Flash BankNews | Campagne de contrôles SPOT AMF 2025 sur les risques opérationnels des Sociétés de Gestion de Portefeuille

Organisation et moyens : une fonction globalement structurée mais contrastée

La fonction en charge des risques opérationnels est globalement bien dotée. Dans quatre SGP, elle est exercée par le RCCI ; dans la cinquième, elle est portée par le Responsable du Contrôle des Risques. Toutes bénéficient d’un rattachement direct à un dirigeant responsable, garantissant un niveau de supervision adéquat.

En ce qui concerne les moyens humains, la taille des équipes varie fortement : d’une à trois personnes dans quatre SGP, jusqu’à quarante personnes dans la plus grande entité, organisée en pôles spécialisés (risques non IT et risques technologiques / risque de rupture de continuité de l’activité). Le niveau d’expérience moyen dépasse cinq ans et aucun recours à l’externalisation n’a été observé.

Quant aux moyens techniques, ceux-ci demeurent hétérogènes : seule une SGP dispose d’outils spécialisés pour la collecte et la gestion des incidents. Les autres s’appuient sur des outils bureautiques ou collaboratifs standard.

La gouvernance est assurée via un comité dédié dans chaque entité, chargé du suivi des indicateurs de risques, de la présentation des incidents survenus et des plans de remédiation. Toutefois, la granularité et l’exhaustivité des informations transmises diffèrent significativement en fonction des entités.

Corpus procédural : un socle présent mais des lacunes structurantes 

Les cinq SGP ont formalisé la définition du risque opérationnel conformément à la réglementation. Quatre ont défini l’incident opérationnel, incluant parfois les impacts financiers et non financiers. L’appétit pour le risque n’est formalisé que dans trois SGP, et ne comporte pas systématiquement de seuils opérationnels mesurables.

Les cartographies des risques sont toutes à jour, validées par les instances dirigeantes et intégrant le risque cyber. Néanmoins, leurs approches diffèrent : une SGP dispose d’une cartographie dédiée, tandis que les autres l’intègrent à leur cartographie globale. Par ailleurs, les méthodologies d’évaluation, notamment la distinction entre risques brut et net, ne sont pas harmonisées.

Les procédures couvrant l’identification, l’instruction, la classification, l’escalade et le reporting des incidents sont présentes mais inégales. Seules deux SGP encadrent la comptabilisation des pertes associées aux incidents. Trois disposent d’une procédure formelle pour le calcul des fonds propres supplémentaires requis pour les AIFM. Quatre ont formalisé une procédure dédiée au traitement des réclamations et toutes encadrent la relation avec les prestataires sensibles.

Pilotage opérationnel : fragmentation des registres, traçabilité insuffisante, écarts comptables

Les cinq SGP disposent d’un registre des incidents opérationnels, dont la qualité apparaît toutefois très hétérogène. Certaines SGP ne recensent pas l’ensemble des incidents significatifs, tandis que d’autres ne renseignent pas systématiquement les indicateurs de gravité. En outre, les plans de remédiation ne sont pas toujours intégrés aux registres ou font l’objet d’un suivi insuffisant.

La fragmentation des dispositifs de recensement constitue par ailleurs un point de vigilance majeur. Ainsi, une SGP utilise jusqu’à quatre registres distincts (opérationnel, IT, cyber et CRM). Cette dispersion nuit à la consolidation des informations, à l’exercice d’une supervision efficace et à l’identification des causes récurrentes d’incidents.

La comptabilisation des pertes opérationnelles révèle un déficit significatif. Les pertes ne sont en effet pas systématiquement enregistrées dans les comptes erreurs, ce qui génère des divergences importantes avec les données figurant dans les FRA‑RAC (« Fiche de Renseignement Annuelle » – « Rapport Annuel de Contrôle ») transmis à l’AMF. À ce titre, des écarts de plusieurs millions d’euros ont été constatés dans une SGP.

Le suivi des incidents cyber varie fortement : certaines SGP recensent plusieurs centaines d’événements, tandis que d’autres n’en identifient aucun, parfois en raison d’un manque de visibilité sur un système d’information (« SI ») opéré par leur groupe, cette situation constituant un risque majeur.

Assurance, fonds propres et reporting : conformité partielle, approche mécanique

Toutes les SGP ont mis en place un coussin de fonds propres supplémentaires, mais aucune n’en justifie le taux réglementaire de 0,01 % de la valeur des portefeuilles des Fonds d’Investissements Alternatifs (« FIA ») gérés. À cet égard, l’AMF rappelle qu’elle attend une analyse étayée, fondée notamment sur l’historique des incidents, les incidents évités (near miss) ainsi que sur la nature des activités exercées.

Les assurances de Responsabilité Civile Professionnelle (« RCP ») et cyber sont en place dans l’ensemble des entités. Elles couvrent les pertes directes ainsi que les frais associés, bien qu’aucun sinistre n’ait été déclaré sur la période. Le régulateur souligne néanmoins que le recours à l’assurance ne saurait se substituer à la mise en œuvre d’un dispositif interne robuste.

Enfin, le reporting interne est globalement qualitatif, mais présente un niveau de profondeur hétérogène. Les reportings FRA‑RAC comportent par ailleurs des incohérences significatives, limitant la capacité à assurer une supervision opérationnelle effective.

Recommandations clés :

• Formaliser un appétit pour le risque chiffré et aligné avec les capacités internes. 
• Déployer un registre unique et harmonisé consolidant incidents opérationnels, IT et cyber. 
• Documenter systématiquement pertes, near‑misses et gravité des événements. 
• Établir des critères minimaux de sélection des prestataires critiques et les intégrer aux contrats. 
• Tester annuellement le PCA conformément à DORA. 
• Renforcer l’analyse consolidée des causes profondes pour éviter les récidives. 

Conclusion 

La campagne SPOT met en évidence un secteur doté de fondations solides mais encore marqué par une forte hétérogénéité des pratiques. Les lacunes identifiées — fragmentation des registres, insuffisances de traçabilité, faiblesse de la comptabilisation des pertes et couverture partielle du PCA — constituent des risques majeurs pour une supervision efficace.

Les attentes du régulateur convergent vers une professionnalisation accrue des dispositifs, une gouvernance robuste, des standards harmonisés et une approche plus analytique du risque opérationnel.

Nos équipes sont disponibles pour vous aider à adapter et optimiser vos dispositifs de gestion des risques opérationnels.