L'OCC renforce la surveillance des EUC dans les institutions financières

Henry Umney et des experts examinent les implications des nouveaux efforts réglementaires.

Secteur des services financiers

Les applications informatiques pour l'utilisateur final (EUC) font à nouveau la une des journaux après que l'Office of the Comptroller of the Currency (OCC) a infligé une amende de 400 millions de dollars à une banque basée aux États-Unis. Il a constaté des problèmes dans les pratiques de l'institution en matière de gestion des risques et d'établissement de rapports réglementaires, où les applications informatiques pour les utilisateurs finaux occupaient une place importante.

Les EUC - applications développées et soutenues par les utilisateurs finaux, plutôt que par la fonction informatique de l'entreprise - sont extrêmement puissantes et très populaires, et constituent souvent l'application de référence pour résoudre rapidement un grand nombre de problèmes professionnels. Les feuilles de calcul Excel sont de loin les applications EUC les plus populaires, mais d'autres applications utilisant SAS, Python ou MATLAB peuvent être considérées de la même manière.

Un dangereux manque de transparence

Si ces applications offrent une grande souplesse aux utilisateurs finaux, le manque de contrôles que l'on trouve habituellement dans les applications informatiques d'entreprise signifie qu'elles n'offrent pas la transparence et l'auditabilité que les régulateurs (ainsi que les clients et la direction) exigent dans le cadre d'une gouvernance des risques efficace.

Lorsqu'on utilise une feuille de calcul, il est difficile de savoir qui a modifié une formule ou une entrée de cellule, qui l'a revue et qui l'a approuvée. Dans les banques, il n'est pas rare de gérer des milliards de dollars d'investissements à l'aide de feuilles de calcul très complexes. Elles comportent des millions de cellules alimentées par de multiples sources de données. La saisie, l'approbation et le signalement manuels des modifications apportées à ces feuilles de calcul à des fins de gestion des risques et d'audit dépassent les capacités des utilisateurs finaux, des gestionnaires de risques et des équipes chargées de la conformité.

.vc_do_cta3{padding-top:28px;padding-right:28px;padding-bottom:28px;padding-left:28px;margin-bottom:35px;}.vc_custom_1631891849000{background-image: url(https://mitratech.com/wp-content/uploads/Green-A-Page-Header.png?id=42780) !important;background-position: center !important;background-repeat: no-repeat !important;background-size: cover !important;border-radius: 2px !important;}

Infographie : Lignes directrices pour une intégration efficace des fournisseurs

Atténuer les risques tout en établissant de solides relations avec les fournisseurs.

La gestion, l'application et la communication des politiques constituent un défi supplémentaire pour les équipes chargées de la conformité lorsque le personnel utilise des cartes d'identité électroniques. Alors que les politiques relatives à l'utilisation, à la mise à jour et au retrait des EUC existent sans aucun doute, identifier les personnes qui utilisent les EUC et s'assurer qu'elles sont au courant de la politique relative aux EUC et qu'elles l'appliquent représente un énorme défi.

Un défi de taille à relever

La gestion, l'application et la communication des politiques constituent un défi supplémentaire pour les équipes chargées de la conformité lorsque le personnel utilise des cartes d'identité électroniques. Alors que les politiques relatives à l'utilisation, à la mise à jour et au retrait des EUC existent sans aucun doute, identifier les personnes qui utilisent les EUC et s'assurer qu'elles sont au courant de la politique relative aux EUC et qu'elles l'appliquent représente un énorme défi.

De mon point de vue, la gestion des CUE n'est pas nouvelle ; nous participons à des projets depuis plus de 15 ans. Toutes les institutions avec lesquelles nous travaillons comprennent la nécessité de gérer leurs commissions. Le défi consiste à savoir où ils sont utilisés et à travailler de manière proactive avec les utilisateurs pour comprendre la valeur des EUC et les risques qu'ils représentent pour l'entreprise. Ensuite, vous pouvez travailler avec les utilisateurs finaux pour les gérer correctement et vous assurer qu'ils sont "dans la politique".

Ian Cleaver, vice-président des services professionnels chez Mitratech, décrit l'approche qu'il recommande aux clients lors de la mise en œuvre de la solution de gestion des EUC de Mitratech. "La première étape consiste à identifier vos EUC les plus importants, puis à en créer un inventaire, afin de pouvoir les surveiller de manière proactive. Vous pouvez également bénéficier d'une capacité d'alerte pour montrer quand des changements sont effectués et où se situent les problèmes de données manquantes, d'erreurs de calcul ou d'autres problèmes qui pourraient entraîner des problèmes pour une institution.

"Les résultats de cette activité peuvent être intégrés dans un cadre consolidé de gouvernance, de risque et de conformité (GRC) afin d'assurer la transparence du risque EUC pour l'entreprise", explique-t-il. "Lorsque j'ai utilisé la plateforme dans une banque internationale, nous avons veillé à ce que les rapports de gestion de l'EUC soient présentés lors de la réunion mensuelle du conseil d'administration - c'était un peu comme une ceinture et des bretelles, mais cela a fonctionné. Nous n'avons eu aucun problème.

.vc_do_btn{margin-bottom:22px;}.vc_custom_1717638016790{background-image: url(https://mitratech.com/wp-content/uploads/clusterseven_euc_management_webpage_lp-1.jpg?id=66526) !important;background-position: center !important;background-repeat: no-repeat !important;background-size: cover !important;}

Gérez vos feuilles de calcul Shadow IT

Avec ClusterSeven, prenez le contrôle des ressources informatiques de l'utilisateur final cachées dans votre entreprise et qui peuvent créer des risques cachés.