Les régulateurs prennent des mesures accrues pour prévenir les incidents qui pourraient avoir un impact sévère sur le secteur et l'économie en général. La circulaire 2023/1 de la FINMA, récemment publiée, définit les principes de gestion des risques opérationnels et de la résilience. La circulaire n'est volontairement pas prescriptive, ce qui signifie que les organisations doivent interpréter les principes énoncés dans la circulaire et adapter la mise en œuvre de la réglementation à leurs circonstances particulières.
Le nouveau règlement souligne la nécessité pour les institutions financières du champ d'application de s'assurer que leur niveau de résilience opérationnelle est adéquat et que l'organisation peut fournir les services commerciaux minimums requis en cas de perturbations "graves, mais plausibles".
Nous proposons une approche reposant sur cinq piliers pour répondre aux exigences accrues et gérer efficacement le niveau de résilience opérationnelle de l'organisation :
D'ici au 1er janvier 2026, la FINMA exige des organisations qu'elles se conforment pleinement à la circulaire et qu'elles soient donc résilientes sur le plan opérationnel. A cette date, les organisations devraient avoir remédié aux vulnérabilités existantes et mis en œuvre les mesures supplémentaires requises qui les aideront à rester dans les limites de tolérance de perturbation de leurs fonctions critiques dans de telles occasions d'événements perturbateurs sévères mais plausibles.
Toutefois, le premier délai de transition de la FINMA, fixé au 1er janvier 2024, prévoit déjà que les organisations disposent d'un inventaire initial de leurs fonctions critiques approuvé par le conseil d'administration. Cet inventaire doit contenir les tolérances de perturbation des fonctions critiques, ainsi que les connexions et dépendances identifiées entre les processus critiques et les ressources qui fournissent les fonctions critiques identifiées.
C'est donc maintenant qu'il faut agir. Pour se mettre en conformité, les organisations doivent s'attaquer aux premiers piliers de la résilience opérationnelle. Du point de vue de la résilience opérationnelle, les deux principaux défis auxquels les organisations seront confrontées jusqu'à la fin de l'année 2023 sont les suivants :
En outre, les travaux de remédiation requis pour des vulnérabilités connues de longue date, difficiles et complexes à traiter, entraîneront probablement des efforts plus importants étalés sur plusieurs années. Par conséquent, les organisations devraient envisager de lancer une partie de ces travaux dès 2023 afin de respecter l'échéance finale du 1er janvier 2026.
Les institutions financières doivent donner la priorité à l'identification initiale des fonctions critiques de l'organisation ainsi qu'à leur tolérance aux perturbations, car le premier péage de transition de la FINMA, le 1er janvier 2024, approche à grands pas. En outre, les travaux de remédiation requis pour les vulnérabilités connues de longue date et qui nécessiteront probablement des efforts importants devraient être lancés dès maintenant afin de respecter l'échéance finale du 1er janvier 2026.
La définition initiale des fonctions critiques et de leur tolérance aux perturbations sera probablement une tâche plus complexe qu'on ne le pensait au départ. Ce processus nécessite une approche itérative avec la participation des principales parties prenantes de plusieurs domaines d'activité de l'organisation. Une fois définies, elles refléteront en fin de compte les principales priorités de la direction en temps de crise.
Notre équipe a aidé et continue d'aider de nombreuses institutions à relever les mêmes défis et nous serions ravis d'aider votre organisation à se conformer à ce nouveau règlement.