Mois : juin 2025

Chez easyReg, nous suivons avec attention les évolutions de la réglementation financière. Avec le règlement DORA, nous terminons nos publications sur la thématique de la résilience opérationnelle et de la circulaire FINMA 2023/01. C’est la troisième partie du webinaire organisé le 13 mars 2025 sur LinkedIn. Nous évoquons cette fois la comparaison entre la réglementation suisse et celle de l’UE pour les TIC (technologies de l’information et des communications). Nous expliquons aussi les impacts de DORA sur la conformité réglementaire dans les banques suisses.

1 – Fin de notre triptyque sur la résilience opérationnelle

En tant qu’experts en réglementation bancaire, nous vous proposons régulièrement des webinaires sur LinkedIn avec divers experts. Vous pouvez retrouver l’intégralité du programme sur notre page web spéciale webinaires RegTech.

Cet article vient clôturer une série de publications, suite à la tenue de notre webinaire organisé le 12 mars 2025 sur LinkedIn autour de la résilience opérationnelle. C’est un sujet de préoccupation dans les banques suisses et qui fait l’actualité, du fait de la nouvelle circulaire FINMA 23/01. Voici les intervenants dont nous avons repris les propos dans ces trois articles :

• Jean-Philippe Bernard, cofondateur de la société OPCIS Services et enseignant en risques et contrôles à l’ISFB ;
• Enrico Giacoletto, fondateur de la solution RegTech e-Reg (easyReg) ;
• Ivan Nappo, spécialiste en réglementation financière et project manager chez easyReg.

Après avoir donné la définition de la résilience opérationnelle et son calendrier, puis apporté des conseils pour sa mise en place, nous terminons donc ce triptyque en abordant DORA, la réglementation de l’Union européenne.

2 – Règlement DORA et résilience opérationnelle numérique : de quoi parle-t-on ?

DORA signifie Digital Operational Resiliency Act. Ce règlement européen n° 2022/2554 du 14 décembre 2022 sur la résilience opérationnelle numérique est entré en vigueur le 17 janvier 2025. Il a donc force de loi dans tous les pays membres de l’UE. DORA concerne les banques, mais pas seulement. Ce règlement impacte aussi directement tous les prestataires de services du type TIC (technologies de l‘information et de la communication).

DORA, une couche de complexité réglementaire en plus pour la résilience opérationnelle

DORA est un chantier complexe. McKinsey a réalisé une étude qui montre à mi 2024 que seulement un tiers des répondants s’estiment prêts, à 6 mois de l’échéance de 2025. Aujourd’hui en début d’année 2025, c’est donc réellement le début de DORA.

L’importance de la résilience opérationnelle ne cesse de croître, et notamment dans le numérique avec l’impact sur les banques et les entreprises TIC. Rester au fait de la réglementation selon les autorités et institutions suisses comme européennes s’avère crucial. Ainsi, Ivan Nappo suit actuellement un programme de certification conjoint de l’International Compliance Association (ICA) et de l’International Cyber Threat Task Force (CTTF). Cette formation le conduira à devenir spécialiste certifié de la conformité de DORA.

 

Digital Operational Resilience Act (DORA) dans l’Union européenne : origine

Après la pandémie de la COVID-19, la prise de conscience de la forte dépendance des établissements financiers à de nombreux services digitaux a entraîné cette volonté de renforcer la résilience du secteur.

DORA s’insère dans un ensemble de travaux autour du Paquet Finance de l’UE. En effet, la Commission européenne a adopté en 2020 diverses mesures en vue de soutenir la transformation digitale du secteur financier et le développement de nouveaux produits financiers. Ce paquet comprend trois volets législatifs, dont un sur la résilience :

• le règlement sur les marchés de crypto-actifs (MiCA) ;
• le Régime Pilote pour les infrastructures de marché reposant sur la technologie des registres distribués ;
• le règlement DORA.

