Nouvelle ère pour les risques opérationnels: Implications de la circulaire FINMA 2023/1 pour les banques en Suisse

A propos des auteurs :
Article a été écrit par Enrico Giacoletto, de la société easyReg.ch et
Cyrille Reynard de l’Observatoire des risques opérationnels.

Introduction:

La gestion des risques opérationnels revêt une importance capitale pour les institutions financières, car elle vise à assurer leur stabilité, leur résilience et leur conformité réglementaire. Récemment, la FINMA a publié la circulaire 2023/1 qui introduit des changements significatifs dans la gestion des risques opérationnels. Cet article vise à analyser ces changements et à formuler des recommandations pour les experts en risques opérationnels. Nous explorerons les différentes sections de la circulaire et mettrons en évidence les implications pour la haute direction des banques. Les aspects liés aux données critiques feront l’objet de plus d’attention compte tenu du changement de paradigme et du temps nécessaire pour leur gestion.

Il est important de noter que ces changements pourraient également être pertinents pour tout type d’entreprise. La gestion efficace des risques opérationnels est cruciale pour assurer la stabilité, la résilience et la conformité réglementaire de toute organisation, quelle que soit son secteur d’activité.

Gestion globale des risques opérationnels:

La section sur la gestion globale des risques opérationnels met l’accent sur l’importance d’une approche intégrée et holistique de la gestion des risques. Ceci implique la mise en place d’une tolérance approuvée par le Conseil sur chacun des aspects de la circulaire. Les membres de la direction et de l’organe responsable de la haute direction doivent posséder des connaissances spécialisées adéquates pour comprendre et gérer efficacement les risques opérationnels. Les processus et procédures de contrôle des risques doivent également tenir compte des normes internationales reconnues.

Gestion des risques TIC:

La gestion des risques liés aux technologies de l’information et de la communication (TIC) est essentielle dans un environnement où les cybermenaces sont de plus en plus prévalentes. Les spécialistes en risques opérationnels doivent posséder des connaissances approfondies dans ce domaine. Il est crucial d’établir une stratégie TIC claire et une gouvernance appropriée pour assurer la sécurité et la résilience des systèmes informatiques. De plus, la gestion des changements, l’exploitation TIC et la gestion des incidents doivent être rigoureusement organisés pour atténuer les risques potentiels.

Gestion des risques des données critiques:

Les données critiques jouent un rôle essentiel dans les opérations des institutions financières, car elles contiennent des informations sensibles et confidentielles sur les clients, les transactions et d’autres aspects clés de l’activité. La gestion adéquate des risques liés aux données critiques est donc essentielle pour assurer la confidentialité, mais également l’intégrité et la disponibilité de ces informations. Voici quelques principes clés à prendre en compte :

  • Définir une méthodologie structurée pour identifier et catégoriser les données critiques : Il est crucial d’établir une méthodologie claire et bien définie pour identifier les données critiques et les classer en fonction de leur importance en termes de confidentialité, d’intégrité et de disponibilité. Cela permettra de concentrer les efforts sur les données les plus sensibles et de leur accorder une attention particulière en termes de protection et de gestion des risques.
  • Prendre en compte les données électroniques et physiques : Les données critiques peuvent exister à la fois sous forme électronique et physique. Il est important de considérer les deux aspects et de mettre en place des mesures de sécurité appropriées pour protéger ces données dans les deux formats. Cela peut impliquer l’utilisation de technologies de cryptage pour les données électroniques et la mise en place de systèmes de stockage sécurisés pour les données physiques. Un autre aspect également important, il s’agit de définir des processus, des procédures et des contrôles appropriés pour traiter les données critiques tout au long du cycle de vie des données.
  • Établir des processus de maintenance efficaces : Il est essentiel de maintenir un inventaire à jour des emplacements de stockage des données critiques. Cela permet de connaître précisément où se trouvent ces données et de prendre les mesures nécessaires pour les protéger et les sauvegarder de manière adéquate. Des processus de maintenance réguliers doivent être établis pour garantir que cet inventaire est constamment mis à jour à mesure que de nouveaux emplacements de stockage sont utilisés ou que des changements sont apportés à l’infrastructure de stockage existante.

En suivant ces principes, les institutions financières peuvent renforcer leur capacité à gérer les risques liés aux données critiques et à assurer la confidentialité, l’intégrité et la disponibilité de ces informations sensibles. Il est également recommandé d’adopter une approche proactive en matière de sécurité des données, en mettant en place des contrôles appropriés, des politiques de sécurité claires et une sensibilisation continue au sein de l’organisation. Cela contribuera à réduire les risques liés aux données critiques et à prévenir les incidents de sécurité potentiels. L’obligation d’annonce couvre dorénavant également les incidents impactant les aspects d’intégrité et de disponibilité en plus des aspects de confidentialité.

Gestion des cyberrisques:

La section sur la gestion des cyberrisques met en évidence l’importance de protéger les institutions financières contre les attaques cybernétiques.

