Prévention

Déc 10, 2024

Solutions EAM

  • Hossein Fezzazi
  • Chief Operating Officer
  • Penta

Des cadres pour mieux gérer les risques d’externalisation

La FINMA avait identifié dans un premier temps sept risques majeurs menaçant les institutions financières suisses. Depuis l’an passé, la liste s’est allongée avec les risques de liquidité et de refinancement ainsi que les risques liés à l’externalisation des activités opérationnelles, auxquels Hossein Fezzazi s’intéresse plus particulièrement.

Pour beaucoup de sociétés financières suisses, soucieuses de rester compétitives sur un marché en rapide évolution, l’externalisation est devenue l’un des grands axes de la stratégie opérationnelle. Mais, dans la mesure où les entreprises dépendent de plus en plus de fournisseurs tiers pour des services critiques, les risques associés se développent en même temps à un rythme alarmant.

Avec la digitalisation et le besoin de se concentrer sur les activités essentielles, le nombre de sous-traitants augmentent forcément. Comme l’a récemment relevé la FINMA, l’externalisation représente désormais un risque opérationnel majeur. Elle souligne qu’un tiers des cyberattaques visant les institutions financières ciblent d’abord des fournisseurs tiers. Quitte à prendre un ton quelque peu alarmiste, la FINMA ajoute que les perturbations ou les défaillances des services gérés par des fournisseurs tiers pourraient, dans les cas les plus extrêmes, menacer la stabilité des marchés financiers. Pas moins.

Dans cette logique, la FINMA continue donc de mettre l’accent sur la complexité croissante des chaînes d’approvisionnement et insiste sur la nécessité de mettre en place des cadres pour la gestion des risques majeurs.

Le respect de dispositifs tels que la circulaire 2018/3 de la FINMA est fondamental lorsqu’il s’agit de gérer efficacement des risques liés à l’externalisation. Les gestionnaires de patrimoine, par exemple, doivent obtenir des rapports d’audit tels que l’ISAE 3000, pour s’assurer que les services externalisés respectent les normes juridiques et opérationnelles. L’ISAE 3402 type II fournit des assurances supplémentaires concernant la solidité de la gouvernance informatique et de la gestion des risques.

Comme l’a remarqué à plusieurs reprises la FINMA, la conformité ne doit pas être un simple exercice de remplissage de cases. Les établissements doivent intégrer les exigences réglementaires dans leurs processus opérationnels et surveiller en permanence les lacunes en matière de conformité.

Le non-respect de ces normes peut avoir des répercussions importantes, notamment des amendes, des atteintes à la réputation et une perte de confiance chez les clients. Le risque s’en trouve accru lorsque les institutions ne comprennent pas pleinement leurs obligations contractuelles ou n’effectuent pas les vérifications nécessaires lors de l’intégration de fournisseurs. Les litiges juridiques concernant les accords de niveau de service (SLA) peuvent empirer les perturbations opérationnelles, ce qui complique encore les efforts de gestion des risques.

Externalisation : des stratégies d’atténuation des risques  

Pour relever ces défis, les entreprises financières suisses doivent adopter une approche proactive du risk management lié à l’externalisation. Les principales stratégies sont les suivantes :

  1. Vérifications renforcées : les gérants devraient procéder à une vérification préalable complète avant de conclure des accords d’externalisation. Il s’agit notamment d’évaluer la stabilité financière, les capacités techniques et les antécédents de conformité de leurs fournisseurs potentiels.
  2. Garanties contractuelles : des accords de niveau de service clairs et applicables doivent définir les attentes en matière de performances, les exigences en matière de cybersécurité et les obligations de conformité. Des clauses de pénalité peuvent être incluses pour inciter au respect des engagements.
  3. Surveillance continue : la gestion des risques ne doit pas s’arrêter à la signature d’un contrat. Il est essentiel de surveiller en permanence les performances, les pratiques de sécurité et la conformité des tiers pour atténuer l’évolution des risques.
  4. Plans d’intervention en cas d’incident : les établissements doivent élaborer et tester régulièrement des plans de réponse aux incidents adaptés aux défaillances de tiers. Cela permet d’être prêt à faire face rapidement aux perturbations et à en minimiser l’impact.
  5. Audits et évaluations réguliers : les institutions devraient donner la priorité aux audits réguliers et aux évaluations des risques, en s’appuyant sur des cadres tels que ISAE 3000 et ISAE 3402 type II. Ces audits permettent non seulement de garantir la conformité, mais aussi d’identifier les risques émergents au sein de la chaîne d’approvisionnement.

