Résilience opérationnelle : La PRA britannique étend sa couverture à de nouvelles entreprises
La résilience opérationnelle - la capacité des institutions financières à rester efficaces malgré l'impact des interruptions d'activité - a façonné les plans des cadres supérieurs des services financiers au Royaume-Uni depuis plus de trois ans.
Les réglementations de l'Autorité de régulation prudentielle (PRA) du Royaume-Uni dans ce domaine - SS1/21 et SS2/21 - entrent en vigueur en mars 2022. L'influence de ces réglementations couvre les institutions elles-mêmes et les tiers qu'elles utilisent pour fournir leurs services. Des plans sont en cours de développement pour étendre les dispositions de la résilience opérationnelle à la création d'un registre d'incidents, aux accords de tiers eux-mêmes, et potentiellement même tenter de réglementer l'utilisation des services de tiers. principaux fournisseurs tiers également.
La PRA continue à développer le cadre de la résilience opérationnelle et a récemment publié un rapport sur la résilience opérationnelle. document de consultationLa Commission européenne a lancé un projet de loi sur les sociétés holding, afin d'étudier la meilleure façon d'intégrer les sociétés holding dans le régime.
Actuellement, les exigences en matière de résilience opérationnelle se concentrent sur les entreprises individuelles et leur capacité à résister aux perturbations de leurs activités. La PRA cherche à porter son examen à un autre niveau, afin d'évaluer l'impact d'une interruption sur les sociétés holding. Les holdings sont des entreprises qui conservent la propriété d'autres entreprises, pour toute une série de raisons opérationnelles, juridiques et commerciales.
L'extension de la résilience opérationnelle aux sociétés holding met en évidence deux problèmes.
Premièrement, que se passe-t-il si une société, déjà soumise au cadre de la résilience opérationnelle, devient dépendante - potentiellement in extremis - du soutien de sa société holding pour maintenir sa continuité opérationnelle. Le document de consultation suggère que la PRA aura besoin de comprendre et de voir la preuve que les dispositions pour fournir ce soutien sont complètes et cohérentes avec les principes plus larges de la résilience opérationnelle.
Un autre problème concerne le risque de concentration. Lorsque les holdings détiennent des investissements dans plusieurs institutions couvertes par la résilience opérationnelle, une situation peut rapidement émerger où deux ou plusieurs sociétés font appel au même ensemble de ressources financières pour faire face à une interruption. La PRA voudra s'assurer que des ressources suffisantes sont disponibles pour que toutes les entreprises concernées détenues par la société holding puissent être pleinement soutenues en cas de besoin.
D'après le document de consultation, la PRA estime qu'elle fera preuve de pragmatisme dans la gestion des holdings soumises à ses exigences. Une société holding dont une seule institution est touchée serait traitée différemment d'une société dont toutes les entités qu'elle détient sont touchées par la résilience opérationnelle.
Comment cela pourrait-il fonctionner dans la pratique ?
Cela dépend de la nature de la société holding et de la mesure dans laquelle les sociétés qu'elle détient dépendent d'elle pour fonctionner efficacement.
Lorsqu'une société holding est un dispositif administratif, conçu pour traiter des questions juridiques, de reporting ou de propriété, avec un impact limité sur les opérations de ses filiales, l'engagement avec l'ARP sera probablement un exercice assez limité.
La situation est encore plus délicate lorsque la société holding est un véhicule destiné à permettre des montages fiscaux, d'investissement, de propriété ou de fusions-acquisitions plus sophistiqués. Dans ce cas, les obligations entre les holdings et leurs filiales deviennent beaucoup plus complexes. La PRA exigera probablement une visibilité des systèmes, des processus et des ressources utilisés pour contrôler ces accords, et s'assurera que les exigences de résilience opérationnelle sont appliquées de manière cohérente, quels que soient les changements dans les entreprises.
L'utilisation intensive des feuilles de calcul : Bien qu'ils soient puissants et flexibles, ils ne disposent pas des contrôles essentiels pour fournir les résultats transparents et vérifiables dont les entreprises ont besoin.
Le défi pour les holdings est que leur valeur réside dans leurs structures financières et juridiques, plutôt que dans une quelconque expertise opérationnelle. Il ne s'agit généralement pas d'opérations de grande envergure ou sophistiquées, dotées d'effectifs importants. Si certains systèmes et processus sont susceptibles d'être automatisés, un grand nombre d'entre eux seront manuels, avec probablement l'utilisation intensive de feuilles de calcul.
Bien qu'elles soient puissantes et flexibles, les feuilles de calcul ne disposent pas des contrôles essentiels pour fournir les résultats transparents et vérifiables que les entreprises doivent présenter aux autorités de réglementation. Ce processus est exacerbé lorsqu'une entreprise fait appel à un tiers pour fournir l'infrastructure et les capacités de base. Dans les deux cas, la PRA s'attend à ce que les entreprises puissent démontrer ces capacités dans le cadre de la résilience opérationnelle.
Comment pouvez-vous le faire au mieux ?
Les fonctionnalités de gestion des risques liés aux feuilles de calcul permettent aux entreprises d'appliquer des contrôles rigoureux à leurs feuilles de calcul les plus critiques. Ces fonctionnalités permettent aux banques de surveiller de manière proactive ces feuilles de calcul afin d'identifier les problèmes - données manquantes, liens rompus ou erreurs de formule, par exemple - qui peuvent avoir un impact sur la résilience opérationnelle d'une entreprise.
Un inventaire des feuilles de calcul permet de centraliser la gestion, l'examen et la visibilité des feuilles de calcul essentielles utilisées dans l'entreprise. Il fournit également un référentiel pour la documentation essentielle à la définition et au contrôle des feuilles de calcul de base utilisées dans une entreprise.
De puissantes capacités de découverte des feuilles de calcul permettent d'identifier les feuilles de calcul clés qui doivent faire l'objet d'une surveillance proactive afin que les problèmes puissent être détectés, corrigés et signalés.
Gestion des risques pour les tiers (TPRM) aident une organisation à gérer de manière proactive des chaînes d'approvisionnement complexes et profondes, de sorte que les problèmes liés à la résilience d'une partie de ces chaînes ne se transforment pas en un problème majeur de résilience pour le client principal. De puissantes capacités basées sur SaaS offrent une approche décentralisée mais robuste de la gestion des fournisseurs au sein des troisième, quatrième et cinquième niveaux de la chaîne d'approvisionnement. Pour ce faire, il faudrait disposer d'un référentiel centralisé contenant les contrats pertinents, la documentation standard de la politique et les profils de risque des différents fournisseurs. Les gestionnaires peuvent surveiller les différents éléments de la chaîne d'approvisionnement de manière proactive, de sorte qu'ils peuvent réagir rapidement si des problèmes apparaissent à n'importe quel niveau, avant qu'un problème mineur ne se transforme en quelque chose de plus grave.
La plateforme GRC de Mitratech offre de puissantes capacités qui aident les institutions financières du monde entier à améliorer leur gestion des risques. TPRM et leur Gestion des risques sur tableur. Rapides à déployer, ils résolvent rapidement vos problèmes et vous apportent rapidement de la valeur.
English 
Deutsch 
English (UK) 
English (Australia) 
Français 
Español de México 
简体中文