Gestion des risques opérationnels : l’AMF publie les enseignements d’une campagne de contrôles auprès des sociétés de gestion

L’Autorité des marchés financiers (AMF) a présenté les résultats d’une campagne de contrôles menée dans le cadre de ses priorités de supervision pour 2025. Ces contrôles ont porté sur les dispositifs de gestion des risques opérationnels mis en place par des sociétés de gestion de portefeuille, avec pour objectif d’évaluer leur capacité à identifier, suivre, maîtriser et déclarer les risques auxquels elles sont exposées, ainsi que les incidents opérationnels survenus ou évités entre le 1er janvier 2022 et le 31 décembre 2024.

Le risque opérationnel englobe notamment les défaillances liées aux processus internes, aux systèmes d’information, aux ressources humaines, aux prestataires externes ou aux cyberévénements. Selon l’AMF, la mise en place de dispositifs adaptés vise à protéger les investisseurs, à garantir le respect des obligations professionnelles et à limiter les pertes liées à des dysfonctionnements organisationnels ou techniques. Dans son rapport trimestriel publié en novembre 2025, l’Autorité européenne des marchés financiers (ESMA) a classé ce risque parmi ses préoccupations prioritaires, au même titre que le risque de marché.

La mission de supervision, menée sous la forme de contrôles « SPOT » (Supervision des Pratiques Opérationnelle et Thématique), a concerné cinq sociétés de gestion présentant des tailles et organisations différentes. Les contrôles ont porté sur l’organisation et les moyens dédiés à la gestion des risques opérationnels, les procédures d’identification et de suivi des risques, le traitement des incidents, la couverture en responsabilité professionnelle, les dispositifs de reporting aux instances dirigeantes et à l’AMF ainsi que les travaux de contrôle interne.

Selon les constats de l’Autorité, les sociétés examinées disposent toutes d’une fonction dédiée à la gestion des risques opérationnels, généralement rattachée au responsable de la conformité et du contrôle interne ou au responsable des risques, avec un accès direct aux dirigeants. Des comités spécialisés assurent le suivi des risques et des incidents. Les procédures décrivent généralement de manière précise les processus d’évaluation des risques et d’instruction des incidents, ainsi que leur articulation avec le traitement des réclamations. En revanche, les modalités de comptabilisation des pertes liées à ces incidents et leur vérification a posteriori apparaissent moins détaillées.

Les sociétés contrôlées ont mis en place des registres informatisés pour recenser les incidents opérationnels. L’AMF relève toutefois que l’évaluation systématique de la gravité des événements, qu’ils aient été subis ou évités, n’est pas toujours réalisée. Par ailleurs, le suivi de l’avancement des plans de remédiation reste parfois incomplet.

Concernant la couverture des risques, la majorité des sociétés du panel combine une marge supplémentaire de fonds propres et une assurance en responsabilité civile professionnelle. L’Autorité souligne néanmoins que les méthodes de calcul ayant conduit à la constitution de ces dispositifs sont insuffisamment formalisées, malgré ses recommandations antérieures.

Les sociétés ont également instauré un reporting des incidents opérationnels à destination de leurs dirigeants. Toutefois, les règles permettant d’exclure certains incidents de ces reportings ne sont pas systématiquement documentées. La mission de contrôle a également identifié des inexactitudes significatives dans le montant des pertes opérationnelles déclarées au régulateur par l’une des sociétés via les fiches de renseignements annuels. L’AMF rappelle que la fiabilité des données transmises est essentielle à l’exercice de ses missions de supervision.

L’Autorité estime que les dispositifs de contrôle interne analysés couvrent globalement le processus de gestion des risques opérationnels. Dans un cas, les travaux réalisés ont conduit une société à engager un plan d’amélioration des processus de son département chargé du suivi des opérations de marché, en réponse à des incidents récurrents.

Parmi les bonnes pratiques identifiées, l’AMF mentionne la définition préalable d’un niveau maximal d’impact financier que la société estime pouvoir supporter, la mise en place de fiches d’instruction des incidents structurées, datées et validées, ainsi que la réalisation de rapprochements réguliers entre les pertes opérationnelles comptabilisées et les registres d’incidents.

À l’inverse, l’Autorité considère comme des mauvaises pratiques l’absence de grille graduée d’évaluation des impacts financiers et non financiers dans la cartographie des risques, la multiplication de registres d’incidents non harmonisés, ainsi que le fait de ne pas intégrer les risques opérationnels dès la phase de sélection de prestataires ou de délégataires externes pour des services jugés sensibles.