Par Vincent Françoise, co-responsable du pôle Risk, Control & Regulatory de Tallis Consulting

L’externalisation croissante d’activités essentielles passe par la mise en place de dispositifs permettant d’exercer un contrôle spécifique sur la qualité des services opérés par ses prestataires.

La multiplication des contraintes réglementaires, concurrentielles et économiques a entraîné une profonde transformation du modèle d’organisation dans l’univers de la banque et de l’assurance. De nombreux établissements financiers ont ainsi transféré tout ou partie de certaines de leurs activités à des prestataires extérieurs. Cette externalisation (outsourcing, smartcourcing, Business Process Outsourcing ou BPO) concerne à la fois les activités informatiques ou les centres d’appels mais aussi certaines activités “cœur de métiers”, de type back office, moyens de paiement, comptabilité, contrôle de gestion, reporting, etc.

Cette externalisation augmente potentiellement le niveau de risque intrinsèque à ces activités, fragilisant ainsi la maîtrise de dispositifs pourtant essentiels. Parmi les aléas inhérents à ce type de démarche, la confidentialité des données, une sécurité insuffisante du système d’information du prestataire, une perte de compétences en interne et/ou une dépendance accrue à l’égard du prestataire, une prestation inadéquate ou de qualité insuffisante, une défaillance des processus, un non-respect des obligations réglementaires, une externalisation en cascade, etc.

Maîtriser les risques et respecter les dispositifs de contrôle

La diversité et la multiplication des activités externalisées associées à des situations de sous-traitance « en chaîne » auprès de multiples délégataires posent de plus en plus de problèmes aux établissements financiers en termes de maîtrise des risques et de respect de la chaîne de contrôle.

La complexité de ces transferts ainsi que la délégation des procédures de contrôle, telles que définies dans les « Service Level Agreements », deviennent de plus en plus difficile à piloter pour les directions concernées (Risques, Contrôle interne, Audit interne).

Partant de là, une cartographie du périmètre des prestations essentielles externalisées « de bout en bout » est un prérequis fort au pilotage des risques associés à cette externalisation (cartographie des acteurs, des rôles et des responsabilités de chacun, des processus, des outils).

Des exigences réglementaires strictes

Cette augmentation des risques liés à l’externalisation croissante d’activités considérées comme essentielles est notamment régie par le règlement CRBF 97-02 qui a introduit des exigences renforcées en matière de « Prestations de services essentielles externalisées » (PSEE).

Les fonctions déléguées et exécutées par le sous-traitant doivent demeurer sous le contrôle de l’entreprise délégante et respecter les principes définis par cette dernière.

Afin d’assurer le respect de ces obligations (contrôle des risques, sécurité des informations), les établissements financiers doivent prévoir des clauses spécifiques dans leur « Service Level Agreement » : – Des clauses d’audit, telles que prévues dans le cadre du CRBF 97-02

  • La reproduction des points de contrôles et du dispositif de contrôle interne au niveau du sous-traitant lors du transfert de responsabilités
  • Un droit de suite du régulateur, autrement dit la possibilité d’un audit par les autorités de contrôle bancaire (ACPR en France, BaFin en Allemagne, FSMA en Belgique).

Les établissements financiers doivent également assurer un pilotage renforcé de la qualité des prestations externalisées au moyen d’indicateurs clefs (délais de traitement, taux de satisfaction des utilisateurs, taux d’incidents, taux de résolution dans les délais) – avec des actions correctrices le cas échéant – et une gouvernance adéquate.

S’appuyer sur les normes de contrôle au niveau des sous-traitants

L’un des moyens permettant d’améliorer le contrôle des activités externalisés est de s’assurer du respect par ses prestataires des diverses normes de contrôles : rapport SAS 70, normes ISO (ISO 27002 relative à la sécurité et la confidentialité des données, ISO20000 relative à la certification des services informatiques), standards COSO ou COBIT, norme ISAE 3402 relative à l’externalisation des fonctions comptables, etc.

Ces normes sont aujourd’hui en place chez les principaux sous-traitants d’activités « essentielles », notamment les prestataires de services informatiques (SSII) assurant l’infogérance des systèmes d’information, ou les GIE de traitement des moyens de paiement (prestataires chèques par exemple). L’enjeu déterminant pour les services d’Audit des établissements financiers est de savoir s’appuyer sur ces dispositifs et normes de contrôle – la disponibilité des « audités » au niveau du prestataire étant limitée et encadrée par le « SLA » – tout en s’assurant du respect des exigences règlementaires bancaires spécifiques et de l’efficacité « réelle » du dispositif de contrôle mis en place chez le prestataire.

Garantir la continuité d’exploitation en toutes circonstances

Au-delà du contrôle de la qualité des prestations externalisées en situation « normale », les établissements financiers doivent également s’assurer de l’existence et de la robustesse du dispositif de continuité mis en place par le prestataire. En cas de crise, quelle que soit l’origine de l’événement (rupture de l’interconnexion entre le Back Office de l’établissement bancaire et le sous-traitant, « shutdown » des applications informatiques du prestataire), la continuité de l’exploitation doit être garantie

Il est de la responsabilité du prestataire de mettre en place un plan de secours informatique (disaster recovery plan) et un dispositif de gestion de crise permettant de proposer à l’établissement bancaire un niveau de prestation – et de sécurité – adéquat, y compris en cas d’événement grave.

Ces dispositifs doivent être évalués au moins une fois par an, les résultats et comptes rendus de ces tests étant alors communiqués au délégant et intégrés dans son plan de continuité d’activité (PCA). Avec pour objectif d’assurer l’articulation entre les différents plans de continuité et de secours en cas de crise et permettre un « retour à la normale » dans des conditions optimales.
Par Vincent Francoise, co-responsable du pôle Risk, Control & Regulatory de Tallis Consulting

Un commentaire

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s