Solutions EAM
- Hossein Fezzazi
- Chief Operating Officer
- Penta
Des cadres pour mieux gérer les risques d’externalisation
La FINMA avait identifié dans un premier temps sept risques majeurs menaçant les institutions financières suisses. Depuis l’an passé, la liste s’est allongée avec les risques de liquidité et de refinancement ainsi que les risques liés à l’externalisation des activités opérationnelles, auxquels Hossein Fezzazi s’intéresse plus particulièrement.
Pour beaucoup de sociétés financières suisses, soucieuses de rester compétitives sur un marché en rapide évolution, l’externalisation est devenue l’un des grands axes de la stratégie opérationnelle. Mais, dans la mesure où les entreprises dépendent de plus en plus de fournisseurs tiers pour des services critiques, les risques associés se développent en même temps à un rythme alarmant.
Avec la digitalisation et le besoin de se concentrer sur les activités essentielles, le nombre de sous-traitants augmentent forcément. Comme l’a récemment relevé la FINMA, l’externalisation représente désormais un risque opérationnel majeur. Elle souligne qu’un tiers des cyberattaques visant les institutions financières ciblent d’abord des fournisseurs tiers. Quitte à prendre un ton quelque peu alarmiste, la FINMA ajoute que les perturbations ou les défaillances des services gérés par des fournisseurs tiers pourraient, dans les cas les plus extrêmes, menacer la stabilité des marchés financiers. Pas moins.
Dans cette logique, la FINMA continue donc de mettre l’accent sur la complexité croissante des chaînes d’approvisionnement et insiste sur la nécessité de mettre en place des cadres pour la gestion des risques majeurs.
Le respect de dispositifs tels que la circulaire 2018/3 de la FINMA est fondamental lorsqu’il s’agit de gérer efficacement des risques liés à l’externalisation. Les gestionnaires de patrimoine, par exemple, doivent obtenir des rapports d’audit tels que l’ISAE 3000, pour s’assurer que les services externalisés respectent les normes juridiques et opérationnelles. L’ISAE 3402 type II fournit des assurances supplémentaires concernant la solidité de la gouvernance informatique et de la gestion des risques.
Comme l’a remarqué à plusieurs reprises la FINMA, la conformité ne doit pas être un simple exercice de remplissage de cases. Les établissements doivent intégrer les exigences réglementaires dans leurs processus opérationnels et surveiller en permanence les lacunes en matière de conformité.
Le non-respect de ces normes peut avoir des répercussions importantes, notamment des amendes, des atteintes à la réputation et une perte de confiance chez les clients. Le risque s’en trouve accru lorsque les institutions ne comprennent pas pleinement leurs obligations contractuelles ou n’effectuent pas les vérifications nécessaires lors de l’intégration de fournisseurs. Les litiges juridiques concernant les accords de niveau de service (SLA) peuvent empirer les perturbations opérationnelles, ce qui complique encore les efforts de gestion des risques.
Externalisation : des stratégies d’atténuation des risques
Pour relever ces défis, les entreprises financières suisses doivent adopter une approche proactive du risk management lié à l’externalisation. Les principales stratégies sont les suivantes :
- Vérifications renforcées : les gérants devraient procéder à une vérification préalable complète avant de conclure des accords d’externalisation. Il s’agit notamment d’évaluer la stabilité financière, les capacités techniques et les antécédents de conformité de leurs fournisseurs potentiels.
- Garanties contractuelles : des accords de niveau de service clairs et applicables doivent définir les attentes en matière de performances, les exigences en matière de cybersécurité et les obligations de conformité. Des clauses de pénalité peuvent être incluses pour inciter au respect des engagements.
- Surveillance continue : la gestion des risques ne doit pas s’arrêter à la signature d’un contrat. Il est essentiel de surveiller en permanence les performances, les pratiques de sécurité et la conformité des tiers pour atténuer l’évolution des risques.
- Plans d’intervention en cas d’incident : les établissements doivent élaborer et tester régulièrement des plans de réponse aux incidents adaptés aux défaillances de tiers. Cela permet d’être prêt à faire face rapidement aux perturbations et à en minimiser l’impact.
- Audits et évaluations réguliers : les institutions devraient donner la priorité aux audits réguliers et aux évaluations des risques, en s’appuyant sur des cadres tels que ISAE 3000 et ISAE 3402 type II. Ces audits permettent non seulement de garantir la conformité, mais aussi d’identifier les risques émergents au sein de la chaîne d’approvisionnement.
Si l’externalisation offre des avantages indéniables, elle présente également des risques importants qu’il est impératif de prendre en compte. La complexité croissante des chaînes d’approvisionnement, associée aux menaces accrues en matière de cybersécurité et aux exigences réglementaires, exige des gérants qu’ils adoptent une approche solide et dynamique de la gestion des risques. En améliorant la surveillance, en favorisant la transparence et en donnant la priorité à la conformité, ils peuvent atténuer les risques de l’externalisation tout en profitant de ses avantages opérationnels.
Hossein Fezzazi
Penta
Hossein Fezzazzi est le Chief Operating Officer de Penta, un poste qu’il occupe depuis 2010. En tant que directeur des opérations, Hossein Fezzazi est en charge de la stratégie, des finances et de la gestion des comptes de l’entreprise à la fois à Genève et à Dubaï. Il apporte également sa solide expérience dans la relation clients lors des phases d’appel d’offres, de prévente et de production des projets.
Quick wins
Jamie Vrijhof-Droese
WHVP
« Nous utilisons principalement l’IA pour des fonctions de support »
Rebranding
Stephan Matti
LeoVest
“Dans les 20 collaborateurs de LeoVest, il y a aujourd’hui 11 associés-gérants »
Transformations
Marc Briol
Pictet Asset Services
"Les banques dépositaires doivent assumer davantage leurs responsabilités en matière de standards."
Quick wins
Jamie Vrijhof-Droese
WHVP
« Nous utilisons principalement l’IA pour des fonctions de support »
Hedge Funds 2025
Cédric Dingens
NS Partners
« La demande pour des stratégies plus sophistiquées, génératrices d’alpha, va croître »
Rebranding
Stephan Matti
LeoVest
“Dans les 20 collaborateurs de LeoVest, il y a aujourd’hui 11 associés-gérants »
Sphere
The Swiss Financial Arena
Depuis sa création en 2016, SPHERE anime la communauté des pairs de la finance suisse. Elle leur propose en français et en allemand différents espaces d’échange avec un magazine, des hors-série réservés aux Institutionnels, un site web et des évènements organisés tout au long de l’année pour aborder de nombreuses thématiques. Toutes les parties prenantes de la finance, l’un des plus importants secteurs économiques de Suisse, ont ainsi à leur disposition une plateforme où il leur est possible d’échanger, de s’informer et de progresser.
RÉDACTION
redaction[at]sphere.swiss
PUBLICITÉ
advertise[at]sphere.swiss
ABONNEMENT
contact[at]sphere.swiss
ÉVÉNEMENTS
events[at]sphere.swiss
Case postale 1806
CH-1211 Genève 1
© 2023 Sphere Magazine
Site réalisé par Swiss House of Brands