Business Continuity Management dans les banques suisses Etude

Business Continuity Management
dans les banques suisses
Etude de marché pour
les établissements financiers.
Juin 2010
Editorial
Mesdames, Messieurs,
Depuis fin 2009, toutes les banques soumises à la FINMA sont tenues, sur la base des normes d’autorégulation de l’Association suisse des banquiers, de satisfaire à une norme réglementaire minimale
dans leur gestion de la continuité de l’activité (Business Continuity Management ou BCM). Cette norme
minimale englobe l’analyse de l’impact sur les affaires et la stratégie de la coninuité de l‘activité. Soumis
à l’obligation de révision, ces deux éléments sont contrôlés depuis début 2010. Kessler Consulting a
mandaté ISOPUBLIC pour réaliser un sondage auprès des responsables BCM des banques dans toute
la Suisse, une première. Les résultats ont été présentés en mars 2010. Son objectif : collecter des
données sur l’état de la mise en œuvre, sur les plans et mesures prévues en matière de BCM ainsi que
sur l’utilité d’une gestion efficace de la continuité de l’activité dans 126 banques basées en Suisse.
Les banques s’emploient actuellement à mettre en œuvre le BCM. Même si les exigences minimales
de la FINMA sont la plupart du temps remplies, les organes de révision exigent souvent des améliorations.
Même les banques qui n’ont pas fait l’objet de critiques, envisagent souvent de continuer à améliorer
leur BCM.
Les banques considèrent la mise en œuvre des normes réglementaires minimales du BCM comme plutôt
difficile. Les principaux problèmes et défis sont la coordination de projet, les ressources disponibles,
l’établissement des documents et la traçabilité. Grâce à leurs connaissances techniques, les conseillers
externes peuvent soutenir les responsables BCM des banques en cas de problème en structurant et en
supervisant les travaux. Le conseil externe s’est avéré payant pour de nombreuses banques. En effet,
bon nombre d’établissements estiment que la mise en œuvre du BCM est moins pénible et, partant, plus
efficace lorsqu’ils disposent d’une aide externe.
La plupart des établissements financiers qui ont participé au sondage pensent que le principal avantage
d’un BCM bien rodé est le suivant : pouvoir réagir plus vite aux événements néfastes à l’exploitation.
Autres plus-values : une conscience accrue du risque et une meilleure compréhension des processus
d’affaires. C’est pourquoi la plupart des banques continueront à développer et à améliorer leur gestion des
cas d’urgence et de crise afin de garantir une efficience optimale des mesures prises en la matière.
La présente étude de marché BCM, la première du genre, vise à vous donner un aperçu de l’état de la
mise en œuvre, des défis à relever ainsi que de l’utilité du BCM dans le paysage bancaire suisse.
Nous vous souhaitons une lecture enrichissante.
Sylvain Zuber
Responsable de département Prestations de services internationales
Johannes Regenass
Senior Risk Consultant
Etude de marché BCM 2010
Méthodologie et participants à l’étude
Un sondage réalisé auprès de banques de différentes tailles met en lumière des éléments
intéressants concernant leur Business Continuity Management (BCM). Il en résulte des concordances riches en enseignements quant à la taille des banques et aux régions linguistiques où
elles sont implantées.
En mars 2010, ISOPUBLIC a réalisé au nom de Kessler
Consulting un sondage auprès de toutes les banques
domiciliées en Suisse (sans les sociétés affiliées de
banques suisses). Au total, 126 établissements ont
participé au sondage par téléphone qui, de ce fait, par
rapport au nombre total de banques ayant leur siège
en Suisse, a valeur représentative pour le secteur.
Etude portant sur l’ensemble des
banques suisses
Comme le montre le graphique 1, la répartition des
participants à l’étude par région linguistique reflète
la répartition globale des banques domiciliées en Suisse. Selon les indications fournies par les établissements sondés, 37% sont des banques privées,
29% des banques régionales (les Banques Raiffeisen
n’ont pas été saisies séparément) et 20% sont des
banques étrangères.