Si l’externalisation offre des avantages indéniables, elle présente également des risques importants qu’il est impératif de prendre en compte. La complexité croissante des chaînes d’approvisionnement, associée aux menaces accrues en matière de cybersécurité et aux exigences réglementaires, exige des gérants qu’ils adoptent une approche solide et dynamique de la gestion des risques. En améliorant la surveillance, en favorisant la transparence et en donnant la priorité à la conformité, ils peuvent atténuer les risques de l’externalisation tout en profitant de ses avantages opérationnels.

Hossein Fezzazi

Penta

Hossein Fezzazzi est le Chief Operating Officer de Penta, un poste qu’il occupe depuis 2010. En tant que directeur des opérations, Hossein Fezzazi est en charge de la stratégie, des finances et de la gestion des comptes de l’entreprise à la fois à Genève et à Dubaï. Il apporte également sa solide expérience dans la relation clients lors des phases d’appel d’offres, de prévente et de production des projets.

 

Sphere

The Swiss Financial Arena

Depuis sa création en 2016, SPHERE anime la communauté des pairs de la finance suisse. Elle leur propose en français et en allemand différents espaces d’échange avec un magazine, des hors-série réservés aux Institutionnels, un site web et des évènements organisés tout au long de l’année pour aborder de nombreuses thématiques. Toutes les parties prenantes de la finance, l’un des plus importants secteurs économiques de Suisse, ont ainsi à leur disposition une plateforme où il leur est possible d’échanger, de s’informer et de progresser.
La Newsletter SPHERE - télécharger le Mediakit 2025

RÉDACTION
redaction[at]sphere.swiss

PUBLICITÉ
advertise[at]sphere.swiss

ABONNEMENT
contact[at]sphere.swiss

ÉVÉNEMENTS
events[at]sphere.swiss

Politique de confidentialité

Case postale 1806
CH-1211 Genève 1

P +41 22 566 17 32

© 2023 Sphere Magazine

Site réalisé par Swiss House of Brands

Outsourcing

Oct 22, 2024

Solutions EAM

  • Interview Cédric Cazes
  • Responsable EAM & Multi-Family Offices
  • CMB Monaco

Par Jérôme Sicard

« Il existe un certain nombre de limites à l’externalisation »

Lors du EAM Day organisé par Sphere à Genève, Cédric Cazes a dirigé le panel consacré aux risques d’externalisation, aux côtés de Jenny Hennessy, Marc Lemaire et Henri Corboz. Il livre ici les points clés d’une discussion qui n’est pas près de se clore.

Quels sont donc les points clés à retenir de la discussion de ce panel sur les risques d’externalisation que vous avez animé, lors de notre EAM Day à Genève ?

L’externalisation offre très certainement des avantages aux gérants indépendants, mais elle comporte aussi des risques. En choisissant des prestataires fiables, en établissant des contrats clairs et en maintenant une surveillance régulière, les gérants peuvent maximiser les bénéfices tout en réduisant les risques. Une approche proactive et une supervision adéquate sont essentielles pour ceux qui externalisent des services critiques. Voilà ce qui m’a semblé essentiel.

Quels sont les risques les plus significatifs rencontrés par les gérants dans l’externalisation de certains services ?

Les principaux risques liés à l’externalisation de ces services comprennent la perte de contrôle, les problèmes de confidentialité des données, les risques de non-conformité réglementaire et les interruptions de service. En externalisant la compliance, pour prendre cet exemple, un gérant de fortune dépend de la compétence et de la diligence de son prestataire pour respecter des réglementations complexes, en constante évolution. De même, externaliser imprudemment les services IT peut exposer l’entreprise à des cybermenaces et des interruptions techniques.

De quels moyens disposent les gérants pour atténuer ces risques ?

