Evolutions IT dans le secteur financier : 5 principes stratégiques pour répondre à l’attention croissante des autorités

Article écrit en collaboration avec Sonia Cabanis et Antoine Gajac, associés Risk Advisory.

Au cours des 12 derniers mois, les législateurs, les régulateurs et les autorités de surveillance ont tous exprimé leurs préoccupations concernant la manière dont certaines entreprises du secteur financier gèrent la transformation de leurs systèmes et technologies d’information et de communication (TIC).

Les autorités de contrôle, et notamment la Banque Centrale Européenne (BCE) ou l’Autorité de Contrôle Prudentiel et de Résolution (ACPR), suivent déjà de près ces transformations depuis quelque temps. Grâce à leur processus régulier de contrôle et d’évaluation de la supervision (SREP) et à leurs inspections sur site, elles intègrent les préoccupations récentes liés à la numérisation ou à la sécurité des systèmes ouverts. Cette tendance se poursuivra avec un approfondissement des exigences et une extension des contrôles aux établissements de taille non systémique.

Cette tendance s’accompagne de travaux des autorités de régulation. Ainsi l’Autorité bancaire européenne (ABE) a publié en décembre 2018, un projet de lignes directrices sur la gestion des risques liés aux TIC et à la sécurité qui pourraient s’appliquer dès 2020. Sous leur forme actuelle, les lignes directrices obligeraient les entreprises à gérer avec soin les modifications apportées à leurs systèmes informatiques et à avoir des procédures robustes en place en cas de perturbations.

Les entreprises doivent être capables d’innover, de gérer la complexité de leurs systèmes et de mettre à jour les anciens. Elles doivent le faire tout en réduisant au minimum les risques de pannes et les perturbations en cas de survenance d’un incident.

Il existe des liens directs entre les bonnes pratiques usuelles en matière de gestion des systèmes informatiques, la résilience opérationnelle face au changement technologique, et la plupart des points soulignés par les régulateurs.

Les cinq principes suivants peuvent constituer la base d’une vision stratégique de la gestion du changement technologique pour les entreprises de services financiers :

1 – Proactivité : les entreprises doivent adopter une attitude proactive en matière de gestion du changement informatique. Il peut y avoir des motivations à court terme pour retarder de gros programmes, mais une entreprise qui traite l’obsolescence le plus tôt possible peut par la suite récolter des dividendes. La complexité augmente avec le temps, et les systèmes plus complexes sont plus difficiles à exploiter et à rationaliser.

2 – Investissements : un programme stratégique de gestion du changement informatique est, par définition, vaste. Il doit être soutenu par un budget adapté, réunir les principales parties prenantes de l’entreprise et disposer de suffisamment de temps et de ressources. Les conseils d’administration doivent être impliqués, compte tenu de l’importance stratégique de ce sujet, et les superviseurs voudront voir des preuves d’une gouvernance solide et d’une implication appropriée de la direction.

3 – Capacité et « mémoire musculaire » : il est peu probable que le rythme du changement informatique se ralentisse à mesure que l’innovation technologique se poursuit. Plutôt que de voir chaque changement comme un événement individuel, les entreprises doivent optimiser les capacités pour tirer les leçons des changements précédents, réduire les fenêtres de préparation et minimiser le risque d’erreur grâce à des plans d’exécution robustes mais flexibles. Ces plans devraient être utilisés dans les programmes de changement quelle que soit leur taille.

4- Planification : de nombreux programmes de changement informatique retiennent une trajectoire marquée par un biais d’optimisme. Il est essentiel de prendre en compte dès le départ ce qui pourrait mal se passer et de planifier les mesures de contournement, d’atténuation et de rétablissement au cas où le pire arriverait. Les autorités ont souligné la nécessité d’inclure de la flexibilité dans les délais, afin de prendre en compte les problèmes identifiés lors de tests, ou des revues indépendantes par exemple.

5 – Capitaliser sur l’expérience des projets connexes : les entreprises doivent faire le lien entre leurs programmes informatiques et capitaliser sur les bonnes pratiques observées sur les projets. La mise en place de méthodes normées et formalisées est clé afin de pouvoir mutualiser et intégrer les bonnes parties prenantes au sein d’équipes projet et ainsi mutualiser les expériences. L’ABE a souligné qu’il s’agissait d’une attente clé.

En adoptant une vision stratégique inspirée des principes énoncés ci-dessus, les entreprises peuvent se positionner en pionniers plutôt que d’être prisonniers de leurs systèmes, alors même que les régulateurs envoient des signaux clairs indiquant qu’ils attendent des entreprises qu’elles les gèrent mieux, et en continu leurs programmes de changement informatique.

Depuis son entrée chez Deloitte en 2009, Nicolas coordonne le pôle Regulatory intervenant sur les activités des institutions financières. Il représente également la firme française dans les centres d’expertise européens de Deloitte, à Londres et à Francfort. Avant de rejoindre le cabinet, Nicolas a exercé auprès des autorités bancaires françaises (Banque de France, Autorité de contrôle prudentiel) pendant 15 ans durant lesquels il a occupé différents postes, notamment dans la supervision bancaire.

Published by

Recent Posts

Cas d’usage des captives de réassurance, entre gestion du risque corporate et opportunité financière

Article co-rédigé avec Cyril Chalin, Charles-Henri Carlier, Joseph Delawari et Pape Modou Mbow. La loi…

1 an ago

Talent Acquisition et compétences face au changement organisationnel

Entretien avec Jérôme de Grandmaison (VP Talent Management, Product Lines & Functions, Alstom) à l’occasion…

1 an ago

Refonte du questionnaire lutte anti-blanchiment : une approche qui évolue avec des impacts forts pour les entités assujetties

Article co-écrit par Ivann Le Pallec (Senior Consultant Risk Advisory) et Valentin Brohm (Manager Risk…

1 an ago

Future of luxury travel

Five Trends Shaping the Market Hear “luxury travel,” and you’re likely to envision a swirl…

1 an ago

E-Euro : l’interview de Frédéric Faure, Head of Blockchain chez Banque de France

Interview réalisée par Marie-Line Ricard, Associée Blockchain & Web 3, Jérémy Stevance, Manager Blockchain &…

1 an ago

La prise en compte de sujets fonctionnels résultant de la réforme de la demande et des attributions, une opportunité pour les acteurs de la réforme

Article co-rédigé avec Wilfrid Biamou, Senior manager. Les évolutions réglementaires successives Alur du 26 mars…

2 ans ago