Académique Documents
Professionnel Documents
Culture Documents
operationnel et de resilience
operationnelle
Auteur : RSBP-TN
Ce document a été compilé pour être utilisé dans le cadre du Programme régional pour les petites entreprises
(RSBP). Le document est disponible dans la section Bibliothèque de la plate-forme de partage et d'échange de
connaissances RSBP sur www.rsbp-tn.org
D
’une manière générale, la gestion des risques englobe le processus
d'identification des risques auxquels la banque est exposée, la mesure des
expositions à ces risques, la mise en place d'un programme efficace de
planification et de surveillance des fonds propres, la surveillance permanente des
expositions aux risques et des besoins en fonds propres correspondants, la prise
de mesures pour contrôler ou atténuer les expositions aux risques et la
communication à la direction générale et au conseil d'administration des
expositions aux risques et des positions en fonds propres de la banque.
Le Comité de Bâle sur le contrôle bancaire a récemment entamé des travaux
relatifs au risque opérationnel. La gestion de ce risque devient un élément
important d'une bonne pratique de gestion des risques par les banques.
Le risque opérationnel est inhérent à tous les produits, services et activités
bancaires, et la gestion efficace de ce risque (opérationnel) a toujours été à la base
du programme de gestion des risques d'une banque. Les types les plus importants
de risque opérationnel concernent les défaillances des contrôles internes et de la
gouvernance d'entreprise. Ces défaillances peuvent entraîner des pertes
financières dues à des erreurs, à des fraudes ou à l'incapacité d'exécuter les tâches
en temps voulu, ou compromettre les intérêts de la banque d'une autre manière.
D'autres aspects du risque opérationnel comprennent les défaillances majeures
des systèmes de technologie de l'information ou des événements tels que des
incendies majeurs ou d'autres catastrophes.
Le Comité de Bâle sur le contrôle bancaire a introduit ses principes de bonne
gestion du risque opérationnel en 2003, avant de les réviser en 2011 pour y
intégrer les leçons tirées de la crise financière mondiale de 2007-2009. En 2014, le
Comité a procédé à un examen de la mise en œuvre des principes et a proposé
Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
des révisions des approches standardisées pour le calcul du capital pour le risque
opérationnel. En décembre 2017, les réformes de Bâle III finalisées ont complété
les améliorations du dispositif réglementaire mondial. Les révisions ont visé à
restaurer la crédibilité du calcul des actifs pondérés en fonction des risques (RWA)
et à améliorer la comparabilité des ratios de fonds propres des banques en
renforçant la solidité et la sensibilité au risque et en restreignant l’utilisation des
approches fondées sur les modèles internes pour le risque de crédit et le risque
opérationnel. Le Comité a donc rationalisé le cadre du risque opérationnel en
proposant une seule approche standard de sensibilité au risque, applicable à
toutes les banques.
En mars 2021, le Comité de Bâle sur le contrôle bancaire a publié des
principes de la résilience opérationnelle, qui visent à rendre les banques plus
aptes à résister, à s'adapter et à se redresser en cas d'événements adverses
graves. Outre ces principes de résilience opérationnelle, le Comité publie
également des révisions de ses principes de bonne gestion du risque opérationnel
qui reflètent la relation entre la résilience opérationnelle et le risque opérationnel.
Ce document présente les principes de gestion du risque opérationnel ainsi ceux
de la résilience opérationnelle proposés par le Comité de Bâle sur le contrôle
bancaire.
Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
immédiatement l'application pratique. La notion de risque opérationnel apparaît
à première vue peu innovante, puisque les banques n'ont pas attendu le Comité
de Bâle pour organiser leurs activités sous forme de procédures, et développer
des services d'audit interne pour vérifier la bonne application de ces procédures.
Cependant, des faillites spectaculaires ont attiré l'attention des régulateurs sur la
nécessité de doter les banques de mécanismes de prévention et de couverture
contre les risques opérationnels (par l'allocation de fonds propres dédiés).
