L'essor de l'IA dans la gestion des risques

L'intelligence artificielle s'implante de plus en plus profondément dans les fonctions de gestion des risques des banques et des institutions financières. Elle permet d'examiner un plus grand nombre de transactions, de détecter des schémas inhabituels et de mettre à jour les évaluations plus rapidement que les systèmes traditionnels. Accenture indique que les entreprises financières qui utilisent l'IA ont enregistré des gains d'efficacité opérationnelle de 20%. Cependant, une analyse plus rapide ne signifie pas nécessairement un meilleur contrôle. La qualité du résultat dépend toujours des données, des hypothèses et des personnes à l'origine du modèle.

La gestion des risques a toujours été confrontée à des informations incomplètes. Les banques doivent déterminer quels emprunteurs sont susceptibles de rembourser leurs prêts, quelles transactions nécessitent un examen approfondi et comment leurs portefeuilles pourraient évoluer face à des conditions de marché changeantes.

Traditionnellement, ces décisions s'appuyaient sur des modèles statistiques, des règles établies et le jugement de collaborateurs expérimentés. Cette approche reste importante, mais elle est de plus en plus difficile à mettre en œuvre à l'échelle et au rythme exigés par la finance moderne.

Les institutions traitent aujourd'hui un nombre considérable de paiements, de positions de marché et de dossiers clients. Des risques peuvent apparaître dans différents systèmes et juridictions, souvent avant même qu'ils ne soient visibles dans les rapports traditionnels.

L'IA permet d'analyser ces signaux de manière conjointe. Elle est capable d'identifier les anomalies, de comparer les comportements à travers de vastes ensembles de données et d'attirer l'attention des humains sur les cas qui méritent un examen plus approfondi.

Sa principale valeur n'est pas la capacité d'anticipation. C'est plutôt la capacité d'élargir ses recherches et de réagir plus rapidement.

Des règles immuables aux tendances en constante évolution

Les systèmes de gestion des risques traditionnels fonctionnent souvent selon des seuils prédéfinis. Une transaction dépassant une certaine valeur peut déclencher un examen. Un emprunteur présentant certaines caractéristiques financières peut se voir attribuer une note de crédit spécifique.

Ces règles sont transparentes et relativement faciles à contrôler. Elles peuvent toutefois manquer de souplesse.

Les fraudeurs adaptent leur comportement pour contourner les contrôles existants. Les relations sur le marché évoluent. Une transaction qui semble anodine prise isolément peut paraître suspecte lorsqu'on la replace dans le contexte d'un ensemble d'activités.

Les modèles d'apprentissage automatique peuvent analyser ces relations sans s'appuyer exclusivement sur des règles fixes. Ils peuvent détecter des changements subtils dans les habitudes de paiement, l'accès aux comptes ou les réseaux de transactions, qui seraient difficiles à identifier manuellement.

Le même principe s'applique aux risques de crédit et de marché. L'IA est capable de traiter un éventail plus large de variables et d'actualiser les évaluations à mesure que de nouvelles informations sont disponibles.

Cela permet d'obtenir un système plus réactif. Cela rend également la supervision plus exigeante, en particulier lorsque le modèle n'est pas en mesure d'expliquer clairement ses conclusions.

JPMorgan illustre l'attrait de l'économie d'échelle

JPMorgan Chase a réalisé d'importants investissements dans l'intelligence artificielle dans les domaines du trading, de la conformité, de la détection des fraudes et du risque opérationnel.

Pour une banque de cette envergure, l'intérêt est évident. Même des améliorations modestes en termes de rapidité ou de précision de l'analyse des risques peuvent générer des économies substantielles lorsqu'elles sont appliquées à des millions de transactions et de relations clients.

Les outils basés sur l'IA peuvent aider les employés à repérer les activités inhabituelles, à examiner des documents et à hiérarchiser les alertes. Ils permettent également de réduire le temps consacré à des enquêtes répétitives qui, au final, ne révèlent aucun problème.

Cela ne signifie pas pour autant que les décisions en matière de risque soient entièrement déléguées aux machines. Les cas présentant un risque plus élevé nécessitent toujours une interprétation, des éléments probants et un jugement documenté.

L'expérience de JPMorgan reflète une tendance plus générale dans le secteur. Les grandes institutions ont recours à l'IA pour renforcer leurs systèmes de contrôle existants plutôt que pour remplacer leurs services de gestion des risques par des modèles autonomes.

C'est lorsqu'elle aide les spécialistes à déterminer où chercher que cette technologie prend tout son intérêt.

Cette tendance se généralise dans l'ensemble du secteur

Une enquête menée par Deloitte a révélé que 76 % des établissements financiers investissaient dans l'IA afin d'améliorer leurs capacités en matière de gestion des risques.

