Gouvernance bancaire et préparation des contrôles et des supervisions
Quand l’efficacité des instances de gouvernance devient un enjeu prudentiel, et un test de maturité stratégique
Janvier 2026 | Par Adèle Vaujour, Fondatrice de LYVE Advisory
Depuis la crise de Silicon Valley Bank en 2023, une question s’est imposée au cœur du dialogue entre banques et superviseurs : comment démontrer que les organes de gouvernance disposent réellement de la capacité collective nécessaire pour assurer la résilience des établissements ?
Dans l’Union européenne, les autorités de surveillance considèrent de longue date la gouvernance interne des établissements bancaires comme un pilier de la résilience prudentielle, au même titre que les cadres de gestion des risques traditionnels. Ce qui évolue aujourd’hui n’est pas la nature de cette exigence, mais le niveau d’attention porté à l’efficacité réelle du fonctionnement des organes de gouvernance.
Ce mouvement ne procède pas d’un durcissement réglementaire ponctuel. Il reflète une lecture plus exigeante de ce qui fonde, dans l’environnement actuel, la solidité d’un établissement bancaire. Fragmentation géopolitique, accélération technologique et montée des risques cyber et de réputation placent les Conseils d’Administration face à des arbitrages de plus en plus complexes, où la capacité à comprendre, débattre et décider collectivement devient déterminante.
Les publications récentes de la Banque Centrale Européenne et des autorités nationales en prennent acte : l’efficacité collective d’un Conseil d’Administration ne peut plus être appréhendée comme un attribut « soft » de la performance organisationnelle. Elle fait désormais l’objet d’une évaluation de plus en plus structurée, susceptible de se traduire en exigences qualitatives dans le cadre du SREP[1], en attentes de remédiation assorties de jalons précis, et, en cas de défaillance persistante, en mesures d’escalade.
I. L'évolution du référentiel de supervision : de la conformité formelle à l'efficacité substantielle
Le tournant 2023-2026 : une accélération nette vers l’efficacité des organes de direction
L'effondrement de Silicon Valley Bank au printemps 2023 a cristallisé ce que les superviseurs européens observaient depuis plusieurs années : les carences en matière de gouvernance jouent un rôle majeur dans les défaillances bancaires. Le rapport de la Réserve Fédérale américaine sur SVB est sans équivoque : « le conseil d'administration et la direction de Silicon Valley Bank ont échoué à gérer leurs risques »[2].
Cette conclusion a résonné avec force dans les enceintes de supervision européennes. Frank Elderson, Vice-Président du Conseil de Surveillance de la BCE, l'a formulé explicitement dans son discours de juillet 2024[3] : « Dans la supervision bancaire, nous constatons trop souvent que la cause profonde des vulnérabilités dans les banques réside dans leur gouvernance et leur culture de risque. » Ces fragilités impactent in fine des items quantitatifs, tels que les positions de liquidité.
Les chiffres sont parlants. Dans le cycle SREP 2022, 73% des établissements sous supervision de la BCE ont obtenu un score de 3 sur 4[4] en matière de gouvernance interne. Ce score signifie, dans la grille du SREP, que des améliorations matérielles sont nécessaires[5]. Cette proportion révèle l'ampleur du défi : il ne s'agit pas d'une poignée d'institutions défaillantes, mais d'une problématique systémique touchant une grande partie secteur bancaire européen.
De la gouvernance formelle à l’efficacité réelle : trois capacités clés attendues des Conseils d’Administration
La BCE a formalisé ses attentes à travers la publication, en juillet 2024, du Guide on Governance and Risk Culture, destiné à remplacer le SSM Supervisory Statement on Governance and Risk Appetite de 2016 et à préciser ses attentes en matière de gouvernance interne et de culture du risque. Ce guide actualise les bonnes pratiques et tient compte d’une décennie d’observations prudentielles. Il clarifie les responsabilités, les structures et les processus que les management bodies doivent mettre en place pour assurer une gouvernance solide effectivement intégrée à la gestion des risques.