La mise en œuvre préconisée par un nombre croissant d'études sur ce sujet est
de considérer comme un risque opérationnel réel : tout événement qui
perturbe le déroulement normal des processus d'affaires et qui génère une
perte financière ou une atteinte à l'image de la banque (bien que ce dernier
résultat ait été explicitement exclu de la définition du Comité de Bâle, il reste
toujours une préoccupation majeure).
Une gestion proactive du risque opérationnel, en plus de permettre le respect des
exigences du Comité de Bâle, conduit nécessairement à une amélioration des
conditions de production : rationalisation des processus qui se traduit par une
productivité accrue, amélioration de la qualité conduisant à une meilleure image
de marque... En particulier, une telle approche permet de développer des outils
quantitatifs qui définissent des objectifs mesurables pour les équipes
opérationnelles en termes de réduction du risque opérationnel. L'environnement
général favorise une plus grande prise en compte du risque opérationnel qui
devient, au même titre que la gestion du risque de crédit et du risque de marché,
une composante intrinsèque des activités bancaires.
Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
Un business processus métier est un ensemble de tâches coordonnées, qui visent
à fournir un produit ou un service aux clients. La définition des business processus
correspond essentiellement à une analyse ''business-oriented'' de l'activité de la
banque, et non à une analyse organisationnelle. La détermination des business
processus commence donc par l'identification des différents produits et services,
puis des acteurs (qui peuvent appartenir à différentes entités au sein de
l'organisation) et des tâches impliquées dans la fourniture de ces produits.
Ensuite, à chaque étape du processus, il faut attribuer les incidents susceptibles
de perturber son déroulement et d'empêcher l'atteinte de ses objectifs (en termes
de résultats concrets, ou en termes de temps). Pour chaque événement, le risque
est évalué en termes de : probabilité d'occurrence, perte résultante en cas de
réalisation.
Chaque événement à risque potentiel doit être affecté à une catégorie de risque
(ce qui facilite et accélère l'analyse des données futures) et, en termes
d'organisation, à l’unité/département (« business line » en anglais) où l'incident
surviendrait. Le Comité de Bâle a défini des listes types pour ces sujets.
La classification des risques doit correspondre à la vue d'ensemble souhaitée par
le management, doit permettre des analyses synthétiques transversales à
l'ensemble des activités et à ce titre doit être établie par une direction centrale des
risques. En revanche, pour être réaliste et utile, l'analyse des business processus
et des risques encourus doit être confiée aux opérationnels concernés. Ils
utiliseront un cadre rigoureux, identique pour tous, mais qui leur permet de
décrire leurs activités.
Enfin, la cartographie ne serait pas complète si elle ne s'accompagne pas de
l'identification d'indicateurs clés de risque : ce sont des éléments quantifiables
susceptibles d'augmenter la probabilité de survenance d'un risque : nombre
d'opérations traitées, taux d'absentéisme, etc. Cette notion est connue comme
étant la "méthode du tableau de bord".
L'identification initiale des risques débouche sur une cartographie "théorique" des
activités, cependant l'expérience ne permet que d'une part, de valider cette
description et d'autre part, d'identifier les domaines d'activité sensibles afin de
mettre en place des contrôles adaptés. Il est alors temps de collecter les incidents
observés dans une base de données historique, qui permet d'évaluer les pertes
réelles causées par les risques opérationnels (données de perte).
La collecte des données se fait généralement en mode déclaratif. Les
opérationnels remplissent des formulaires standardisés, qui sont ensuite saisis
dans une base de données, ou saisissent directement les données dans
l'application. Pour des incidents tels que des pannes d'ordinateurs, il est possible
d'envisager une collecte de données automatique ou semi-automatique (un
Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
"rapport de panne" créé automatiquement est ensuite complété manuellement
avec les montants des pertes encourues). De telles bases de données, alimentées
pendant plusieurs années consécutives, se transforment en une source précieuse
d'informations pour la gestion du risque opérationnel. Ces données permettent
de dégager une vision objective et quantifiée des risques encourus, à condition
qu’elles aient été collectées de manière fiable et réaliste.