La mise en œuvre couvre les risques de crédit, de marché, de liquidité, opérationnels et de conformité. Le degré de maturité de ces applications varie considérablement.

La détection des fraudes figure parmi les cas d'utilisation les plus courants, car les institutions disposent déjà d'importants volumes de données transactionnelles et peuvent comparer les alertes générées par les modèles avec les résultats connus.

L'évaluation de la solvabilité est plus complexe. L'IA peut prendre en compte des données relatives aux flux de trésorerie, au comportement de paiement et à d'autres variables que les systèmes de notation traditionnels ne prennent pas en compte. Cela permet d'obtenir une vision plus précise du profil d'un emprunteur.

Cela peut également rendre les décisions plus difficiles à expliquer.

Les modèles de risque de marché sont confrontés à un autre défi. S'ils permettent d'identifier des corrélations entre les titres et les classes d'actifs, ces relations historiques s'affaiblissent souvent en période de crise.

Les applications liées aux risques opérationnels vont de la surveillance de la cybersécurité à l'analyse des processus internes. Dans ce domaine, l'IA permet de détecter toute activité inhabituelle au sein du système, tout comportement suspect de la part des employés ou toute concentration de transactions ayant échoué.

Il n'existe pas de système unique de gestion des risques liés à l'IA. Ce terme recouvre toute une gamme d'outils destinés à résoudre des problèmes très différents.

Les petites entreprises y ont accès par l'intermédiaire de prestataires

L'utilisation de l'IA ne se limite pas aux banques internationales.

Les entreprises de la fintech et les petites sociétés financières peuvent se procurer des outils de gestion des risques via des plateformes cloud et des fournisseurs de technologies spécialisés. Cela permet de réduire les coûts liés à la détection des fraudes, à la vérification d'identité et à l'analyse des données.

Plaid, par exemple, utilise des systèmes automatisés pour garantir la sécurité des données et détecter les activités potentiellement frauduleuses au sein des réseaux financiers.

Les plateformes externes permettent aux petites structures d'accéder à des fonctionnalités qu'elles n'auraient pas les moyens de développer en interne. Elles créent toutefois de nouvelles dépendances.

Une entreprise peut externaliser la technologie, mais elle ne peut pas externaliser sa responsabilité. Elle doit savoir quelles données le prestataire utilise, comment le système est testé et ce qui se passe en cas de défaillance du service.

La concentration des fournisseurs constitue en soi un risque. Si de nombreuses institutions s'appuient sur les mêmes modèles ou infrastructures, une faille technique pourrait affecter simultanément une grande partie du système financier.

Il faut donc trouver un juste équilibre entre commodité et contrôle.

Les prévisions ont des limites évidentes

L'analyse prédictive est souvent présentée comme le principal atout de la gestion des risques par l'IA.

Les modèles permettent d'estimer la probabilité de défaut, de fraude ou de perte liée au marché en analysant les résultats antérieurs. À mesure que de nouvelles données sont disponibles, ces estimations peuvent être mises à jour.

Ce processus est utile, mais le langage des prévisions peut donner une fausse impression de sécurité.

Les risques financiers se manifestent rarement dans un contexte stable. Le comportement des emprunteurs évolue en période de récession. La liquidité du marché peut disparaître rapidement. Les décisions politiques, les cyberattaques et les catastrophes naturelles peuvent donner lieu à des événements qui sont mal représentés dans les données historiques.

Un modèle peut donner de bons résultats dans des conditions normales, mais échouer précisément au moment où ses résultats comptent le plus.

C'est pourquoi l'IA devrait venir compléter, plutôt que remplacer, l'analyse de scénarios et les tests de résistance. Les institutions doivent examiner ce qui pourrait se produire en dehors de la fourchette des résultats que le modèle considère comme probables.

La gestion des risques ne se limite pas à la probabilité, mais prend également en compte les conséquences.

L'automatisation libère des capacités, mais peut masquer des faiblesses

L'IA permet d'automatiser certaines étapes de la collecte de données, de la classification des alertes, de la documentation et de la production de rapports.

Cela permet aux professionnels de la gestion des risques de consacrer davantage de temps aux enquêtes complexes et aux questions stratégiques. Cela peut également réduire les incohérences qui surviennent lorsque les contrôles de routine sont effectués manuellement.

Le gain d'efficacité est intéressant. Accenture fait état d'une amélioration de 201 % chez les entreprises du secteur financier qui utilisent les technologies d'IA.

Mais l'automatisation peut masquer des processus défaillants.

Si un modèle est entraîné à partir de classifications erronées, il risque de les reproduire avec encore plus d'efficacité. Si différents services utilisent des données clients ou transactionnelles incohérentes, un traitement plus rapide ne résoudra pas le problème sous-jacent.