Les experts en risques opérationnels doivent être à la pointe des dernières tendances et des meilleures pratiques comme notamment NIST ou ISO en matière de cybersécurité. Il est essentiel d’élaborer des stratégies de prévention, de détection et de réponse aux cyberattaques pour préserver la confidentialité, l’intégrité et la disponibilité des données.

Business Continuity Management (BCM):

Le BCM est essentiel pour assurer la continuité des opérations en cas d’incidents majeurs. Les experts en risques opérationnels doivent s’assurer que des plans de continuité d’activité appropriés sont en place, couvrant les processus critiques et prenant en compte les scénarios de perturbation les plus graves mais plausibles. Ils doivent coordonner les efforts pour tester régulièrement ces plans et s’assurer qu’ils sont adaptés à l’évolution du paysage des risques opérationnels.

Résilience opérationnelle:

La résilience opérationnelle est un aspect clé de la gestion des risques opérationnels. Les experts en risques opérationnels doivent s’assurer que les fonctions critiques de l’établissement sont identifiées et des tolérances aux interruptions déterminées. L’établissement prend des mesures pour garantir la résilience opérationnelle en tenant compte de scénarios graves, mais plausibles. Cela nécessite une compréhension approfondie des ressources nécessaires à l’exécution de ces fonctions critiques, ainsi que des liens et des interdépendances avec les parties internes et externes.

Gestion des risques liés aux activités de service transfrontières:

Les activités de service transfrontières présentent des défis spécifiques en matière de gestion des risques opérationnels. Les experts en risques opérationnels doivent évaluer les risques associés aux activités transfrontières et mettre en place des mesures appropriées pour les atténuer. Cela nécessite une coordination et une collaboration étroites avec les parties prenantes internes et externes, ainsi qu’une compréhension des exigences réglementaires et des différences juridictionnelles.

Recommandations:

Sur la base des changements introduits par la circulaire de la FINMA, voici quelques recommandations pour les experts en risques opérationnels et la haute direction des banques :

  • Investir dans le renforcement des compétences : Les membres de la direction et de l’organe responsable de la haute direction doivent développer des connaissances spécialisées en matière de gestion des risques opérationnels, en mettant l’accent sur les domaines tels que la gestion des risques TIC, la cybersécurité et la protection des données critiques.
  • Mettre en œuvre une gouvernance solide : Il est essentiel d’établir une gouvernance robuste pour la gestion des risques opérationnels, en veillant à ce que les responsabilités et les rôles soient clairement définis. Cela garantit une prise de décision efficace et une responsabilisation adéquate dans la gestion des risques.
  • Adopter une approche intégrée : La gestion des risques opérationnels doit être intégrée à l’ensemble de l’organisation, en impliquant tous les départements et parties prenantes concernées. Cela favorise une meilleure coordination et une compréhension commune des risques et des mesures d’atténuation.

D’autres recommandations sont présentées en annexe. 

Conclusion:

La nouvelle circulaire de la FINMA apporte des changements significatifs dans la gestion des risques opérationnels pour les institutions financières. Les experts en risques opérationnels et la haute direction des banques doivent se familiariser avec ces changements et prendre les mesures nécessaires pour renforcer la gestion des risques opérationnels dans leur organisation. En investissant dans les compétences, en établissant une gouvernance solide, en adoptant une approche intégrée, en renforçant la résilience opérationnelle, en collaborant avec les parties prenantes externes et en suivant les normes internationales, les banques peuvent mieux gérer les risques opérationnels et assurer leur stabilité à long terme.

Il est essentiel de reconnaître que la gestion des risques opérationnels est un processus continu et évolutif. Les experts en risques opérationnels doivent rester à jour avec les développements du secteur, les nouvelles menaces et les meilleures pratiques en matière de gestion des risques. En intégrant ces principes dans leurs stratégies et leurs opérations quotidiennes, les banques peuvent maintenir leur résilience et leur succès dans un environnement complexe et en constante évolution.

Annexe :

Recommandations secondaires :

  • Renforcer la résilience opérationnelle : Les plans de continuité d’activité doivent être régulièrement testés et mis à jour pour s’assurer de leur efficacité en cas d’incidents majeurs. Des mesures supplémentaires doivent être prises pour garantir que les fonctions critiques peuvent résister aux interruptions et être rapidement rétablies.
  • Collaborer avec les parties prenantes externes : Les risques opérationnels peuvent être influencés par des facteurs externes tels que les fournisseurs de services, les régulateurs et les partenaires stratégiques. Il est crucial d’établir des relations de collaboration solides avec ces parties prenantes externes, en partageant des informations pertinentes sur les risques opérationnels et en travaillant ensemble pour les atténuer.
  • Suivre les normes internationales : Les processus et procédures de contrôle des risques opérationnels doivent être alignés sur les normes internationales reconnues, telles que celles établies par le Comité de Bâle ou encore les normes spécialisées en matière informatique. Cela garantit une approche cohérente et une conformité réglementaire appropriée.