La collecte de données sur les sinistres s'appuie sur la carte précédemment établie
pour enregistrer et référencer les incidents ce qui permet également, par un effet
rétroactif, de régler la carte. Il existe également des bases de données similaires,
mais provenant de sources externes. Ces données complètent les données
collectées en interne puisque les bases de données historiques n'enregistrent par
définition que les incidents déjà survenus dans la banque. Afin d'obtenir une
mesure plus réaliste, un échantillon de données provenant d'autres institutions
est ajouté. Ces données nécessitent cependant un effort d'analyse et d'adaptation
à la situation spécifique de la banque.
L'analyse statistique des données de perte enregistrées permet de construire un
graphique des événements de perte, qui vont d'événements fréquents avec un
impact financier limité, à des événements extrêmement rares avec des
conséquences catastrophiques. Cette répartition des risques peut ensuite être
utilisée pour effectuer toutes sortes de calculs sophistiqués.
Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
Le Comité de Bâle a introduit des principes pour une gestion saine du risque
opérationnel en 2003. L'une des principales innovations de l'accord de Bâle II par
rapport à Bâle I a été non seulement d'exiger l'allocation de capital pour couvrir le
risque opérationnel mais aussi de plaider pour un système de gestion du risque
opérationnel.
Bâle II a proposé aux banques trois méthodes de calcul des fonds propres. La
méthode choisie doit être cohérente au sein d'un groupe bancaire.
La méthode retenue ainsi que les conditions de mise en œuvre (existence d'une
structure centralisée de contrôle des risques, fréquence et pertinence du
reporting...) doivent être soumises à l'approbation préalable du régulateur. Pour
être éligible, cette méthode nécessite que les données suivantes soient
disponibles : données de pertes internes (spécifiques à la banque), données
sinistres externes (bases de données transversales pour l'ensemble de la
profession), analyse des scénarios d'événements potentiels, environnement des
affaires et facteurs de contrôle interne.
Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
de la crise financière mondiale de 2007-2009. Le Comité a également reconnu que
les principes de 2011 ne tenaient pas suffisamment compte de certaines sources
importantes de risque opérationnel, telles que celles découlant des risques liés
aux technologies de l'information et de la communication (TIC). Aussi, les risques
stratégiques et de réputation n'ont pas été pris en compte par la gestion des
risques opérationnels des banques. D'autres révisions ont été apportées pour
assurer la cohérence avec le nouveau cadre de risque opérationnel dans la
révision des réformes de Bâle III en décembre 2017.
L'idée de base est que le risque opérationnel augmente rapidement tant que le
revenu de la banque augmente. Aussi, les banques qui ont déjà subi des pertes
liées au risque opérationnel sont plus susceptible de les subir de nouveau à
l'avenir. C'est à partir de ces constatations que les exigences de fonds propres à
l'égard du risque opérationnel, en décembre 2017, ont été reformulées, de tel
sorte que :
Fonds propres au titre du risque opérationnel = BIC x ILM
Où :
BIC (Business Indicator Component) = ∑(𝛼𝑖 . 𝐵𝐼𝑖 )
BI (Business Indicator) est la somme de trois composantes : intérêts, crédits-bails
et dividendes ; services ; et une composante financière.
𝛼𝑖 est une série de coefficients marginaux qui sont multipliés par le BI sur la base
de trois tranches (i=1, 2, 3 caractérisant la tranche),
L’ILM (Internal Loss Multiplier) est une fonction du BIC et de la composante perte
(LC), où le LC est fixé à être égale à 15 fois les pertes historiques moyennes d’une
banque sur les 10 dernières années.
En général, les autorités de contrôle peuvent fixer un ILM = 1 pour toutes les
banques de leur juridiction. C'est ainsi que les exigences de fonds propres sont
Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
fixées seulement par le BIC. Pour rendre les comparaisons entre les banques
faciles, toutes les banques doivent présenter leurs pertes historiques liées au
risque opérationnel, y compris dans les juridictions où l’ILM est égale à 1.
Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
Le Comité a souligné que, malgré le modèle des trois lignes de défense largement
adopté par les banques, la confusion autour des rôles et des responsabilités
entrave parfois son efficacité. Ainsi, la révision des Principes est également
l'occasion de souligner que ce modèle doit être utilisé de manière adéquate et
proportionnelle par les institutions financières pour gérer chaque type de sous-
catégorie de risque opérationnel, y compris le risque ICT.
Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
2ème ligne de défense : une fonction indépendante de gestion du risque
opérationnel d'entreprise, le CORF.
Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
œuvre et le fonctionnement des processus de gestion des risques opérationnels
par les deux autres lignes de défense. Les examens de la troisième ligne de
défense sont généralement effectués par l'audit interne et/ou externe de la
banque, mais peuvent également impliquer d'autres tiers indépendants dûment
qualifiés. L'étendue et la fréquence des examens doivent être suffisantes pour
couvrir toutes les activités et entités juridiques d'une banque.
4. La gouvernance et l’environnement
Étant donné que la gestion des risques opérationnels évolue et que
l'environnement des affaires change constamment, la haute direction doit
s'assurer que les politiques, processus et systèmes de l'ORMF restent
suffisamment robustes pour gérer et garantir que les pertes opérationnelles sont
traitées de manière adéquate et en temps opportun. Les améliorations de la
gestion du risque opérationnel dépendent fortement de la volonté de la Direction
Générale d'être proactive et d'agir rapidement et de manière appropriée pour
répondre aux préoccupations des gestionnaires du risque opérationnel.
Concernant les Principes de bonne gestion du risque opérationnel, le Conseil
d'Administration (CA) doit prendre l'initiative d'établir une culture de
gestion des risques solide, mise en œuvre par la Direction Générale. Le
Conseil d'Administration et la Direction Générale devraient établir une culture
d'entreprise guidée par une solide gestion des risques, établir des normes et des
incitations pour un comportement professionnel et responsable, et veiller à ce que
le personnel reçoive une formation appropriée en matière de gestion des risques
et d'éthique. Les banques doivent élaborer, mettre en œuvre et tenir à jour un
cadre de gestion du risque opérationnel pleinement intégré dans les processus
globaux de gestion du risque de la banque. Il convient de noter que l'ORMF adopté
par une banque individuelle dépendra d'une série de facteurs, notamment la
nature, la taille, la complexité et le profil de risque de la banque.
Dans le cadre de la Gouvernance, le Conseil d'Administration devrait approuver et
revoir périodiquement le cadre de gestion du risque opérationnel et veiller à ce
que la Direction Générale mette en œuvre efficacement les politiques, les
processus et les systèmes du cadre de gestion du risque opérationnel à tous les
niveaux de décision. Aussi bien, il doit approuver et réviser périodiquement une
déclaration d'appétence et de tolérance au risque pour le risque opérationnel qui
précise la nature, les types et les niveaux de risque opérationnel que la banque
est prête à assumer. Dans le même ordre d'idées, la Direction Générale devrait
élaborer, pour approbation par le Conseil d'Administration, une structure de
Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
gouvernance claire, efficace et solide avec des lignes de responsabilité bien
définies, transparentes et cohérentes. La Direction Générale est responsable aussi
de la mise en œuvre et du maintien constant dans l'ensemble de l'organisation
des politiques, processus et systèmes de gestion du risque opérationnel dans tous
les produits, activités, processus et systèmes importants de la banque,
conformément à la déclaration d'appétence et de tolérance au risque de la
banque.
En ce qui concerne l'environnement de gestion des risques, le premier point porte
sur l'identification et l'évaluation. A ce niveau, La Direction Générale doit assurer
l'identification et l'évaluation complètes du risque opérationnel inhérent à tous les
produits, activités, processus et systèmes importants afin de s'assurer que les
risques inhérents et les incitations sont bien compris. La Direction Générale
devrait s'assurer que le processus de gestion du changement de la banque est
complet, doté des ressources appropriées et bien articulé entre les lignes de
défense pertinentes.