Il existe plusieurs stratégies pour les atténuer. Premièrement, il est crucial de sélectionner des prestataires dignes de confiance, qui se présentent avec une solide expérience et des références vérifiables. Ensuite, il faut établir des contrats clairs et détaillés qui définissent les attentes, les normes de performance et les responsabilités de chaque partie. Par ailleurs, il est essentiel de mettre en place des mécanismes de surveillance et d’audit pour s’assurer que le prestataire respecte ses obligations. Enfin, les gérants de fortune doivent s’assurer que les prestataires disposent de mesures de sécurité robustes pour protéger les données sensibles.

Vous attendez-vous à une surveillance accrue du régulateur sur les fonctions externalisées ?

Il est à prévoir que le régulateur renforce sa vigilance et n’autorise l’externalisation qu’en lui associant des exigences strictes en matière de responsabilité, de contrôle et de transparence. Cependant, des contradictions apparaissent souvent en pratique. Bien que bénéfique sur les plans opérationnels et financiers, l’externalisation créée des risques supplémentaires, nécessitant des mesures qui augmentent la complexité et la charge administrative. Les gérants de fortune doivent donc bien veiller à équilibrer les avantages de l’externalisation et les exigences réglementaires croissantes.

Pour les gérants indépendants, quelles sont aujourd’hui les limites à l’externalisation ?

Il en existe un certain nombre. Je vais citer les principales.  L’intégration technologique : les solutions externes peuvent ne pas bien s’intégrer, entraînant inefficacités et surcoûts. Le manque de flexibilité : les contrats à long terme limitent la capacité d’adaptation rapide aux changements. Les coûts cachés : l’externalisation peut entraîner des frais supplémentaires imprévus. La perte de compétences en interne : l’externalisation peut en effet réduire les compétences internes, et affecter la réactivité. Et l’impact sur la relation client : la dépersonnalisation des services peut diminuer la qualité de l’accompagnement.

L’externalisation est-elle un frein à la création de valeur ?

Dans les sociétés de gestion, l’externalisation vise à améliorer l’efficacité et à réduire les coûts, mais il est vrai que son impact sur la création de valeur est un sujet qui fait débat. Les avantages se trouvent dans la réduction des coûts, l’accès à des spécialistes et la flexibilité opérationnelle. Les gérants sont alors en mesure de se recentrer sur leur cœur de métier tout en s’adaptant rapidement aux évolutions du marché.

Cependant, l’externalisation comporte des risques, comme la perte de contrôle et une dépendance excessive aux prestataires, pouvant freiner le développement de certains domaines d’expertise et limiter l’innovation en interne. Pour maximiser la création de valeur, une gestion équilibrée et une évaluation précise des fonctions à externaliser sont essentielles Tout est question d’équilibre, le gérant doit rester maitre de son modèle d’affaire et opérationnel afin de pouvoir s’adapter aux challenges qu’il rencontre dans le secteur financier.

Cédric Cazes

CMB Monaco

Cédric Cazes présente un parcours éclectique. Au cours des vingt dernières années, il a exercé au sein d’un groupe britannique, ainsi que dans une banque privée, à Monaco et en Suisse. Par la suite, il a rejoint une fintech suisso-monégasque en tant que Partner, où il a consacré trois ans à l’édition de logiciels destinés aux gérants et aux multi family offices. Plus récemment, il a pris les rênes du département des gérants de fortune et des MFO pour CMB Monaco, dans le cadre de son développement international. Diplômé en finance, ressources humaines et audit interne, il a également obtenu un master en stratégie.

 

Sphere

The Swiss Financial Arena

Depuis sa création en 2016, SPHERE anime la communauté des pairs de la finance suisse. Elle leur propose en français et en allemand différents espaces d’échange avec un magazine, des hors-série réservés aux Institutionnels, un site web et des évènements organisés tout au long de l’année pour aborder de nombreuses thématiques. Toutes les parties prenantes de la finance, l’un des plus importants secteurs économiques de Suisse, ont ainsi à leur disposition une plateforme où il leur est possible d’échanger, de s’informer et de progresser.
Télécharger le Media Kit

