Qu'est-ce que la résilience opérationnelle et pourquoi est-elle si importante ?
Le cadre de la résilience opérationnelle (OpRes) du Royaume-Uni est conçu pour garantir que le secteur des services financiers du Royaume-Uni résiste à une série de problèmes qui pourraient avoir un impact sur le service qu'il fournit à l'économie britannique. Il s'agit par exemple de cyberattaques, de pannes technologiques ou d'interruptions économiques importantes.
Les événements de 2020-2021 prouvent la nécessité d'une résilience des entreprises. OpRes s'appuie sur de nombreux cadres que les banques utilisent habituellement, mais le défi consiste à les intégrer dans un ensemble cohérent, tout en veillant à ce que les processus opérationnels informels mais essentiels soient également pleinement intégrés.
Résilience opérationnelle efficace : Utiliser l'automatisation pour atteindre vos objectifs
OpRes est conçu pour aider à renforcer la solidité du secteur des services financiers britanniques face à une série d'interruptions qui pourraient compromettre l'intégrité du marché pour ses utilisateurs.
La résilience opérationnelle offre une approche normalisée qui permet aux banques, aux gestionnaires d'actifs et aux assureurs, ainsi qu'à leurs régulateurs, de mesurer de manière cohérente leur niveau de robustesse, malgré des exigences et des approches différentes. Cette approche est fondée sur des principes, il n'y a donc pas de case à cocher. Les institutions doivent plutôt identifier leurs processus opérationnels critiques et décider combien de temps le marché peut tolérer une interruption. Il n'y a pas de norme de conformité définie à respecter ; les régulateurs britanniques exigent au contraire des institutions qu'elles améliorent en permanence leur robustesse sur toute une série de points.
Par exemple : Tous les établissements sont censés avoir mis en place des mesures pour définir leurs processus opérationnels clés et des plans pour maintenir la disponibilité, dans le cadre de leurs plans de gestion de la continuité des activités (BCM).
Le défi pour de nombreuses institutions ? Intégrer une multitude d'initiatives et de programmes existants dans leur cadre de résilience opérationnelle, qui seront probablement répartis entre plusieurs systèmes différents, avec des formats et des langues différents. Un autre défi se pose lorsque des applications informelles, telles que les applications informatiques de l'utilisateur final (EUC) - généralement des feuilles de calcul - constituent des éléments clés des processus opérationnels de base, car elles peuvent ne pas bénéficier des contrôles et de l'auditabilité des autres applications de l'entreprise.
L'automatisation peut être une solution pour simplifier et consolider les processus disparates associés à l'OpRes, ainsi que pour sécuriser les processus critiques basés sur l'EUC qui peuvent exposer les institutions à des problèmes de conformité.
Les outils et approches idéaux
Le niveau de robustesse opérationnelle du secteur financier britannique est considéré comme élevé, les régulateurs examinant leurs activités dans le cadre du régime de certification et de gestion de haut niveau (SMCR).
La plupart des processus de base et des exigences de la résilience opérationnelle étant déjà en place, le plus grand défi consiste à consolider et à normaliser les informations, afin qu'une institution puisse avoir une vue précise et cohérente de l'ensemble de ses activités, malgré la pléthore de systèmes, de types de données, de formats et de silos. La pression sur les coûts et les ressources pour une institution de toute taille signifie qu'il est difficile de justifier un investissement important dans un projet de changement technologique ou commercial pour mettre en œuvre la résilience opérationnelle.
Pour de nombreuses institutions, la solution idéale consiste à mettre en œuvre une politique de résilience opérationnelle flexible et un cadre de conformité qui peuvent être déployés rapidement, sans interruption des activités, et qui contiennent les éléments clés du contrôle des changements, de la transparence et de l'auditabilité.
Le moteur de politique idéal devrait être une application flexible basée sur un modèle qui s'adapte facilement aux différences entre les fonctions, tout en aidant les équipes respectives à comprendre et à respecter les exigences globales de l'entreprise en matière de résilience opérationnelle. Ce moteur de politique aidera à capturer et à consolider les éléments clés des exigences OpRes, y compris les définitions des processus d'entreprise, les temps d'interruption convenus, ainsi que les détails de l'infrastructure technologique qui sous-tend le tout. Un processus automatisé de révision, d'approbation et de reporting est également essentiel.
