Business Continuity Management dans les banques suisses Etude
Transcription
Business Continuity Management dans les banques suisses Etude
Business Continuity Management dans les banques suisses Etude de marché pour les établissements financiers. Juin 2010 Editorial Mesdames, Messieurs, Depuis fin 2009, toutes les banques soumises à la FINMA sont tenues, sur la base des normes d’autorégulation de l’Association suisse des banquiers, de satisfaire à une norme réglementaire minimale dans leur gestion de la continuité de l’activité (Business Continuity Management ou BCM). Cette norme minimale englobe l’analyse de l’impact sur les affaires et la stratégie de la coninuité de l‘activité. Soumis à l’obligation de révision, ces deux éléments sont contrôlés depuis début 2010. Kessler Consulting a mandaté ISOPUBLIC pour réaliser un sondage auprès des responsables BCM des banques dans toute la Suisse, une première. Les résultats ont été présentés en mars 2010. Son objectif : collecter des données sur l’état de la mise en œuvre, sur les plans et mesures prévues en matière de BCM ainsi que sur l’utilité d’une gestion efficace de la continuité de l’activité dans 126 banques basées en Suisse. Les banques s’emploient actuellement à mettre en œuvre le BCM. Même si les exigences minimales de la FINMA sont la plupart du temps remplies, les organes de révision exigent souvent des améliorations. Même les banques qui n’ont pas fait l’objet de critiques, envisagent souvent de continuer à améliorer leur BCM. Les banques considèrent la mise en œuvre des normes réglementaires minimales du BCM comme plutôt difficile. Les principaux problèmes et défis sont la coordination de projet, les ressources disponibles, l’établissement des documents et la traçabilité. Grâce à leurs connaissances techniques, les conseillers externes peuvent soutenir les responsables BCM des banques en cas de problème en structurant et en supervisant les travaux. Le conseil externe s’est avéré payant pour de nombreuses banques. En effet, bon nombre d’établissements estiment que la mise en œuvre du BCM est moins pénible et, partant, plus efficace lorsqu’ils disposent d’une aide externe. La plupart des établissements financiers qui ont participé au sondage pensent que le principal avantage d’un BCM bien rodé est le suivant : pouvoir réagir plus vite aux événements néfastes à l’exploitation. Autres plus-values : une conscience accrue du risque et une meilleure compréhension des processus d’affaires. C’est pourquoi la plupart des banques continueront à développer et à améliorer leur gestion des cas d’urgence et de crise afin de garantir une efficience optimale des mesures prises en la matière. La présente étude de marché BCM, la première du genre, vise à vous donner un aperçu de l’état de la mise en œuvre, des défis à relever ainsi que de l’utilité du BCM dans le paysage bancaire suisse. Nous vous souhaitons une lecture enrichissante. Sylvain Zuber Responsable de département Prestations de services internationales Johannes Regenass Senior Risk Consultant Etude de marché BCM 2010 Méthodologie et participants à l’étude Un sondage réalisé auprès de banques de différentes tailles met en lumière des éléments intéressants concernant leur Business Continuity Management (BCM). Il en résulte des concordances riches en enseignements quant à la taille des banques et aux régions linguistiques où elles sont implantées. En mars 2010, ISOPUBLIC a réalisé au nom de Kessler Consulting un sondage auprès de toutes les banques domiciliées en Suisse (sans les sociétés affiliées de banques suisses). Au total, 126 établissements ont participé au sondage par téléphone qui, de ce fait, par rapport au nombre total de banques ayant leur siège en Suisse, a valeur représentative pour le secteur. Etude portant sur l’ensemble des banques suisses Comme le montre le graphique 1, la répartition des participants à l’étude par région linguistique reflète la répartition globale des banques domiciliées en Suisse. Selon les indications fournies par les établissements sondés, 37% sont des banques privées, 29% des banques régionales (les Banques Raiffeisen n’ont pas été saisies séparément) et 20% sont des banques étrangères. Répartition des banques interrogées par région linguistique en % 67 0% 20% 28 40% 60% 80% 5 100% n Suisse alémanique n Suisse romande n Tessin Graphique 1 Les banques cantonales représentent 8% des établissements interrogés, les banques opérant en Bourse et les négociants en valeurs mobilières ainsi que les grandes banques et les banques commerciales sont représentées à raison de 2% chacune. Cette répartition constitue un échantillon équilibré du paysage bancaire suisse. 