Le deuxième point est celui du monitoring (ou suivi) et reporting. C'est ici que la
Direction Générale devrait mettre en œuvre un processus pour surveiller
régulièrement les profils de risque opérationnel et les expositions opérationnelles
importantes. Des mécanismes de signalement appropriés doivent être en place
au niveau du Conseil d'Administration, de la Direction Générale et des unités
commerciales pour soutenir la gestion proactive du risque opérationnel.
Au niveau du Contrôle et atténuation, les banques doivent disposer d'un
environnement de contrôle solide qui utilise des politiques, des processus et des
systèmes ; des contrôles internes appropriés ; et des stratégies appropriées
d'atténuation et/ou de transfert des risques.
Le quatrième point est porte sur les Technologies de l'information et de la
communication. Les banques doivent mettre en œuvre un programme solide de
gestion des risques liés aux TIC conformément à leur cadre de gestion du risque
opérationnel.
Le cinquième point est la planification de la continuité des activités : les banques
doivent mettre en place des plans de continuité des activités pour garantir leur
capacité à fonctionner de manière continue et limiter les pertes en cas de
perturbation grave des activités. Les plans de continuité des activités doivent être
liés au cadre de gestion du risque opérationnel de la banque.
Le sixième point porte sur l’importance de la divulgation. Par exemple, les
déclarations publiques d'une banque doivent permettre aux parties prenantes
d'évaluer son approche de gestion du risque opérationnel et son exposition à ce
risque.
Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
5. La résilience opérationnelle
Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
potentiels, à s'y adapter et à s'en remettre, et ainsi atténuer les impacts négatifs
potentiellement graves.
Le Comité définit la résilience opérationnelle comme la capacité d'une banque
à réaliser des opérations critiques en cas de perturbation. Cette capacité
permet à une banque d'identifier et de se protéger contre les menaces et les
défaillances potentielles, de réagir et de s'adapter, ainsi que de récupérer et
d'apprendre des événements perturbateurs afin de minimiser leur impact sur la
réalisation des opérations critiques impactées perturbations. Lors de l'examen de
sa résilience opérationnelle, une banque doit partir du principe que les
perturbations se produiront et doit tenir compte de son appétence globale pour
le risque et de sa tolérance aux perturbations.
Le terme opérations critiques est basé sur les principes de haut niveau du Forum
conjoint de 2006 pour la continuité des activités. Il englobe les fonctions critiques
telles que définies par le Financial Stability Board (FSB)1 et est élargi pour inclure
les activités, les processus, les services et leurs actifs de soutien pertinents dont la
perturbation serait importante pour la poursuite des activités de la banque ou son
rôle dans le système financier. Le caractère « critique » d'une opération
particulière dépend de la nature de la banque et de son rôle dans le système
financier. La tolérance des banques aux perturbations doit être appliquée au
niveau des opérations critiques.
Les principes de résilience opérationnelle du Comité sont organisés autour des
sept catégories suivantes :
(1) Gouvernance
1 Selon le FSB, les fonctions critiques sont définies comme « les activités exercées pour le compte de tiers dont la défaillance
entraînerait la perturbation de services vitaux pour le fonctionnement de l'économie réelle et pour la stabilité financière
en raison de la taille ou de la part de marché du groupe bancaire, des et interconnexion interne, complexité et activités
transfrontalières. Les exemples incluent les paiements, certaines activités de prêt et de dépôt dans le secteur commercial
ou de détail, la compensation et le règlement, des segments limités des marchés de gros, la tenue de marché dans certains
titres et des secteurs de prêt spécialisés très concentrés.
Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
(7) Technologies de l'information et de la communication (TIC) résilientes, y compris
la cybersécurité.
