La FINMA a publié le 1er mars 2016 un projet de circulaire révisée concernant la gestion des risques opérationnels par les banques1 .

Cette révision partielle vise à répondre aux deux objectifs suivants :

  • Simplifier les principes jusqu’ici définis pour les risques opérationnels et qui doivent désormais s’appliquer à toutes les catégories de risques2 ;
  • Intégrer de nouveaux principes concernant les risques informatiques, les cyber-risques, le maintien des prestations critiques en cas d’insolvabilité et les risques dans les activités financières transfrontières. Le présent document vise à synthétiser les principales évolutions du projet de circulaire 2008/21. 

Le présent document vise à synthétiser les principales évolutions du projet de circulaire 2008/21. 

Périmètre et principe de proportionnalité

Sont désormais considérées comme petites banques (au sens de la circulaire) les banques et négociants en valeurs mobilières des catégories 4 et 5 de la FINMA. Ainsi, pour les banques de catégorie 4, ce n’est plus la banque elle-même ni son réviseur externe qui déterminent si elle est considérée comme une petite ou une grande banque. De plus, la FINMA se réserve le droit d’ordonner des allègements ou des durcissements, au cas par cas.

Responsabilités de la direction et concept cadre

Les exigences en matière de responsabilités de la direction et de concept cadre pour la gestion des risques opérationnels sont désormais intégrées dans la nouvelle circulaire 2016/XX « Gouvernance d’entreprise – banques » et s’appliquent à toutes les catégories de risques (risques de marché, de crédit, de liquidité, risques opérationnels, etc.).

Gestion des risques informatiques et cyber-risques

Les banques doivent définir un concept pour la gestion des risques informatiques, comprenant notamment une vue d’ensemble de leur système d’information. Elles sont tenues de mettre en place une gestion intégrée et complète des risques informatiques, en conformité avec leur stratégie et leur appétence au risque.

Par ailleurs, les établissements doivent également définir un concept pour la gestion des cyber-risques3 . Ce document vise à définir une approche globale, selon les 6 axes suivants :

  1. Stratégie : Capacité à réglementer et à gérer les cyber-risques de manière appropriée ;
  2. Identification : Capacité à identifier et évaluer les menaces liées aux cyberattaques ;
  3. Protection : Capacité à protéger les actifs critiques contre des cyber-attaques ;
  4. Détection : Capacité à détecter les cyber-attaques ;
  5. Réponse : Capacité à répondre de manière adéquate aux cyber-attaques détectées ;
  6. Rétablissement : Capacité à atténuer les cyber-attaques et leurs dommages et à rétablir l’état initial.

Notons que ces dispositions sont en ligne avec le contenu de l’auto-évaluation4 complétée par les banques de catégorie 3 début 2016.

Enfin, les banques doivent garantir l’exécution régulière d’analyses de vulnérabilité et de tests d’intrusion afin d’identifier et de corriger les points faibles de leurs systèmes.

Maintien des prestations critiques en cas d’insolvabilité

Les banques d’importance systémique doivent s’assurer que les prestations5 nécessaires aux fonctions critiques peuvent être maintenues en présence d’un risque d’insolvabilité.

Outre les règles contraignantes pour les banques d’importance systémique, certaines prescriptions sont applicables à tous les établissements. Ainsi, toutes les banques doivent établir un inventaire des prestations qu’elles jugent essentielles.

Gestion des risques dans les activités financières transfrontières

En cas d’opérations transfrontières, les banques sont tenues d’analyser les législations étrangères (droit fiscal, droit pénal, législation en matière de blanchiment d’argent, etc.) et d’identifier les risques correspondants.

Sur la base de cette analyse, les établissements doivent prendre les mesures straté- giques et organisationnelles nécessaires à la minimisation des risques identifiés.

Traitement des données électroniques des clients (CID)

L’annexe 3 relative à la gestion des CID intègre des précisions issues de la foire aux questions de la circulaire6 , notamment pour les principes suivants :

  • Principe 3 (lieu de stockage et accès aux données) : l’actualisation de l’inventaire des applications et de l’infrastructure y afférente qui renferment ou traitent des CID doit être entreprise dans les meilleurs délais en cas de changements structurels. De plus, des mises à jour régulières sont nécessaires pour les changements de moindre portée ;
  • Principe 5 (sélection, surveillance et formation des collaborateurs qui ont accès aux CID) : des exigences supérieures de sécurité doivent s’appliquer aux utilisateurs disposant d’un accès fonctionnel à une grande quantité de données ou ayant accès à des sous-catégories de CID hautement confidentielles (comme les comptes chiffrés). Par ailleurs, des dispositifs tels que la tenue de fichiers journaux doivent être introduits afin de permettre l’identification de ces utilisateurs ;
  • Principe 7 (limitation des risques en relation avec la confidentialité des CID) : les petites banques qui n’appliquent aucune méthode d’anonymisation, de pseudonymisation ou de chiffrage lors du développement, de la transformation et de la migration des systèmes doivent soumettre les traitements de grandes quantités de CID à des procédures appropriées (par exemple : principe du double contrôle ou fichiers journaux).

Audition et mise en application

Les personnes concernées et intéressées peuvent commenter le projet de circulaire jusqu’au 13 avril 2016. L’entrée en vigueur de la circulaire révisée est prévue pour le 1er août 2016.