Voir toutes les solutions
février 13, 2023 par smartcockpit

Gestion des risques opérationnels et garantie de la résilience opérationnelle – FINMA : circulaire 2023/1 « Risques et résilience opérationnels – banques »

Il est fort possible que vous ayez entendu parler de la publication récente de FINMA concernant la révision de la circulaire 2023/1 « Risques et résilience opérationnels – banques » qui vient remplacer la précédente circulaire 2008/21 « Risques opérationnels – banques ». Effective à partir du 1er janvier 2024, celle-ci annonce d’importants changements pour votre organisation, et ce, dès le titre avec l’apparition de la résilience opérationnelle. Banques, compagnies d’assurances et société financières helvétiques devront toutes s’y conformer dans le courant de cette année. Un véritable casse-tête s’annonce puisque les délais sont courts et la charge de travail est grande. Mais alors, que contient cette nouvelle circulaire ?  Quels sont les changements apportés ? Et comment conformer votre entreprise ? Nous répondrons, pour vous, à toutes ces questions.

Que contient la circulaire FINMA 2023/1 ?

La circulaire 2023/1 « Risques et résilience opérationnels – banques » traite de la gestion des risques et de la continuité des activités dans le domaine bancaire. Elle inclut également des éléments du Comité de Bâle sur le Contrôle Bancaire (CBCB). Son but est de faire évoluer les pratiques en lien avec les nouvelles normes internationales en matière de résilience et de répondre aux enjeux liés au phénomène de numérisation grandissant.

Comme évoqué précédemment, cette révision de la circulaire FINMA contient des principes supplémentaires concernant la résilience opérationnelle. Ils s’établissent désormais au nombre de 8 :

  1. Exigences générales en matière de gestion des risques opérationnels
  2. Gestion des risques TIC, gestion des changements, exploitation TIC, gestion des incidents
  3. Gestion des cyberrisques
  4. Gestion des risques des données critiques
  5. Gestion des risques liés aux activités de service transfrontière
  6. Business continuity management (BCM)
  7. Résilience opérationnelle
  8. Maintien des prestations critiques lors de la liquidation et l’assainissement des banques d’importance systémique

Les risques opérationnels sont très difficiles à quantifier. Un exemple peut s’illustrer au travers du risque de fraude. Dans ce cas, nous arrivons rapidement à la conclusion qu’aucune organisation n’est vraiment immunisée puisqu’un tel risque peut tant trouver son origine à l’interne qu’à l’externe. De plus, l’estimation de ses répercussions financières n’est d’aucune fiabilité. C’est pour cette raison que la FINMA a affiné sa pratique de surveillance en matière de gestion des risques opérationnels.

Les établissements financiers doivent ainsi disposer d’un concept de gestion des risques complet. Il doit vous permettre de couvrir toutes les catégories de risques sur l’ensemble de vos activités, mais aussi d’identifier, d’analyser, d’évaluer et de gérer efficacement les risques significatifs. Enfin, il doit apporter de la cohérence afin que toutes les fonctions de contrôle puissent interagir entre elles et partager leurs vues avec la direction et de manière coordonnée.

Enfin, cette circulaire expose les recommandations en matière de Business Continuity Management (BCM). Celles-ci posent le cadre que les entreprises doivent respecter dans le but de garantir la continuité de leurs prestations et de leurs services en cas de crise. En lien avec le BCM, la FINMA aborde le sujet de la résilience opérationnelle dans les entreprises basée sur les « Principes de résilience opérationnelle » publiés par le CBCB.

Vous souhaitez approfondir ce sujet ?

Retrouver notre Livre Blanc sur la résilience de votre organisation co-écrit avec notre partenaire Pragm@TIC !

Quels sont les nouveaux changements ?

La FINMA a fait évoluer les principes de cette circulaire afin de s’aligner sur les autres dispositions réglementaires dans les domaines de la numérisation et des Technologies de l’Information et de la Communication (TIC), des cyberrisques et du traitement des données critiques. Elle intègre également la résilience opérationnelle dans le prolongement des normes réglementaires antérieures relatives à la gestion de la continuité des activités (BCM).

