En décembre 2022, la FINMA (Autorité de surveillance des marchés financiers suisse) a publié une mise à jour de sa circulaire sur les risques opérationnels et la résilience, marquant ainsi un changement important dans le paysage réglementaire des établissements concernés (banques, négociants en valeurs mobilières et groupes financiers tels que définis par la FINMA). Cette réglementation entrera en vigueur le 1er janvier 2024, accordant aux établissements une période de transition de deux ans pour se conformer aux nouvelles exigences. Les établissements doivent d’ores et déjà démontrer leur engagement jusqu’à 2026, ce qui signifie qu'elles doivent adopter une approche proactive en vue d'assurer leur résilience opérationnelle.
Dans cet article, nous abordons la réglementation sur la résilience opérationnelle publiée par la FINMA, en mettant particulièrement en avant la gestion des risques associés aux données (chapitre IV, paragraphe D de la circulaire).[1] Nous étudions ici comment les établissements bancaires peuvent se conformer à cette règlementation et nous présentons une approche pragmatique pour relever les défis qui en résultent.
La nouvelle circulaire FINMA 2023/1, intitulée "Risques opérationnels et résilience - Banques" introduit d'importantes exigences pour les institutions financières, incluant la gestion des risques liés aux technologies de l'information et des communications (TIC), à la cybersécurité et les risques liés aux données critiques.
Cette circulaire introduit également de nouveaux principes pour la résilience opérationnelle, mettant l'accent sur deux aspects clés :
Les établissements bancaires sont donc tenus de définir leurs fonctions critiques et d'évaluer leur tolérance aux interruptions majeures . De plus, les établissements doivent gérer ces fonctions critiques via un dispositif de risque opérationnel qui comprend la mise en place de contrôles et l'assignation de responsabilités pour chaque ligne de défense.
La première ligne de défense est en charge des contrôles opérationnels. Elle permet d’assurer la gestion des activités quotidiennes et les risques associés. La deuxième ligne de défense joue un rôle clé dans la supervision et la mise en œuvre des contrôles établis par la première ligne. Elle veille à ce que ces contrôles soient bien conçus, intégrés de manière transparente et exécutés de manière efficace pour gérer les risques opérationnels. La fonction d'audit agit en tant que troisième ligne pour superviser et réviser de manière indépendante les activités de contrôle du risque opérationnel.
De plus, la circulaire souligne l'importance de gérer les données critiques afin de soutenir les fonctions critiques des établissements. Cet ajout résulte de la complexité croissante qui caractérise l'écosystème bancaire actuel.
L’environnement IT est confronté à des défis sans précédent, principalement en raison d'une dette technologique importante, résultant d'un « IT legacy » complexe. En outre, les établissements doivent faire preuve de prudence face aux risques liés à l'adoption rapide de nouvelles plateformes technologiques.
Par ailleurs, les établissements font face à une amplification des contraintes réglementaires liées aux données, en réponse aux menaces grandissantes telles que les violations de données et la cybercriminalité. Ces défis sont aujourd'hui au cœur des préoccupations de l'industrie financière.
Parallèlement, les données prennent une place de plus en plus importante dans les processus décisionnels, se positionnant ainsi au cœur des initiatives stratégiques des établissements.
Dans ce contexte, il devient impératif de concevoir des stratégies axées sur les données, visant à renforcer la maîtrise, la gestion et la protection de ces actifs.
Bien que les exigences de la circulaire soient les mêmes pour tous, chaque institution devrait mettre en œuvre le cadre et les contrôles en fonction de leur modèle d'affaires, taille, complexité, structure, et profil de risque.
Naviguez dans les complexités de la résilience opérationnelle et de la protection des données requiert expertise et expérience. Face aux défis de conformité à la réglementation de la FINMA, notre équipe est là pour vous accompagner. Qu'il s'agisse de créer une feuille de route solide, d'assurer la protection de vos données ou d’améliorer leur gestion.
Découvrez comment nos solutions sur mesure et notre expertise peuvent aider votre banque à relever les défis réglementaires, à renforcer sa résilience opérationnelle et à protéger vos données sensibles. Contactez-nous dès aujourd'hui pour en savoir plus.
[1] Circulaire 2023/1 Risques et résilience opérationnels – banques (7 décembre 2022)