Résilience opérationnelle nationale : agile ou fragile ?

Dans les années qui ont suivi la crise financière de 2007-2008, les cadres de surveillance ont été renforcés pour surveiller le système bancaire mondial. Cette mesure a permis de réaliser des changements structurels qui ont renforcé la résilience financière des banques. Si la disponibilité de niveaux plus élevés de capitaux et de liquidités a renforcé la résilience organisationnelle grâce à une meilleure capacité à absorber les chocs financiers et les changements du marché, des efforts supplémentaires sont nécessaires pour améliorer la résilience opérationnelle des catalyseurs de l’infrastructure financière mondiale, à savoir les banques.

Qu’est-ce que la résilience opérationnelle ?
Pour les banques, la résilience opérationnelle est la capacité de mener à bien des opérations critiques malgré les perturbations. Elle permet aux banques d’identifier et de protéger leurs entités contre les menaces et les défaillances potentielles, de réagir, de s’adapter, de se rétablir et de tirer des enseignements des événements perturbateurs afin d’en minimiser l’impact. Ces événements comprennent les pandémies, les catastrophes naturelles, les cyberincidents ou les défaillances technologiques, et les banques doivent s’assurer que ces incidents ont un impact minimal sur les opérations critiques et leurs services, fonctions et systèmes connexes.

La pandémie mondiale
Ces dernières années, les banques ont commencé à accélérer les taux d’adaptation de l’infrastructure technologique et des services de tiers pour fournir des services financiers. Cette dépendance amplifiée et la transformation des activités ont entraîné une augmentation des risques opérationnels, de la vulnérabilité et de la disponibilité des services pendant la pandémie mondiale, ce qui a massivement exacerbé les risques opérationnels ainsi que l’incertitude économique et commerciale. Elle a aussi affecté les systèmes d’information, le personnel, les installations et les relations avec les fournisseurs de services tiers et les clients, allant d’un pic de cybermenaces à des risques opérationnels plus élevés résultant de l’échec des processus et des systèmes dans les dispositions de travail virtuel.

Absorber les chocs opérationnels
La capacité à absorber les événements liés au risque opérationnel exige des banques qu’elles disposent d’un cadre global de gestion des risques, notamment une identification complète des risques, une atténuation efficace et une surveillance approfondie afin de réduire au minimum les perturbations opérationnelles. Cela s’ajoute à la prise en compte de la continuité des activités, de la résilience des infrastructures et de l’externalisation des services à des tiers et des technologies sur lesquelles ils comptent.

Selon le Comité de Bâle sur le contrôle bancaire, les principes de résilience opérationnelle intégrale pour les banques comprennent la gouvernance, la gestion des risques opérationnels, la planification et les tests de continuité des activités, la cartographie des interconnexions et des interdépendances, la gestion des dépendances vis-à-vis de tiers, la gestion des incidents et les TIC, y compris la cybersécurité. Les banques et les institutions financières (collectivement les établissements financiers) ont adapté la plupart, voire la totalité, des principes de résilience opérationnelle intégrale à différents niveaux. Cette adaptation repose sur les modèles de complexité opérationnelle des établissements financiers, leur agilité en matière de gestion du changement et leur soif d’innovation technologique.

Toutefois, du point de vue des banques centrales, la résilience opérationnelle des systèmes financiers dépend entièrement des établissements financiers, et les banques centrales ne peuvent pas compter sur le rythme ou les mesures adaptées de ces établissements pour garantir les niveaux requis de résilience opérationnelle à l’échelle nationale.

Faciliter la résilience opérationnelle nationale
Les sociétés modernes étant désormais dépendantes des services financiers, la pression s’est encore accrue sur les banques centrales pour qu’elles préservent la résilience opérationnelle nationale qui protège les utilisateurs finaux en cas de force majeure. En conséquence, chaque banque centrale a besoin d’une stratégie de résilience qui servira de base aux établissements financiers pour renforcer leurs capacités et leurs mécanismes de réaction aux crises, et aux banques centrales pour garantir la solidité du secteur.

Cette stratégie exige de la banque centrale qu’elle réglemente, supervise et inspecte en permanence les établissements financiers pour s'assurer de leur conformité et de leur résilience financière. Elle exige également des interventions de contrôle et des exercices sectoriels en collaboration avec les organismes de contrôle et les parties prenantes internationales afin de mener une action collective à l’échelle nationale. Ces mesures viennent s’ajouter aux mesures permettant de remédier aux vulnérabilités et de développer et partager les meilleures pratiques du secteur.

En 2017, la Banque d’Angleterre a mis en évidence trois éléments majeurs d’une stratégie de résilience opérationnelle qui restent les premières étapes essentielles à la création d’une tactique efficace, même si les besoins du secteur continuent d’évoluer. Ces éléments comprennent le ciblage des systèmes les plus critiques pour la stabilité financière, la définition d’attentes quant au niveau de résilience opérationnelle requis des établissements financiers et la mesure de l’efficacité des procédures mises en œuvre.

En outre, pour que les banques centrales puissent favoriser un écosystème capable de résister, d’absorber et de se remettre des risques technologiques et des cas de force majeure, elles doivent non seulement élaborer une stratégie de résilience approfondie, mais aussi apprendre, s’adapter et évoluer en permanence en fonction des nouvelles technologies, demandes et services financiers. Plus important encore, les banques centrales doivent également anticiper les besoins croissants des établissements financiers et des utilisateurs finaux en évaluant l’attrait des nouvelles technologies de paiement et, par conséquent, en ajustant continuellement les stratégies et les procédures de gestion des risques.

Système national de paiement intégral

Les banques centrales qui ont mis en place un système de paiement national intégral s’appuient sur une infrastructure plus résistante qui garantit que les technologies de paiement mises en œuvre par les établissements financiers à l’échelle nationale sont synchronisées, entièrement conformes et robustes. Ce système offre des avantages considérables à la banque centrale, notamment l’interopérabilité, la visibilité totale des données et l’accès à tous les canaux de paiement. Cela vient s’ajouter à :

1. Gestion simplifiée et solide du risque opérationnel et du risque de crédit
2. Amélioration de la résilience des infrastructures bancaires, des paiements et des valeurs mobilières
3. Renforcement de la surveillance et des régimes réglementaires pour tous les systèmes de paiement du réseau
4. Une meilleure maîtrise des risques juridiques, opérationnels, financiers et systémiques dans les infrastructures de paiement

Ces avantages ne peuvent pas être obtenus par des systèmes de paiement, de compensation et de règlement séparés, mais nécessitent plutôt un système national de paiement intégral qui devrait également permettre d’élargir la gamme des technologies de paiement offertes dans le pays et de faciliter l’adoption de nouveaux services sur le marché.

En conclusion, la pandémie mondiale n’a pas créé un nouveau besoin pour les banques centrales de faciliter la résilience opérationnelle nationale, mais elle a seulement mis en évidence les vulnérabilités des infrastructures et des procédures existantes pour absorber les chocs opérationnels sans perturbation. C’est la façon dont les banques centrales choisissent de réagir qui déterminera si la résilience opérationnelle nationale sera agile ou fragile.