Après l’adoption du règlement DORA en 2022 par le Parlement européen et le Conseil de l’UE, les autorités européennes de surveillance (AES ou ESA), soit ABE, EIOPA et ESMA, publient des règles ou normes techniques (RTS et ITS). Elles visent à gérer les risques liés aux tiers, dont les TIC, et à classifier les incidents.

💡Ivan Nappo souligne l’importance de toujours avoir en tête le fonctionnement européen. DORA est un règlement et non pas une directive. Ce texte a donc force de loi au niveau de toute l’UE. Chaque État membre peut seulement renforcer les exigences de DORA au niveau national. Cela signifie éventuellement aller plus loin que la réglementation européenne, sans pour autant y déroger ou la diluer. 

Ainsi, les autorités nationales de surveillance (ANS ou NCA) mettent en œuvre DORA dans chaque État, sous la supervision des autorités européennes (AES ou ESA). Elles peuvent l’accentuer avec des devoirs plus contraignants. C’est le phénomène de sur-réglementation ou de gold plating.

Du fait de ce double fonctionnement UE et États membres, la réglementation DORA va encore évoluer en 2026. Les entités financières doivent suivre les exigences existantes et celles à naître. Il peut s’agir de la transmission d’un reporting des incidents à une autorité de surveillance nationale qui l’exige. Quant aux standards définis, ils vont continuer à faire l’objet de clarification, pour les concepts, les définitions et les modalités de mise en œuvre.

💡C’est donc important de réaliser une veille réglementaire en matière d’informations sur la résilience, voire de mettre en place des systèmes de notification sur des mots-clés en recherche réglementaire.

Les objectifs du règlement européen DORA

Le règlement DORA vise à harmoniser la gestion des risques liés aux TIC au sein de l’Union européenne. Il s’applique aux banques, mais aussi à tous les prestataires de services financiers et aux prestataires TIC.

 

DORA ambitionne d’accroître la résilience numérique de ce secteur en leur imposant un cadre réglementaire inspiré des meilleures pratiques existantes. Citons notamment l’impact du NIST Cybersecurity Framework 2.0 publié par le NIST aux États-Unis (National Institute of Standards and Technology).

DORA apporte :

• des exigences de gestion des risques ;
• de classification et de signalisation des incidents ;
• des tests de résilience ;
• davantage de supervision des fournisseurs de services TIC.

Le champ d’application de DORA

Le scope du règlement DORA est très large. En effet, ce sont 22 types d’entités qui sont concernées, dont les fournisseurs de services TIC. Ainsi, l’article 2 relatif au champ d’application les passe en revue : 

• « a) les établissements de crédit ;
• b) les établissements de paiement, y compris les établissements de paiement exemptés en vertu de la directive (UE) 2015/2366 ;
• c) les prestataires de services d’information sur les comptes ;
• d) les établissements de monnaie électronique, y compris les établissements de monnaie électronique exemptés en vertu de la directive 2009/110/CE ;
• e) les entreprises d’investissement ;
• f) les prestataires de services sur crypto-actifs agréés (…) et les émetteurs de jetons se référant à un ou des actifs ;
• g) les dépositaires centraux de titres ;
• h) les contreparties centrales ;
• i) les plateformes de négociation ;
• j) les référentiels centraux ;
• k) les gestionnaires de fonds d’investissement alternatifs ;
• l) les sociétés de gestion ;
• m) les prestataires de services de communication de données ;
• n) les entreprises d’assurance et de réassurance ;
• o) les intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires d’assurance à titre accessoire ;
• p) les institutions de retraite professionnelle ;
• q) les agences de notation de crédit ;
• r) les administrateurs d’indices de référence d’importance critique ;
• s) les prestataires de services de financement participatif ;
• t) les référentiels des titrisations ;
• u) les prestataires tiers de services TIC ».