Comme le rappelle Frank Elderson, la supervision évalue à la fois les éléments tangibles de la gouvernance (e.g. structure et composition des différents organes) et les dimensions culturelles et comportementales qui conditionnent la manière dont les décisions sont réellement prises, challengées et assumées.
Dans ce cadre, trois capacités participent à lire de manière opérationnelle l’efficacité d’un Conseil d’Administration au regard des attentes des superviseurs. La première est la capacité collective à appréhender la complexité des risques, qui ne se limite pas à la conformité individuelle des membres aux exigences de fit and proper, mais suppose que l’organe de direction, dans son ensemble, dispose des connaissances, compétences et expériences nécessaires pour comprendre l’impact des risques émergents sur le modèle d’affaires, les opérations et la résilience de l’établissement. Comme le souligne Anneli Tuominen, membre du Conseil de Surveillance de la BCE, dans son discours d’octobre 2025[6], les superviseurs observent encore des marges d’amélioration dans l’expertise collective des Conseils d’Administration sur ces sujets, alors même que les exigences réglementaires, notamment issues du Digital Operational Resilience Act (DORA)[7], renforcent explicitement leurs responsabilités.
La deuxième capacité est celle du challenge constructif et informé. Dans un environnement où les risques sont de plus en plus transversaux et interconnectés, le rôle du Conseil d’Administration n’est pas d’entrer dans le détail technique, mais de poser les bonnes questions, au bon niveau, et de s’assurer que les arbitrages proposés par le management intègrent pleinement les dimensions de risque. Cette capacité repose sur l’indépendance de jugement des administrateurs, la qualité du débat contradictoire et l’absence de mécanismes organisationnels qui entravent l’expression de points de vue divergents. Les superviseurs soulignent que, lorsque ces conditions ne sont pas réunies, la gouvernance devient un facteur de vulnérabilité plutôt qu’un rempart.
Enfin, la troisième capacité est celle de la robustesse décisionnelle, étroitement liée à la culture du risque. Une gouvernance efficace se manifeste par la capacité du Conseil d’Administration à intégrer la perspective de risque dans les processus clés (e.g. stratégie, décisions d’allocation, rémunération) y compris sous contrainte ou en situation d’incertitude. L’alignement entre appétit au risque, incitations et responsabilités demeure un point de vigilance majeur, conditionnant la résilience réelle des établissements face aux chocs contemporains.
II. Les risques « non-traditionnels » au cœur de l'évaluation de la supervision
Le risque géopolitique : aujourd’hui au cœur du dispositif prudentiel
La BCE a annoncé la tenue en 2026 d'un reverse stress test sur le risque géopolitique. Ce choix méthodologique – le superviseur fixe un niveau de dégradation (e.g. en capital) et demande aux banques d’identifier les scénarios pouvant y conduire, afin de mettre en évidence les vulnérabilités propres à chaque modèle – illustre la difficulté inhérente à l'évaluation de risques par nature imprévisibles et fortement corrélés.
Dans son Macroprudential Bulletin 28 d’avril 2025[8], la BCE analyse l’impact du risque géopolitique sur la solvabilité des banques à partir de données historiques étendues sur plus d’un siècle, concluant qu’une croissance persistante du risque géopolitique a été associée à des déclins significatifs de la capitalisation bancaire et influencent les conditions économiques et financières. Cette analyse sert de fondement aux réflexions récentes des superviseurs sur la façon dont ce type de risque structurel doit être intégré dans l’évaluation de la résilience prudentielle des établissements.
Cette permanence du risque géopolitique exige des Conseils d’Administration une double compétence : d'une part, la capacité à intégrer ces facteurs dans leurs matrices de risques traditionnelles (impact sur le risque de crédit ou de liquidité notamment) ; d'autre part, la capacité à maintenir une vision stratégique de long terme malgré la volatilité de court terme.