RÉDACTION
redaction[at]sphere.swiss

PUBLICITÉ
advertise[at]sphere.swiss

ABONNEMENT
contact[at]sphere.swiss

ÉVÉNEMENTS
events[at]sphere.swiss

Politique de confidentialité

Case postale 1806
CH-1211 Genève 1

P +41 22 566 17 32

© 2023 Sphere Magazine

Site réalisé par Swiss House of Brands

Prévention

Sep 18, 2024

Solutions EAM

  • Henri Corboz
  • Avocat
  • PBM Avocats

L’outsourcing ajoute une couche de plus au millefeuille des risques

Les risques liés aux externalisations retiennent aujourd’hui toute l’attention de la Finma. Sous-traiter la conformité ou la gestion des risques peut ainsi devenir une source de complications pour les gérants indépendants. Il vaut donc mieux se montrer pragmatique.

La LEFin impose aux gérants indépendants une gestion des risques et compliance indépendantes, à partir d’un certain niveau de risques. Cette exigence, strictement appliquée lors des autorisations, a conduit à de nombreuses externalisations. Dans son Monitorage sur les risques 2023 et sa Communication 2024 sur les risques opérationnels, la FINMA insiste sur des exigences accrues concernant ces externalisations.

Focus sur les risques opérationnels
La Communication 2024, bien que formellement adressée aux gestionnaires de fortune collective, mentionne la gestion individuelle en ce qui concerne les risques juridiques et compliance. Selon l’autorité, trop peu d’importance a été accordée aux connaissances et à l’expérience des prestataires dans la gestion des risques opérationnels. Plus particulièrement, les activités externalisées ne seraient pas suffisamment prises en compte dans la gestion de ces risques.

Cette préoccupation se reflète dans le Monitorage 2023, qui présente l’externalisation comme un risque additionnel. La FINMA surveille ces risques par des contrôles sur place et l’analyse des données de surveillance et d’audit.

Absence de guidelines
Ni la circulaire sur les risques 2017, en date du 17 janvier, ni celle de 2023, parue le 23 janvier, limitée aux risques opérationnels, ne visent directement les GFI. Il en va de même de la Communication sur les risques de blanchiment de mai 2023. Au niveau des prestataires qui servent les gérants indépendants, un concept de gestion des risques est généralement attendu. Autre nouveauté : la FINMA semble vouloir systématiquement une approche en risques cyber.

Avantages et risques de l’externalisation
La FINMA reconnait les avantages de l’externalisation. Flexibilité, innovation et meilleure résilience opérationnelle sont mentionnés, entre autres. Elle estime néanmoins que les défaillances de prestataires essentiels sont indissociables de risques importants. Elle ajoute que la surveillance des prestataires et des risques qu’ils représentent sont indispensables au bon fonctionnement opérationnel.

Pour les gérants indépendants, il est évident que cette surveillance étroite est difficile à mettre en œuvre, sauf à désigner un COO en charge des externalisations.

Reste la préférence donnée à l’internalisation des fonctions chez le GFI. A cet égard, la résilience opérationnelle est loin d’être totale, dès lors qu’elle est soumise aux aléas du droit du travail. Une approche comparative entre l’internalisation et l’externalisation des fonctions de compliance et de gestion des risques pour des GFI comparables fait défaut. Autant rappeler ici l’exigence d’indépendance par rapport aux fonctions génératrices de revenus.

Quelle approche en risques pour les GFI ?
Lors des audits, les organismes de surveillance se concentrent sur les risques LBA, LSFin et LEFin, adoptant une approche réglementaire envers les GFI. Certains facteurs, qui aggravent ou atténuent, les risques sont encore analysés.

Les GFI doivent soumettre une matrice de risques avant l’autorisation, servant souvent de base aux plans de contrôle. Trop standardisées, ces matrices ne coïncident souvent pas avec les activités du GFI. Trop spécifiques, elles ne permettent pas d’appréhender les points attendus dans l’audit aux titres des risques LBA, LSFin et LEFin. Elles reprennent souvent, de manière assez équipondérée, les risques réglementaires, opérationnels et financiers.

Un focus sur les risques opérationnels, accompagnés des risques réglementaires et cyber qui y sont associés, permettrait de mieux cerner les attentes relatives à leur gestion. La FINMA l’exprime clairement dans sa Communication de 2024 : « trop peu d’importance a été accordée à la connaissance et à l’expérience des prestataires en question dans le domaine de la gestion des risques opérationnels ».