Répartition des banques interrogées par région linguistique en %
67
0%
20%
28
40%
60%
80%
5
100%
n Suisse alémanique
n Suisse romande
n Tessin
Graphique 1
Les banques cantonales représentent 8% des établissements interrogés, les banques opérant en Bourse
et les négociants en valeurs mobilières ainsi que les
grandes banques et les banques commerciales sont
représentées à raison de 2% chacune. Cette répartition constitue un échantillon équilibré du paysage
bancaire suisse.
4
Répartition des banques interrogées par nombre de collaborateurs en %
21
0%
24
20%
34
40%
60%
12
7 2
80%
100%
n moins de 20 collaborateurs
n entre 251 et 1000 collaborateurs
n entre 20 et 50 collaborateurs
n entre 1 001 et 3 000 collaborateurs
n entre 51 et 250 collaborateurs
n plus de 3 000 collaborateurs
Graphique 2
Etat de la mise en œuvre du BCM
Conformément à leur auto-évaluation, 15% des
banques sondées en sont encore à la phase
d’implémentation et de mise en œuvre de leur BCM.
40% pensent répondre aux normes réglementaires
minimales et près de 45% estiment dépasser les
exigences.
Les sociétés de révision présentent une image
similaire : seuls 2% des établissements interrogés
n’étaient pas validés par le réviseur au moment du sondage ; 32% remplissaient les exigences minimales
mais devaient encore y apporter des améliorations ;
pour 51% d’entre eux, tout était en ordre. Pour les
16% restants, la révision n’avait pas encore eu lieu.
BCM mieux développé en Suisse alémanique
La mise en œuvre du BCM semble être moins avancée en Suisse romande et au Tessin qu’en Suisse
alémanique. En effet, le nombre de banques dépassant les exigences réglementaires minimales est
plus important en Suisse alémanique que dans les
deux autres régions linguistiques (52% contre 33%).
De plus, les sociétés de révision ont identifié des besoins d’amélioration supérieurs en Suisse romande et au Tessin : 60% des banques sondées, contre
18% en Suisse alémanique.
82% des établissements interrogés ont été contraints d’adapter ou de renouveler leur BCM existant
pour satisfaire aux exigences réglementaires minimales. Le degré de satisfaction aux exigences minimales est fonction de la taille de la banque : plus
le nombre de collaborateurs est petit, plus le BCM
existant satisfait aux normes minimales. Cela correspond à l’adéquation du BCM quant à la structure organisationnelle et l’importance systémique
(graphiques 3 à 6).
Meilleure qualité du BCM grâce au
soutien externe
Trois banques sur cinq qui ont revu leur BCM de fond
en comble ou qui l’ont développé ont bénéficié d’une
aide externe. Plus les banques étaient importantes,
plus elles avaient ou ont recours à une assistance
externe. Cela dit, les petites banques avec moins de
20 employés ont elles aussi souvent demandé l’aide
d’un conseiller externe. D’une manière générale, les
banques ayant eu recours au soutien d’un conseiller externe ont été moins critiquées par les organes
de révision.
