Banque de France - Autorité de Contrôle Prudentiel Introduction 27/11/2012 Fabr

Banque de France - Autorité de Contrôle Prudentiel Introduction 27/11/2012 Fabrice Pesin, Secrétaire général adjoint de l’ACP 3 Sommaire 1ère partie : le contrôle des systèmes d’information par l’ACP : objectifs, modalités, retour d’expérience. 2ème partie : les grands enjeux en banque et en assurance (complexité des environnements, sophistication des attaques, nouvelles exigences de Solvabilité 2…) 27/11/2012 4 Vidéo : Méthodologie du contrôle de l’ACP 27/11/2012 5 1. Le contrôle sur place des systèmes d’information bancaires : objectifs, modalités, enseignements  Marc Andries, Inspecteur de la Banque de France et Chef de mission à l’ ACP 2. Le contrôle sur place des systèmes d’information en assurance : stratégie du contrôle et premier retour d’expérience Conférence animée par Fabrice Pesin, secrétaire général adjoint de l’ACP 1ère partie : le contrôle des systèmes d’information par l’ACP : objectifs, modalités, retour d’expérience. 27/11/2012 6 1. Organisation 2. Objectifs 3. Modalités de réalisation 4. Principaux enseignements Les contrôles informatiques dans le secteur de la banque Sommaire 27/11/2012 7 1. Organisation La Délégation au contrôle sur place dans le secteur de la banque (EC, EI, EP, changeurs) dispose d’un pôle spécialisé sur les contrôles informatiques depuis 1996 Équipe d’une dizaine de contrôleurs informaticiens Parcours de formation spécifique Certification professionnelle (notamment CISA : Certified Information Systems Auditor délivré par l’I.S.A.C.A) Corpus méthodologique de contrôle (référentiels) Utilisation d’outils spécifiques pour l’analyse de fichiers Intégration dans les équipes de contrôle sur place Enquêtes générales ou spécifiques 27/11/2012 8 2. Objectifs  Pourquoi des contrôles informatiques ?  Quels sont les risques informatiques ?  L’intégration dans les risques opérationnels 27/11/2012 9 2.1 Pourquoi des contrôles informatiques ? La banque 1980 La banque 2010 27/11/2012 10 2.1 Pourquoi des contrôles informatiques ? L’informatique, outil du contrôle Capacité d’analyse des informations bancaires (vérification de la comptabilité, piste d’audit) Analyse de fichiers, de bases de données, indispensable à la vérification du respect des obligations légales et réglementaires (cf. LCB-FT) Importance de disposer d’outils d’analyse puissants L’informatique, sujet de contrôle Développement des systèmes d’information bancaire pour tous les processus : comptabilité, opérations, mesure et contrôle des risques, reporting prudentiel Forte complexité et hétérogénéité des environnements (systèmes, réseaux, postes de travail) La sécurité et le bon fonctionnement des systèmes d’information sont devenus essentiels (cf. livre blanc sur la sécurité des SI – 1996 ; livre blanc « Internet, quelles conséquences prudentielles – 2001) : lutte contre la fraude, plans de continuité informatique, PCA… Prise en compte de ces problématiques dans la notion de risque opérationnel avec Bâle 2 (2003) 27/11/2012 11 2.2 Quels sont les risques informatiques ? Malveillance Vol Sabotage Erreurs  Événements naturels  Pannes et défaillances des matériels  Pertes de services essentiels (électricité, télécoms …)  Conception  Programmation  Exploitation (manipulation, paramétrage …)  Vol  Sabotage  Attaques logiques : Accidents 27/11/2012 12 2.3 Ces risques sont inclus dans les risques opérationnels Le risque opérationnel se définit comme le risque résultant d’une inadaptation ou d’une défaillance imputable à des procédures, personnels et systèmes internes ou à des événements extérieurs. Cela implique d’identifier et de mesurer les risques potentiels et résiduels Des mesures de réduction des risques informatiques doivent être adoptées et régulièrement révisées Les incidents donnent lieu à reporting et évaluation, puis éventuellement à la révision des mesures de réduction des risques FRAUDE INTERNE PRATIQUE EN MATIERE D’EMPLOI ET DE SECURITE DU TRAVAIL FRAUDE EXTERNE INTERRUPTION DE L’ACTIVITE ET DYSFONCTIONNEMENT DES SYSTEMES DOMMAGES OCCASIONNES AUX ACTIFS PHYSIQUES 7 CATEGORIES D’EVENEMENTS CLIENTS, PRODUITS ET PRATIQUES COMMERCIALES EXECUTION, LIVRAISON ET GESTION DES PROCESSUS 20 SOUS-CATEGORIES 27/11/2012 13 3. Modalités de réalisation La démarche de contrôle sur place dans le secteur de la banque  Les principaux thèmes de contrôle  Textes de référence 27/11/2012 14 3.1 La démarche de contrôle sur place dans le secteur de la banque Les analyses de fichiers  Bases de données client, comptabilité, fichiers d’opérations sur comptes, listes de personnes soumises à vigilance dans le cadre de la LCB-FT…  Objectif : sélectionner et rapprocher de manière pertinente l’information pour préparer les contrôles (échantillonnage, rapprochements…)  Utilisation d’outils d’analyse Les analyses relatives à la sécurité et au bon fonctionnement des SI  Description et analyse de tout ou partie d’un SI, appréciation de sa conception et de son bon fonctionnement  Qualité des données  Continuité d’activité  Maîtrise des prestations essentielles externalisées  Analyse de la gouvernance et du bon déroulement d’un projet  Analyse de sécurité (lutte contre la fraude, vérification des habilitations…)  Outil : corpus méthodologique de référence, construit sur des normes ISO 27/11/2012 15 3.2 Les principaux thèmes de contrôle  Analyse du SI, de sa sécurité et de son bon fonctionnement  Maîtrise des prestations externalisées  Vérification de l’effectivité et de l’adéquation des plans de continuité d’activité  Contrôles LCB-FT  Validation des modèles Bâle 2 (vérification des modalités de rapprochement entre le système de gestion des informations comptables et le système de gestion des risques, ainsi que modalités de déversement dans le système de gestion des reportings) Vérification des outils de suivi du risque opérationnel, des systèmes de reporting (COREP) … 27/11/2012 16 3.3 Les textes de référence (1/5)  Réglementation bancaire  Soft regulation  Normes (bonnes pratiques) 27/11/2012 17 3.3 Les principales références réglementaires (2/5) