets réputationnels. Ce qui est requis, c’est un cadre de pilotage intégré qui rende visible la manière dont une vulnérabilité d’intégrité peut affecter la continuité de la relation client, la fiabilité des chaînes, la confiance des superviseurs, la perception du marché et la marge de manœuvre stratégique. Cela vaut d’autant plus que, dans ce contexte, la réputation n’est pas un simple phénomène de communication ou d’image externe, mais souvent le résultat condensé de défaillances sous-jacentes dans les contrôles, la prise de décision et l’application des normes. Le risque réputationnel ne doit donc pas être abordé comme une conséquence diffuse à gérer séparément après l’incident, mais comme un domaine d’impact qui doit déjà être intégré dans la conception de la Gestion intégrée des risques de criminalité financière. Ce n’est qu’à cette condition qu’émerge une représentation de gouvernance réaliste de la manière dont les risques d’intégrité se développent en pratique : non pas comme de simples écarts de conformité, mais comme des événements ou des dynamiques capables d’affecter directement l’articulation entre norme, opérations, stratégie et confiance.
La robustesse comme articulation entre prévention, absorption, adaptation et rétablissement
Dans la pratique de gouvernance, la robustesse est souvent associée à la capacité de résister aux perturbations ou de s’en relever, mais cette compréhension demeure insuffisante tant que l’articulation sous-jacente entre prévention, absorption, adaptation et rétablissement n’est pas explicitée. Un système peut être fortement orienté vers la prévention et se révéler néanmoins vulnérable dès lors qu’une perturbation survient en dehors des scénarios anticipés. À l’inverse, une institution peut disposer de procédures de rétablissement et de plans de crise tout en manquant de capacité d’absorption suffisante pour encaisser le premier choc sans perte grave de fonctionnalité, dommage réputationnel ou dépassement des limites normatives. La robustesse n’est donc pas une propriété unique, mais une condition de gouvernance à plusieurs strates. La prévention vise à réduire la probabilité qu’une menace se matérialise ou à limiter la vulnérabilité initiale. L’absorption renvoie à la capacité d’absorber un choc sans perte disproportionnée de fonctionnalité critique. L’adaptation renvoie à la capacité d’ajuster les modes opératoires, les priorités et les allocations lorsque les circonstances changent, sans sacrifier le noyau du mandat institutionnel. Le rétablissement renvoie à la capacité, pendant ou après une perturbation, de revenir à un niveau de performance acceptable, de normaliser les processus et d’incorporer des enseignements structurels. Ce n’est que par l’articulation de ces quatre dimensions que la robustesse prend forme au sens de la gouvernance.
Cet enseignement revêt une importance particulière dans des contextes où les perturbations ne constituent plus des exceptions rares, mais des phénomènes fréquents et partiellement superposés. La prévention seule ne peut alors fournir une réponse suffisante, car toutes les menaces ne peuvent être entièrement prévues ni exclues. L’absorption devient alors déterminante : il s’agit de savoir si les systèmes, les équipes, les lignes de décision et les chaînes de tiers sont conçus de manière à pouvoir absorber un premier choc sans désintégration immédiate des fonctions critiques. Pourtant, l’absorption à elle seule ne suffit pas davantage. Une organisation qui absorbe sans s’adapter consomme ses réserves sans réorganiser la situation sous-jacente. L’adaptation exige une flexibilité à la fois de gouvernance et opérationnelle : la capacité à ajuster les règles de décision, redéployer les ressources, activer des processus alternatifs, accélérer temporairement la gouvernance et reprioriser les canaux d’information, sans faire naître d’arbitraire ni dissoudre les points d’ancrage normatifs. Le rétablissement, enfin, ne peut être réduit à un simple retour au statu quo ante. Dans des environnements complexes, le rétablissement n’est souvent pertinent que s’il s’accompagne d’un recalibrage : une correction des hypothèses, de la conception des processus, des dépendances et des priorités à la lumière de ce que la perturbation a effectivement révélé du fonctionnement du système.
Au sein de la Gestion intégrée des risques de criminalité financière, cette articulation apparaît avec une particulière netteté. La prévention y comprend notamment la connaissance du client, le filtrage, la surveillance, la gouvernance, la formation et la qualité des données. L’absorption porte sur la capacité de l’institution à faire face à des charges de pointe, à des volumes d’alertes, à des escalades, à des incidents ou à des interventions externes sans que les fonctions critiques de conformité et d’activité ne se bloquent simultanément. L’adaptation concerne la capacité à ajuster les modèles de risque, les critères d’escalade, l’affectation du personnel, l’assurance qualité et les rythmes de décision lorsque le contexte de risque se modifie, par exemple sous l’effet de nouveaux régimes de sanctions, de tensions géopolitiques, de l’évolution des schémas criminels ou d’un renforcement de la surveillance prudentielle. Le rétablissement ne consiste pas seulement à résorber les retards ou à combler les lacunes de contrôle, mais aussi à améliorer structurellement la manière dont l’institution perçoit les menaces, fixe ses priorités et organise l’exécution. Une compréhension convaincante de la robustesse exige donc que la Gestion intégrée des risques de criminalité financière ne soit pas conçue uniquement comme un cadre de maîtrise visant à prévenir les risques de criminalité financière, mais comme un ordre intégré de pilotage dans lequel prévention, absorption, adaptation et rétablissement se renforcent mutuellement et déterminent ensemble si l’institution peut continuer à opérer de manière licite, crédible et fonctionnelle sous contrainte.