Le risque cyber et ICT[9] : l'expertise technique comme prérequis de gouvernance
Les autorités de supervision constatent une augmentation significative des cyberattaques déclarées par les établissements bancaires, faisant du risque cyber l’un des vecteurs les plus tangibles de la transformation du paysage de risques. Selon l’ENISA[10], les banques constituent le segment le plus exposé du secteur financier européen, représentant environ 46 % des incidents publiquement rapportés sur la période 2023–2024. Cette concentration sectorielle, combinée au recours croissant à des prestataires tiers critiques, accroît le caractère systémique du risque et en fait un sujet de gouvernance à part entière.
Face à ces constats, la BCE a renforcé en 2024 ses attentes en matière d’expertise ICT et de sécurité au sein des organes de direction. L’objectif est de s’assurer que leurs membres disposent collectivement de connaissances et d’expériences suffisantes pour comprendre les risques technologiques et arbitrer en connaissance de cause. Ces attentes sont désormais prises en compte, au cas par cas, dans le cadre des évaluations fit and proper.
L’entrée en vigueur de DORA en janvier 2025 a encore renforcé cette exigence. Le règlement confère aux organes de direction des responsabilités explicites en matière de gouvernance et d’organisation de la gestion des risques ICT. Les threat-led penetration tests (TLPT)[11], coordonnés par la BCE pour les établissements sous sa supervision, permettront d’évaluer la bonne connaissance de ces risques par les différents organes de gouvernance des établissements bancaires ainsi que la robustesse des dispositifs mis en place pour les gérer.
L'intelligence artificielle : le dilemme exploration-exploitation à l'échelle stratégique
Si la maîtrise du risque cyber suppose une expertise technique croissante au sein des Conseils, l'émergence de l'intelligence artificielle les place face à un arbitrage stratégique dont la difficulté tient moins à la nouveauté du dilemme qu’à la vitesse d’exécution, à la dépendance à des tiers, et à la nécessité d’une traçabilité des choix (objectifs, limites d’usage, contrôles, responsabilités) au niveau des organes de direction. Anneli Tuominen l'a formulé à travers le prisme de la théorie organisationnelle : le trade-off entre exploitation (maximiser l'efficience des processus existants) et exploration (investir dans de nouvelles capacités pour préparer un futur incertain).
L'IA amplifie les enjeux de cet arbitrage. D'un côté, les gains d'efficience dans le traitement des risques, la détection de la fraude ou la personnalisation de l'expérience client peuvent être substantiels. De l'autre, les risques potentiels associés – e.g. biais algorithmiques, dépendance technologique, vulnérabilités cyber, risques de réputation liés à des décisions automatisées contestables – pourraient être tout aussi significatifs. La question est de savoir comment les Conseils d’Administration des établissements structureront l’investissement dans l’IA pour maximiser les bénéfices tout en contenant les risques.
Cette problématique exige des organes de gouvernance une sophistication nouvelle : la capacité à évaluer des technologies qu'ils ne maîtrisent pas techniquement, à arbitrer entre des scénarios aux probabilités incertaines, et à maintenir une supervision effective de systèmes dont la complexité excède souvent la compréhension intuitive. Dès lors, il apparait nécessaire que les Conseils d’Administration puissent construire une culture du questionnement informé, où l'expertise technique dialogue avec le jugement stratégique.
Le risque de réputation à l'ère de la désinformation
L'épisode de mars 2023 aux États-Unis[12] – touchant Silicon Valley Bank, First Republic Bank, Crédit Suisse, et Signature Bank – a révélé la vélocité nouvelle du risque de réputation. Les retraits de dépôts, accélérés par les réseaux sociaux et les outils technologiques, peuvent désormais générer une crise de liquidité en quelques heures. Le Financial Stability Board note dans son rapport de novembre 2024[13] que « la digitalisation du système financier et les progrès technologiques en cours contribuent à une complexité et une interconnexion accrues, qui accroissent les vulnérabilités opérationnelles ».
