Malgré quelques problèmes opérationnels occasionnels, les banques européennes, comme leurs homologues en Asie, aux États-Unis et au Royaume-Uni, sont généralement en bonne santé financière pour faire face aux tempêtes économiques actuelles qui se répercutent dans le monde entier. Cette situation se reflète dans la récente évaluation annuelle des risques publiée par l'Autorité bancaire européenne (ABE).
Les réglementations de l'Autorité de régulation prudentielle (PRA) du Royaume-Uni dans ce domaine - SS1/21 et SS2/21 - entrent en vigueur en mars 2022. L'influence de ces réglementations couvre les institutions elles-mêmes et les tiers qu'elles utilisent pour fournir leurs services. Des plans sont en cours de développement pour étendre les dispositions de la résilience opérationnelle à la création d'un registre des incidents, aux accords de tiers eux-mêmes, et potentiellement même tenter de réglementer également les fournisseurs tiers les plus importants.
Si des défis subsistent - le maintien de taux d'intérêt bas, la faible croissance économique combinée à des pressions inflationnistes et l'impact du Brexit sur le système bancaire européen n'en sont que quelques exemples - le tableau dressé par l'enquête est que les banques de l'UE ont des bilans solides. Elles disposent de bonnes réserves de liquidités et apportent une contribution essentielle à la croissance des pays de l'UE.
Néanmoins, ce tableau positif cache plusieurs défis auxquels les banques sont confrontées dans l'UE. Si l'économie de l'UE se remet bien de l'impact des deux dernières années, la nature persistante de la pandémie pourrait être à l'origine de futurs chocs économiques. De même, l'implication continue des contreparties centrales (CCP) basées au Royaume-Uni pour la compensation des transactions de produits dérivés basées dans l'UE est considérée comme de plus en plus risquée, après le Brexit. L'ABE a également souligné que la résilience opérationnelle était une question essentielle pour les banques de l'UE.
L'importance de l'accent mis par l'ABE sur la résilience opérationnelle
L'accent mis par l'ABE sur la résilience opérationnelle est significatif et reflète l'importance accrue accordée à ce domaine par les régulateurs du monde entier. Cette attention fait en partie écho aux efforts déployés par les gouvernements, les régulateurs et les contribuables pour soutenir le secteur des services financiers après la crise financière. Après avoir dépensé des milliards pour aider toute une série d'institutions, les régulateurs sont très peu enclins à relever de nouveaux défis au sein d'un même secteur.
Un autre facteur est la nature changeante des services financiers eux-mêmes. La faiblesse des taux d'intérêt incite les institutions à proposer de nouveaux produits et services qui utilisent les capacités numériques capables d'offrir de nouvelles voies d'accès aux marchés avec de nouveaux publics. Dans le même temps, les pressions constantes sur les coûts obligent les banques à élargir l'échelle et la portée de leur base d'approvisionnement et de leurs partenariats, de manière à soutenir le développement des entreprises.
Si l'on tient compte de l'utilisation de plus en plus répandue du travail à distance - avec ses complexités opérationnelles et de sécurité - il est facile de comprendre pourquoi l'ABE explore la résilience opérationnelle de manière assez détaillée dans son rapport.
L'ABE met l'accent sur plusieurs domaines dans son rapport.
Le cyber-risque est une source importante de risque opérationnel potentiel et une menace pour la résilience, en raison de la numérisation croissante des services bancaires de base. Le travail hybride a encore accéléré ce processus. Cela dit, les banques sont très conscientes des menaces auxquelles elles et leurs clients sont confrontés, et ont investi massivement dans leurs systèmes et processus pour contrer les cybermenaces croissantes, et elles continueront à le faire.
Le risque lié aux tiers représente également un risque important pour les banques de l'UE et reflète l'évolution de la manière dont elles s'approvisionnent et fournissent leurs services à l'échelle mondiale.
Historiquement, les banques ont principalement fourni leurs services de base elles-mêmes, tout en externalisant les services périphériques tels que les salaires ou la gestion des installations. Maintenant que les inquiétudes concernant la sécurité des systèmes informatiques basés sur le nuage ont été levées, les banques ont investi massivement dans la puissance, la flexibilité et l'évolutivité que l'informatique en nuage peut offrir.
Il est clair que cela introduit de la complexité dans les opérations d'une banque, car cela signifie qu'un petit nombre de fournisseurs clés de services en nuage sont au cœur des opérations commerciales et techniques d'une banque. Pour une banque, cela signifie que les problèmes d'un fournisseur de services en nuage deviennent, d'une certaine manière, les problèmes de la banque. Deuxièmement, le petit nombre de fournisseurs de services en nuage et l'adoption généralisée de leurs services créent un risque de concentration, à la fois pour les banques individuelles et pour le secteur bancaire dans son ensemble.
Cette situation est exacerbée par l'utilisation par les banques de technologies, d'applications et de fournisseurs de données tiers, qui utilisent également le même petit nombre de fournisseurs de services en nuage. Cela peut signifier qu'une banque a une chaîne d'approvisionnement de plus en plus complexe à un moment où les régulateurs du monde entier font pression pour plus de visibilité et des contrôles de gestion améliorés pour les chaînes d'approvisionnement dans le secteur bancaire.