4 Répartition des banques interrogées par nombre de collaborateurs en % 21 0% 24 20% 34 40% 60% 12 7 2 80% 100% n moins de 20 collaborateurs n entre 251 et 1000 collaborateurs n entre 20 et 50 collaborateurs n entre 1 001 et 3 000 collaborateurs n entre 51 et 250 collaborateurs n plus de 3 000 collaborateurs Graphique 2 Etat de la mise en œuvre du BCM Conformément à leur auto-évaluation, 15% des banques sondées en sont encore à la phase d’implémentation et de mise en œuvre de leur BCM. 40% pensent répondre aux normes réglementaires minimales et près de 45% estiment dépasser les exigences. Les sociétés de révision présentent une image similaire : seuls 2% des établissements interrogés n’étaient pas validés par le réviseur au moment du sondage ; 32% remplissaient les exigences minimales mais devaient encore y apporter des améliorations ; pour 51% d’entre eux, tout était en ordre. Pour les 16% restants, la révision n’avait pas encore eu lieu. BCM mieux développé en Suisse alémanique La mise en œuvre du BCM semble être moins avancée en Suisse romande et au Tessin qu’en Suisse alémanique. En effet, le nombre de banques dépassant les exigences réglementaires minimales est plus important en Suisse alémanique que dans les deux autres régions linguistiques (52% contre 33%). De plus, les sociétés de révision ont identifié des besoins d’amélioration supérieurs en Suisse romande et au Tessin : 60% des banques sondées, contre 18% en Suisse alémanique. 82% des établissements interrogés ont été contraints d’adapter ou de renouveler leur BCM existant pour satisfaire aux exigences réglementaires minimales. Le degré de satisfaction aux exigences minimales est fonction de la taille de la banque : plus le nombre de collaborateurs est petit, plus le BCM existant satisfait aux normes minimales. Cela correspond à l’adéquation du BCM quant à la structure organisationnelle et l’importance systémique (graphiques 3 à 6). Meilleure qualité du BCM grâce au soutien externe Trois banques sur cinq qui ont revu leur BCM de fond en comble ou qui l’ont développé ont bénéficié d’une aide externe. Plus les banques étaient importantes, plus elles avaient ou ont recours à une assistance externe. Cela dit, les petites banques avec moins de 20 employés ont elles aussi souvent demandé l’aide d’un conseiller externe. D’une manière générale, les banques ayant eu recours au soutien d’un conseiller externe ont été moins critiquées par les organes de révision. S’agissant des normes et directives courantes, 77% des banques interrogées ont utilisé essentiellement 5 Etude de marché BCM 2010 6 Etat de la mise en œuvre Auto-évaluation 17% Evaluation de l’organe de révision 15% 28% 16% 40% 50% 2% 32% n Révision pas encore effectuée n Phase de mise en œuvre n Mise en œuvre de la norme n Exigences minimales pas encore remplies n Exigences minimales remplies, mais amélioration nécessaire n Pas de critiques / remarques réglementaire minimale n Dépassement de la norme réglementaire minimale n Mise en œuvre selon la pratique optimale Graphique 3 Etat de la mise en œuvre (auto-évaluation) en % Total 15 D-CH 13 F-CH I-CH 40 28 33 32 19 0% 52 20% 17 40% 20 19 60% 80% 2 10 100% n Phase de mise en œuvre n Mise en œuvre de la norme réglementaire minimale n Dépassement de la norme réglementaire minimale n Mise en œuvre selon la pratique optimale n Ne sait pas / aucune donnée Graphique 4 7 Etude de marché BCM 2010 Etat de la mise en œuvre (évaluation par l’organe de révision) en % 16 Total 20 D-CH F-CH I-CH 7 2 32 17 1 61 18 2 0% 50 31 60 20% 40% 60% 80% 100% n Révision pas encore effectuée n Exigences minimales pas encore remplies n Exigences minimales remplies, mais amélioration nécessaire n Pas de critiques / remarques les recommandations de Swiss Banking et 70% les directives internes de l’entreprise. 43% se sont basées sur les «High-Level Principles on Business Continuity Management» du Comité de Bâle. Rares ont été les banques qui se sont fondées sur les directives BS 25999 ou les normes allemandes BSI 100-4. Graphique 5 Environ trois banques sur cinq disposent déjà d’un service BCM ou prévoient d’en créer un. Les services BCM sont plus fréquents dans les grandes banques et en Suisse alémanique, où l’on accorde une plus grande importance au thème BCM, mais aussi où davantage de ressources sont requises en raison de la taille des entreprises. En moyenne, 30% des banques disposent d’un service BCM (graphique 7). Adaptation du BCM existant ou mise en place d’un nouveau BCM Recours à une aide externe 58% 18% 82% Avec ou sans aide externe 42% n Aucune adaptation nécessaire n Développement d’un nouveau BCM / adaptations nécessaires n Mesures requises, avec aide externe n Mesures requises, sans aide externe 