La résilience stratégique comme capacité de réorientation et d’agilité
La résilience stratégique renvoie à la capacité d’une institution, dans des conditions d’incertitude structurelle, de pression externe et de tension interne, non seulement à survivre, mais aussi à recalibrer sa trajectoire de telle sorte que la continuité de son mandat institutionnel soit préservée, sans tomber ni dans l’inertie ni dans la sur-réaction opportuniste. Il ne s’agit pas ici de flexibilité tactique au sens étroit, mais de savoir si la direction est capable de lire à temps la signification des circonstances changeantes, de réévaluer la pertinence des hypothèses existantes et, sur cette base, de redéployer les moyens, les priorités et l’orientation générale. Une institution peut être opérationnellement solide et néanmoins stratégiquement vulnérable si elle s’appuie trop longtemps sur des facteurs historiques de succès, sur des représentations dépassées du risque ou sur des hypothèses de croissance linéaire. De même, une institution peut réagir rapidement sur le plan formel tout en faisant preuve d’une faible résilience stratégique si elle se déplace d’incident en incident sans revoir les choix sous-jacents. La résilience stratégique suppose donc non seulement de la rapidité, mais aussi un véritable discernement : la capacité à distinguer ce qui, dans le changement, est temporaire, structurel, remédiable, ou appelle une refonte plus profonde du pilotage, du portefeuille, des dépendances ou de l’appétence au risque.
Cette forme de résilience est étroitement liée à la qualité de la perception de gouvernance. Lorsque l’information de gestion se fragmente, que les écarts deviennent visibles trop tard ou que les signaux contradictoires ne sont pas interprétés dans leur articulation d’ensemble, la direction perd sa capacité à se réorienter en temps utile. La résilience stratégique exige donc davantage qu’un simple recours au raisonnement par scénarios comme exercice isolé. Ce qui est nécessaire, c’est une connexion durable entre les évolutions extérieures, les vulnérabilités internes, la marge financière, la capacité de charge opérationnelle, les attentes prudentielles et les conséquences réputationnelles. Dans le contexte des marchés financiers, des secteurs régulés et des infrastructures publiques, cela signifie que les inflexions de trajectoire ne sont pas dictées uniquement par des considérations commerciales, mais aussi par la question de savoir si le modèle existant demeure soutenable sous l’effet cumulatif de la pression d’intégrité, des transformations technologiques, des risques de chaîne et des exigences de légitimité sociale. L’agilité, à cet égard, n’est pas synonyme d’arbitraire ou de réorganisation permanente. Elle signifie que l’institution est capable de se mouvoir de manière intentionnelle sans perdre sa cohérence institutionnelle. Cela suppose des droits de décision clairement définis, une remontée rapide des signaux stratégiques, une ouverture à l’information défavorable et une structure de gouvernance permettant les corrections de cap sans produire de paralysie décisionnelle.
Pour la Gestion intégrée des risques de criminalité financière, la résilience stratégique revêt une importance particulière, dès lors que les transformations des risques de criminalité financière demeurent rarement confinées au seul domaine de la conformité et affectent souvent directement le modèle économique, la stratégie de marché, la conception des produits et le positionnement géographique. De nouveaux régimes de sanctions, l’évolution des méthodes de blanchiment, la transformation des attentes des autorités de surveillance, l’accentuation de la fragmentation géopolitique et l’émergence de nouvelles technologies peuvent modifier en profondeur la soutenabilité des segments de clientèle existants, des relations de correspondance, des flux transactionnels et des modèles de service. Une institution qui traite de tels signaux uniquement au sein de cadres de contrôle préexistants, sans recalibrer son orientation stratégique, accumule une vulnérabilité latente. La résilience stratégique au sein de la Gestion intégrée des risques de criminalité financière exige donc la capacité non seulement à maîtriser les risques de criminalité financière, mais aussi à les lire comme une information stratégique : une information révélant les points où le modèle existant est devenu trop concentré, trop dépendant, trop complexe ou trop fragile du point de vue normatif. En ce sens, la résilience stratégique ne réside pas dans l’attachement immobile à des orientations autrefois choisies, mais dans la capacité de réorientation, tout en préservant la crédibilité institutionnelle, la soutenabilité juridique et la faisabilité opérationnelle.
La résilience opérationnelle comme capacité de maintenir les processus critiques sous contrainte
La résilience opérationnelle renvoie à la capacité d’une organisation à poursuivre ses processus, ses services et ses fonctions décisionnelles critiques dans des situations de perturbation, de dégradation ou de pression exceptionnelle, sans que la défaillance d’un seul élément n’entraîne un effet disproportionné sur l’ensemble. À cet égard, elle va au-delà des conceptions traditionnelles de la disponibilité ou de la continuité d’activité, souvent principalement orientées vers le rétablissement dans des scénarios prédéfinis ou vers la redondance technique des systèmes et des sites. La résilience opérationnelle requiert une compréhension plus fine de ce qui est véritablement critique, des chaînes de processus qui portent cette criticité, des dépendances qui y sont enfouies et de la manière dont les perturbations évoluent dans le temps et en intensité. Un processus est rarement critique en lui-même ; il l’est en relation avec des obligations, des droits de décision, des intérêts clients, des fonctions de marché, des attentes prudentielles ou l’exercice de missions publiques. La question n’est donc pas seulement de savoir si un processus peut demeurer techniquement actif, mais si la fonction qu’il doit produire demeure, sous contrainte, crédible, contrôlable et conforme aux normes. Cette distinction est essentielle. Un système peut être « disponible » alors même que les données sont peu fiables, que les escalades se bloquent, que les exceptions s’accumulent ou que la capacité humaine de décision fait défaut. Dans une telle situation, la disponibilité formelle ne constitue pas une mesure suffisante de la résilience opérationnelle.
Une approche convaincante de la résilience opérationnelle exige, dès lors, une analyse fonctionnelle et orientée vers les chaînes de dépendance. Quels processus soutiennent les activités critiques de l’institution ? Quelles dépendances internes et externes supportent ces processus ? Où se situent les points uniques de défaillance, les risques de concentration, les ruptures de capacité et les solutions manuelles d’urgence qui ne peuvent être que faiblement mises à l’échelle ? Quels niveaux minimaux de performance doivent être préservés dans des conditions de perturbation afin de ne pas compromettre les obligations juridiques, les responsabilités envers les clients et la crédibilité de la gouvernance ? De telles questions ne peuvent être traitées par les seules équipes opérationnelles, car elles mettent inévitablement en jeu des choix de priorisation normative et de gouvernance du risque. La résilience opérationnelle est donc autant une question de gouvernance qu’une question d’exécution. Elle exige des choix clairs sur les seuils de tolérance, les mécanismes de repli, les droits de décision en situation d’incident, les structures d’escalade et l’usage des mesures d’urgence. Il est en outre essentiel que les procédures d’urgence n’existent pas seulement sur le papier, mais soient véritablement exécutables dans des conditions de stress, d’attrition du personnel, de manque d’information et de perturbation des chaînes de dépendance. Un dispositif de repli dépendant d’une expertise rare, d’étapes manuelles non testées ou de données indisponibles peut exister formellement tout en étant matériellement illusoire.
Au sein de la Gestion intégrée des risques de criminalité financière, la résilience opérationnelle revêt une importance particulière, dans la mesure où une grande partie de la maîtrise de la criminalité financière repose sur des processus intensément imbriqués, dans lesquels les systèmes, les données, le jugement humain et les sources d’information externes sont indissociablement liés. La connaissance du client, le filtrage, la surveillance des transactions, la gestion des dossiers, le reporting, la gouvernance des modèles et les mécanismes d’escalade ne fonctionnent correctement que si la chaîne de processus sous-jacente, dans son ensemble, est véritablement capable de supporter la charge. La perturbation d’un seul maillon peut avoir des conséquences immédiates sur la licéité du service client, la rapidité de détection, la qualité de la prise de décision et la crédibilité des signalements adressés aux autorités de surveillance ou aux cellules de renseignement financier. La résilience opérationnelle dans le cadre de la Gestion intégrée des risques de criminalité financière exige donc davantage que l’efficacité des contrôles en régime normal. Ce qui est requis, c’est une organisation dans laquelle les processus critiques d’intégrité peuvent continuer à fonctionner à un niveau suffisant, même en période de charge extrême, de dégradation des systèmes, de pénurie de personnel, de pression de crise externe ou de remédiations de grande ampleur. Cela signifie que l’institution doit savoir quelle fonctionnalité minimale essentielle doit être préservée sous contrainte, quelles méthodes alternatives de travail sont disponibles, quelles structures de décision peuvent être accélérées et quelles limites ne peuvent être franchies, y compris en situation de crise. C’est seulement à cette condition qu’il existe une résilience opérationnelle qui ne demeure pas purement formelle, mais soutient effectivement, dans la pratique, la continuité des fonctions critiques d’intégrité.
