Secrétariat général de la Commission bancaire Maîtrise des risques sur le système d information des banques : Enjeux Forum des Compétences 7 décembre 2005 Pierre-Yves Thoraval Secrétaire général adjoint de la Commission bancaire
Introduction La Commission bancaire a promu depuis plusieurs années une DÉMARCHE COHÉRENTE sur la mesure, le suivi et le contrôle des risques liés aux systèmes d information dans les établissements de crédit En effet, la gestion des risques financiers, qui est au cœur de leur métier, repose sur LA COLLECTE ET L EXPLOITATION D UNE INFORMATION DE MASSE qui nécessite une organisation de type industriel et la prévention des dysfonctionnements qui pourraient obérer le processus de production bancaire 2
Plan 1. La Commission bancaire s appuie sur la réglementation et sur une approche pragmatique pour la sécurité des systèmes d information (SI) 2. Les derniers développements des dispositifs prudentiels sont très structurants pour les systèmes d information 3. Les prochains chantiers et défis en matière de SI nécessitent une forte mobilisation des acteurs et de la place. 3
1. La Commission bancaire s appuie sur la réglementation et sur une approche pragmatique pour la sécurité des SI Risque de management (équipe dirigeante mal informée ou défaillante, actionnaires divisés, organisation insuffisante...) RISQUES POLITIQUES Risques de stratégie Risques éthiques Mauvaise orientation Non-respect des règles : Déséquilibre/moyens/finalité réglementaires, fiscales, rentabilité/risque déontologiques Image, communication coûts VALEUR coûts Risques extérieurs EXPOSÉE AU RISQUE Politique, social, humain Systémique Risques sur autres activités (risques non bancaires) R M T RISQUES BANCAIRES Risque maximal tolérable et PARA-BANCAIRES CHOIX Risques économiques Erreurs de prévision Absence de rentabilité Risques de contrepartie Signature, crédit, défaillance Risque sectoriel ou géographique (risques pays, division des risques) Risques de marchés Liquidité. Transformation. Solvabilité Rentabilité. Taux. Change, devises De support. Réglement/livraison, etc. RISQUES TECHNIQUES Risques opérationnels Risques techniques Technologiques. Juridiques. Administratifs. Gestion interne Risques environnementaux Risques sur système d'information (Disponibilité, intégrité, confidentialité, preuve) Catastrophique. Défaillance, panne Fraude, détournement. Mauvaise organisation. Image de marque, etc. Risques divers 4
1. La Commission bancaire s appuie sur la réglementation et sur une approche pragmatique pour la sécurité des SI Démarche déclinée Au NIVEAU EUROPÉEN : les directives européennes afférentes, la dernière en date étant la Capital Requirements Directive, transposition européenne de Bâle II Au NIVEAU FRANÇAIS : notamment le règlement 97-02 du CRBF sur le contrôle interne (articles 14 et 20) 5
1. La Commission bancaire s appuie sur la réglementation et sur une approche pragmatique pour la sécurité des SI APPROCHE PRAGMATIQUE de la Commission bancaire CONCERTATION avec la profession bancaire et les autres autorités concernées BONNES PRATIQUES ET PRINCIPES D ORGANISATION 6
1. La Commission bancaire s appuie sur la réglementation et sur une approche pragmatique pour la sécurité des SI RÉSULTATS : LIVRES BLANCS sur la sécurité des systèmes d information dans les banques et sur internet ; MÉTHODES DE MESURE DES RISQUES INFORMATIQUES (ERSI, ERICOP) qui demeurent d actualité. 7
1. La Commission bancaire s appuie sur la réglementation et sur une approche pragmatique pour la sécurité des SI On voit donc bien que la démarche «RISK-BASED» que les banques et les autorités de contrôle suivent tient compte de façon de plus en plus importante des systèmes d information. 8
2. Les derniers développements des dispositifs prudentiels sont très structurants pour les SI LE DISPOSITIF BÂLE II constitue une avancée essentielle dans la mesure où la vision des risques qu auront les superviseurs se rapprochera sensiblement de celles des supervisés et rendra les rations prudentiels plus sentibles au niveau réel de ces risques. C est pourquoi la mise en oeuvre de Bâle II est très structurante pour les systèmes d information, selon une approche holistique. 9
