Un blog invité par Parimal Patel, Schroders
Les sociétés de gestion d'actifs accordent de plus en plus d'importance au capital de risque opérationnel. Le risque opérationnel a toujours été au centre des préoccupations, mais ces dernières années, l'impact des facteurs économiques mondiaux, l'évolution des situations politiques et les vulnérabilités systémiques des entreprises ont rendu ce risque particulièrement complexe à gérer.
Le risque lié à l'informatique de l'utilisateur final, qui émane des applications de l'utilisateur final telles que les feuilles de calcul, les bases de données et les outils de modélisation financière, est l'un des principaux facteurs contribuant au risque opérationnel. En raison de la nature inhérente de ces applications et de leur omniprésence dans toute activité de gestion d'actifs pour des calculs complexes, l'atténuation du risque opérationnel lié à l'informatique nécessite une politique de gestion des risques concertée, complète et strictement applicable.
Conformité et gouvernance d'une politique de l'UE
Les organismes de gestion d'actifs qui souhaitent mettre en place des politiques relatives à l'informatique des utilisateurs finaux dans le cadre de leur stratégie globale de gestion des risques opérationnels feraient bien de garder à l'esprit les points suivants :
Champ d'application - Veiller à ce que la politique s'applique à tous les EUC essentiels à l'activité et qu'elle les couvre. Chaque EUC doit également être conforme aux normes de gouvernance des EUC de l'entreprise en matière de données et de modèles, et vice versa.
Définir - Il est impératif que la définition d'un EUC soit clairement comprise. Par exemple, quels types d'applications professionnelles entrent dans la catégorie des "EUC", quels sont les programmes logiciels dans lesquels elles sont intégrées (par exemple Excel, Access, Python, etc.) et ainsi de suite ? Par la suite, il est essentiel de définir les critères permettant de déterminer ce qui rend un EUC "critique pour l'entreprise". À titre d'exemple de politique informatique pour l'utilisateur final, si le résultat de l'EUC est partagé avec les clients, il sera considéré comme critique pour l'entreprise. De même, si les résultats de l'application alimentent des bases de données et des modèles dans d'autres domaines d'activité, ils seront considérés comme critiques pour l'entreprise.
Propriétaires et validateurs - Sans propriétaire, il est impossible d'appliquer une politique. Attribuez des propriétaires individuels pour chaque EUC critique pour l'entreprise ; ce faisant, vous rendez les personnes responsables des résultats de l'application d'entreprise tout au long de son cycle de vie - de la création à la mise hors service et au remplacement. Ainsi, le propriétaire surveillera tous les points de contrôle pour garantir l'exactitude et l'intégrité des données. De même, désignez un validateur qui veillera à ce que les applications soient testées de manière appropriée et à ce que les modifications structurelles soient approuvées pendant la durée de vie de chaque fichier.
Inventaire - Il est essentiel de disposer d'une visibilité totale du paysage applicatif de l'entreprise. Déterminez où l'inventaire des EUC critiques sera enregistré et sous la responsabilité de quelle personne de l'organisation. Par exemple, le propriétaire de l'application doit-il s'en charger ou la responsabilité doit-elle incomber aux chefs de département ou d'équipe ?
Suivi du risque résiduel - Attribuer au propriétaire la responsabilité de déterminer le risque résiduel. Cela permettra de s'assurer que tout cas de risque résiduel élevé est porté à la connaissance des autorités supérieures et de la gestion des risques en temps utile, afin de pouvoir prendre des mesures préventives, le cas échéant.
Évaluation annuelle - Confier aux chefs de service la responsabilité de procéder au moins une fois par an à une évaluation de l'environnement de l'EUC. Un examen simultané des contrôles permettra également de confirmer que la politique de l'EUC a été respectée de manière satisfaisante.
Accès aux conseils - Identifier les personnes au sein des services informatiques et des services de gestion des risques à qui les personnes peuvent s'adresser pour obtenir des conseils sur les meilleures pratiques et des questions ad hoc. Cette démarche est essentielle pour garantir la bonne exécution de la politique de l'EUC.
Automatiser - L'exécution manuelle d'une politique d'informatique pour l'utilisateur final est difficile et prend du temps. La meilleure façon d'appliquer une politique d'informatique pour l'utilisateur final afin de gérer le risque que présentent ces applications est la suivante l'automatisation. Il garantit des contrôles et des équilibres de routine, de sorte que les utilisateurs peuvent se concentrer sur leurs tâches principales plutôt que de se préoccuper de l'adhésion à la politique.
Le risque EUC est un élément clé du risque opérationnel
Le risque EUC est l'une des principales composantes du risque opérationnel. Alors que de nombreux facteurs ayant un impact sur le risque opérationnel échappent souvent au contrôle des organisations, le risque EUC est gérable. En fait, la gestion de l'EUC ne se contente pas d'atténuer le risque, elle apporte aussi une valeur ajoutée à l'entreprise. La connaissance du paysage permet d'améliorer l'efficacité opérationnelle et les normes internes, ce qui est fondamental pour les entreprises d'aujourd'hui, soucieuses des coûts et axées sur le client.
Découvrir PolicyHub
C'est la solution de gestion des politiques facile à utiliser qui vous permet de renforcer la conformité.