8 Graphique 6 Pourcentage de banques disposant d’un service BCM en % 80 70 60 50 40 30 56 20 52 58 42 68 10 0 Total F-CH I-CH D-CH moins de 50 plus de 50 collaborateurs Graphique 7 Défis et difficultés Différences entre les petites et les grandes banques D’une manière générale, les banques considèrent l’élaboration d’un BCM comme plutôt difficile, comme le montre le degré de difficulté moyen de 6,15 obtenu sur une échelle de 1 (très facile) à 10 (très difficile). Cette valeur est nettement supérieure à la moyenne neutre de 5,5 (graphique 8). Avec une valeur moyenne de 6,4 voire 6,3, les banques de taille moyenne, comptant de 20 à 250 collaborateurs, considèrent l’élaboration du BCM comme plus difficile que les petites et les grandes banques (valeur moyenne de respectivement 6,0 et 5,8). Pour les petites banques, ce résultat s’explique sans doute par des exigences moins élevées concernant le BCM en raison d’une structure orga- Degré de difficulté de l’élaboration du BCM en % 9 23 51 17 Moyenne 6.15 n 1 à 3 (très facile à facile) n 4 à 5 (plutôt facile) n 6 à 7 (plutôt difficile) n 8 à 10 (difficile à très difficile) Graphique 8 9 Etude de marché BCM 2010 nisationnelle (ou importance systémique) moins complexe. Les grandes banques, elles, disposent de plus de ressources et d’une plus grande expérience, ce qui explique probablement pourquoi elles perçoivent l’élaboration du BCM comme moins difficile. De plus, les petites et les grandes banques ont plus recours à une aide externe, ce qui peut aussi expliquer pourquoi elles perçoivent l’élaboration du BCM comme moins difficile. Le sondage montre que les banques se sont très souvent heurtées à des problèmes liés plus à la gestion de projet et moins au contenu du BCM. La mise en œuvre d’un BCM interne est en effet très complexe. L’implémentation d’un BCM à l’échelle de l’entreprise, tous secteurs et processus confondus, requiert un degré élevé d’interdisciplinarité et de coordination entre les différentes parties impliquées. Suivant leur taille, les banques ont rencontré des difficultés différentes : alors que les petites banques avec moins de 50 collaborateurs ont cité en particulier les ressources et l’informatique, les banques comptant plus de 50 collaborateurs ont plus fréquemment dû faire face à des problèmes de coordination avec les services externes, les partenaires d’externalisation et les différents services (graphique 9). Environ un tiers des banques interrogées juge l’élaboration d’un BCM difficile voire très difficile. Défis et difficultés 20 Ressources, temps investi, coûts Elaboration du BCM : coordination services externes, partenaires d’externalisation, différents services 19 Introduction (formation, tests, sensibilisation des collaborateurs) 18 Problèmes informatiques : propositions de solutions, Panne de courant / solutions de rechange au niveau informatique, etc. 14 Interprétation des exigences de la FINMA, adaptation à la taille de l’entreprise 13 Structure des documents 13 Analyse de l’impact sur les affaires 11 Sélection / définition de processus pertinents 11 Autres 23 Graphique 9 10 Intérêt du BCM Même si 6% des sondés ne voient aucun intérêt dans le BCM et 8% ne l’utilisent que pour remplir les exigences réglementaires, la plupart des banques citent toutefois des aspects tels que «préparation», «sécurité», «conscience du risque» mais aussi «étude de processus» et «documentation de connaissances et processus». Les banques mettent donc l’accent sur la fixation d’objectifs effectifs permettant de maintenir l’exploitation et de renforcer la conscience du risque (graphique 10). Intérêt du Business Continuity Management Rétablissement plus rapide de l’exploitation normale après des événements critiques pour l’entreprise 27 Renforcement de la conscience du risque 27 22 Test et documentation de scénarios Meilleure compréhension des processus et activités critiques 17 Réalisation des objectifs de protection 10 Protection de l’image et de la réputation 9 8 Satisfaction des exigences réglementaires Protection contre les pertes financières 7 Sentiment de sécurité 7 Autres 28 Graphique 10 11 Etude de marché BCM 2010 12 Développement du BCM 73% des sondés ont indiqué qu’ils prévoient de développer et d’améliorer le BCM ou que de telles mesures sont nécessaires. En Suisse romande et au Tessin, ce chiffre atteint même 79%, sachant que la mise en œuvre du BCM y est moins avancée qu’en Suisse alémanique. Amélioration continue du BCM des banques La planification d’améliorations du BCM dépend moins des exigences réglementaires minimales que de la taille de la banque. En effet, 48% des banques qui comptent moins de 20 collaborateurs affirment vouloir développer leur