Les institutions pourraient également avoir plus de mal à fonctionner sans systèmes automatisés. Les employés qui effectuent rarement une tâche manuellement pourraient avoir du mal à se rendre compte que la technologie est en panne.

La résilience exige de savoir remettre le système en question, et pas seulement de s'en servir.

Les modèles de risque reflètent les décisions humaines

On dit parfois que l'intelligence artificielle est plus objective que le jugement humain. Dans la pratique, les modèles sont élaborés à partir de choix humains.

Ce sont les développeurs qui décident quelles données inclure, quels résultats optimiser et comment classer les décisions antérieures. Ces choix influencent les conclusions du modèle.

En matière de risque de crédit, les données historiques peuvent refléter un accès inégal au crédit ou un traitement différent selon les catégories de clients. Un modèle entraîné sur de telles données peut reproduire ces schémas sans utiliser explicitement de caractéristiques protégées.

Les systèmes de détection des fraudes peuvent générer un nombre disproportionné d'alertes pour les clients dont les transactions s'écartent de la norme, même lorsque leur activité est tout à fait légitime.

Le problème n'est pas résolu en supprimant les noms ou les données démographiques. D'autres variables peuvent servir d'indicateurs.

Les institutions doivent donc vérifier les résultats des modèles pour différents groupes de clients et enquêter sur les disparités inexpliquées.

Un système statistiquement fiable peut néanmoins aboutir à des décisions injustes, inadaptées ou difficiles à défendre sur le plan juridique.

L'explicabilité devient un enjeu réglementaire

Les modèles complexes peuvent aboutir à des prédictions solides sans pour autant expliquer clairement comment ils y sont parvenus.

Cela pose un problème particulier lorsqu'une décision a des répercussions sur un client. Le rejet d'une demande de crédit, le gel d'une transaction ou une reclassification dans une catégorie de risque plus élevée peuvent nécessiter une explication claire.

Les autorités de régulation et les instances de gouvernance interne doivent également vérifier si les modèles fonctionnent dans les limites approuvées.

Certaines institutions peuvent donc privilégier des modèles plus simples dans les applications à enjeux élevés, même lorsque des systèmes plus complexes offrent une précision prédictive légèrement supérieure.

Il s'agit d'un compromis entre performance et explicabilité.

Tous les modèles d'IA n'ont pas besoin de dévoiler l'ensemble de leurs calculs techniques à chaque utilisateur. Cependant, les institutions doivent être en mesure de décrire les facteurs importants qui sous-tendent une décision et de démontrer que le système a été testé.

Un résultat incontestable est difficile à gérer.

La sécurité des données fait désormais partie intégrante de la gestion des risques

Les systèmes d'IA ont besoin d'un accès étendu aux informations financières, transactionnelles et personnelles.

Cela crée une tension évidente. Si cette technologie vise à réduire les risques, la concentration et le traitement de données sensibles peuvent toutefois créer de nouvelles vulnérabilités.

Les institutions doivent protéger les informations tout au long de leur collecte, de leur stockage et de leur analyse. L'accès à ces informations doit être limité, consigné et régulièrement contrôlé.

Les prestataires externes spécialisés dans l'IA doivent faire l'objet d'une attention particulière. Les entreprises doivent savoir si leurs données sont utilisées pour entraîner d'autres modèles, où les informations sont traitées et dans quels délais les incidents doivent être signalés.

Les cyberattaquants peuvent également tenter de manipuler les systèmes d'IA. En modifiant les données d'entrée ou en imitant un comportement normal, ils peuvent essayer d'échapper à la détection.

Le modèle lui-même peut donc devenir une cible.

La sécurité des données et la sécurité des modèles ne peuvent être considérées comme des disciplines distinctes. Elles s'inscrivent toutes deux dans le cadre plus large de gestion des risques de l'établissement.

Les modèles nécessitent une surveillance constante

On dit souvent que les systèmes d'IA apprennent et s'améliorent avec le temps. Ce processus doit être géré avec soin.

Un modèle qui s'actualise de lui-même sans contrôles efficaces risque de s'éloigner de son objectif initial. Les modifications apportées aux données peuvent progressivement altérer la manière dont il classe les risques, même si aucune décision officielle n'a été prise pour réviser la méthodologie.

Les institutions doivent surveiller la précision, les faux positifs et les changements inattendus de comportement. Les performances doivent être testées dans différentes conditions de marché et économiques.

Toute modification apportée au modèle de matière doit être documentée et approuvée. Les employés doivent savoir quelle version est en vigueur et en quoi elle diffère des versions précédentes.

Une validation indépendante reste indispensable. L'équipe chargée de développer un modèle ne devrait pas être la seule à en évaluer l'efficacité.

L'apprentissage continu ne remplace pas une gouvernance continue.

Le jugement humain se concentre sur les exceptions

L'IA va modifier la répartition des tâches au sein des services chargés de la gestion des risques.