S’agissant des normes et directives courantes, 77%
des banques interrogées ont utilisé essentiellement
5
Etude de marché BCM 2010
6
Etat de la mise en œuvre
Auto-évaluation 17%
Evaluation de l’organe de révision
15%
28%
16%
40%
50%
2%
32%
n Révision pas encore effectuée
n Phase de mise en œuvre
n Mise en œuvre de la norme
n Exigences minimales pas
encore remplies
n Exigences minimales remplies, mais amélioration nécessaire
n Pas de critiques / remarques
réglementaire minimale
n Dépassement de la norme
réglementaire minimale
n Mise en œuvre selon
la pratique optimale
Graphique 3
Etat de la mise en œuvre (auto-évaluation) en %
Total
15
D-CH
13
F-CH
I-CH
40
28
33
32
19
0%
52
20%
17
40%
20
19
60%
80%
2
10
100%
n Phase de mise en œuvre
n Mise en œuvre de la norme réglementaire minimale
n Dépassement de la norme réglementaire minimale
n Mise en œuvre selon la pratique optimale
n
Ne sait pas / aucune donnée
Graphique 4
7
Etude de marché BCM 2010
Etat de la mise en œuvre (évaluation par l’organe de révision) en %
16
Total
20
D-CH
F-CH
I-CH
7
2
32
17
1
61
18
2
0%
50
31
60
20%
40%
60%
80%
100%
n Révision pas encore effectuée
n Exigences minimales pas encore remplies
n Exigences minimales remplies, mais amélioration nécessaire
n Pas de critiques / remarques
les recommandations de Swiss Banking et 70% les directives internes de l’entreprise. 43% se sont basées
sur les «High-Level Principles on Business Continuity Management» du Comité de Bâle. Rares ont été
les banques qui se sont fondées sur les directives BS
25999 ou les normes allemandes BSI 100-4.
Graphique 5
Environ trois banques sur cinq disposent déjà d’un
service BCM ou prévoient d’en créer un. Les services
BCM sont plus fréquents dans les grandes banques
et en Suisse alémanique, où l’on accorde une plus
grande importance au thème BCM, mais aussi où
davantage de ressources sont requises en raison
de la taille des entreprises. En moyenne, 30% des
banques disposent d’un service BCM (graphique 7).
Adaptation du BCM existant ou mise en place d’un nouveau BCM
Recours à une aide externe
58%
18%
82%
Avec ou sans aide externe
42%
n Aucune adaptation nécessaire
n Développement d’un nouveau BCM / adaptations nécessaires
n Mesures requises, avec aide externe
n Mesures requises, sans aide externe
8
Graphique 6
Pourcentage de banques disposant d’un service BCM en %
80
70
60
50
40
30
56
20
52
58
42
68
10
0
Total
F-CH
I-CH
D-CH
moins de 50
plus de 50
collaborateurs
Graphique 7
Défis et difficultés
Différences entre les petites et
les grandes banques
D’une manière générale, les banques considèrent l’élaboration d’un BCM comme plutôt difficile,
comme le montre le degré de difficulté moyen de
6,15 obtenu sur une échelle de 1 (très facile) à 10
(très difficile). Cette valeur est nettement supérieure
à la moyenne neutre de 5,5 (graphique 8).
Avec une valeur moyenne de 6,4 voire 6,3, les
banques de taille moyenne, comptant de 20 à 250
collaborateurs, considèrent l’élaboration du BCM
comme plus difficile que les petites et les grandes
banques (valeur moyenne de respectivement 6,0 et
5,8). Pour les petites banques, ce résultat s’explique
sans doute par des exigences moins élevées concernant le BCM en raison d’une structure orga-
Degré de difficulté de l’élaboration du BCM en %
9
23
51
17
Moyenne
6.15
n 1 à 3 (très facile à facile)
n 4 à 5 (plutôt facile)
n 6 à 7 (plutôt difficile)
n 8 à 10 (difficile à très difficile)
Graphique 8
9
Etude de marché BCM 2010
nisationnelle (ou importance systémique) moins
complexe. Les grandes banques, elles, disposent de
plus de ressources et d’une plus grande expérience,
ce qui explique probablement pourquoi elles perçoivent l’élaboration du BCM comme moins difficile.
De plus, les petites et les grandes banques ont plus
recours à une aide externe, ce qui peut aussi expliquer pourquoi elles perçoivent l’élaboration du BCM
comme moins difficile.
Le sondage montre que les banques se sont très
souvent heurtées à des problèmes liés plus à la gestion de projet et moins au contenu du BCM. La mise
en œuvre d’un BCM interne est en effet très complexe. L’implémentation d’un BCM à l’échelle de
l’entreprise, tous secteurs et processus confondus,
requiert un degré élevé d’interdisciplinarité et de coordination entre les différentes parties impliquées.