 

3 – Comparaison de la réglementation DORA avec la Circulaire FINMA 2023/01

Nous avons noté les différences majeures entre le règlement DORA et la circulaire FINMA 23/01. Voici les points majeurs qui ressortent de cette comparaison faite par Ivan Nappo.

Les secteurs économiques visés

Les deux réglementations sont proches sur ce plan, car DORA vise essentiellement le secteur financier dans l’Union européenne. Une subtilité existe toutefois dans ce règlement DORA, car sont également visés, les fournisseurs de prestations de service et de technologies d’information et de communication (TIC). Ce sont donc des tiers, hors services financiers, mais qui travaillent en liaison étroite avec ce secteur.

Par comparaison, en Suisse, la circulaire 23/01 évoque les ressources internes et externes, dont les TIC, mais ces prestataires ne doivent pas appliquer ce texte directement. En revanche, c’est la circulaire 18/03 sur l’outsourcing qui, en Suisse, complète la réglementation. Finalement, l’association des deux circulaires FINMA permet de comparer au cadre fourni par DORA.

Le périmètre de la réglementation

DORA évoque la notion de résilience opérationnelle digitale, soit mise en œuvre par l’établissement financier, soit par son prestataire du type TIC, quand des activités critiques lui sont confiées. Précisons que ceci doit s’appliquer, que le sous-traitant TIC de la banque soit dans l’Union européenne ou non.

Comme le souligne Ivan Nappo, vous voyez immédiatement émerger les impacts éventuels en cas de scénarios d’extraterritorialité, par exemple pour une entreprise TIC suisse qui traite avec des entités financières européennes.

La gouvernance des risques opérationnels

Qu’il s’agisse de la circulaire FINMA sur les risques opérationnels ou du règlement DORA sur la résilience opérationnelle digitale, ce sont les mêmes niveaux de gouvernance qui interviennent : la haute direction ou le conseil d‘administration.

Toutefois, Ivan Nappo précise que DORA oblige à prendre en compte des considérations de groupe en cas d’entités présentes dans d’autres pays hors UE, ainsi que des effets potentiels de contagion groupe.

La gestion des incidents et du risque

DORA se concentre sur la résilience opérationnelle dans le domaine digital. Donc, naturellement, elle vise les risques du type cyberrisques informatiques. En quelque sorte, cela ne constitue qu’un sous-ensemble de ce que traite la circulaire FINMA 23/01 en Suisse.

Le point très intéressant dans la comparaison, c’est que le risque lié aux tiers comprend aussi le risque relatif aux services TIC externalisés. En effet, le règlement DORA les intègre directement avec l’obligation pour la banque de déterminer quels services sous-traités de ce type sont critiques. Ceci signifie qu’il existe des implications fortes pour ces prestataires. Ils ont parfois l’obligation de se conformer à des exigences de l’autorité étatique.

Par exemple, une grande banque européenne dispose d’un service de cloud dont le fournisseur est hors zone UE. Elle pourrait devoir sous 12 mois opter pour un service cloud situé dans un des États membres.

La démarche de test

La circulaire FINMA 23/01 comporte des tests de sécurité et des évaluations de la vulnérabilité de façon régulière. Quant au règlement DORA, il prévoit des tests de résilience complets, y compris des tests de pénétration et des tests basés sur des scénarios.

4 – Pourquoi et quand le règlement DORA impacte-t-il les banques ou prestataires TIC suisses ?

Pour les établissements financiers ou les fournisseurs de services situés en Suisse, ce qui importe avec DORA, ce sont les impacts extraterritoriaux.

La portée extraterritoriale de DORA

Plusieurs dispositions du règlement européen DORA, dont l’article 36, ont une portée en dehors du territoire de l’Union européenne. Dès lors qu’un établissement présente des prestations de service réalisées par des fournisseurs transfrontaliers, l’analyse de DORA est nécessaire.

Ainsi, l’article 36 de DORA énonce les dispositions afin de superviser les sous-traitants établis dans des pays tiers, soit hors de l’UE.