Les pratiques de travail à distance représentent également un défi pour la résilience opérationnelle. De nombreuses institutions utilisent encore des processus manuels pour soutenir les processus opérationnels de base, les feuilles de calcul Excel étant souvent l'outil de prédilection. Bien qu'ils aient toujours été populaires, leur importance s'est encore accrue au cours des deux dernières années, car les feuilles de calcul ont aidé de nombreuses équipes à travailler à distance. La puissance et la flexibilité des feuilles de calcul permettent aux utilisateurs de créer leurs propres applications informatiques pour l'utilisateur final (EUC) qui échappent au contrôle et à l'influence de la fonction informatique de l'entreprise. Toutefois, ces applications ne disposent pas des contrôles nécessaires pour assurer l'auditabilité et la transparence qui répondent aux attentes de l'ABE en matière de résilience opérationnelle, car les données manquantes et les erreurs de calcul peuvent avoir un impact significatif sur l'entreprise.
Comment les institutions peuvent-elles répondre au mieux à ces évolutions ?
Deux initiatives s'avèrent efficaces : la collaboration avec nos clients et la discussion des problèmes avec les professionnels du secteur.
La gestion des risques des tiers (TPRM) est conçue pour aider une organisation à gérer de manière proactive des chaînes d'approvisionnement complexes et profondes, afin que les problèmes de résilience d'une partie de ces chaînes ne se transforment pas en un problème majeur de résilience pour le client principal. De puissantes capacités basées sur SaaS offrent une approche décentralisée mais robuste de la gestion des fournisseurs au sein des troisième, quatrième et cinquième niveaux de la chaîne d'approvisionnement. Pour ce faire, il faudrait disposer d'un référentiel centralisé contenant les contrats pertinents, la documentation standard sur les politiques et les profils de risque des différents fournisseurs. Les équipes chargées des risques et de la conformité peuvent surveiller les différents éléments de la chaîne d'approvisionnement de manière proactive, afin de pouvoir réagir rapidement si des problèmes apparaissent à n'importe quel niveau, avant qu'un problème mineur ne se transforme en quelque chose de plus grave.
Une autre initiative des banques est la gestion des risques liés aux feuilles de calcul, qui leur permet d'appliquer à leurs feuilles de calcul les plus critiques des contrôles dignes d'une entreprise. Ces capacités permettent aux banques de surveiller de manière proactive ces feuilles de calcul afin d'identifier les problèmes - données manquantes, liens rompus ou erreurs de formule, par exemple - qui peuvent avoir un impact sur la résilience opérationnelle d'une banque.
Un inventaire des feuilles de calcul permet de centraliser la gestion, l'examen et la visibilité des feuilles de calcul essentielles utilisées dans l'entreprise. Il fournit également un référentiel pour la documentation essentielle nécessaire à la définition et au contrôle des feuilles de calcul de base utilisées dans une entreprise.
De puissantes capacités de découverte des feuilles de calcul permettent d'identifier les feuilles de calcul clés qui doivent faire l'objet d'une surveillance proactive, afin que les problèmes puissent être détectés, corrigés et signalés.
La plateforme GRC de Mitratech offre de puissantes capacités qui aident les institutions financières du monde entier à améliorer leurs capacités de gestion des risques et à produire rapidement de la valeur.
Comment pouvez-vous le faire au mieux ?
Les fonctionnalités de gestion des risques liés aux feuilles de calcul permettent aux entreprises d'appliquer des contrôles rigoureux à leurs feuilles de calcul les plus critiques. Ces fonctionnalités permettent aux banques de surveiller de manière proactive ces feuilles de calcul afin d'identifier les problèmes - données manquantes, liens rompus ou erreurs de formule, par exemple - qui peuvent avoir un impact sur la résilience opérationnelle d'une entreprise.
Un inventaire des feuilles de calcul permet de centraliser la gestion, l'examen et la visibilité des feuilles de calcul essentielles utilisées dans l'entreprise. Il fournit également un référentiel pour la documentation essentielle à la définition et au contrôle des feuilles de calcul de base utilisées dans une entreprise.
De puissantes capacités de découverte des feuilles de calcul permettent d'identifier les feuilles de calcul clés qui doivent faire l'objet d'une surveillance proactive afin que les problèmes puissent être détectés, corrigés et signalés.
Les capacités de gestion des risques des tiers (TPRM) aident une organisation à gérer de manière proactive des chaînes d'approvisionnement complexes et profondes afin que les problèmes de résilience d'une partie de ces chaînes ne se transforment pas en un problème majeur de résilience pour le client principal. De puissantes capacités basées sur SaaS offrent une approche décentralisée mais robuste de la gestion des fournisseurs au sein des troisième, quatrième et cinquième niveaux de la chaîne d'approvisionnement. Pour ce faire, il faudrait disposer d'un référentiel centralisé contenant les contrats pertinents, la documentation standard de la politique et les profils de risque des différents fournisseurs. Les gestionnaires peuvent surveiller les différents éléments de la chaîne d'approvisionnement de manière proactive, de sorte qu'ils peuvent réagir rapidement si des problèmes apparaissent à n'importe quel niveau, avant qu'un problème mineur ne se transforme en quelque chose de plus grave.
La plateforme GRC de Mitratech offre de puissantes capacités qui aident les institutions financières du monde entier à améliorer leur TPRM et leur gestion du risque de feuille de calcul. Rapide à déployer, elle résout rapidement vos problèmes et vous apporte rapidement de la valeur.
Un aperçu de la plateforme GRC du futur
Découvrez comment vous pouvez tirer parti d'une plate-forme SaaS unique pour répondre à l'ensemble de vos besoins en matière de GRC.