La résilience financière comme fondement de la continuité et de l’absorption des chocs
La résilience financière constitue, au sein de toute organisation, institution financière, chaîne d’exécution ou système public, une condition préalable à une continuité réelle, dès lors qu’aucune intention de gouvernance orientée vers la stabilité, la protection ou le rétablissement ne peut perdurer lorsque l’espace financier fait défaut pour absorber les chocs, mettre en œuvre des mesures correctrices, supporter des inefficiences temporaires et continuer à financer les fonctions critiques pendant les périodes de pression accrue. Dans les discussions de gouvernance, la résilience financière est encore trop souvent réduite à la solidité du capital, à la position de liquidité ou à la robustesse budgétaire générale. Ces éléments revêtent indéniablement une importance certaine, mais ils ne restituent qu’une partie du tableau pertinent. Dans un sens plus large, la résilience financière renvoie à la question de savoir si une organisation dispose d’une capacité d’absorption suffisante, d’une flexibilité d’allocation et d’une marge de manœuvre de gouvernance lui permettant d’éviter, dans des circonstances défavorables, de basculer immédiatement dans des réductions de coûts réactives, dans des mécanismes de report irresponsables ou dans l’allégement de précisément ces fonctions qui doivent garantir la continuité et l’intégrité du système. Lorsque la marge financière est trop étroite, les risques ne sont pas supprimés, mais différés, les programmes de redressement ne sont pas accélérés, mais ralentis, et les dépendances critiques ne sont pas réduites, mais approfondies. La signification de gouvernance de la résilience financière ne réside donc pas seulement dans la question de savoir si les pertes peuvent être supportées, mais surtout dans celle de savoir si l’organisation dispose encore, même sous pression, des moyens nécessaires pour protéger ses priorités, financer les interventions indispensables et continuer à porter ses fonctions essentielles sans érosion normative, opérationnelle ou réputationnelle.
L’importance de la résilience financière apparaît avec davantage d’acuité lorsque la perturbation n’est pas comprise comme une exception ponctuelle, mais comme une condition récurrente dans laquelle les institutions prennent leurs décisions. Dans de telles circonstances, il ne suffit pas de rattacher la robustesse financière aux seuls ratios traditionnels ou à la discipline budgétaire. Il faut une compréhension de la mesure dans laquelle l’organisation est capable d’absorber des coûts inattendus, des programmes de remédiation, des contentieux, des mesures d’exécution, des retards opérationnels, un renforcement des effectifs, des défaillances de chaîne ou encore des pressions externes de marché ou de supervision, sans perdre immédiatement sa marge de manœuvre stratégique. Cela exige une attention portée à la qualité de la structure de coûts, à l’adaptabilité des portefeuilles d’investissement, à la disponibilité de marges de sécurité, à la rigidité contractuelle des obligations externes, à la concentration des sources de revenus et à la mesure dans laquelle les fonctions critiques de contrôle et de continuité sont devenues dépendantes de modèles d’efficience qui sont les premiers à céder sous stress. C’est précisément ce dernier phénomène qui devient visible dans de nombreuses organisations : l’optimisation des coûts est poursuivie d’une manière qui paraît rationnelle en période calme, mais qui révèle une dangereuse étroitesse de la capacité financière d’action dans les périodes de choc, d’intervention du superviseur ou de pression opérationnelle. Là où la résilience financière fait défaut, apparaît la tendance à choisir, sous pression, des mesures de court terme qui accroissent la vulnérabilité réelle, par exemple en différant les investissements de redressement, en réduisant les effectifs dans les fonctions critiques, en restreignant la formation, l’assurance qualité ou l’amélioration des données, ou encore en réduisant sélectivement certaines activités sans visibilité suffisante sur leurs effets de second ordre.
Au sein de la Gestion intégrée des risques de criminalité financière, la résilience financière revêt un poids particulier, car les risques de criminalité financière sont rarement neutres en coûts lorsqu’ils se matérialisent et conduisent fréquemment à des charges financières étendues, durables et multidimensionnelles. Les programmes de remédiation, les réexamens de dossiers, le remplacement des systèmes, les revues externes, les mesures imposées par le superviseur, les retards de transaction, l’attrition de la clientèle, le dommage réputationnel, l’augmentation des besoins en personnel et le traitement juridique peuvent placer l’organisation sous tension financière pendant une longue période. Une institution qui ne dispose pas d’une capacité d’absorption financière réelle sera, dans de telles circonstances, portée à traiter la Gestion intégrée des risques de criminalité financière comme un poste de coût devant être contenu, alors qu’elle constitue en réalité une condition de fonctionnement continu, licite et crédible. Dans ce contexte, la résilience financière signifie que l’organisation est capable, même sous pression, de continuer à financer les composantes essentielles de la Gestion intégrée des risques de criminalité financière, de ne pas différer les améliorations nécessaires par réflexe budgétaire, et d’absorber des perturbations temporaires dans les revenus, les processus ou les flux de clientèle sans rendre plus fragile la fonction d’intégrité elle-même. La résilience financière n’est donc pas un thème périphérique externe, mais une condition porteuse de continuité, d’absorption des chocs et de conformité crédible dans un environnement où les risques de criminalité financière peuvent rapidement se traduire en conséquences matérielles de gouvernance et en effets économiques.
