Les risques des technologies de l’information dans les services financiers

Le conseil d’administration et les risques informatiques

Les défis liés aux risques informatiques dans les services financiers vont augmenter en nombre et en importance dans les années à venir. Cet article met en évidence une sélection de risques informatiques que les conseils d’administration des institutions financières doivent prendre en compte, et suggère des stratégies à mettre en œuvre pour une meilleure gestion.

La technologie est le meilleur outil qui soit, mais elle présente également des risques à tous les niveaux et à fort impact potentiel. Le risque cybernétique, qui peut prendre la forme de vols de données, de comptes compromis, de fichiers détruits, ou de systèmes désactivés ou dégradés, est aujourd’hui au centre des préoccupations. Cependant, ce n’est pas le seul risque informatique dont le conseil d’administration et la direction doivent se préoccuper.

Les institutions financières font face à des risques dus au décalage entre la stratégie d’entreprise et la stratégie informatique, à des décisions de gestion qui augmentent le coût et la complexité de l’environnement informatique, et à l’insuffisance ou au manque d’adéquation des compétences. La technologie des sociétés financières peut devenir obsolète, déstabilisée ou non compétitive, les anciens systèmes entravant la flexibilité. Les fusions et acquisitions peuvent irrémédiablement compliquer l’environnement informatique de l’organisation — un problème que de nombreuses équipes de direction ne parviennent pas à budgétiser et à résoudre. Pendant ce temps, les start-ups axées sur la technologie et les solutions de technologie financière de rupture (« FinTech »), remettent en question les modèles et les processus opérationnels au cœur de nombreuses institutions. La rapidité de réponse devient ainsi une exigence indispensable pour assurer la pertinence et la viabilité d’une organisation.

Le risque technologique a des implications stratégiques, financières, opérationnelles, réglementaires et de réputation. Pour y faire face, il n’est pas nécessaire que les membres du conseil d’administration soient des experts en TI, mais ils doivent avoir une compréhension suffisante du paysage informatique pour leur permettre de superviser et éventuellement de critiquer l’équipe de direction.

Questions que le conseil d’administration peut poser :

• Quelle est la stratégie informatique de notre organisation, en particulier en ce qui concerne le soutien à nos activités, nos offres, nos clients et les autres parties prenantes ?

• En général, voulons-nous, en tant qu’organisation, innover dans le domaine des services financiers basés sur les TI, ou prendre une voie plus conservatrice et être des adoptants tardifs ? Qu’est-ce qui doit être mis en place pour gérer les risques inhérents dans les deux cas ?

• Comment surveiller le marché pour détecter les évolutions pouvant constituer des opportunités ou des risques pour notre entreprise ?

• Quels sont les investissements nécessaires pour corriger et mettre à jour notre environnement informatique existant ?