Nouvelle circulaire 2023/1 de la FINMA
«Risques et résilience opérationnels – banques»
La FINMA a révisé sa circulaire sur les risques opérationnels des banques afin de l’adapter aux dernières évolutions technologiques et d’y intégrer les principes du Comité de Bâle sur la résilience opérationnelle. Elle a également tenu compte des recommandations de l’Association suisse des banquiers (ASB). La nouvelle Circ.-FINMA 2023/1 entrera en vigueur le 1er janvier 2024.
Social Bookmarks
La numérisation croissante et les évolutions techniques génèrent des risques accrus au sein du secteur bancaire, en particulier dans les domaines du fonctionnement opérationnel et de la sécurité des données. Afin d’assurer une meilleure prévention de ces risques, l’Autorité fédérale de surveillance des marchés financiers (FINMA) a décidé de réviser sa circulaire sur les risques opérationnels.
La FINMA renforce sa pratique prudentielle
La circulaire révisée concrétise la pratique prudentielle de la FINMA en matière de gestion des risques opérationnels, notamment en relation avec les technologies de l’information et de la communication, la gestion des données critiques et les cyberrisques. Elle intègre des exigences quant à la résilience opérationnelle. Elle tient compte des principes du Comité de Bâle pour une gestion irréprochable des risques opérationnels et de la résilience opérationnelle, publiés en mars 2021.1 Enfin, elle reprend pour la première fois certains éléments essentiels des Recommandations en matière de Business Continuity Management (BCM) publiées par l’ASB.
Les positions de l’ASB ont été entendues
Après avoir procédé à une consultation préalable de représentant·e·s du secteur bancaire, la FINMA a lancé en mai 2022 l’audition publique sur la révision de la circulaire. Ce processus s’est révélé très efficace. Des éléments fondamentaux tels que la mise en œuvre «fondée sur des principes», «proportionnelle» et «technologiquement neutre» ont été définis à un stade précoce. En outre, la volonté de la FINMA de prendre en compte de manière consolidée et intégrale les standards pertinents du Comité de Bâle, l’autorégulation de l’ASB en matière de BCM ainsi que sa propre pratique prudentielle a permis de beaucoup simplifier la structure de la circulaire.
Dans sa prise de position, l’ASB avait suggéré de clarifier les définitions de plusieurs notions, dans la mesure où les formulations retenues auraient entraîné une extension inutile et dans certains cas non souhaitée des obligations y relatives. Par exemple, l’adjectif «critique», en relation avec des situations et des données, était employé dans un sens très large. Dans la version finale de sa circulaire, la FINMA a donc précisé et restreint la définition des notions de «risques opérationnels», «situations de crise», «processus critiques» et «données critiques», ce dont on ne peut que se réjouir. Par ailleurs, le projet mis en consultation transférait à la direction et à l’organe responsable de la haute direction des tâches et des compétences qui semblaient parfois trop détaillées et n’étaient donc pas adaptées aux échelons concernés. Dans la version finale de la circulaire, les chiffres en marge concernant les tâches imparties à la direction et à l’organe responsable de la haute direction ont été notablement précisés. De manière générale, s’agissant de la gestion des risques opérationnels, les exigences ont été formulées de manière plus «souple» que dans le projet à de nombreux égards, et en se fondant davantage sur des principes. Enfin, la FINMA a accepté de reporter d’un an l’entrée en vigueur de la circulaire.
Les coûts de mise en œuvre ne sont pas à sous-estimer
Ombre au tableau: des dispositions transitoires ambitieuses subsistent dans certains domaines. Il convient de noter à cet égard que certaines prescriptions devront avoir été déjà mises en œuvre à la date d’entrée en vigueur de la circulaire. Sont ainsi attendus dès le 1er janvier 2024 l’identification des fonctions critiques, la définition des tolérances aux interruptions et un premier rapport y relatif à l’intention de la direction et de l’organe responsable de la haute direction, ainsi que les premières approbations par ce dernier.
Même si la version finale de la circulaire a été améliorée sur plusieurs points, les coûts de mise en œuvre ne sont pas à sous-estimer. Ils pourraient s’avérer très élevés, dans la mesure où la circulaire aura le plus souvent des répercussions sur quasiment tous les domaines opérationnels des banques – en particulier la gestion des risques à l’échelle de l’établissement, la gestion des processus ainsi que l’externalisation. Il est donc indispensable d’impliquer toutes les parties prenantes en temps utile et d’assurer leur coordination, y compris en termes de calendrier.
La mise en œuvre ouvre des perspectives pour les banques
Même si elle donne dès à présent du grain à moudre aux banques, la nouvelle circulaire ouvre des perspectives pour la place bancaire. En fin de compte, elle constitue en effet une base solide propice au renforcement des établissements, notamment en encourageant la collaboration interdisciplinaire, en favorisant une analyse élargie des risques, en prenant mieux en compte les évolutions technologiques et en suscitant une réflexion tournée vers l’avenir.
Notre séminaire du 29 mars, qui aura lieu au Landesmuseum de Zurich, sera l’occasion de revenir sur cette nouvelle circulaire. S’agissant de sa mise en œuvre, les établissements membres peuvent bien entendu compter sur le soutien de l’ASB.
1 Ces modifications reposent sur les «Revisions to the Principles for the Sound Management of Operational Risk» (PSMOR) et les nouveaux «Principles for Operational Resilience» (POR) du Comité de Bâle sur le contrôle bancaire (CBCB) publiés en mars 2021.