Depuis plusieurs années, l’émergence des nouvelles technologies pousse les institutions financières à repenser leur organisation interne. Les stratégies d’entreprise de ces sociétés soulèvent de nouveaux besoins informatiques. La crise sanitaire mondiale de 2020, quant à elle, a contraint les entreprises à revoir leurs priorités et à initier ou accélérer des projets permettant d’assurer la qualité de leur service et la continuité de leur activité dans ces conditions extraordinaires.
Durant le premier trimestre 2020, PwC Suisse a réalisé une évaluation de l’organisation informatique et de la gouvernance informatique lors de l’audit prudentiel de 107 institutions financières (« IF ») à travers le pays. Cette évaluation contenait également une analyse des projets stratégiques informatiques au sein de ces mêmes institutions financières.
Nous avons consolidé et anonymisé nos résultats afin de créer un référentiel donnant une vue d’ensemble sur l’organisation et la gouvernance informatique des institutions financières, et soulignant les aspects stratégiques de chacune d’entre elles.
Nos évaluations sont fondées sur le jugement professionnel plutôt que sur des données quantifiables et objectives ; par conséquent, elles sont subjectives. Les résultats présentés se basent sur l’analyse d’un panel d’institutions financières en Suisse, réparties comme suit :
L'informatique reconsidère ses priorités
Notre évaluation montre que le niveau de maturité des institutions financières quant à l’organisation et à la gouvernance du département informatique est en ligne avec les attentes du régulateur : seuls 10 % des établissements n’ont pas ou ont insuffisamment défini les rôles et responsabilités des équipes (Développement, Infrastructure, Help Desk, etc.) au sein de leur département IT.
Nous notons aussi une évolution dans l’organisation globale de la société. En effet, au cours des dernières années, les responsables informatiques ont changé de ligne de reporting directe. Nous constatons qu’actuellement 50 % des responsables informatiques rapportent au Chief Executive Officer, 25 % au Chief Operations Officer, 25 % au niveau du groupe (pour les entités locales d’un groupe international).
Aucun responsable IT des 107 institutions financières de notre panel ne rapporte au Chief Financial Officer comme cela avait pu être le cas par le passé. Ceci démontre un changement dans la perception du secteur informatique au sein de ces sociétés. Cette fonction n’est plus considérée comme un simple centre de coût, mais bien comme un département opérationnel à part entière, qui nécessite l’affectation d’un membre de la Direction, et regroupe parfois l’informatique et les opérations. En choisissant de privilégier le développement de nouvelles solutions, les IF préfèrent externaliser les aspects purement opérationnels, soit en interne vers des sites « nearshores » ou « offshores », soit en externe auprès de structures spécialisées.
La sécurité des systèmes d'informatique évolue
Notre analyse porte également sur l’organisation de la sécurité, et plus particulièrement de la ligne de reporting directe des responsables de la sécurité des systèmes d’information (RSSI).
Parmi les 107 institutions financières, nous notons que 45 % des responsables de la sécurité des systèmes d’information rapportent au Chief Executive Officer, 21 % au Chief Information Officer ou au Chief Operations Officer, 27 % au niveau du groupe (pour les entités locales), et
7 % au Chief Risk Officer (exclusivement des « grandes » banques).
À nouveau, nous remarquons une évolution dans le rôle de la sécurité des systèmes d’information, laquelle se détache de plus en plus du département informatique. La sécurité informatique – et en particulier la gestion des risques cyber – constitue à présent l’un des principaux risques opérationnels des institutions financières. Ces éléments disposent donc d’un canal de remontée de l’information distinct et, souvent direct, aux hautes instances des établissements.
Nouvelles technologies : une intégration à deux vitesses
Les changements informatiques précités se reflètent aussi dans les priorités stratégiques informatiques observées au sein des institutions financières.
Il apparaît que 65 % des établissements externalisent au moins une activité essentielle, au sens de la Circ.-FINMA 18/03 « Outsourcing », de leur système d’information auprès d’un tiers, ou d’une entité du groupe. Et ce pourcentage a augmenté ces dernières années. En effet, on observe une tendance très nette au sein des entreprises : elles préfèrent désormais externaliser les tâches récurrentes, telles que la gestion des applications ou de l’infrastructure, et focaliser leur attention sur des projets de recherche et développement visant à étendre leur offre de services ou à réduire leurs coûts.
Si les termes « Blockchain », « Crypto », « Machine Learning » ou encore « Robot Process Automation (RPA) » sont de plus en plus courants depuis plusieurs années, la mise en place de ces technologies se limite à quelques institutions. Souvent impulsées par les stratégies des groupes, leur implémentation au niveau local reste rare : tant le RPA (6 %), que la Blockchain
(3 %), ou le Machine Learning (1 %) nécessitent un investissement initial relativement lourd, et ne peuvent, par conséquent, être rentables que moyennant un important volume de « transactions ». Leur mise en place et l’adaptation du système de contrôle interne à ces nouvelles technologies découragent les plus petits établissements, de catégorie 4 ou 5. D’une manière générale, pour ces domaines, les institutions financières restent en retrait par rapport aux autres secteurs industriels, et privilégient une approche plus indirecte (par ex. alliance, investissement stratégique, etc.).