Il est, par exemple, reproché à certains établissements de ne pas avoir pris conscience qu’il leur fallait annoncer les cyberattaques dont ils auraient pu être victimes. Une mauvaise appréhension et une absence de contrôle des problématiques crossborder sont également citées. Autant d’éléments qui relèvent des risques opérationnels.

La LBA comme base de la compliance et gestion des risques
Une analyse des risques de blanchiment est exigée lors de l’autorisation. Dans sa Communication 2023, la FINMA attend des indicateurs chiffrés, limités à des ratios. Aux termes de la Circulaire sur les risques de 2017, la limitation des risques de blanchiment suppose une définition adéquate de la tolérance au risque par l’établissement. Au vu des normes pénales, il est difficilement envisageable que ce seuil puisse être autre que bas. Enfin, la FINMA précise que les observations et expériences de la Communication de 2023 peuvent être utilisées par analogie pour les GFI.

Règles de comportement LSFin
Le projet de Circulaire de mai 2024 traite de certains risques financiers et de risques de marché, comme la concentration. Cependant, les conflits d’intérêts et rétrocessions relèvent avant tout des risque opérationnels et réglementaires.

Le gérant ne peut mettre sur pied d’égalité la maîtrise des risques opérationnels avec une approche quantitative, voire statistique, des risques, notamment financiers, à l’instar d’une banque. Scinder risques et compliance est parfois compliqué à mettre en œuvre.  Enfin, des attentes trop grandes et surtout trop larges en matière de gestion des risques sont indissociables d’un rendu médiocre. C’est dès lors également le concept assez fou de gestion des risques chez le GFI qui peut être à l’origine de défaillances. Ces dernières sont susceptibles d’intervenir, que la compliance et gestion des risques soit scindée ou unitaire, externalisée ou non.

Les attentes en matière de gestion des risques pour les gérants indépendants doivent être réalistes et adaptées, afin de garantir un rendu efficace. Un concept de gestion des risques légitime et adapté aux gérants est dès lors nécessaire.

Assouplir les exigences en matière d’indépendance de la gestion des risques et de la compliance supposerait un changement législatif. Dans cette configuration, l’externalisation de ces fonctions demeurera incontournable pour de nombreux gérants, qu’elle soit qualifiée en risque ou non.

Henri Corboz

PBM Avocats

Henri Corboz est avocat, responsable Règlementation et Conformité auprès de PBM Avocats. Il intervient sur des sujets réglementaires, de compliance et dans des contentieux connexes. Il intervient encore dans la structuration de fonds d’investissement, ainsi que dans le domaine des trusts.

Henri a été responsable Suisse romande de l’OS – AOOS durant la phasé clé des autorisations entre 2021 et 2023. Précédemment, il a pratiqué au barreau avant de rejoindre, en 2011, le pôle Marché des Capitaux de Crédit Agricole (Suisse). En 2014, il devient Head Legal & Compliance d’un gestionnaire de placements collectifs, avant de rejoindre un cabinet implanté à Genève, Paris et Luxembourg en 2015. En 2017, il retrouve CA Indosuez (Switzerland) où il a mis en œuvre l’EAI, l’entraide FATCA et la conformité QI.

Sphere

The Swiss Financial Arena

Depuis sa création en 2016, SPHERE anime la communauté des pairs de la finance suisse. Elle leur propose en français et en allemand différents espaces d’échange avec un magazine, des hors-série réservés aux Institutionnels, un site web et des évènements organisés tout au long de l’année pour aborder de nombreuses thématiques. Toutes les parties prenantes de la finance, l’un des plus importants secteurs économiques de Suisse, ont ainsi à leur disposition une plateforme où il leur est possible d’échanger, de s’informer et de progresser.
Télécharger le Media Kit

RÉDACTION
redaction[at]sphere.swiss

PUBLICITÉ
advertise[at]sphere.swiss

ABONNEMENT
contact[at]sphere.swiss

ÉVÉNEMENTS
events[at]sphere.swiss

Politique de confidentialité

Case postale 1806
CH-1211 Genève 1

P +41 22 566 17 32

© 2023 Sphere Magazine

Site réalisé par Swiss House of Brands