Dispositif de gestion des risques opérationnels des SGP : bonnes et mauvaises pratiques
Dans ses priorités de supervision pour l’année 2025, l’AMF avait, pour ce qui concerne les sociétés de gestion de portefeuille (« SGP »), indiqué qu’elle serait particulièrement attentive aux risques opérationnels et qu’elle conduirait, à ce titre, des contrôles dits « SPOT » (Supervision des pratiques opérationnelle et thématique) portant sur les dispositifs de gestion de ces risques mis en place par les SGP (AMF, Priorités de supervision de l’AMF pour 2025, 16 janv. 2025). La synthèse de ces contrôles SPOT, publiée le 9 février dernier, renseigne sur les bonnes et mauvaises pratiques identifiées par l’AMF.
La gestion des risques. Les SGP, qu’elles gèrent des organismes de placement collectif de valeurs mobilières (OPCVM) ou des fonds d’investissement alternatif (FIA), sont tenues d’adopter un dispositif de gestion des risques (RGAMF, art. 321-76 s., pour les SGP d’OPCVM ; Dir. « AIFM » 2011/61/UE du 8 juin 2011, art. 15 et règl. délégué « AIFM » [UE] n° 231/2013 du 19 déc. 2012, art. 38 s., pour les SGP de FIA ; pour un ex. de décision sanctionnant les manquements à cette obligation, v. AMF, Commission des sanctions, SAN-2023-05, 24 avr. 2023).
Ce dispositif suppose : la mise en place d’une fonction permanente de gestion des risques indépendante des fonctions opérationnelles (RGAMF, art. 321-77, pour les SGP d’OPCVM ; Dir. AIFM, art. 15, § 1 et règl. délégué AIFM, art. 39 et 42, pour les SGP de FIA) ; la définition et la mise en œuvre d’une politique et de procédures de gestion des risques (RGAMF, art. 321-78 et 321-79, pour les SGP d’OPCVM ; Dir. AIFM, art. 15, § 2, et règl. délégué AIFM, 40 § 1, pour les SGP de FIA) ; la réalisation d’évaluations et de contrôles afin de s’assurer de l’adéquation et de l’efficacité du dispositif déployé (RGAMF, art. 321-80, pour les SGP d’OPCVM ; Dir. AIFM, art. 15, § 2 et règl. délégué AIFM, art. 41, pour les SGP de FIA).
Le risque opérationnel. Parmi les risques qui doivent être maîtrisés par les SGP, se trouve le risque opérationnel défini « comme le risque de perte, pour un portefeuille géré, résultant de l’inadéquation de processus internes et de défaillances liées aux personnes et aux systèmes de la SGP, ou résultant d’évènements extérieurs, y compris le risque juridique et le risque de documentation, ainsi que le risque résultant des procédures de négociation, de règlement et d’évaluation, appliquées pour le compte du portefeuille géré » (v. not., RGAMF, art. 321-76).
Dans son rapport 2025 sur les tendances, les risques et les vulnérabilités, l’ESMA a classé le risque opérationnel au niveau le plus critique, au même rang que le risque de marché (ESMA, Report on Trends, Risks and Vulnerabilities, n° 2, 2025, mis à jour le 18 nov. 2025). L’Autorité des marchés financiers (AMF) avait ainsi inclus, dans ses priorités de supervision 2025 (AMF, Priorités de supervision de l’AMF pour 2025, préc., p. 5), la gestion des risques opérationnels par les SGP et annoncé la mise en œuvre d’une campagne de contrôles SPOT.
Celle-ci ayant pris fin, l’AMF livre les bonnes et mauvaises pratiques identifiées durant ces contrôles. Elles portent sur la fonction de la gestion des risques opérationnels, le corps procédural, le processus de pilotage, les modalités de couverture des risques et sur le dispositif de reporting. Bien que ces bonnes et mauvaises pratiques n’intègrent pas la doctrine de l’autorité (v. l’encadré p. 3), elles éclairent sur l’application de cette réglementation pointilleuse, telle qu’attendue par l’AMF.
La fonction de gestion des risques opérationnels
Cadre réglementaire
Comme indiqué précédemment, les SGP ont l’obligation de créer une fonction de gestion des risques indépendante des fonctions opérationnelles. Par ailleurs, la réglementation impose aux sociétés de gestion d’utiliser en permanence des moyens, notamment matériels, financiers et humains, adaptés et suffisants (RGAMF, art. 321-23, I, pour les SGP d’OPCVM et RGAMF, art. 318-1, pour les SGP de FIA). Le personnel qu’elle emploie doit disposer des qualifications, des connaissances et de l’expertise requises pour exercer leurs responsabilités (RGAMF, art. 321-23, IV, pour les SGP d’OPCVM et règl. délégué AIFM, art. 22 pour les SGP de FIA).
