Le blog de la disponibilité des données informatiques

Bâle III ET Solvency II : Enjeux et Impacts sur le système d'information

27 mars 2017
Publié par Trader's
Dans Disponibilité des données
0 commentaire

bale3-banques-solvency2-assurances.jpgDepuis la crise des subprimes et la révélation au grand jour des milliards d’actifs toxiques, les banques sont sommées de parvenir à plus de stabilité (Bâle III) et les assurances à plus de solvabilité (Solvency II). Et surtout à plus de transparence.

 

 

 

Du côté des banques : Bâle III

Bâle 3 repose sur trois piliers qui imposent de nouvelles règles aux banques, institutions (assurances et organismes de crédits) et compagnies (holdings) financières.

Si les deux premiers ne concernent que des obligations purement financières, le troisième introduit le renforcement en matière d’obligation de publication, qui porte sur la nature, le volume et les méthodes de gestion des risques. Les établissements sont donc soumis à la discipline du marché et doivent fournir des informations sur l’adéquation de leurs fonds propres. L’impact des accords de Bâle sur les systèmes informatiques des établissements bancaires et financiers est particulièrement fort.

Les solutions mises en place devront se renforcer dans trois directions : la quantification des risques, leur pilotage et le reporting.

 

Du côté des assurances : Solvency II

Solvency 2 repose aussi sur trois piliers :

  • Un premier pilier définit les normes quantitatives de calcul des provisions techniques et des fonds propres.
  • Un deuxième pilier fixe les normes qualitatives de suivi des risques en interne aux sociétés et comment l'autorité de contrôle doit exercer ses pouvoirs de surveillance dans ce contexte.
  • Un troisième pilier définit l'ensemble des informations détaillées auxquelles le public aura accès, d'une part, et auxquelles les autorités de contrôle pourront avoir accès pour exercer leur pouvoir de surveillance, d'autre part. (source Wikipedia)

 

Data et SI : Nouveaux outils et nouveaux process

  • Reporting

Dans ce contexte, la DSI doit investir dans de nouveaux logiciels pour assurer un reporting automatiquement alimenté par des outils de calcul spécifiques. Cela signifie un système global souple et agile tant dans ses matériels et logiciels que dans ses processus (re-engineering). Les deux mots d’ordre : conformité et gestion des risques.

  • Interopérabilité et analyse d’impacts

Du côté du DSI,  la pression est donc mise pour assurer l’interopérabilité de toutes ces nouvelles solutions, former les équipes et faire évoluer les dispositifs de contrôle.

Il se prépare donc à la mise en place d’analyses d’impacts (budget, scenarii, identification de zones impactées et quid des attentes du marché) mais aussi à une mise en œuvre optimisée afin de mesurer l’impact fonctionnel, l’impact sur les projets et sur les outils.

Ainsi les établissements bancaires devront être en mesure de dresser rapidement un bilan précis de leurs expositions agrégées ou de la concentration de leurs risques au niveau consolidé mais également par ligne de métier et par entité juridique. Les établissements devront donc se doter de systèmes d’information de gestion adéquats au niveau de chaque ligne de métier et il sera désormais primordial que les autorités compétentes en matière de gestion de résolution aient accès à des données de risque agrégées.  Cette capacité d’agrégation des données de risque permettra une résolution plus rapide et plus efficace. De plus, l’agrégation des données de risque ainsi que les pratiques de notification des risques permettront de mieux identifier et gérer les risques auxquels l’institution est exposée.

  • Vers de vraies politiques de sécurité

L’ensemble de ces réglementations imposent aux DSI de mettre en place de vraies politiques de sécurité informatique et de montrer l’application de ces politiques.

Ainsi elles devront mettre en place un système assurant la traçabilité des données (qui accède, qui modifie…) mais également une traçabilité des actions effectuées sur leurs système (qui modifie des profils, qui change les droits d’accès etc…).

Elles devront également mettre en place des mécanismes et des outils permettant de garantir que seules les personnes autorisées auront accès à certaines données et à certaines transactions. Il leur faudra aussi se doter de système d’alerte en temps réel pour intervenir au plus vite en cas de fausses manipulations ou manipulations frauduleuses. En clair, le contrôle des accès ne sera plus uniquement nécessaire au niveau des serveurs mais aussi au niveau des transactions et des données.

  • Traçabilité et Auditabilité de l'information

Les directions informatiques devront également garantir l’auditabilité de leurs systèmes. Elles devront être en mesure de fournir des informations sur qui a fait quoi sur leurs systèmes durant une période pouvant remonter à plusieurs mois voire plusieurs années.

De plus, on voit poindre la nécessité de mettre en place une base consolidée des risques et des ratios de risques permettant aux auditeurs d’aller plus rapidement à l’essentiel et d’analyser ces différents ratios de manière plus efficace.

Découvrez la solution de sécurité IBM i - Quick-CSi

Ecrit par Trader's

Éditeur français de référence dans l'univers IBM i (AS/400) depuis 25 ans, présent sur tous les continents, TRADER'S est le spécialiste du traitement de la donnée IBM i avec ses solutions logicielles Quick-EDD/HA (Haute Disponibilité), Quick-CSi (Audit et Sécurité), Quick-Anonymizer (Anonymisation) et Quick-SmartData (Réplication en temps réel multi BD/OS).
Suivre sur :

Livre Blanc sur la haute disponibilité

CTA_haute_dispo_blog

Téléchargez notre livre blanc sur la haute disponibilité IBM i

Inscrivez-vous à notre newsletter