Cette vulnérabilité est exacerbée par le phénomène de désinformation. Par exemple, l'ENISA a émis en avril 2025 une alerte concernant la circulation, via les réseaux sociaux et des applications de messagerie, de fausses informations associant à tort des cyberattaques à des événements tels que des pannes d’infrastructures ou des attaques fictives contre des banques européennes. Bien que non fondée, cette rumeur illustre la fragilité de la confiance dans un écosystème informationnel saturé et fragmenté.
De plus, le cyber resilience stress test conduit par la BCE en 2024 a révélé que de nombreux établissements ne disposaient pas de plans de communication suffisamment développés pour échanger avec leurs clients en situation de crise.
Comme l’a souligné Anneli Tuominen, ces dynamiques font du risque de réputation une menace potentiellement existentielle pour les établissements bancaires dans l’ère digitale. La capacité à préserver une base de dépôts stable et à maintenir la confiance des clients nécessite l’évaluation de la deposit franchise value de la banque – correspondant, en termes économiques, à la protection d’un actif immatériel dont la dégradation peut rapidement transformer un choc de réputation en crise de liquidité. Dans ce contexte, les Conseils d’Administration jouent un rôle central : à travers leur pilotage stratégique et leur supervision des risques, ils sont garants du maintien de cette franchise value, représentant une condition importante de la résilience financière.
III. L'impératif de mesurabilité : objectiver l'intangible
Le paradoxe de la gouvernance : évaluée mais rarement mesurée
Les autorités de supervision européennes ont développé un arsenal méthodologique sophistiqué pour évaluer la gouvernance des établissements : revues thématiques ou ciblées, participation aux réunions de Conseils et de comités, évaluations fit & proper, etc. Ces démarches peuvent donner lieu à des exigences complémentaires, et peuvent conduire à des mesures d'escalade allant jusqu'aux pénalités financières.
Pourtant, un paradoxe demeure : si la gouvernance est évaluée par les autorités, elle est rarement mesurée de manière systématique et reproductible par les établissements eux-mêmes. Ces derniers disposent de tableaux de bords complexes pour suivre leurs ratios réglementaires et financiers, mais ils peinent en revanche à objectiver la qualité de l'intelligence collective de leur Conseil d’Administration et ses émanations. Un établissement peut ainsi suivre quotidiennement l'évolution de son ratio CET1 avec trois décimales, mais avoir des difficultés à répondre à des questions comme : Lors de notre dernière décision stratégique majeure, combien d'administrateurs ont effectivement challengé la proposition du management ? Sur quels arguments ? Avec quel impact sur la décision finale ? En ayant quels effets sur les autres membres ?
Cette asymétrie peut créer une vulnérabilité stratégique. Les établissements se retrouvent en position réactive face aux observations des autorités de supervision, contraints de remédier à des carences identifiées a posteriori, sans disposer des outils pour anticiper ces lacunes ou mesurer objectivement leurs progrès. La matrice pour évaluer les compétences (suitability matrix) proposée par l'EBA dans ses orientations en matière d’évaluation de l’aptitude des membres de l’organe de direction et des titulaires de postes clés (EBA/GL/2021/06) constitue une avancée, mais reste un outil statique, photographiant les compétences disponibles sans évaluer leur mobilisation effective dans les processus décisionnels et de surveillance.
Les dimensions de l'intelligence collective : au-delà des compétences individuelles
L'intelligence collective d'un organe de direction ne se réduit pas à la somme des intelligences individuelles de ses membres. Elle émerge de la qualité des interactions, de la structure des débats, de la capacité à gérer les désaccords de manière productive, et de l'aptitude à intégrer des perspectives diverses dans une décision cohérente. Mesurer cette intelligence collective suppose donc d'évaluer simultanément plusieurs dimensions interdépendantes.