Suivant leur taille, les banques ont rencontré des difficultés différentes : alors que les petites banques avec
moins de 50 collaborateurs ont cité en particulier les
ressources et l’informatique, les banques comptant
plus de 50 collaborateurs ont plus fréquemment dû
faire face à des problèmes de coordination avec les
services externes, les partenaires d’externalisation et
les différents services (graphique 9).
Environ un tiers des banques interrogées juge
l’élaboration d’un BCM difficile voire très difficile.
Défis et difficultés
20
Ressources, temps investi, coûts
Elaboration du BCM : coordination services
externes, partenaires d’externalisation,
différents services
19
Introduction (formation, tests,
sensibilisation des collaborateurs)
18
Problèmes informatiques : propositions de
solutions, Panne de courant / solutions de
rechange au niveau informatique, etc.
14
Interprétation des exigences de la FINMA,
adaptation à la taille de l’entreprise
13
Structure des documents
13
Analyse de l’impact sur les affaires
11
Sélection / définition de processus pertinents
11
Autres
23
Graphique 9
10
Intérêt du BCM
Même si 6% des sondés ne voient aucun intérêt dans
le BCM et 8% ne l’utilisent que pour remplir les exigences réglementaires, la plupart des banques citent
toutefois des aspects tels que «préparation», «sécurité», «conscience du risque» mais aussi «étude
de processus» et «documentation de connaissances
et processus».
Les banques mettent donc l’accent sur la fixation d’objectifs effectifs permettant de maintenir
l’exploitation et de renforcer la conscience du risque
(graphique 10).
Intérêt du Business Continuity Management
Rétablissement plus rapide de l’exploitation
normale après des événements critiques
pour l’entreprise
27
Renforcement de la conscience du risque
27
22
Test et documentation de scénarios
Meilleure compréhension des processus et
activités critiques
17
Réalisation des objectifs de protection
10
Protection de l’image et de la réputation
9
8
Satisfaction des exigences réglementaires
Protection contre les pertes financières
7
Sentiment de sécurité
7
Autres
28
Graphique 10
11
Etude de marché BCM 2010
12
Développement du BCM
73% des sondés ont indiqué qu’ils prévoient de développer et d’améliorer le BCM ou que de telles mesures sont nécessaires. En Suisse romande et au
Tessin, ce chiffre atteint même 79%, sachant que la
mise en œuvre du BCM y est moins avancée qu’en
Suisse alémanique.
Amélioration continue du BCM des banques
La planification d’améliorations du BCM dépend
moins des exigences réglementaires minimales que
de la taille de la banque. En effet, 48% des banques
qui comptent moins de 20 collaborateurs affirment
vouloir développer leur BCM. Dans les banques avec
plus de 250 collaborateurs, cette proportion atteint
même 92% (graphique 11).
Dans le cadre des mesures futures, les priorités varient selon la taille de la banque. Alors que
les banques avec plus de 20 collaborateurs se concentrent sur la mise en œuvre pratique de leur BCM
(tests, formation, information), les banques plus petites ne se concentrent pas sur cet aspect-là. Cellesci, tout comme les banques comptant entre 50 et 250
collaborateurs, mettent l’accent sur le développement du contenu. En revanche, les banques employant entre 20 et 50 collaborateurs et celles comptant
plus de 250 collaborateurs accordent davantage
d’importance à l’adaptation de l’infrastructure informatique (graphique 12).