La représentation du risque, la gouvernance et l’exécution comme un seul cycle de pilotage interconnecté
Une approche cohérente du risque, de la continuité et de la résilience suppose que la représentation du risque, la gouvernance et l’exécution ne soient pas traitées comme des composantes successives ou faiblement reliées, mais comme les éléments d’un même cycle continu de pilotage dans lequel la perception, la prise de décision, la priorisation, la mise en œuvre et la rétroaction s’influencent en permanence. Dans de nombreuses institutions subsiste encore une séparation implicite entre la cartographie des risques, l’attribution formelle des responsabilités et l’action effective dans les processus et les contrôles. La représentation du risque est alors produite dans des évaluations, des tableaux de bord et des taxonomies, la gouvernance prend forme dans des comités, des mandats et des lignes de reporting, et l’exécution se déploie dans les métiers, les opérations, la conformité ou les fonctions de support. Ce modèle apporte une clarté organisationnelle, mais dissimule souvent le degré auquel ses différentes composantes s’éloignent les unes des autres. Une représentation du risque peut être analytiquement raffinée et pourtant produire peu d’effet au niveau de la gouvernance lorsqu’elle ne se répercute pas suffisamment dans les choix relatifs aux ressources, aux seuils de tolérance et aux escalades. La gouvernance peut être formellement soigneuse dans sa conception et demeurer néanmoins inefficace lorsque la prise de décision est trop lente, trop fragmentée ou trop abstraite pour influer sur la réalité de l’exécution. L’exécution, à son tour, peut être engagée et techniquement compétente, tout en demeurant insuffisamment efficace lorsqu’elle n’est pas alimentée par une représentation du risque actuelle et fonctionnelle ou lorsque la gouvernance émet des signaux contradictoires sur les priorités. La tâche de gouvernance consiste donc à créer un cycle dans lequel l’information sur le risque n’est pas seulement rapportée, mais effectivement traduite en choix directeurs, et dans lequel l’exécution ne se borne pas à rendre compte de la conformité ou des insuffisances, mais restitue aussi une information sur la manière dont le système fonctionne réellement sous pression.
Ce cycle de pilotage interconnecté exige, en premier lieu, une représentation du risque qui soit plus qu’un simple ensemble d’expositions ou qu’une vue statique des risques par catégorie. Il faut une représentation du risque qui montre l’interrelation entre les menaces, les fonctions critiques, les dépendances, les vulnérabilités, les domaines d’impact et les options d’action. Elle doit rendre visibles les endroits où l’apparente maîtrise repose sur des hypothèses fragiles, où les priorités entrent en concurrence, où la capacité paraît suffisante en situation normale mais s’avère déficiente sous stress, et où l’escalade d’un événement limité vers un effet perturbateur pour le système est plausible. La gouvernance doit ensuite être en mesure d’agir sur la base de cette représentation. Cela requiert non seulement une supervision formelle, mais aussi une discipline institutionnelle dans la prise de décisions difficiles : quels risques sont acceptés, quelles fonctions sont protégées avec une intensité accrue, quelles dépendances sont réduites, quelles exceptions sont encadrées et quels signaux déclenchent une intervention accélérée. Enfin, l’exécution ne doit pas être considérée comme le dernier maillon qui se contenterait de « déployer » la politique, mais comme le lieu où devient visible la qualité de l’ensemble du modèle de pilotage. C’est précisément dans l’exécution qu’il apparaît si les contrôles sont praticables, si les lignes d’escalade fonctionnent, si les données sont utilisables, si la priorisation est explicable et si les structures d’urgence apportent réellement un appui sous pression.
Pour la Gestion intégrée des risques de criminalité financière, cette articulation est particulièrement marquée. Une institution peut disposer d’une représentation étendue des risques de criminalité financière, de plusieurs forums de gouvernance et de vastes cadres de contrôle, et pourtant échouer au niveau de la gouvernance lorsque ces composantes ne sont pas reliées entre elles dans un cycle cohérent unique. Lorsque les indicateurs de risque ne conduisent pas à une repriorisation opportune, lorsque les discussions de gouvernance se détachent de la faisabilité opérationnelle, ou lorsque les difficultés d’exécution ne refluent pas vers la manière dont les risques sont compris et les choix sont effectués, il en résulte un système qui est lourdement structuré sur le plan formel, mais qui manque matériellement de capacité de pilotage suffisante. Un cycle de pilotage connecté au sein de la Gestion intégrée des risques de criminalité financière exige donc que le conseil, la deuxième ligne et l’exécution opèrent sur la base d’une compréhension partagée de l’emplacement des menaces essentielles, des fonctions qui doivent être préservées sous pression et des interventions nécessaires à cette fin. Cela signifie que l’information de gestion ne doit pas être orientée uniquement vers les volumes, les taux de clôture ou le statut des politiques, mais aussi vers la cohérence, les vulnérabilités, les délais de traitement sous pression, la qualité de la prise de décision et le degré auquel le système demeure licite et crédible même en situation de perturbation. Ce n’est que lorsque la représentation du risque, la gouvernance et l’exécution sont ainsi traitées comme un seul cycle de gouvernance qu’émerge une forme de pilotage qui ne s’arrête pas au diagnostic ou à la procédure, mais agit réellement sur la fiabilité et la capacité portante de l’organisation.