Les principes doivent être appliqués sur une base consolidée aux banques
conformément au champ d'application du Cadre de Bâle. Au niveau de la
première catégorie "Gouvernance", les banques doivent utiliser leur structure de
gouvernance existante pour établir, superviser et mettre en œuvre une approche
de résilience opérationnelle efficace qui leur permette de réagir et de s'adapter,
ainsi que de se remettre et d’apprendre des événements perturbateurs.
• Le conseil d'administration doit jouer un rôle actif dans l'établissement d'une large
compréhension de l'approche de la banque en matière de résilience
opérationnelle, en communiquant clairement ses objectifs à toutes les parties
concernées, y compris le personnel de la banque, les tiers et les entités
intragroupe.
Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
La catégorie "planification et test de la continuité des activités" recommande
aux banques de mettre en place des plans de continuité des activités et de mener
des exercices de continuité des activités dans une série de scénarios graves mais
plausibles afin de tester leur capacité à exécuter des opérations critiques en cas
de perturbation.
• Un plan de continuité efficace doit être tourné vers le futur lors de l'évaluation de
l'impact des perturbations potentielles. Des exercices de continuité des activités
doivent être menés et validés pour une gamme de scénarios graves mais
plausibles qui intègrent des événements et des incidents perturbateurs.
• Un plan de continuité des activités efficace doit identifier les opérations critiques
et les principales dépendances internes et externes pour évaluer les risques et
l'impact potentiel de divers scénarios de perturbation sur les opérations critiques.
Ces plans devraient intégrer des analyses d'impact sur l’entreprise et des
stratégies de reprise ainsi que des programmes de test, de formation et de
sensibilisation, et des programmes de communication et de gestion de crise.
• Les plans de continuité des activités doivent fournir des orientations détaillées
pour la mise en œuvre du cadre de reprise après sinistre de la banque. Ces plans
doivent établir les rôles et les responsabilités pour la gestion des perturbations
opérationnelles et fournir des directives claires concernant la succession de
l'autorité en cas de perturbation qui affecte le personnel clé. En outre, ces plans
doivent clairement définir le processus de prise de décision interne et définir les
déclencheurs qui vont activer le plan de continuité des activités de la banque.
Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
• Les plans de continuité des activités des banques pour la fourniture d'opérations
critiques et de services tiers critiques contenus dans leurs plans de redressement
et de résolution doivent être cohérents avec leurs approches de résilience
opérationnelle.
"La gestion des dépendances tierces" prévoit que les banques doivent gérer
leurs dépendances vis-à-vis de certaines relations, y compris celles de tiers ou
d'entités intragroupe, mais sans s'y limiter, pour la réalisation d'opérations
critiques.
Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
• Les banques doivent procéder à une évaluation des risques et à une diligence
raisonnable avant de conclure des accords.
Au niveau de "la gestion des incidents", les banques doivent élaborer et mettre
en œuvre des plans d'intervention et de reprise pour gérer les incidents
susceptibles de perturber l'exécution d'opérations critiques, conformément à
l'appétence pour le risque et à la tolérance aux perturbations de la banque. Les
banques doivent améliorer en permanence leurs plans de réponse aux incidents
et de rétablissement en intégrant les enseignements tirés des incidents
précédents.
• Les banques doivent tenir un inventaire des réponses aux incidents et des
ressources de récupération, internes et tierces pour soutenir les capacités de
réponse et de récupération de la banque.
Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
de gestion des incidents. Le programme de gestion des incidents d'une banque
doit gérer tous les incidents affectant la banque, y compris ceux attribuables à des
dépendances vis-à-vis, mais sans s'y limiter, de tiers et d'entités intragroupe.
Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
Ces catégories sont basées sur le Principles for the sound management of
operational risk (PSMOR) mis à jour par le Comité de Bâle et sur des directives
fondées sur des principes précédemment publiées sur la gouvernance
d'entreprise, la continuité des activités, l'externalisation et d'autres cadres de
gestion des risques pertinents.