La qualité informationnelle constitue un pilier. Un Conseil d’Administration ne peut décider efficacement que s'il dispose d'informations fiables et actionnables. Cette dimension apprécie la qualité des reporting packages, la pertinence des indicateurs suivis, mais également la capacité du management à remonter les signaux faibles et les mauvaises nouvelles sans filtre excessif.
La dynamique délibérative examine comment les décisions sont réellement prises. Elle intègre par exemple le temps consacré aux discussions stratégiques versus opérationnelles, la distribution de la parole, la capacité à exprimer des désaccords, l'existence de mécanismes pour éviter le groupthink, et la qualité des procès-verbaux qui capitalisent les raisonnements ayant présidé aux décisions.
La cohésion opérationnelle mesure la capacité du Conseil d’Administration à transformer ses décisions en actions effectives. Elle détermine notamment la clarté des mandats confiés au management, l'efficacité du suivi des décisions, la réactivité face aux écarts de trajectoire, et la fluidité de la communication entre le Conseil d’Administration et les lignes de management.
Enfin, la résilience adaptative évalue la capacité du Conseil d’Administration à maintenir son efficacité sous tension : en période de crise, lors de l'arrivée de nouveaux membres, face à des chocs externes, ou dans des situations d'incertitude radicale. Cette dimension est particulièrement critique dans le contexte actuel de volatilité structurelle.
De l'évaluation qualitative à la mesure quantifiée : les enjeux méthodologiques
Transformer ces dimensions conceptuelles en indicateurs mesurables pose des défis méthodologiques significatifs. L'enjeu n'est pas de réduire la richesse qualitative de la gouvernance à quelques métriques simplistes, mais de construire un système de mesure qui capte la complexité du phénomène tout en restant opérationnel.
Cette mesurabilité exige trois conditions. D'abord, une granularité suffisante : les indicateurs doivent être suffisamment fins pour identifier précisément les forces et faiblesses, tout en évitant une fragmentation qui rendrait l'ensemble illisible. Ensuite, une capacité comparative : la mesure ne prend sens que si elle permet de se situer par rapport à des référentiels sectoriels ou à sa propre évolution dans le temps. Enfin, une actionnabilité : le système de mesure doit permettre d'identifier des leviers d'amélioration concrets et de suivre l'effet des actions correctrices.
Les méthodologies émergentes dans ce domaine mobilisent des approches mixtes : données quantitatives (analyse des procès-verbaux, métriques de participation, suivi des décisions), données qualitatives structurées (entretiens individuels, observation de séances, feedback 360°), et analyse comportementale (dynamiques de groupe, patterns de communication). L'agrégation de ces données multiples permet de construire des indices composites qui reflètent la complexité de l'intelligence collective tout en offrant une lisibilité suffisante pour le pilotage.
La gouvernance comme avantage compétitif
L'évolution du cadre de supervision européen de ces dernières années influence la conception de ce qui constitue un établissement bancaire résilient. Là où les ratios prudentiels demeurent évidemment indispensables, ils ne suffisent plus. La capacité d'un établissement à naviguer la complexité contemporaine – fragmentation géopolitique, accélération technologique, multiplication des risques corrélés – repose fondamentalement sur la qualité de sa gouvernance.
Il ne s'agit donc plus simplement de se conformer à des normes formelles, mais de démontrer une aptitude collective à décider dans l'incertitude, à challenger de manière constructive, à maintenir la lucidité stratégique sous tension. Les établissements ont l’opportunité de renforcer structurellement leur capacité à créer de la valeur durable. Car au-delà de la conformité réglementaire, une gouvernance robuste constitue un avantage compétitif décisif. Frank Elderson l'a rappelé dans son discours de mars 2025[14] : « la résilience offre un avantage compétitif, particulièrement en période d'incertitude ». Un organe de gouvernance qui fonctionne efficacement prend de meilleures décisions stratégiques, alloue plus judicieusement ses ressources, attire et retient des talents de premier plan, inspire confiance aux investisseurs et aux clients. Il transforme les exigences réglementaires en levier de performance.