À ce titre, l’instruction de l’AMF sur l’organisation de l’activité de gestion de placements collectifs (AMF, instruction, DOC-2012-01) précise que cette fonction de gestion des risques doit disposer des moyens humains et techniques nécessaires pour exercer d’une manière efficace ses activités (v. instruction, préc., p. 2).
Bonnes pratiques
Concernant la fonction de gestion des risques opérationnels, l’AMF identifie deux bonnes pratiques. La première concerne les connaissances du personnel de la SGP, lequel devrait pouvoir avoir accès, une fois par an, à une formation portant sur les modalités d’identification, de collecte et d’escalade des incidents opérationnels. La seconde naît du constat que les cinq SGP contrôlées ont mis en place un comité de suivi, au niveau de leur gouvernance, auquel les incidents opérationnels sont transmis afin qu’il assure le suivi des indicateurs de risque en fonction des limites définies comme acceptables. L’AMF est favorable à ce que ce comité de suivi soit informé des mises à jour significatives opérées tant sur la cartographie des risques que dans le corps procédural.
Le corps procédural
Cadre réglementaire
Au-delà de la mise en place d’une fonction dédiée à la gestion des risques, les SGP ont l’obligation de définir et de mettre en œuvre une politique de gestion des risques. Cette politique doit être documentée et elle doit comporter toutes les procédures nécessaires pour permettre à la SGP d’évaluer, pour chaque OPC qu’elle gère, l’exposition de celui-ci, notamment, au risque opérationnel, susceptible d’être significatif (RGAMF, art. 321-78 et 321-79, pour les SGP d’OPCVM ; Règl. délégué AIFM, art. 40 et RGAMF, art. 312-46, pour les SGP de FIA).
En particulier, les SGP doivent établir une cartographie des risques ainsi qu’un système de limites de risques quantitatives et/ou qualitatives (RGAMF, art. 321-81, pour les SGP d’OPCVM ; Règl. délégué AIFM, art. 44 et 45, pour les SGP de FIA). Selon le guide de l’AMF relatif à l’organisation de la gestion des risques (AMF, position-recommandation DOC-2014-06), « dès lors que les risques auxquels la SGP est exposée ont été identifiés et que des limites ont été fixées, la cartographie des risques va permettre d’évaluer le niveau d’exposition de la société à ces risques puis le comparer aux limites établies préalablement et mettre en place toutes les procédures nécessaires pour gérer les risques identifiés ».
Les SGP doivent aussi, si elles externalisent une partie de leurs tâches ou fonctions opérationnelles essentielles ou importantes, prendre les mesures raisonnables permettant d’éviter une aggravation indue du risque opérationnel (RGAMF, art. 321-93, pour les SGP d’OPCVM ; art. 318-58, pour les SGP de FIA).
Bonnes et mauvaises pratiques
L’AMF identifie, d’abord, deux bonnes pratiques liées à la détermination de « l’appétit » pour le risque opérationnel de la SGP, c’est-à-dire le « niveau maximal d’impact, en termes de risque opérationnel, que la SGP estime être en capacité de supporter dans la conduite de ses activités ». Il conviendrait, selon l’AMF, de définir ex ante, de manière formelle et chiffrée, cet appétit pour le risque opérationnel. En contrepoint, l’AMF qualifie de mauvaise pratique, le fait de définir cet appétit pour le risque a posteriori, sur la seule base des incidents opérationnels subis au cours du dernier exercice. Un appétit pour le risque informatique pourrait également être défini en s’appuyant sur des indicateurs pratiques.
Ensuite, il serait préférable d’établir une cartographie des risques opérationnels dédiée, distincte de la cartographie générale. Au sein de cette cartographie dédiée, le risque « brut » (sans prise en compte des moyens mis en œuvre pour maitriser ce risque) et le risque « net » (avec prise en compte de ces moyens) devraient être dissociés. Le risque « net » devrait inclure l’analyse des incidents opérationnels subis et les résultats des travaux de contrôles internes exécutés, processus par processus.
Toujours concernant la cartographie des risques, l’autorité relève comme mauvaise pratique, l’absence d’inclusion dans celle-ci d’une grille d’évaluation graduelle des impacts financiers et non financiers (par ex., impact réglementaire, réputationnel ou juridique) des risques opérationnels. Il serait donc de bonne pratique d’intégrer une telle grille.
Enfin, concernant l’externalisation de certaines tâches par la SGP, le corps procédural devrait contenir des critères précis de sélection des prestataires. Les clauses minimales à intégrer dans les contrats d’externalisation pourraient également être identifiées dans le but de maîtriser les risques opérationnels induits par l’externalisation.