Améliorations prévues dans le cadre du BCM (en %)
100
90
80
70
60
50
40
30
73
70
79
48
F-CH
I-CH
moins
de 20
73
77
92
20
10
0
Total
D - CH
entre
entre 20 et 50 51 et 250
collaborateurs
plus
de 250
Graphique 11
13
Etude de marché BCM 2010
Axes thématiques des mesures prévues
Mise en pratique : tests, formation,
information
35
Développement (continu) des plans d’urgence
et de crise
29
Adaptation de l’infrastructure informatique /
sites de remplacement
24
Elaboration de stratégies de continuité
de l’activité
14
Définition / intégration de (nouveaux) processus
12
10
Politique / stratégie BCM générale
Analyse de l’impact sur les affaires
8
23
Autres
Graphique 12
Conclusion et perspectives
Les résultats de cette étude montrent clairement
que près de la moitié des banques interrogées sont
à même de satisfaire entièrement aux exigences réglementaires minimales de la FINMA. Un tiers environ devra encore apporter certaines adaptations.
Seuls 2% des participants à l’étude n’ont pas rempli
les conditions requises. Toutefois, force est de constater que la mise en œuvre du BCM pose quelquefois
de sérieux problèmes aux banques.
Les grands avantages du BCM ainsi que les développements prévus par les banques témoignent de
l’importance du BCM, aussi bien au niveau réglementaire et systémique que pratique : un BCM bien conçu
et bien rodé constitue une plus-value essentielle pour
tout établissement financier.
Reste à savoir comment les banques résoudront les futurs défis en la matière, en particulier
l’intégration des processus BCM à la gestion globale des processus, mais également la définition et la
mise en place d’interfaces entre le BCM et la gestion
du risque ainsi que la définition d’interfaces (délimita-
14
tion / intégration) avec la gestion de la continuité des
services informatiques.
Les banques devront également revoir leur gestion du changement, étant donné que les modifications
organisationnelles ou infrastructurelles exercent une
influence directe sur le BCM. D’où la nécessité de
continuer à développer le BCM afin de garantir son
efficience.
,
Edison
Rédaction
Etude de marché Textes / relecture
Conception /
mise en page
Impression
Kessler Consulting SA, Zurich
Ivana D‘Addario
Johannes Regenass
Reto Stauffer
ISOPUBLIC AG, Schwerzenbach
Urs Kühne, Lucerne
Datahand AG, Zurich
Südostschweiz Presse und Print AG, Coire
15
.
KESSLER CONSULTING SA
Forchstrasse 95
Case postale
CH-8032 Zurich
T +41 (0)44 387 87 11
F +41 (0)44 387 87 00
www.kessler.ch
Johannes Regenass
Senior Risk Consultant
T +41 (0)44 387 87 15
[email protected]
Sylvain Zuber
Responsable de département Prestations de
services internationales
T +41 (0)21 321 66 23
[email protected]
Kessler est la principale entreprise dans le domaine du conseil en risques et en assurances en Suisse. Grâce aux connaissances
spécialisées et à l’expérience de nos collaborateurs ainsi qu’à notre position sur le marché, nous apportons une plus-value à nos
clients des domaines de services, du commerce et de l’industrie. Notre bonne réputation et le succès économique garantissent
notre avenir à long terme en tant qu’entreprise familiale indépendante. Fondée en 1915, Kessler compte aujourd’hui 240 collaborateurs travaillant au siège à Zurich et sur les sites d’Aarau, Bâle, Berne, Genève, Lausanne, Lucerne, Saint-Gall et dans la Principauté de Liechtenstein. En tant que partenaire suisse de Marsh, nous faisons partie d’un réseau de spécialistes issus de toutes les
branches de gestion des risques disposant d’une grande expérience dans le suivi des programmes d’assurances globaux. Marsh est
le principal courtier en assurances et conseiller en gestion des risques dans plus de 100 pays et fait partie des Marsh & McLennan
Companies (MMC) qui emploient plus de 54 000 collaborateurs. L’action de MMC est négociée aux bourses de New York, Chicago et Londres (symbole boursier : MMC). Vous trouverez de plus amples informations sous www.kessler.ch, www.marsh.com,
www.mmc.com.
Network