Examen de quelques scénarios transfrontaliers

Le tableau ci-dessous schématise les scénarios cross-border qui peuvent se présenter.

En fonction des cas, les impacts de DORA sont complets ou limités :

• à des ajustements contractuels, comme le Service Level Agreement (SLA) et les Due Diligence (DD) ;
• voire à la nécessité de désignation de prestataires tiers critiques de services TIC dits CTPP (Critical Third Party Provider).

Ainsi, parfois, si une entité financière située dans l’UE estime que les services TIC d’un prestataire suisse sont critiques, cela peut le conduire à devoir s’établir dans l’UE.

Ceci doit inciter les entités suisses à se poser les bonnes questions et à échanger avec les clients ou filiales situés en Europe :

• Comment sont décrits les services rendus ?
• S’agit-il de services importants et essentiels ?
• Est-ce de la compliance ou des activités clés et critiques ?
• Comment anticiper les aspects désignation CTPP, en cas de services critiques en matière de TIC pour un établissement financier européen ?

Pour une entité bancaire suisse qui dispose de filiales pour des activités financières dans un pays de l’UE, là encore, de nombreuses questions se posent. Par exemple :

• Qu’ai-je mis en place en matière de résilience opérationnelle en Suisse et qui entre dans le socle commun avec DORA ?
• Les services TIC fournis à ces établissements européens par le siège suisse de la banque sont-ils critiques ?
• Est-ce que les autorités de surveillance nationales imposent d’autres exigences en plus de DORA en matière de reporting ?

DORA représente une conduite du changement exigeante et d’envergure. C’est une réglementation qui s’inscrit dans la durée, sans aucun retour en arrière possible. La résilience, plus généralement, protège l’établissement financier. Elle fait l’objet d‘une attention soutenue du régulateur. Les clés pour réussir la mise en œuvre de la résilience sont l’homogénéité de l’approche et du référentiel. C’est important d’inclure la dimension coût pour gérer les projets de conformité de façon raisonnable, ceux connus et ceux à venir. Chez easyReg, nous restons à votre écoute, si vous souhaitez approfondir ces aspects de la résilience opérationnelle. N’hésitez pas à nous contacter pour échanger sur vos problématiques réglementaires.

Nous poursuivons avec la thématique résilience opérationnelle. Lors de notre webinaire du 13 mars 2025 sur la Circulaire FINMA 23/01 et DORA, nos intervenants ont traité ce sujet sous de multiples angles. Après avoir repris leurs propos dans un premier article qui définit la résilience opérationnelle dans les banques, voici des conseils pour le déploiement pratique du processus dans les organisations financières suisses.

La résilience opérationnelle, un sujet qui s’inscrit dans toute une liste de webinaires RegTech

En tant que spécialiste RegTech suisse, easyReg vous propose depuis quelques mois des webinaires réguliers accessibles sur LinkedIn ainsi que sur la page spéciale de notre site web. Nous y traitons des sujets d’actualité en matière de réglementation financière :

• En avril, nous avons abordé les risques financiers liés à la nature. 
• En mai, l’intervention a fait découvrir aux participants e-Reg, notre plateforme RegTech. 
• Et le mois de juin se consacre à la gestion des directives internes d’un établissement bancaire.

Pour revenir au webinaire du 12 mars 2025, voici les trois intervenants qui ont traité le sujet de la résilience opérationnelle :

• Jean-Philippe Bernard, cofondateur de la société OPCIS Services et enseignant en risques et contrôles à l’ISFB ;
• Enrico Giacoletto, fondateur de la solution RegTech e-Reg (easyReg) ;
• Ivan Nappo, spécialiste en réglementation financière et project manager chez easyReg.

Le premier article de la thématique donne le cadre de la réglementation et la définition de la résilience opérationnelle. Pour rappel, voici comment la définir de façon synthétique :

c’est la capacité d’une banque à rétablir ses activités et services dont l’arrêt temporaire mettrait en danger sa pérennité ou son rôle sur le marché financier. Elle se mesure dans les limites de la tolérance aux interruptions fixée par la haute direction, cela pour des scénarios graves, mais plausibles.