Cette transformation exige toutefois un changement de paradigme. Il ne suffit pas d'améliorer à la marge des pratiques existantes ; il faut repenser la manière dont les Conseils d’Administration travaillent, décident, apprennent. Cela suppose d'accepter de mesurer l'intangible, de rendre visible ce qui ne l'était pas, d'objectiver la qualité de l'intelligence collective. Les établissements qui, dès aujourd'hui, s'engagent dans cette voie, construisent, au-delà de leur conformité de demain, un avantage compétitif durable dans un secteur où la différenciation par la qualité de gouvernance deviendra un facteur de valorisation croissant.
À propos de LYVE Advisory
LYVE Advisory accompagne les Conseils d'Administration, Directions Générales et COMEX dans le renforcement de leur intelligence collective, la préparation aux exigences de supervision, et leur mise en conformité réglementaire.
Notre accompagnement s’organise en quatre volets, du diagnostic à la remédiation, avec un objectif constant : renforcer une gouvernance démontrable, traçable et durablement performante.
Contact : contact@lyve-advisory.com | www.lyve-advisory.com
––––
Cet article reflète l'analyse de son autrice sur la base des publications des autorités de supervision publiques disponibles en janvier 2026. Il ne constitue ni un avis juridique ni un conseil en investissement. Les établissements sont invités à consulter directement les autorités compétentes pour toute question relative à leur situation spécifique.
[1] Supervisory Review and Evaluation Process ou processus de contrôle et d’évaluation prudentiels – « vise à permettre une évaluation uniforme des profils de risque des banques ainsi que la prise de décisions concernant les mesures prudentielles qui s’imposent »
[2] Review of the Federal Reserve’s Supervision and Regulation of Silicon Valley Bank, Board of Governors of the Federal Reserve System, Michael S. Barr – April 28, 2023
[3] Banks’ governance and risk culture a decade on: progress and shortcomings, Frank Elderson, Member of the Executive Board of the ECB and Vice-Chair of the Supervisory Board of the ECB – July 24, 2024
[4] Les scores du SREP s’étendent de 1 (risque faible) à 4 (risque élevé)
[5] Effective management bodies – the bedrock of well-run banks, Frank Elderson, Member of the Executive Board of the ECB and Vice-Chair of the Supervisory Board of the ECB – July 20, 2023
[6] Bank governance in a changing risk landscape, Speech by Anneli Tuominen, Member of the Supervisory Board of the ECB, at the “Board of the Future” seminar, jointly organised by the European University Institute and the ECB – October 27, 2025
[8] Geopolitical risk and its implications for macroprudential policy, Markus Behn, Jan Hannes Lang and Alessio Reghezza – April, 2025
[9] Information and communication technology
[10] European Union Agency for Cybersecurity, ENISA threat landscape: Finance sector, January 2023 to June 2024
[11] Cf. TIBER-FR National Implementation Guide, How to implement TIBER-EU and DORA TLPT in financial institutions under French jurisdiction, AMF, Banque de France, ACPR
[12] « Sur une période de 11 jours – du 8 au 19 mars 2023 – quatre banques, totalisant environ 900 milliards de dollars d’actifs, ont vu leurs activités arrêtées, ont été placées sous administration judiciaire ou ont été secourues (Source : Report on the 2023 banking turmoil, Basel Committee on Banking Supervision – October, 2023)
[13] Promoting Global Financial Stability, 2024 FSB Annual Report, FSB – November 18, 2024
[14] Resilience offers a competitive advantage, especially in uncertain times, Keynote speech by Frank Elderson, Member of the Executive Board of the ECB and Vice-Chair of the Supervisory Board of the ECB, at the Morgan Stanley European Financials Conference – March 19, 2025