Des contrôles résistant au stress, des structures de repli et de la redondance comme choix de conception
Dans de nombreuses organisations, les contrôles, les structures de repli et la redondance sont encore appréhendés comme des instruments techniques ou opérationnels ajoutés seulement après que les processus, les systèmes et la gouvernance ont déjà été largement conçus. Cet enchaînement est risqué du point de vue de la gouvernance, parce qu’il présuppose que la résilience peut être intégrée a posteriori dans un modèle optimisé avant tout pour la rapidité, l’efficience ou l’échelle. En réalité, la question de savoir si une organisation peut continuer à fonctionner de manière ordonnée sous pression, perturbation et incertitude doit déjà être inscrite dans la conception des contrôles, de la logique des processus, des dépendances et des structures de décision. Les contrôles résistant au stress sont des contrôles qui ne sont pas seulement efficaces dans des conditions normales de flux de données stables, de volumes prévisibles et de dotation complète en personnel, mais qui continuent à remplir leur fonction essentielle en situation de pression accrue, de rareté du temps, de dégradation opérationnelle ou de perturbation de chaîne. Cela ne signifie pas qu’ils fonctionneront à l’identique en toutes circonstances, mais qu’ils sont conçus de telle manière que les marges d’erreur restent maîtrisables, que les exceptions ne s’escaladent pas sans limite et que l’information nécessaire aux décisions de gouvernance et aux décisions opérationnelles ne disparaisse pas immédiatement. Les structures de repli jouent un rôle apparenté dans cette conception. Elles ne sont pas des annexes du processus, mais des modes opératoires alternatifs pouvant être activés dans des conditions pensées à l’avance afin de poursuivre les fonctions critiques lorsque les mécanismes réguliers font défaut ou deviennent insuffisants. Quant à la redondance, elle n’est pas une simple duplication ; elle constitue le choix délibéré de construire, sur certains nœuds, des capacités supplémentaires, des voies alternatives ou des sources complémentaires afin d’éviter une dépendance disproportionnée.
L’importance de ces choix de conception ne devient souvent pleinement visible que lorsqu’une perturbation survient qui exige davantage qu’une efficacité ordinaire des contrôles. Un contrôle qui obtient d’excellents résultats en matière d’efficience et de précision dans des conditions normales peut se révéler totalement inadéquat sous stress lorsqu’il dépend d’une seule source de données, d’un seul fournisseur, d’une seule fonction spécialisée ou d’un flux de travail étroitement orchestré sans possibilité de dégradation. De même, un dispositif de repli peut paraître convaincant sur le papier et se révéler impraticable en réalité parce qu’il repose sur des volumes manuels non extensibles, sur un personnel simultanément requis ailleurs, ou sur des lignes de décision qui se ralentissent précisément en situation de crise. Une conception résistant au stress exige donc qu’une réflexion soit menée dès l’origine sur la manière dont les contrôles se comportent dans des conditions atypiques, sur les fonctions essentielles minimales qui doivent en tout état de cause demeurer assurées, sur les tolérances admissibles et sur les points auxquels la redondance se justifie malgré son coût apparent. Cela requiert une approche de gouvernance dans laquelle l’efficience ne domine pas automatiquement, mais est mise en balance avec l’importance de la fiabilité, de l’explicabilité et de la résistance aux chocs. En ce sens, le choix de la redondance ne constitue pas une preuve d’inefficience, mais peut traduire la reconnaissance rationnelle du fait que certaines fonctions, certains systèmes ou certains moments de décision sont trop critiques pour être organisés de manière unique ou dans une logique d’extrême allégement.
Au sein de la Gestion intégrée des risques de criminalité financière, ces questions de conception revêtent une signification immédiate de gouvernance. De nombreux contrôles relevant de ce domaine dépendent fortement de la qualité des données, des paramétrages de scénarios, des résultats de modèles, du jugement humain, de l’escalade en temps utile et de la disponibilité de sources externes. Dès lors que les volumes augmentent, que les systèmes se dégradent, que les circonstances géopolitiques évoluent ou que la pression du superviseur s’accroît, des contrôles qui paraissent adéquats en situation normale peuvent rapidement perdre leur efficacité. Un contrôle de filtrage dépendant d’une seule source de listes externes, un processus de surveillance des transactions dépourvu de mécanisme de repli extensible, ou une structure d’escalade reposant sur quelques personnes clés crée une vulnérabilité latente précisément dans la partie de l’organisation où la licéité et la confiance doivent être protégées sous pression. Des contrôles résistant au stress au sein de la Gestion intégrée des risques de criminalité financière exigent dès lors des choix de conception qui tiennent explicitement compte de la perturbation, des pics de charge et de l’incertitude. Les structures de repli ne doivent pas seulement exister, mais être ancrées dans les exercices, la gouvernance et la préparation des équipes. La redondance doit être introduite là où la défaillance de données, d’expertise, de fournisseurs ou de systèmes aurait des conséquences directes pour les fonctions critiques d’intégrité. Dans cette approche, les contrôles ne sont pas conçus comme des barrières statiques contre l’écart, mais comme des composantes d’une conception plus large du pilotage permettant au système de demeurer ordonné, explicable et conforme aux normes même dans des conditions défavorables.