2. Les derniers développements des dispositifs prudentiels sont très structurants pour les SI Les IMPACTS ORGANISATIONNELS : Les notations internes sont très structurantes dans le mode de fonctionnement d une banque IRB = risques provisions Prix / tarification RAROC Pilotage économique global 10
2. Les derniers développements des dispositifs prudentiels sont très structurants pour les SI Refonte des SI au bénéfice de la cohérence clients/produits/entités/lignes de métier ; Du «PATCHWORK» aux «DATA WAREHOUSES». 11
2. Les derniers développements des dispositifs prudentiels sont très structurants pour les SI LES 3 PILIERS DE BÂLE II font la part belle aux systèmes d information : PILIER 1 intègre le RISQUE OPÉRATIONNEL, dont le risque informatique est une composante majeure ; PILIER 2 exige un montant de fonds propres adapté au PROFIL DE RISQUES ; PILIER 3 fixe le rôle des SI en matière de TRANSPARENCE SUR LES RISQUES. 12
2. Les derniers développements des dispositifs prudentiels sont très structurants pour les SI ARTICULATION BÂLE II / Risque Opérationnel / Risque Informatique Finance d entreprise Fraude interne Fraude externe Pratiques d emploi et sécurité des locaux Pratiques liées aux clients et produits Dommages aux actifs physiques Rupture d activité et pannes des systèmes Exécution, livraison et gestion des processus Activité de marché pour compte propre Activités retail Activités professionnels Paiement et règlement Services d agence et conservation Gestion d actifs Activités de marché pour compte de la clientèle retail 13
2. Les derniers développements des dispositifs prudentiels sont très structurants pour les SI Le nouveau règlement 97-02 modifié : Fonction de CONFORMITÉ EXTERNALISATION PLANS DE CONTINUITÉ DÉFINITION DU RISQUE OPÉRATIONNEL 14
2. Les derniers développements des dispositifs prudentiels sont très structurants pour les SI Dans ce cadre, le POSITIONNEMENT du RSSI n est pas précisé Toutefois, LA SÉCURITÉ DES SI est une exigence prévue par la réglementation À ce titre, dès lors qu un établissement de crédit a un RSSI, il doit être intégré dans l organisation générale du CONTRÔLE PERMANENT 15
ORGANISATION RECOMMANDÉE CONSEIL D ADMINISTRATION DIRECTEUR GENERAL = responsable du contrôle interne C O M I T É D E C O N T R Ô L E I N T E R N E RESPONSABLE CONTROLE PERIODIQUE RESPONSABLE CONTROLE PERMANENT RESPONSABLE CONTRÔLE CONFORMITÉ Unité d Audit Inspection audit siège audit réseau audit fonctions de contrôle permanent, y compris contrôle de la conformité audit Bâle II audits thématiques audit des filiales, audit des activités externalisées Contrôle crédit. politique risque. méthodologies. suivi. revues de portefeuilles. reportings. administrateur dispositif Bâle II Contrôle financier. marché / compte propre. taux global. liquidité Contrôle comptable et contrôle de l information financière Manager Risques Opérationnels.RPCA/ continuité d activité. cellule de crise. RSSI / sécurité informatique. outils de gestion des contrôles permanents RCSI, déontologie Conformité. procédures, contrôles.avis nouveaux produits, nouvelles activités (Comité NAP). centralisation dysfonctionnements Sécurité financière. lutte anti blanchiment, financement terrorisme, embargos, fraude externe Contrôles permanents 1 er degré et 2 ème degrés s (1 er niveau). UNITÉS S OPÉRATIONNELLES, FONCTIONS SUPPORT / FILIALES réseaux, engagements, finances, distribution, back offices, recouvrement, logistique, RH autorité hiérarchique directe 16
3. Les prochains chantiers et défis en matière de SI nécessitent une forte mobilisation des acteurs et de la place TRANSMISSION DE L INFORMATION VERS LES AUTORITÉS DE SUPERVISION REPORTING EUROPÉEN comptable (FINREP) et prudentiel (COREP) UTILISATION DU LANGAGE XBRL 17
3. Les prochains chantiers et défis en matière de SI nécessitent une forte mobilisation des acteurs et de la place TRAVAUX DE PLACE ROBUSTESSE PCA des établissements de crédit PROFIL DE PROTECTION sur les paiements en ligne CARTOGRAPHIE DES RISQUES MÉTHODES DE RÉDUCTION DES RISQUES 18
Conclusion La sécurité des SI n est plus seulement une préoccupation de gestion interne, elle est devenue une exigence réglementaire et un enjeu de stabilité financière. Dès lors, il n est pas étonnant que les autorités de place, en particulier la Banque de France et la Commission bancaire, continuent de jouer un rôle moteur en relation étroite avec les professionnels. 19