Ici, nous vous détaillons les conseils pratiques des intervenants, afin de déployer le processus de résilience opérationnelle dans les banques. Ces recommandations font suite aux premières interventions ou audits dans les établissements financiers, ainsi qu’aux premières réactions et questions de la FINMA  

# 1 – Passer en revue les fonctions critiques, processus et ressources sous l’angle résilience opérationnelle

Ce n’est pas un sujet nouveau dans les établissements financiers. Toutefois, il mérite d’être revisité à l’occasion de la réglementation sur la résilience opérationnelle. En général, le nombre de fonctions critiques se situe entre 3 et 5 dans une banque.

Identification des activités critiques et processus critiques

La notion de fonction dépend de la méthodologie utilisée pour regrouper les processus. Jean-Philippe Bernard recommande de raisonner en termes de processus, parce que c’est du concret. Il préconise l’approche suivante pour réaliser une revue des fonctions critiques : 

• de façon top-down, afin de disposer des activités, opérations et services critiques ;
• puis en mode bottom-up pour recenser les processus les plus critiques dans ces mêmes activités.

Les ressources internes et externes consommées par les processus critiques

Un processus critique consomme plusieurs catégories de ressources internes, tout comme externes. Il en dépend aussi. Vous devez les passer en revue.

Analyse des ressources internes

Les ressources internes correspondent aux ressources humaines, l’infrastructure immobilière et matérielle ainsi que les TIC (technologies de l’information et de la communication). Pour la majorité, le plan de continuité des activités (BCM) les intègre déjà. Toutefois, Jean-Philippe Bernard recommande pour les ressources immobilières et matérielles de bien prendre en considération désormais la partie climatique et ESG ainsi que ses impacts.

En matière de résilience opérationnelle, passez en revue ces ressources internes sous l’angle du niveau de vulnérabilité face aux menaces. Évaluez aussi les conséquences en termes d’indisponibilité à l’occurrence de ces menaces. 

Pour ce travail sur les ressources internes, basez-vous sur la reprise des BIA (Business Impact Analysis, soit l’analyse d’impact de l’activité) réalisée dans l’approche BCM. Ceci fait appel aux notions de :

• DMIA (durée maximale d’interruption de l’activité) ;
• RTO (objectif de temps de récupération) 
• RPO (objectif de point de récupération), soit le seuil de risque de perte.

💡Jean-Philippe Bernard conseille de toujours disposer de la vision liée aux exigences des métiers, puis celle des gestionnaires de ressources. Cette démarche donne les écarts ou divergences qui peuvent exister.

Analyse des ressources externes

C’est un des points clés traités par la Circulaire FINMA 23/01. C’est de la responsabilité de la banque de réaliser cette analyse des ressources au regard de la résilience opérationnelle. Il faut donc prendre en compte les sous-traitants, qu’il s’agisse d’approches ITO (IT Outsourcing) ou BPO (Business Process Outsourcing). S’y ajoutent aussi des prestataires ponctuels ainsi que des intermédiaires bancaires (contreparties, dépositaires, correspondants, etc.).

Même si la banque a peu de moyens de maîtrise sur les vulnérabilités de ces ressources et de leurs propres processus, comment procéder ?

• Prendre en compte les critères de résilience lors de la sélection de ces intervenants extérieurs.
• Contractualiser avec les entreprises prestataires sur la base de SLA (Service Level Agreement, soit des accords de niveau de service).
• Exiger des certifications et analyser les reconnaissances ISAE 3402 level 2 (rapports) en matière de fonctionnement des processus et du contrôle interne chez un prestataire de service. Ces reconnaissances attestent de l’efficacité opérationnelle des contrôles sur 6 mois minimum, ce qui procure une assurance raisonnable.
• Enfin, réaliser tout simplement des tests périodiques. Ainsi, vous vous assurez de la fiabilité des processus de vos ressources extérieures et du respect des engagements de ces fournisseurs, en cas d’incidents ou d’évènements à risque.