La confiance et la capacité de rétablissement comme composantes de la résilience
La confiance et la capacité de rétablissement figurent parmi les composantes les plus sous-estimées et en même temps les plus essentielles de la résilience, car aucune organisation ne peut continuer à fonctionner durablement sous pression lorsque la confiance interne et externe s’évapore et lorsqu’il n’existe, à la suite d’une perturbation, aucune capacité crédible à restaurer l’ordre, la fiabilité et la légitimité. Dans les contextes de gouvernance, la confiance est parfois réduite à la réputation, à la communication ou à la gestion des parties prenantes, mais une telle approche est trop étroite. Au sens substantiel, la confiance est l’attente que l’organisation continuera, même sous tension, à porter ses fonctions essentielles, ses obligations normatives et ses responsabilités de gouvernance de manière cohérente. La confiance interne concerne la mesure dans laquelle le conseil, la direction, les collaborateurs et les fonctions de contrôle peuvent compter sur la solidité de l’information, sur le caractère explicable des décisions, sur le sérieux accordé aux escalades et sur le fait que les erreurs ne conduisent pas immédiatement au déni ou à la paralysie. La confiance externe concerne la crédibilité, aux yeux des superviseurs, des clients, des partenaires de chaîne, des actionnaires, des institutions publiques et de la société, du fait que l’organisation remplit son rôle de manière fiable, même lorsque surviennent des incidents, des incertitudes ou des besoins de correction. Dès lors que cette confiance disparaît, ce ne sont pas seulement la réputation et la légitimité qui sont atteintes, mais aussi la marge de manœuvre opérationnelle et stratégique de l’organisation. La supervision peut s’intensifier, les clients peuvent partir, les partenaires peuvent devenir plus hésitants, la coopération interne peut se rigidifier et les mesures correctrices peuvent devenir considérablement plus coûteuses et complexes.
Dans cette perspective, la capacité de rétablissement ne se réduit pas au simple fait de remettre des systèmes, des processus ou des volumes de production à un niveau antérieur. Elle vise la capacité plus large de reconstruire, après une perturbation, la maîtrise de gouvernance, l’ordre opérationnel, la clarté normative et la crédibilité relationnelle. Cela exige plus qu’une clôture d’incident ou qu’une remédiation technique. Il faut un processus par lequel l’organisation peut déterminer ce qui a précisément été atteint, quelles fonctions sont prioritaires, quelles erreurs ou insuffisances étaient structurelles, quelles mesures d’urgence doivent être retirées et comment la confiance peut être regagnée auprès des parties internes et externes. La capacité de rétablissement devient ainsi une pierre de touche de la profondeur de la résilience. Une institution qui clôt formellement un incident mais ne dispose d’aucune trajectoire crédible vers la stabilisation, l’amélioration et le renouvellement de sa légitimité n’est pas véritablement résiliente. Il n’y a pas davantage de résilience lorsque la poursuite des fonctions n’est possible qu’au prix d’une surcharge prolongée des personnes, d’une tolérance tacite à l’égard de lacunes de contrôle ou d’une suspension d’exigences normatives qui ne pourront plus être rétablies ultérieurement sans dommage. La capacité de rétablissement suppose dès lors une honnêteté de gouvernance quant à ce qui a été endommagé, une discipline institutionnelle pour maintenir les mesures correctrices dans le temps et une marge organisationnelle suffisante non seulement pour traiter les symptômes, mais aussi pour s’attaquer aux causes.
Pour la Gestion intégrée des risques de criminalité financière, la confiance et la capacité de rétablissement revêtent une importance exceptionnelle, car les vulnérabilités liées à la criminalité financière ne compromettent pas seulement la maîtrise interne, mais affectent immédiatement aussi la crédibilité externe de l’institution. Les superviseurs n’évaluent pas seulement l’existence de politiques et de contrôles, mais également la crédibilité avec laquelle les insuffisances sont reconnues, traitées et structurellement améliorées. Les clients, les banques correspondantes, les investisseurs et les autres parties prenantes s’attachent non seulement aux résultats, mais aussi à la manière dont l’institution communique, priorise et corrige sous pression. La capacité de rétablissement interne est, à cet égard, tout aussi importante que la responsabilité externe. Lorsque les collaborateurs font l’expérience que les insuffisances ne peuvent être discutées, que les alertes demeurent sans effet ou que les programmes de redressement sont essentiellement symboliques, la capacité d’apprentissage s’érode et, avec elle, la robustesse future de la Gestion intégrée des risques de criminalité financière. La confiance et la capacité de rétablissement doivent donc constituer des composantes explicites de la résilience dans ce domaine. Cela signifie que le rétablissement n’est pas compris uniquement comme la clôture des constats ou la réduction des retards, mais comme la reconstruction d’une situation dans laquelle les processus, l’information, la gouvernance et les relations externes fonctionnent de telle manière que l’institution puisse de nouveau être tenue pour fiable, contrôlable et conforme aux normes. Une résilience dépourvue de confiance et de capacité de rétablissement demeure une prétention formelle ; ce n’est que là où les deux sont présentes qu’émerge une robustesse durable de gouvernance.
