La transformation numérique des banques exige une mesure soigneusement équilibrée.
D’une part, la COVID-19 a accéléré la transformation en raison de la demande grandissante de services bancaires numériques et d’un virage marqué vers le télétravail. Les banques doivent s’adapter rapidement pour suivre le rythme des demandes du marché et des réalités d’un monde postpandémique. D’autre part, elles doivent aussi faire preuve de prudence. En l’absence d’une évaluation et d’une planification rigoureuses, les nouvelles technologies pourraient entraîner de graves conséquences liées aux finances, à la réglementation et à la réputation.
Les banques doivent tenir compte de multiples aspects de la modernisation et de la transformation numériques à grande échelle. À ce titre, une stratégie en matière de gouvernance, de risques et de conformité (« GRC ») s’avère l’aspect le plus important.
Dans cet article, nous approfondissons le sujet et abordons l’importance d’une telle stratégie, ce qui constitue une bonne approche ainsi que les pratiques exemplaires.
Toutes les nouvelles technologies comportent des risques
Des problèmes en matière de GRC sont toujours susceptibles de se présenter lors de l’intégration de nouvelles technologies, et ils sont encore plus probables lorsque nous ne sommes pas préparés à y faire face. Il est plus efficace d’aborder et de gérer des problèmes tels qu’une application incomplète du Règlement général sur la protection des données ou une faille dans le profil de sécurité s’ils ont été prévus.
Les risques liés à l’intégration de nouvelles technologies sont classés dans cinq catégories :
- Sécurité : Une nouvelle technologie qui engendre une brèche de sécurité dans votre écosystème numérique.
- Disponibilité : Une nouvelle technologie qui occupe trop d’espace ou qui ralentit les autres étapes.
- Intégrité du traitement : Une nouvelle technologie qui nuit à votre capacité de saisir des données avec précision.
- Protection des renseignements personnels : Une nouvelle technologie qui expose vos mots de passe, vos procédés et vos secrets commerciaux.
- Confidentialité : Une nouvelle technologie qui donne un accès non autorisé à des informations confidentielles.
Dans le meilleur des cas, un problème majeur touchant l’une de ces catégories porterait préjudice à la réputation de la banque et vous ferait perdre vos futurs clients. Dans le pire des cas, il ferait s’écrouler vos activités et nuirait à la confiance ainsi qu’à la satisfaction de vos clients.
Puisqu’elles évoluent dans un écosystème de plus en plus exigeant et dominé par le numérique, les banques se doivent de gérer correctement le cadre de contrôles internes régissant les infrastructures, les plateformes, les applications et les données.
Comment les banques devraient-elles assurer la gestion des risques?
Par le passé, la gestion des risques était plus réactive que proactive lorsqu’il était question d’atténuer des menaces ou d’autres secteurs de préoccupation.
Avec la COVID-19, il a fallu moderniser notre approche en matière de risques. Ainsi, pour réussir leur transformation numérique, les banques ont besoin d’une approche proactive et avant-gardiste, à savoir un modèle d’évaluation et de surveillance continues des risques. L’équipe des Services-conseils en risque de BDO utilise ce type de méthodologie; elle s’appuie sur des outils d’apprentissage automatique et d’intelligence artificielle pour augmenter ses capacités de gestion des risques.
La surveillance continue des risques et l’automatisation peuvent accroître les capacités d’une banque à évaluer les risques et à cibler les problèmes liés à de nouvelles technologies avant qu’ils ne deviennent des menaces. Elles peuvent également lui permettre de soutenir le rythme accéléré du changement que connaît actuellement le secteur.
Une évaluation des risques liés à une nouvelle technologie devrait comprendre les éléments suivants :
- Une compréhension démontrée du fonctionnement de la technologie, de son utilisation et des avantages qu’en tirera la banque lorsqu’elle sera mise en œuvre correctement et adoptée comme prévu.
- Une évaluation indépendante pour traiter les problèmes de sécurité et de confiance dans des environnements hybrides et à plateformes infonuagiques multiples, ainsi qu’un plan de remise en état.
- Un examen rapide des tiers concernés par la mise en œuvre, l’utilisation et l’entretien de la technologie et une attention portée aux principaux contrôles internes qui touchent le partage de données, l’intégration de la technologie, la dépendance opérationnelle et la résilience du fournisseur.
- Une vérification des capacités de protection à l’échelle de l’écosystème numérique lorsque les données sont utilisées, en transit ou inactives.
Avantages incontestables de l’évaluation des risques liés aux nouvelles technologies
Déployer de nouvelles technologies dans le cadre d’une stratégie de transformation numérique requiert de prendre en compte de nombreux éléments. Cela est d’autant plus vrai dans le cas d’outils et de plateformes modernes qui combinent des services sur les lieux et des services infonuagiques. Donner le feu vert à une mise en œuvre en toute confiance est une étape importante. Sans être le gage d’un processus sans embûches, l’évaluation vous placera en bien meilleure posture pour gérer les risques imprévus, car elle aura tenu compte des éléments suivants :
- Harmonisation avec vos objectifs commerciaux;
- Équilibre entre les coûts et les avantages;
- Indicateurs convenus de l’efficacité de la plateforme ou du programme;
- Établissement d’un lien de confiance et d’une preuve de transparence avec les tiers;
- Critères de divulgation au sujet des risques et des contrôles liés aux technologies de l’information (« TI »);
- Coordination et standardisation de l’approche à l’égard des normes de contrôle en matière de TI;
- Processus de prise de décisions et de gestion des risques d’entreprise intégré aux TI.
De plus, grâce aux types d’évaluations exhaustives en matière de GRC qu’offre BDO, vous bénéficierez des meilleurs cadres de pratiques, tels que :
- le référentiel COBIT d’ISACA;
- le cadre de contrôles internes intégrés de COSO;
- les normes ISO/CEI 27001/27002;
- les normes du NIST;
- les normes PCI;
- le rapport SOC 2;
- nos cadres de pratique et nos normes internes.
En profitant de l’expérience de BDO, vous bénéficierez également d’un rapport SOC pour la cybersécurité, qui vous permettra de vous baser sur des critères communs en matière de divulgation et d’efficacité générale des programmes, ainsi que du cadre de contrôle Cloud Controls Matrix (« CCM »), qui vous appuiera dans l’évaluation globale des risques pour la sécurité liés à un fournisseur de services en infonuagique.
Pourquoi choisir BDO pour vos besoins en matière de GRC?
Portée et expérience.
Nous aidons nos clients des secteurs bancaires et financiers à bonifier leur offre de services au moyen de la technologie et nous possédons une vaste expérience en matière d’infrastructures infonuagiques à grande échelle et de projets de migration dans des environnements complexes et hautement réglementés.
Apprenez-en davantage sur les services spécialisés que nous offrons au secteur bancaire canadien ou communiquez avec nous pour savoir comment nous pouvons vous aider à définir vos objectifs et à les atteindre :
Apprenez-en davantage sur les services spécialisés que nous offrons au secteur bancaire canadien ou communiquez avec nous pour savoir comment nous pouvons vous aider à définir vos objectifs et à les atteindre :
Mike Gelesz, chef national, Services au secteur des services financiers et bancaires, Services de consultation
Sam Khoury, chef, Services au secteur des services financiers, Services de certification de tiers