Arrière plan
La résilience opérationnelle dans le secteur des services financiers est une préoccupation clé dans le paysage réglementaire européen, l'Irlande ne faisant pas exception.La résilience opérationnelle est devenue un problème clé en raison des perturbations liées à l'industrie des services financiers à pied des cyberattaques, des troubles politiques, des incidents technologiques et des catastrophes naturelles.En particulier, comme la dépendance à l'égard des fournisseurs de services internationaux externalisés est devenu la norme dans le secteur, les opérations des entreprises sont devenues de plus en plus complexes et subordonnées aux ressources tierces.
Ces dernières années, la Banque centrale d'Irlande (la «Banque centrale») a fait de la résilience opérationnelle un point focal, publiant des conseils croisés sur l'industrie sur la résilience opérationnelle (les «conseils») en décembre 2021 à la suite d'une consultation avec un large éventail de parties prenantes de l'industrie.Le processus de consultation a permis aux parties prenantes de mettre en évidence leurs préoccupations et requêtes autour des conseils proposés.Les principaux thèmes qui sont apparus à pied de la consultation étaient:
Nonobstant les vastes commentaires reçus grâce au processus de consultation, les directives finalisées restent largement inchangées du projet de directives publiées en avril 2021, sauf pour une assurance supplémentaire autour de l'application des directives.
Les directives servent à délimiter les attentes de la banque centrale de manière claire et à réduire l'ambiguïté des meilleures pratiques de résilience opérationnelle.Ceci est réalisé grâce à l'adoption des trois piliers de la résilience opérationnelle:
Récupérer et apprendre.
La banque centrale explique que «ces trois piliers soutiennent une approche holistique de la gestion de la résilience opérationnelle et des risques connexes et créent une boucle de rétroaction qui favorise l'intégration perpétuelle des leçons apprises dans la préparation d'une entreprise pour les perturbations opérationnelles."
De plus, l'un des principaux points à retenir des directives est que la résilience opérationnelle ne peut pas simplement être traitée comme un exercice de routine au niveau du conseil d'administration.La banque centrale a clairement indiqué qu'il s'attend à voir les conseils d'administration et la haute direction «adopter des mesures pour renforcer et améliorer leur cadre de résilience opérationnelle."
Le défi maintenant présenté aux institutions financières, à leurs conseils d'administration et à la haute direction, est de savoir comment appliquer efficacement les directives dans la gestion quotidienne ainsi que pour la planification et la stratégie à plus long terme. With this in mind, Matheson has compiled what we refer to as the “10 Steps to ensuring Operational Resilience".Nous espérons que ces étapes soutiendront votre entreprise dans la tâche qui nous attend.
Première étape: passez en revue les conseils
La responsabilité ultime de l'approbation et de la surveillance du cadre de résilience opérationnelle d'une entreprise repose sur le conseil d'administration.Par conséquent, il est essentiel que les conseils d'administration et les cadres supérieurs se soient pleinement informés de ce qui est attendu sous la direction.Dès le départ, les entreprises doivent s'assurer que les directives ont été examinées et que tous les membres du conseil d'administration et les cadres supérieurs connaissent son contenu.
Deuxième étape: approuver un cadre de résilience opérationnelle
Une entreprise doit s'assurer que ses cadres de gouvernance et la structure des comités existants comprennent des responsabilités en ce qui concerne la résilience opérationnelle.Un cadre de résilience opérationnelle devrait s'aligner sur les cadres opérationnels des risques et de la continuité des activités d'une entreprise, ou alternativement un cadre pourrait être mis en œuvre englobant tous les domaines de risque.
Troisième étape: intégrer la résilience
La mise en œuvre d'un cadre de résilience opérationnelle appropriée devrait être un exercice holistique et transfartemental, en particulier en veillant à ce que les domaines suivants soient pris en charge:
Quatrième étape: Identifier les services commerciaux critiques ou importants
Afin de sauvegarder efficacement contre les perturbations opérationnelles et les risques, une entreprise doit identifier les services au sein de leur entreprise.Pour classer correctement ces services, une entreprise devrait déterminer s'il y aurait un impact important sur le consommateur dans un événement de perturbation affectant ce service.À titre d'exemple, une entreprise doit considérer les questions suivantes lors de l'évaluation si un service commercial est critique ou important:
Cinq étape: identifier les tolérances d'impact
Une tolérance à l'impact représente le niveau maximal de perturbation qui peut être toléré par un service commercial critique ou important avant que la perturbation ne représente un risque pour l'entreprise ou pourrait causer un préjudice au consommateur.