Une fois le processus d'élaboration de la politique mis en place, l'examen et l'évaluation automatisés et réguliers de la conformité peuvent aider une organisation à s'assurer rapidement et efficacement qu'elle respecte les exigences de sa politique, tout en identifiant les domaines à améliorer au fur et à mesure qu'ils se développent. Là encore, l'automatisation des contrôles et des rapports permet de réduire la charge de travail liée à la conformité tout en continuant à maintenir les normes requises.
Une lacune de plus en plus reconnue comme critique est l' utilisation des EUC pour la mise en œuvre des processus opérationnels de base. La résilience opérationnelle impose effectivement l'inclusion de ces EUC dans un programme systématique de gestion d'entreprise, car les services financiers les utilisent largement pour la gestion de portefeuille, le développement de produits et la gestion globale de l'entreprise. Dans le cadre de l'OpRes, ces EUC doivent être identifiés, gérés et contrôlés, de la même manière que les autres applications ou processus de l'entreprise.
Questions sur la résilience opérationnelle que doivent se poser les cadres supérieurs
- Gouvernance : quelle est l'appétence de l'organisation pour le risque ? Quels sont les indicateurs clés de performance qui permettent d'avoir une vue d'ensemble de la maturité ? Qui sont les personnes responsables de la résilience opérationnelle en première et deuxième ligne de défense ?
- Organisationnel : les dépendances des services de l'entreprise à l'égard de ces actifs sont-elles bien comprises ? Quels sont les actifs les plus critiques ? Comment le processus de résilience modifie-t-il la gestion des opérations, de la technologie et des fournisseurs ?
- Intégration : comment les définitions existantes des services commerciaux essentiels sont-elles exploitées ? Quel est l'impact de l'organisation sur les clients et le système financier ? Quels sont les services les plus critiques et pourquoi ?
- Mesure : comment le niveau de résilience est-il contrôlé et géré au sein de l'organisation ? Quand l'organisation sort-elle des tolérances d'impact définies ? Quels sont les risques les plus critiques pour l'organisation ?
- Préparation : comment l'organisation est-elle préparée au déploiement de la résilience opérationnelle ? À quelle fréquence le processus de réponse et de récupération est-il testé ?
Solutions de résilience opérationnelle
Mitratech dispose de l'ensemble des outils éprouvés nécessaires pour assurer la conformité à l'OpRes et pour aider une entreprise à répondre à d'autres exigences réglementaires.
Gestion des politiques
Une solution de gestion des politiques comme PolicyHub de Mitratech permet de gagner du temps et d'améliorer l'efficacité, en soutenant une gestion efficace des politiques par l'automatisation et la rationalisation des processus impliqués, et en éliminant les complexités et les erreurs qui en découlent. Vous pouvez ainsi mettre en place un programme de conformité éthique et défendable.
Gestion informatique EUC/Shadow
Un outil automatisé comme ClusterSeven vous permet de découvrir, de surveiller, d'examiner et d'auditer de manière proactive les modifications apportées aux feuilles de calcul des applications des utilisateurs finaux et à d'autres actifs de données " Shadow IT " cachés dans votre entreprise. Obtenez une vue centralisée de l'utilisation des feuilles de calcul critiques à l'échelle de l'entreprise,évaluez et hiérarchisez les feuilles de calcul critiques et fournissezà la direction et aux auditeurs la transparence sur vos fichiers les plus importants.
Gestion de la conformité et des obligations
Une solution de gestion de la conformité et des obligations, comme l'offre CMO de Mitratech, utilise une interface simple et intuitive pour permettre aux employés et aux auditeurs d'être proactifs dans la gestion des incidents et des audits, y compris les obligations de la règle Volcker, les contrôles, les enquêtes et les rapports de non-conformité. Signalez facilement les incidents, comprenez vos obligations et améliorez continuellement vos performances en matière de conformité.
Gestion de contenu d'entreprise
Une solution ECM telle que DataStore est conçue dès le départ pour les utilisateurs des services financiers, offrant un contrôle total sur la capture, l'indexation, l'archivage, la récupération, l'accessibilité, la livraison et la conservation de chaque élément d'information critique d'une organisation, via un référentiel central sécurisé.