Principe 2 : Gestion des risques liés aux TIC

Concernant les risques liés aux TIC, la circulaire FINMA demande une bonne gestion des changements et de l’exploitation des TIC en garantissant la séparation des environnements de test et de production ainsi qu’une bonne gestion des incidents. Ce principe est directement lié à l’ancien principe sur l’infrastructure informatique.

Principe 3 : Gestion des cyberrisques

La gestion des cyberrisques impose un devoir d’informer la FINMA des cyberattaques, mais ce devoir n’est pas nouveau. Cependant, il convient de mettre en place une stratégie qui doit comprendre des processus et des contrôles afin de :

  • Identifier des menaces spécifiques et potentielles liées aux cyberattaques,
  • Protéger la confidentialité, l’intégrité et la disponibilité des données électroniques critiques et des composantes TIC,
  • Détecter rapidement des cyberattaques,
  • Réagir aux vulnérabilités et de rétablir rapidement la marche des affaires après une cyberattaque.

Principe 4 : Gestion des risques liés aux données critiques

Ce principe élargit les exigences qualitatives décrites dans les documents du CBCB en imposant une protection particulière des « données critiques » sous l’angle de la confidentialité, de l’intégrité et de la disponibilité :

  • Accès limité par les employés (Need to know)
  • Formation de surveillance
  • Protection et surveillance des données conservées hors suisse
  • Due diligence des prestataires qui traitent ces données

Cette approche responsable de la gestion des données réduit considérablement les risques.

Principe 7 : Résilience opérationnelle

L’augmentation des perturbations opérationnelles (cyberattaques, difficultés d’approvisionnement…) oblige les établissements à identifier les menaces et les défaillances éventuelles, à s’en protéger, à réagir et à rétablir la marche ordinaire des affaires. Le principe 7 partage ainsi un lien étroit avec le principe 6 sur le BCM. La résilience opérationnelle fait en sorte que tout fonctionne en ordre et prévient d’une altération des activités de l’organisation.

Comment conformer mon entreprise à la nouvelle circulaire FINMA ?

De nombreux rôles seront ainsi impactés au sein de votre organisation : le gestionnaire des risques, le responsable des systèmes de sécurité de l’information, le gestionnaire de la continuité des activités, le comité exécutif, le conseil d’administration… Il convient de mettre en place un système qui permet de briser les silos entre les systèmes/structures que vous avez déjà mis en place et transcender ainsi l’intelligence collective.

Voici une liste non-exhaustive de pratiques à mettre en œuvre qui mènera votre entreprise sur le chemin de la conformité :

  • Intégrer tous les éléments de gestion des risques. Cela inclut votre stratégie, mais aussi la tolérance au risque que vous avez, les risques inhérents auxquels vous faites face, les risques de contrôle que vous pouvez prendre et tout risque résiduel.
  • Adopter une approche holistique (système de gouvernance adéquat) qui inclut l’identification, l’évaluation et la gestion de vos systèmes, données, processus et applications critiques.
  • Établir un concept harmonieux pour l’ensemble de vos fonctions de contrôle. Cela passe par un vocabulaire et des méthodologies communes, mais aussi par une catégorisation unique des risques et rejoint la notion de cohérence développée précédemment pour permettre aux organes de direction de comparer les différentes vues entre elles.
  • Intégrer également le Business Continuity Management et la résilience opérationnelle dans le cadre de la protection des données

Nous proposons un cockpit dédié qui permet de piloter la santé à 360° de votre activité. Justifier d’une organisation adéquate tout en atténuant vos risques opérationnels et en accroissant votre résilience !

Aperçu du logiciel SMSI

Vous désirez une solution clé en main adaptée à votre structure ? Bénéficiez de notre réseau de partenaires qui vous accompagneront, avec une approche claire et efficace, dans les phases d’analyse, de conseil et de mise en place de smartcockpit. Simplifiez-vous la vie avec smartcockpit !

Contactez-nous pour obtenir plus d’informations.

Vous cherchez à développer durablement la valeur de votre organisation ? Un nouveau livre blanc arrive très prochainement ! stay tuned 😎