Quelles sont les perspectives de résilience opérationnelle de la réglementation au Royaume-Uni pour 2022 ?
À l'approche de la fin de l'année, de nombreux esprits se tournent vers ce qui pourrait se passer l'année prochaine, alors que le monde commence (espérons-le) à sortir de l'ombre des défis de ces deux dernières années.
Les principaux régulateurs britanniques des services financiers - l'Autorité de régulation prudentielle (PRA), l'Autorité de conduite financière (FCA) et la Banque d'Angleterre - ont passé les dernières semaines et les derniers mois à faire de même et ont récemment publié leur grille d'initiatives réglementaires conjointes pour 2022.
Dans le passé, on a critiqué le fait que chacune des autorités de régulation financière du Royaume-Uni avait creusé son propre sillon, annonçant ses plans et ses intentions, sans vraiment se référer à ce que les autres autorités prévoyaient. Cette situation a fait peser la responsabilité de la compréhension et de la synthèse des différentes annonces sur les équipes chargées du risque et de la conformité au sein des institutions financières, qui ont eu la lourde tâche de déterminer toutes les priorités.
Les réactions des institutions au cours des dernières années ont encouragé les régulateurs à adopter une approche plus coordonnée pour améliorer les réglementations et en créer de nouvelles. Compte tenu du flux quasi-constant d'annonces en réponse à l'évolution des marchés, de l'économie et de la technologie, cette approche coordonnée continue d'être la bienvenue pour les régulateurs comme pour les régulés. Cette approche coordonnée continue d'être une évolution bienvenue pour les régulateurs et les régulés.
Principales questions, initiatives et implications
L'annonce la plus récente comportait une foule de questions, couvrant un éventail de problèmes contemporains, y compris les investissements verts, les initiatives ESG, le remplacement du LIBOR, et bien d'autres choses encore.
La résilience opérationnelle est une question qui continue à prendre de l'ampleur. Il s'agit d'un thème commun depuis trois ans, les premières dates de mise en conformité pour les institutions directement concernées étant prévues pour mars 2022. La résilience opérationnelle se divise en deux parties : SS1/21 qui se concentre sur les processus internes d'une institution et SS2/21 qui se concentre sur les relations avec les tiers et l'externalisation. L'initiative du Royaume-Uni sur ce sujet important a été suivie dans le monde entier, y compris, de manière significative, aux États-Unis.
Néanmoins, les régulateurs ne se reposent pas sur leurs lauriers. Elles cherchent à s'appuyer sur les fondations de la résilience opérationnelle construites au cours des trois dernières années, tout en élargissant ses principes, en reconnaissant les changements dont les services financiers ont été témoins au cours des dix dernières années.
L'une des initiatives est l'introduction potentielle d'un portail dédié, géré par les régulateurs, qui recueille l'ampleur, la portée et les détails des relations avec les tiers qui sont au cœur des processus opérationnels de nombreuses institutions. Le résultat d'un document de consultation, prévu pour le premier semestre 2022, complétera les informations recueillies dans le cadre d'un examen de conformité de routine mené par une autorité de régulation. Ce document de consultation permettra de recueillir des commentaires sur la manière dont cette approche pourrait fonctionner, mais il est clair que les régulateurs voudront avoir une visibilité sur la chaîne d'approvisionnement des institutions financières.
Il est clair que l'une des conséquences de cette évolution est que les institutions réglementées devront disposer de systèmes et de processus de gestion des risques liés aux tiers (TPRM) d'une qualité exceptionnelle afin de s'assurer qu'elles conservent au moins une ou deux longueurs d'avance sur leur régulateur lorsque des problèmes liés à la chaîne d'approvisionnement se présentent.
Les orientations spécifiques proposées par l'OCC - qui feront probablement écho aux orientations de la FDIC et de la Réserve fédérale - viseront à garantir que les banques exercent une surveillance adéquate de leurs relations importantes avec des tiers, y compris leurs partenariats. Les banques devront démontrer quelles relations sont essentielles à leurs opérations et identifier les risques de concentration qui dépassent leurs seuils de tolérance.
Les banques doivent également évaluer le profil de risque cybernétique de leur chaîne d'approvisionnement tierce et s'assurer que leurs fournisseurs essentiels ont mis en place des mesures pour se protéger et protéger leurs clients.
Comment réduire les risques ? Avec les solutions TPRM
Une autre initiative mise en avant dans la grille 2022 est un document de consultation sur la meilleure façon de gérer un registre des incidents impliquant des tiers, afin que les régulateurs puissent garantir une meilleure visibilité des problèmes impliquant des tiers et de leur impact sur les institutions et le secteur.
Bien qu'il en soit encore au stade de la consultation, ce texte met clairement en évidence le souhait des régulateurs de s'impliquer dans les détails de la manière dont les institutions s'appuient sur les relations avec les tiers et de l'impact des problèmes lorsqu'ils surviennent. Elles souhaitent également disposer d'un système d'alerte précoce pour comprendre si un problème peut avoir un impact sur d'autres, créant ainsi un risque systémique. La question du risque de concentration est probablement aussi à l'origine de cet intérêt.
Les institutions réglementées devront disposer de systèmes et de processus de gestion des risques liés aux tiers (TPRM) d'une qualité exceptionnelle pour s'assurer qu'elles conservent au moins une ou deux longueurs d'avance sur leur régulateur en cas de problèmes liés à la chaîne d'approvisionnement.
Un document de discussion, publié conjointement par tous les régulateurs britanniques, va également être publié pour discuter de la meilleure façon de réglementer les tiers critiques (CTP) qui fournissent des services aux entreprises réglementées. Il sera intéressant de voir quels domaines seront couverts, mais on peut raisonnablement supposer que les fournisseurs de technologie, les fournisseurs de données et peut-être même les fournisseurs d'applications seront soumis au même niveau d'examen que les institutions elles-mêmes, du moins en partie.
Tout cela met en évidence les commentaires que nous avons reçus lors de nos conversations avec nos clients, à savoir que le TPRM gagne en importance dans de nombreux domaines, car les entreprises continuent à se concentrer sur leurs activités principales et à externaliser beaucoup d'autres choses. Cette évolution, associée au travail hybride, accroît la flexibilité opérationnelle, mais aussi le risque opérationnel. Nous prévoyons que la demande desolutions robustes permettant d'identifier et de traiter ces risques opérationnels continuera de croître en 2022 et 2023.
Mitratech propose une gamme de solutions TPRM puissantes, éprouvées et robustes qui sont rapidement mises en œuvre et apportent de la valeur. Pour en savoir plus, cliquez ici.
Se défendre contre les risques liés aux fournisseurs et à l'entreprise
Découvrez nos solutions VRM/ERM les plus performantes.