Le pilotage intégré de la robustesse comme finalité ultime de la Gestion intégrée des risques de criminalité financière
La finalité ultime d’une Gestion intégrée des risques de criminalité financière conçue de manière convaincante ne réside pas dans la somme des contrôles individuels, des documents de politique, des mécanismes d’escalade ou des appréciations d’assurance, mais dans l’établissement d’un pilotage intégré de la robustesse : une forme de gouvernance dans laquelle l’intelligence de la menace, la clarté normative, la continuité opérationnelle, la capacité financière, la faculté d’adaptation et la capacité de rétablissement sont réunies au sein d’un ensemble cohérent. Cette finalité est fondamentalement plus exigeante que les conceptions traditionnelles de la conformité, dans lesquelles le succès est mesuré principalement à l’existence de cadres, à l’exhaustivité des procédures ou à la réduction de défaillances individuelles de contrôle. Le pilotage intégré de la robustesse exige en effet que la Gestion intégrée des risques de criminalité financière ne soit pas traitée comme une spécialité délimitée au sein de la deuxième ligne ou comme un ensemble d’obligations auxquelles il conviendrait simplement de satisfaire, mais comme une composante intégrale de la manière dont l’organisation se gouverne elle-même dans un contexte de menace persistante, de pression prudentielle et d’attente sociale. De cette manière, le critère de qualité de gouvernance se déplace également. La question n’est pas de savoir si chaque risque peut être entièrement exclu, mais si l’institution est capable d’identifier, de contenir, d’absorber et de corriger les risques de criminalité financière de telle sorte que soient préservées les fonctions critiques, la fiabilité normative et la marge de manœuvre stratégique.
Une telle finalité implique que les lignes de partage classiques entre l’identification du risque, la gestion de la continuité, la réponse de crise, l’exécution de la conformité et les programmes de redressement soient largement dépassées. Lorsque chacune de ces composantes est organisée séparément, sans cohérence substantielle suffisante, il en résulte un pilotage fragmenté : les risques sont nommés sans se traduire en protection fonctionnelle, les mesures de continuité sont mises en place sans ancrage normatif ou stratégique suffisant, les structures de crise sont activées sans que les enseignements tirés ne refluent structurellement vers la conception et la gouvernance, et les programmes de redressement demeurent réactifs parce qu’ils ne sont pas nourris par une image intégrée des vulnérabilités plus profondes. Le pilotage intégré de la robustesse exige dès lors de la cohérence dans l’information fournie au conseil, dans la priorisation et dans l’exercice des responsabilités. Le conseil et la direction générale ne doivent pas seulement surveiller des tableaux de bord séparés, mais garder prise sur le lien sous-jacent entre menace, fonctions critiques, dépendances, contrôles, résistance aux chocs et capacité de rétablissement. Les exercices de scénario ne doivent pas seulement tester la panne de système ou la perturbation opérationnelle, mais aussi la qualité des choix de gouvernance, la clarté des frontières normatives, la capacité portante des relations de chaîne et la disponibilité de marges d’absorption financières et humaines. L’information de gestion ne doit pas présenter uniquement des chiffres ou des statistiques de clôture, mais donner une image des points où, sous pression, l’institution risque le plus de perdre son noyau.
Au sein de la Gestion intégrée des risques de criminalité financière, le pilotage intégré de la robustesse signifie, en définitive, que l’organisation ne considère plus les risques de criminalité financière comme une tâche de conformité située à côté de l’activité, mais comme une composante constitutive de la question de savoir si l’institution peut continuer, au sens large, à fonctionner comme un acteur de gouvernance fiable. Cela implique que les risques d’intégrité soient liés à leurs conséquences opérationnelles et stratégiques, que les choix de continuité soient explicitement rattachés aux fonctions critiques d’intégrité, que la résilience financière soit reconnue comme une condition de maîtrise crédible, que les contrôles soient conçus pour des conditions de stress et non pas seulement pour l’exploitation normale, et que la confiance et la capacité de rétablissement soient regardées comme des résultats essentiels de la qualité du modèle de pilotage. Là où cette cohérence est réalisée, émerge une forme de gouvernance qui n’entretient pas la fiction selon laquelle le risque pourrait disparaître, mais qui accomplit l’ambition beaucoup plus réaliste et plus exigeante du point de vue de la gouvernance selon laquelle l’institution peut continuer, même sous une pression considérable, à opérer de manière licite, ordonnée, explicable et fonctionnelle. C’est précisément en cela que réside la signification la plus profonde du pilotage intégré de la robustesse comme finalité ultime de la Gestion intégrée des risques de criminalité financière : non pas la promesse d’une absence de faille, mais l’organisation d’une institution capable de porter la menace sans que la continuité, l’intégrité et la crédibilité de gouvernance ne soient progressivement abandonnées.