Les dossiers courants peuvent de plus en plus souvent être traités automatiquement. Les employés se concentreront sur les exceptions, les situations ambiguës et les risques qui ne correspondent pas aux schémas établis.

Cela rend le jugement humain d'autant plus important, et non l'inverse.

Les cas transmis à des spécialistes sont souvent les plus complexes. Les employés doivent maîtriser suffisamment le modèle pour pouvoir remettre en question ses conclusions et savoir quand des éléments de preuve supplémentaires sont nécessaires.

Ils doivent également avoir le pouvoir de passer outre les recommandations automatisées.

Un système qui n'autorise l'intervention humaine qu'en théorie ne permet pas d'assurer un contrôle efficace. Les entreprises devraient vérifier à quelle fréquence les employés remettent en cause les modèles et s'ils subissent des pressions pour se conformer aux résultats générés par l'automatisation.

L'objectif n'est pas de préserver le travail manuel pour le simple plaisir de le faire. Il s'agit de garantir que les décisions importantes restent justifiables.

L'IA peut également générer un risque systémique

L'adoption de modèles similaires dans l'ensemble du secteur financier pourrait donner lieu à de nouvelles formes d'exposition commune.

Si les établissements utilisent des données et des algorithmes comparables, ils peuvent réagir de manière similaire aux signaux du marché. En période de tension, cela pourrait amplifier les ventes, réduire la liquidité ou entraîner des changements brusques dans l'accès au crédit.

Un modèle donné peut être rationnel du point de vue d'une entreprise donnée, tout en contribuant à l'instabilité de l'ensemble du système.

La dépendance vis-à-vis d'un petit nombre de fournisseurs de services cloud et de technologies fait peser un risque de concentration supplémentaire. Une perturbation touchant un fournisseur majeur pourrait compromettre les dispositifs de contrôle des risques de plusieurs établissements à la fois.

Les autorités de régulation devront donc ne pas se limiter à l'évaluation des performances des modèles individuels. Elles devront examiner comment l'IA modifie les comportements au sein des institutions et sur les marchés.

Une plus grande efficacité au niveau des entreprises ne se traduit pas automatiquement par une plus grande résilience au niveau du système.

Le potentiel est considérable

Selon les estimations de McKinsey, l'IA pourrait générer jusqu'à 1 000 milliards de dollars de valeur ajoutée annuelle pour le secteur bancaire mondial.

Seule une partie de cette valeur proviendra directement de la gestion des risques. Une meilleure détection des fraudes, une réduction des coûts liés à la conformité et des décisions de crédit plus précises pourraient néanmoins y contribuer de manière significative.

Ces avancées ne se concrétiseront pas simplement parce que les institutions se dotent d'outils d'IA.

Les entreprises ont besoin de données fiables, d'objectifs clairs et de collaborateurs capables d'exploiter les résultats des modèles. Elles doivent investir dans les tests, la sécurité et la gouvernance parallèlement au développement.

Certaines applications ne produiront pas les résultats escomptés. D'autres pourraient s'avérer trop difficiles à expliquer ou trop sensibles aux changements de contexte.

Les responsables de la gestion des risques devraient donc partir de problèmes clairement définis plutôt que d'ambitions générales. Un système conçu pour réduire les fausses alertes de fraude peut être évalué à l'aune d'un résultat précis. Une promesse générale de “ transformer la gestion des risques ” ne le peut pas.

Les investissements dans l'IA devraient être évalués en fonction de leur impact sur les décisions, et non en fonction de la sophistication de la technologie.

Des alertes plus rapides, mais pas moins d'incertitudes

L'intelligence artificielle devrait devenir un élément incontournable de la gestion des risques financiers.

Il permet de détecter des tendances dans de vastes ensembles de données, d'automatiser les contrôles de routine et d'aider les institutions à réagir plus rapidement. Ces capacités sont précieuses dans un système financier où les risques évoluent rapidement et dépassent souvent les frontières organisationnelles.

Cela ne rend pas les institutions à l'abri de l'erreur.

Les modèles d'IA peuvent mal interpréter des situations inhabituelles, reproduire des biais historiques et créer des dépendances difficiles à détecter. La rapidité avec laquelle ils fournissent des résultats peut inciter les entreprises à accorder davantage de crédit à ces prévisions que ne le justifient les données sous-jacentes.

Les cadres de gestion des risques les plus efficaces associeront une analyse automatisée à une remise en question par des experts, à une validation indépendante et à une responsabilité clairement définie.

L'IA peut améliorer le système d'alerte. Elle ne peut toutefois pas déterminer quels risques une institution doit accepter, quel degré d'incertitude elle est en mesure de supporter, ni quelles mesures restent responsables lorsque les données ne sont pas concluantes.

Ces choix appartiennent toujours aux gens.