Focus sur les TIC, un sujet majeur en matière de résilience opérationnelle bancaire

Les ressources externes du type TIC constituent un sujet fondamental. Car, dans les scénarios bâtis, les attaques du type cyber, tout comme les pannes informatiques ou d’applications générées par la cybercriminalité, occupent une place de choix.

En s’inspirant des normes ISO 27 000, la banque gère correctement ces aspects, tant pour la conception, le développement ou l’exploitation. Toutes les erreurs potentielles classiques sont évitées. Mais, en matière de résilience, l’établissement financier doit aussi compléter l’approche avec les conséquences possibles de telles cyberattaques.

Concrètement, procédez ainsi afin de mettre à jour en permanence les catalogues de menaces, par exemple MITRE ATT&CK : 

• Analysez les ressources TIC face aux dangers externes (leur vulnérabilité).
• Étudiez les mesures ex ante qui sont en mesure d’alléger cette vulnérabilité des ressources externes TIC, comme des systèmes de protection des infrastructures IT ainsi que des réseaux.
• Mettez en place, en plus, des contrôles de détection au sein du service de contrôle interne (SCI).

Jean-Philippe Bernard souligne que le responsable de la sécurité du système d’information (RSSI) ou le directeur de la sécurité de l’information (CISO) doit entrer dans une approche risque opérationnelle afin de garantir la résilience.

#2 – Retenir une approche homogène pour la résilience opérationnelle

Enrico Giacoletto explique que tous les acteurs doivent adopter une approche homogène, même si le calendrier de déploiement de la résilience opérationnelle en plusieurs étapes peut contrecarrer cette homogénéité pourtant essentielle. 

Ce qui peut aussi complexifier la démarche, c’est l’obligation de s’assurer en permanence que l’établissement reste bien aligné avec les hypothèses et moyens définis dans le plan de continuité des activités (PCA ou BCM).

Cette approche homogène et systémique intègre la gestion de crise, son organisation, ses processus ainsi que les outils pour décider « sous stress » sur des scénarios non prévus au départ. Ce processus garantit des réponses adaptées et dimensionnées correctement, face aux risques et menaces identifiés.  

💡Vous établissez le reporting unique annuel à destination du Board, avec la présentation du concept de résilience. Enrico Giacoletto vous conseille de vous assurer qu’il est homogène, aisément explicable et pensé de façon globale. Si ce n’est pas le cas, il conviendra d’améliorer cette homogénéité l’année suivante.

#3 – Adopter un référentiel unique et commun : nécessité et avantages

Jean-Philippe Bernard l’a expliqué dans l’article précédent sur le cadre de la résilience opérationnelle : la gestion des données, tant pour leur cohérence, leur qualité que leur mise à jour est un vrai défi. C’est illusoire de vouloir y parvenir avec de simples fichiers Excel. Les établissements bancaires doivent se doter d’un référentiel unique. Cela permet de mieux gérer les dépendances entre les objets à risque, les contrôles, process, menaces, ressources, etc.

Les avantages d’un référentiel unique (Enterprise Risk Management Repository)

• Consolider l’approche résilience dans la gestion globale des risques opérationnels.
• Renforcer la sensibilisation et l’implication des premières lignes pour garder une vision proche du business et ainsi simplifier la récolte par l’unité risque de multiples données (car le langage risque sera uniforme).
• Déduire rapidement, dans le cadre d’une gestion de crise, l’impact d’une indisponibilité totale ou partielle des ressources sur les processus critiques.
• Savoir quelles priorités prendre en compte afin de mettre en place les mesures les plus utiles, etc.