Il est important de différencier l'appétit des risques standard et la tolérance à l'impact.Les processus standard de gestion des risques et d'appétit des risques sont axés sur la minimisation des risques pour une entreprise, par le biais de contrôles qui réduisent l'impact et la probabilité d'un événement de perturbation sur.La résilience opérationnelle se concentre sur la renforcement des capacités d'une entreprise pour faire face aux événements de risque lorsqu'ils se matérialisent, plutôt que de se concentrer uniquement sur les défenses du bâtiment pour empêcher les risques de se produire.En développant des tolérances d'impact, une entreprise peut quantifier le niveau maximal de perturbation qu'un service peut résister, ce qui leur permet de donner la priorité à la restauration des services de manière appropriée à la suite d'une perturbation.
Six six: cartographier les processus pour fournir un service commercial critique ou important
Afin de garantir que les services commerciaux critiques ou importants ne dépassent pas leurs tolérances d'impact, une analyse de la méthode et des processus impliqués dans la prestation du service doit être entreprise.La cartographie de la fourniture du service devrait inclure l'identification des éléments suivants:
Sep sept étape: mettre en œuvre les stratégies TIC et cyber-résilience
Étant donné que la technologie est au cœur du fonctionnement efficace et efficiente de la plupart des entreprises, elle doit être traitée comme une composante vitale de la résilience opérationnelle d'une entreprise.Cela signifie qu'une entreprise doit s'assurer que non seulement sa technologie est adaptée à ses besoins commerciaux, mais que toutes les faiblesses et vulnérabilités possibles ont été identifiées lorsque la technologie est invoquée pour fournir un service commercial critique ou important.
En outre, la Banque centrale a indiqué que les entreprises devaient tenir compte de ses directives de l'industrie croisée en ce qui concerne les risques technologiques et cybersécurité et toutes les directives des autorités de supervision européennes pertinentes.
Huitième étape: effectuer des tests annuels d'examen et de stress
Afin d'assurer la résilience opérationnelle, une entreprise doit effectuer des exercices de test de stress en ce qui concerne les scénarios graves mais plausibles.Des scénarios graves mais plausibles peuvent être identifiés en cartographiant clairement les processus et les vulnérabilités affectant les services commerciaux critiques ou importants identifiés.
Les tests doivent être effectués sur une base annuelle au minimum.
Étape neuf: mettre en œuvre la gestion de la continuité des entreprises
La gestion de la continuité des activités devrait faire partie de l'approche globale de la résilience opérationnelle, y compris la mise en œuvre d'un plan de continuité des entreprises.De plus, les plans de communication internes et externes doivent être conçus et faire partie du cadre de résilience opérationnelle ou du plan de continuité des activités.
Étape dix: mettre en œuvre les leçons apprises
Suite à une perturbation d'un service commercial critique ou important, l'entreprise doit réfléchir aux leçons tirées de l'incident.L'analyse des leçons apprises devrait inclure à la fois des succès et des échecs qui se sont produits dans le processus de correction, ainsi que les facteurs d'incitation qui ont conduit à l'incident.En évaluant de manière critique l'approche adoptée en ce qui concerne une perturbation, les lacunes peuvent être identifiées et rectifiées et les processus de récupération peuvent être améliorés permettant de meilleures réponses à l'avenir.
Conclusion
La banque centrale a déclaré qu'elle déploierait l'engagement de supervision des risques pour évaluer les principes fondamentaux de la résilience opérationnelle dans les entreprises et se rendre à l'amélioration et à la résilience opérationnelle mature dans le système financier.Cet engagement comprend une évaluation de la capacité d'une entreprise à déterminer les tolérances d'impact appropriées pour ses services commerciaux critiques ou importants et qu'il teste sa capacité à rester dans ces tolérances d'impact dans des scénarios graves mais plausibles.
Du point de vue du calendrier, il y a une période maximale de 2 ans pour la mise en œuvre des directives.En décembre 2023, toutes les entreprises devront être en mesure de démontrer les actions et les plans en place pour se conformer aux conseils.
