Dans le cadre de ses priorités de supervision 2025, l’AMF a mené une campagne de contrôles sur le dispositif de gestion des risques opérationnels mis en place par les sociétés de gestion de portefeuille.
Cette campagne vise à appréhender la robustesse des
dispositifs déployés par ces dernières pour identifier, suivre, maîtriser et
reporter les risques opérationnels auxquels elles sont exposées. Les incidents
opérationnels, subis ou évités sur la période contrôlée, ont également été
analysés.
Le risque opérationnel
représente un enjeu majeur pour les sociétés de gestion, indépendamment de leur
taille ou de leur organisation. Il recouvre notamment les risques liés aux
processus internes, aux systèmes d’information, aux ressources humaines, aux
prestataires externes, ainsi qu’aux événements d’origine cyber. La mise en
place d’un dispositif solide de gestion des risques opérationnels est donc
essentielle. Elle permet de protéger les investisseurs, d’assurer le respect
des obligations professionnelles et de limiter les risques de pertes pour les
sociétés de gestion résultant de processus internes inadaptés, de défaillances
humaines ou de dysfonctionnements des systèmes en place.
Dans son rapport
trimestriel sur les tendances, risques et vulnérabilités, publié en novembre
2025, l’ESMA (European Securities and Markets Authority) classe le risque
opérationnel parmi ses préoccupations prioritaires, au même niveau que le
risque de marché, dans la continuité des constats établis en 2024.
L’AMF a conduit cette
série de contrôles « SPOT » (Supervision des Pratiques Opérationnelle et
Thématique) auprès de cinq sociétés de gestion de taille et d’organisation
diversifiées. Les contrôles ont porté sur la période comprise entre le 1er
janvier 2022 et le 31 décembre 2024.
Pour ces cinq sociétés
de gestion de portefeuille, l’AMF a examiné les points suivants :
1. l’organisation et les moyens dédiés à la gestion des risques
opérationnels ;
2. les procédures encadrant l’identification et le suivi des risques
opérationnels ainsi que le traitement des incidents ;
3. les modalités de collecte, d’instruction et de suivi de ces
incidents opérationnels ;
4. la couverture des risques en matière de responsabilité
professionnelle ;
5. les dispositifs de reporting relatifs aux
risques et incidents opérationnels auprès des instances dirigeantes et de l’AMF
;
6. les travaux de contrôle interne.
Les sociétés de gestion
du panel disposent d’une fonction dédiée à la gestion des risques
opérationnels, généralement rattachée au responsable de la conformité et du
contrôle interne (RCCI) ou au responsable des risques, disposant d’un accès
direct aux dirigeants. Les dispositifs de gouvernance associés prévoient le
suivi de ces risques et le traitement des incidents associés au sein de comités
spécialisés.
Les procédures
décrivent généralement de manière claire le processus d’évaluation des risques
et d’instruction des incidents opérationnels, ainsi que son articulation avec
le traitement des réclamations. En revanche, les modalités de comptabilisation
des pertes associées à ces incidents, ainsi que de leur vérification a
posteriori, sont moins détaillées.
Les sociétés de gestion
ont mis en place un registre informatisé pour la collecte des incidents
opérationnels. L’analyse de ces registres révèle que l’évaluation systématique
du niveau de gravité des événements (subis ou évités) n’est pas toujours effectuée.
En outre, le suivi de l’avancement des plans de remédiation décidés reste
partiel.
La majorité des
sociétés de gestion du panel disposent d’une double couverture contre les
risques opérationnels, combinant la constitution d’une marge supplémentaire de
fonds propres et la souscription d’une assurance en responsabilité civile
professionnelle. Toutefois, les modalités de calcul ayant conduit à la
constitution de ce coussin demeurent, en dépit des recommandations de l’AMF,
insuffisamment formalisées.
Les sociétés de gestion
du panel ont aussi mis en place un reporting des incidents opérationnels à
destination de leurs dirigeants. Cependant, les règles de matérialité qui
conduisent à l’exclusion de certains incidents de ces reportings ne sont pas
toujours décrites. En outre, la mission de contrôle a relevé des inexactitudes
significatives dans le montant des pertes opérationnelles déclarées au
régulateur par l’une des sociétés du panel via les fiches de renseignements
annuels (FRA). L’Autorité rappelle dans ce cadre que la qualité et la fiabilité
des données qui lui sont transmises sont essentielles à l’exercice de sa
mission de supervision.
Enfin, l’AMF a constaté
que les dispositifs de contrôle interne analysés couvrent de manière adéquate
le processus de gestion des risques opérationnels. Les travaux réalisés ont
conduit une société de gestion à lancer un plan d’amélioration des processus du
département en charge du suivi des opérations de marché, en réponse à des
incidents opérationnels récurrents.
Parmi les bonnes
pratiques, l’AMF a identifié le fait de :
• définir, de manière anticipée et chiffrée, le
niveau maximal d’impact que la société de gestion estime pouvoir supporter, en
termes de risque opérationnel, dans l’exercice de ses activités, compte tenu
des coûts de remédiation après incident ;
• mettre en place des fiches d’instruction des
incidents structurées, datées et validées ;
• réaliser des rapprochements réguliers entre
les pertes opérationnelles comptabilisées et le registre des incidents.
À l’inverse, l’Autorité
a identifié comme mauvaises pratiques le fait de :
• ne pas inclure, dans la cartographie des
risques opérationnels, une grille d’évaluation graduelle des impacts financiers
et non financiers de ces risques ;
• multiplier des registres d’incidents non
harmonisés ;
• ne pas prendre en compte, dès la phase de sélection des prestataires ou délégataires externes importants ou sensibles, les risques opérationnels liés aux services dont l’externalisation ou la délégation est envisagée.