Le processus de pilotage
Cadre réglementaire
Concernant leur organisation générale, les SGP ont l’obligation d’établir et de maintenir opérationnel un système efficace de remontées hiérarchiques et de communication des informations à tous les niveaux pertinents. Elles doivent aussi enregistrer de manière adéquate et ordonnée le détail de leurs activités et de leur organisation interne (RGAMF, art. 321-23, VI et VIII, pour les SGP d’OPCVM ; Règl. délégué AIFM, art. 57, § 1, d) et e), pour les SGP de FIA). En conséquence, lorsque le risque opérationnel se réalise, la SGP doit enregistrer l’incident opérationnel (v. not., Règl. délégué AIFM, art. 13, § 2, pour les SGP de FIA). Le registre des incidents doit aider la SGP à piloter son dispositif de gestion des risques opérationnels.
Bonnes et mauvaises pratiques
Concernant l’enregistrement des incidents opérationnels, l’AMF identifie quatre bonnes pratiques et dénonce six mauvaises pratiques. En les rapprochant, on peut comprendre que l’AMF serait particulièrement attentive à : l’identification spécifique des incidents d’origine cyber (bonne pratique déjà identifiée par l’AMF, v. AMF, Synthèse des contrôles SPOT – Dispositif de cyber sécurité des sociétés de gestion de portefeuille, n° 2, 2020) ; la nécessité de rapprocher, consolider et réconcilier l’ensemble des données relatives aux incidents opérationnels afin, notamment, d’être en mesure d’en déterminer les causes et d’agir en conséquence ; en miroir, éviter de dissocier le traitement des incidents opérationnels notamment en multipliant les bases de suivi.
Les modalités de couverture des risques
Cadre réglementaire
Les SGP de FIA ont l’obligation, pour couvrir le risque de mise en cause de leur responsabilité professionnelle, soit de renforcer leurs fonds propres avec un coussin supplémentaire, soit de souscrire à une assurance de responsabilité civile professionnelle (RGAMF, art. 317-2). Concernant le coussin de fonds propres, celui-ci doit être suffisant pour couvrir le risque d’engagement de la responsabilité de la SGP pour négligence professionnelle. Le règlement délégué AIFM précise que le montant de ces fonds propres supplémentaires doit s’élever au moins à 0,01 % de la valeur des portefeuilles des FIA gérés (Règl. délégué AIFM, art. 14, § 2).
Dans son guide d’élaboration du programme d’activité des sociétés de gestion de portefeuille, l’AMF a rappelé que ce taux est un taux minimum. Selon elle, « le taux retenu par la [SGP] doit résulter d’une analyse menée régulièrement par cette dernière concernant les risques qu’elle supporte et leur quantification. Le montant ainsi défini doit correspondre aux risques supportés et être d’un niveau suffisant pour permettre de prendre les mesures de remédiations rendues nécessaires (par ex., couvrir au minimum les frais juridiques et de procédure). L’analyse doit être formalisée et les hypothèses justifiées et historisées » (AMF, position-recommandation, DOC-2012-19, p. 57).
Bonne pratique
Lors des contrôles SPOT, l’AMF a constaté que quatre des cinq SGP contrôlées appliquaient le taux de 0,01 % sans être en mesure de justifier ce choix. En conséquence, l’AMF, rappelant que ce taux est un taux minimum, confirme qu’il est nécessaire de fonder le calcul des fonds propres supplémentaires sur « une analyse prenant en compte à la fois le montant de ces fonds propres retenu au cours de l’exercice écoulé, les pertes opérationnelles liées aux incidents subis, les pertes potentielles liées aux incidents évités (near miss) et les résultats des travaux menés par le contrôle interne sur le dispositif de gestion des risques ».
Le dispositif de reporting
Cadre réglementaire
Les SGP sont tenues d’une obligation de reporting vis-à-vis de l’AMF. En particulier, elles doivent lui communiquer, au plus tard un mois calendaire suivant la fin de chaque trimestre, les informations relatives aux indemnisations qu’elles ont versées aux actionnaires ou porteurs de parts des OPC qu’elles gèrent (RGAMF, art. 321-75-1, pour les SGP d’OPCVM ; art. 318-37-1, pour les SGP de FIA ; v. égal., AMF, Synthèse des contrôles SPOT relative au processus de production, de contrôle et de transmission à l’AMF des reportings réglementaires, oct. 2023).
Bonnes et mauvaises pratiques
L’AMF formule deux bonnes et deux mauvaises pratiques se rapportant, non pas au reporting réglementaire, mais au reporting interne à destination des dirigeants responsables. On retiendra que ce reporting doit être formel et qu’il est bon de prévoir un processus accéléré pour les incidents opérationnels « particulièrement graves ». À l’inverse, concernant les incidents opérationnels mineurs, les seuils en deçà desquels ces incidents ne sont pas rapportés aux dirigeants responsables doivent être formalisés dans le corps procédural.
par Thiphaine Saupin, Agrégée des facultés de droit, Professeure à l’Université de Poitiers, Membre de l’Institut Jean Carbonnier
© Lefebvre Dalloz