Pour sa part, la Commission européenne a publié une proposition législative de
règlement sur la résilience opérationnelle numérique dans le secteur des services
financiers de l'UE (Digital Operational Resilience in the EU financial services sector
"DORA"). DORA vise à garantir que tous les participants au système financier
disposent des protections nécessaires pour atténuer les cybers attaques et autres
risques. La législation proposée obligera les entreprises à s'assurer qu'elles
peuvent résister à tous les types de perturbations et de menaces liées aux TIC. La
proposition introduit également un cadre de surveillance pour les fournisseurs
tiers critiques, tels que les fournisseurs de services cloud.
DORA couvre un large éventail d'institutions financières, y compris les
établissements de crédit, les établissements de paiement, les établissements de
monnaie électronique, les entreprises d'investissement, les fournisseurs de
services de crypto-actifs, les dépositaires centraux de titres, les gestionnaires de
fonds d'investissement alternatifs, les sociétés de gestion d'OPCVM, les
administrateurs d'indices de référence critiques, les fournisseurs de services de
financement participatif , et fournisseurs de services tiers TIC. De nombreuses
entreprises qui n'ont pas été soumises auparavant à des réglementations
spécifiques en matière de TIC entrent dans le champ d'application proposé de
DORA.
DORA fait actuellement l'objet d'un examen minutieux par le Parlement européen
et le Conseil. Le Conseil a adopté une orientation générale sur la proposition de la
Commission, qui constituera son mandat de négociation pour les négociations
avec le Parlement européen. En s'appuyant sur les orientations existantes et les
pratiques actuelles, le Comité de Bâle sur le contrôle bancaire (CBCB) cherche à
développer un cadre cohérent et à éviter les doubles emplois.
6. Conclusion
Bien que les principes de gestion du risque opérationnel et de la résilience
opérationnelle visent des objectifs différents, ils sont étroitement liés et se
complètent. En effet, un système efficace de gestion du risque opérationnel et un
niveau solide de résilience opérationnelle contribuent à réduire la fréquence et
Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org
l'impact des événements de risque opérationnel ce qui contribue à son tour à la
stabilité du système bancaire et donc la stabilité du système financier.
Le programme de résilience opérationnelle doit être aligné sur la stratégie globale
de toute l’organisation de sorte qu'il contribue à orienter les décisions
d'investissement ainsi que les opérations quotidiennes. Cela nécessite un
engagement et une implication systématique et efficace du conseil
d'administration, de la Direction Générale et de toutes les parties concernées.
L'objectif ultime est donc de gérer la volatilité de l'impact généré par les problèmes
associés aux « événements menaçant l'activité ». Cela signifie un programme de
gestion des risques complet qui intègre principalement la gestion du risque
opérationnel, la gestion de la continuité des activités et la gestion des risques liés
aux tiers.
Références
• Basel Committee on Banking Supervision (2021), « Revisions to the Principles for the Sound
• Basel Committee on Banking Supervision (2021), « Principles for Operational Resilience », Mars, d516.
• Basel Committee on Banking Supervision(2017), « Bâle III : finalisation des réformes de l’après-crise »,
Décembre, d424.
• https://eba.europa.eu/
• https://www.bis.org/
• https://www.imf.org/external/index.htm
• Tavares M., R. Camus et N. Demoulin : « DORA : un futur cadre juridique européen de la résilience
Avertissement
Ce document a été publié pour contribuer et stimuler la discussion sur des sujets liés au financement des MPME
ou d'autres sujets pertinents en Tunisie. Les opinions présentées sont celles de l'auteur / auteurs de ce document
et ne représentent pas nécessairement les vues de la BERD ou des contributeurs et donateurs du RSBP pour l'Asie
centrale. Le RSBP ne garantit pas l'exactitude, l'exhaustivité ou la qualité des informations fournies dans ce
document. Le RSBP, ses contributeurs et donateurs n'assument aucune responsabilité pour tout dommage causé
par l'utilisation des informations publiées dans ce document.
Programme régional pour les petites entreprises (RSBP). Préparé par IPC GmbH www.rsbp-tn.org