L'impact de la crise sanitaire sur les stratégies informatiques
La crise sanitaire a poussé les sociétés à repenser leur manière de travailler : pour gérer les capacités en relation avec l’essor du télétravail, ou déployer des outils de communication instantanée, les solutions Cloud ont été rapidement adoptées dans plusieurs institutions financières. Ainsi, si 40 % des établissements envisageaient une solution Cloud au mois de mars 2020, ce chiffre se monte à 65 % en novembre 2020. L’avènement en Suisse de solutions Cloud locales qui permettent aux institutions financières de bénéficier de serveurs locaux tout en répondant aux exigences légales explique en grande partie cette progression.
Enfin, en cette période de crise sanitaire, le développement de la virtualisation et de la notion même de « travail à domicile » a connu une forte accélération au cours du premier semestre 2020. Lors de notre premier sondage, en Q1 2020, 17 % des établissements évoquaient le développement du télétravail dans leur stratégie informatique. En Q3 2020, lors de la phase de suivi de notre analyse, 90 % des IF nous rapportent avoir adopté de manière significative la notion de travail à domicile.
La pression économique et l’évolution technologique incitent continuellement les établissements à réimaginer leur organisation. Les départements informatiques et sécurité, qui agissaient par le passé comme fonctions de support, deviennent jour après jour des acteurs majeurs dans l’évolution constante des institutions financières, en privilégiant le développement de nouvelles solutions.
La crise sanitaire a précipité certains changements organisationnels et stratégiques au cours de ces derniers mois. Néanmoins, la plupart des entreprises songeaient déjà à ces évolutions, et cette situation extraordinaire n’a peut-être fait qu’accélérer la concrétisation de projets stratégiques essentiels.
Actions recommandées
Nous recommandons aux institutions financières de porter une attention particulière aux aspects suivants lors de la mise en place d’un projet :
Diverses réglementations complexes et strictes dans les domaines du secret bancaire, de la protection des données, de la sécurité et de l’externalisation doivent être prises en compte dans le cadre d’un projet de transformation/intégration. Assurez-vous d’avoir une vision claire du périmètre de votre projet, et d’identifier les exigences réglementaires devant être prises en considération.
La sécurité et la confiance sont des aspects critiques lors de l’élaboration d’un projet de transformation. Peu de banques acceptent de laisser des données sensibles résider en dehors de leurs périmètres et il est tout aussi difficile de faire confiance aux fournisseurs pour fournir une sécurité adéquate. Elaborez un concept de sécurité de l’information en lien avec le projet, en définissant clairement les rôles, les responsabilités et les contrôles en matière de sécurité devant être implémentés.
Le recours à des parties tierces est constant dans le cadre d’un projet informatique. Cela nécessite un processus d'évaluation des risques et de gestion des fournisseurs pour assurer l’alignement entre les objectifs commerciaux et la prestation de services du fournisseur de services. Identifiez les risques relatifs aux fournisseurs, implémentez les contrôles nécessaires permettant la surveillance des services fournis par les prestataires.
Les évolutions réglementaires et technologiques poussent les IF à adapter leurs systèmes informatiques. Afin de pleinement réussir un projet de transformation et profiter des avantages liés à l’intégration d’une nouvelle technologie, identifiez les dépendances externes et interdépendances dans votre paysage applicatif et repensez votre modèle de données.
Comment PwC peut vous aider
En tant que société pluridisciplinaire, nous sommes particulièrement bien placés pour vous aider à vous adapter à l’évolution du contexte réglementaire et à vous accompagner lors de projets de transformation ou d’implémentation de nouvelles technologies :
- Cloud: Notre expertise combinée dans les domaines des affaires, de la technologie, des risques et des contrôles vous aidera à mieux comprendre comment le cloud peut transformer votre entreprise.
- Blockchain: Nous renforçons la confiance dans vos solutions et services en effectuant des évaluations et des audits indépendants de la sécurité et de la qualité de vos solutions. Nous recourons également à toute notre palette d’outils d’analyse avancée mettant à contribution une intelligence de pointe pour produire des rapports donnant de la transparence sur les transactions intervenants sur les registres distribués.
- Project management: Basée sur 12 éléments de contrôle, notre méthodologie « Excellence en matière de gestion de projet » vous permettra d’avoir une appréciation précise quant à la qualité de gestion d’un projet (transformation, implémentation, …).
#social#