La granularité du référentiel unique

Veillez à retenir un niveau de détail adapté pour couvrir tous les sujets, tout en garantissant la cohérence et la possibilité de mise à jour des données.

Les économies induites par un référentiel unique

Jean-Philippe Bernard précise que la création d’un tel référentiel prend du temps et coûte de l’argent. Mais le rapport bénéfices/coûts s’avère très intéressant, vu les économies significatives que permet ce processus pour tous les projets de mise en conformité. En effet, toutes les exigences réglementaires tournent autour des mêmes données de base incluses dans le référentiel unique.

#4 – Retenir une vision globale très tôt et éradiquer les approches du type alibi

Pour la résilience opérationnelle, il convient d’expliquer et de démontrer que l’établissement financier fait ce qu’il a dit qu’il ferait. Il ne s’agit plus ici d’un processus du type « je coche la case » afin de trouver des solutions, au fur et à mesure qu’apparaissent les nouvelles échéances réglementaires.

Nous rappelons que, malgré un calendrier de mise en place de la résilience opérationnelle en plusieurs étapes, l’approche globale et la cohérence s’imposent dès le début du processus.

Comme l’explique Enrico Giacoletto par une métaphore de l’animal hybride, raisonner étape par étape et se comporter toujours en réaction conduisent à résoudre le problème seulement partiellement. Tout comme, si vous dessinez un animal en plusieurs fois, le résultat manque d’homogénéité par rapport à un travail réalisé d’un seul coup.

Toutefois, gardez en tête que le régulateur attend probablement que la banque adapte ce qu’elle a réalisé, avec une montée en puissance du processus de résilience opérationnelle. Aussi, avant la fin du calendrier, les banques disposent de suffisamment de temps pour étudier les travaux déjà accomplis et s’assurer de l’homogénéité de leur approche.

#5 – Un reporting sur la résilience opérationnelle simple et compréhensible de tous

Qui dit exigences réglementaires, dit reporting à la haute direction de l’établissement. Vous devez lui donner les moyens d’analyser de façon éclairée les actions de l’exécutif en vue de garantir la résilience opérationnelle. Mais, le reporting sert aussi à l’exécutif.

Le reporting sur la résilience à l’usage de la haute direction de la banque

Ce reporting découle d’une exigence explicite de la circulaire FINMA 2023/01. 

En effet, la haute direction a l’obligation de :

• recevoir cette information annuelle sur la capacité de résilience de l’organisation ;
• valider les fonctions critiques identifiées ;
• se prononcer sur la tolérance aux interruptions des fonctions critiques.

💡Enrico Giacoletto conseille de réaliser un reporting spécial résilience, même si les informations existent ailleurs dans divers autres documents. Il contient la description des processus et des fonctions critiques, ainsi que la tolérance. Il détaille les étapes retenues lors du raisonnement, donc la méthode.

💡Enrico Giacoletto explique aussi le besoin de vulgarisation, afin d’aider la haute direction à donner son avis sur la capacité de résilience de la banque. Le reporting doit décrire les scénarios, hypothèses et mesures de façon simple et compréhensible par des non-experts.

Le reporting pour l’exécutif

L’exécutif a la charge de gérer dans les faits les risques opérationnels. Il propose des mesures correctives pour les ramener dans la tolérance retenue. L’accès à un reporting détaillé lui donne la faculté d’approfondir ses analyses et recommandations.

Vous disposez désormais de conseils pratiques pour avancer dans le déploiement de la résilience opérationnelle, en conformité avec la circulaire FINMA 2023/01. Notre article suivant se concentre sur le règlement européen DORA, pour la résilience opérationnelle numérique dans le secteur financier. Il traite des considérations relatives aux activités transfrontalières. Nous évoquons aussi les effets de contagion groupe notamment. Vous souhaitez échanger sur vos problématiques en matière de résilience opérationnelle ? Chez easyReg, nous restons à l’écoute. Vous pouvez nous contacter ou programmer une demo de notre solution RegTech.