BCM. Dans les banques avec plus de 250 collaborateurs, cette proportion atteint même 92% (graphique 11). Dans le cadre des mesures futures, les priorités varient selon la taille de la banque. Alors que les banques avec plus de 20 collaborateurs se concentrent sur la mise en œuvre pratique de leur BCM (tests, formation, information), les banques plus petites ne se concentrent pas sur cet aspect-là. Cellesci, tout comme les banques comptant entre 50 et 250 collaborateurs, mettent l’accent sur le développement du contenu. En revanche, les banques employant entre 20 et 50 collaborateurs et celles comptant plus de 250 collaborateurs accordent davantage d’importance à l’adaptation de l’infrastructure informatique (graphique 12). Améliorations prévues dans le cadre du BCM (en %) 100 90 80 70 60 50 40 30 73 70 79 48 F-CH I-CH moins de 20 73 77 92 20 10 0 Total D - CH entre entre 20 et 50 51 et 250 collaborateurs plus de 250 Graphique 11 13 Etude de marché BCM 2010 Axes thématiques des mesures prévues Mise en pratique : tests, formation, information 35 Développement (continu) des plans d’urgence et de crise 29 Adaptation de l’infrastructure informatique / sites de remplacement 24 Elaboration de stratégies de continuité de l’activité 14 Définition / intégration de (nouveaux) processus 12 10 Politique / stratégie BCM générale Analyse de l’impact sur les affaires 8 23 Autres Graphique 12 Conclusion et perspectives Les résultats de cette étude montrent clairement que près de la moitié des banques interrogées sont à même de satisfaire entièrement aux exigences réglementaires minimales de la FINMA. Un tiers environ devra encore apporter certaines adaptations. Seuls 2% des participants à l’étude n’ont pas rempli les conditions requises. Toutefois, force est de constater que la mise en œuvre du BCM pose quelquefois de sérieux problèmes aux banques. Les grands avantages du BCM ainsi que les développements prévus par les banques témoignent de l’importance du BCM, aussi bien au niveau réglementaire et systémique que pratique : un BCM bien conçu et bien rodé constitue une plus-value essentielle pour tout établissement financier. Reste à savoir comment les banques résoudront les futurs défis en la matière, en particulier l’intégration des processus BCM à la gestion globale des processus, mais également la définition et la mise en place d’interfaces entre le BCM et la gestion du risque ainsi que la définition d’interfaces (délimita- 14 tion / intégration) avec la gestion de la continuité des services informatiques. Les banques devront également revoir leur gestion du changement, étant donné que les modifications organisationnelles ou infrastructurelles exercent une influence directe sur le BCM. D’où la nécessité de continuer à développer le BCM afin de garantir son efficience. , Edison Rédaction Etude de marché Textes / relecture Conception / mise en page Impression Kessler Consulting SA, Zurich Ivana D‘Addario Johannes Regenass Reto Stauffer ISOPUBLIC AG, Schwerzenbach Urs Kühne, Lucerne Datahand AG, Zurich Südostschweiz Presse und Print AG, Coire 15 . KESSLER CONSULTING SA Forchstrasse 95 Case postale CH-8032 Zurich T +41 (0)44 387 87 11 F +41 (0)44 387 87 00 www.kessler.ch Johannes Regenass Senior Risk Consultant T +41 (0)44 387 87 15 [email protected] Sylvain Zuber Responsable de département Prestations de services internationales T +41 (0)21 321 66 23 [email protected] Kessler est la principale entreprise dans le domaine du conseil en risques et en assurances en Suisse. Grâce aux connaissances spécialisées et à l’expérience de nos collaborateurs ainsi qu’à notre position sur le marché, nous apportons une plus-value à nos clients des domaines de services, du commerce et de l’industrie. Notre bonne réputation et le succès économique garantissent notre avenir à long terme en tant qu’entreprise familiale indépendante. Fondée en 1915, Kessler compte aujourd’hui 240 collaborateurs travaillant au siège à Zurich et sur les sites d’Aarau, Bâle, Berne, Genève, Lausanne, Lucerne, Saint-Gall et dans la Principauté de Liechtenstein. En tant que partenaire suisse de Marsh, nous faisons partie d’un réseau de spécialistes issus de toutes les branches de gestion des risques disposant d’une grande expérience dans le suivi des programmes d’assurances globaux. Marsh est le principal courtier en assurances et conseiller en gestion des risques dans plus de 100 pays et fait partie des Marsh & McLennan Companies (MMC) qui emploient plus de 54 000 collaborateurs. L’action de MMC est négociée aux bourses de New York, Chicago et Londres (symbole boursier : MMC). Vous trouverez de plus amples informations sous www.kessler.ch, www.marsh.com, www.mmc.com. Network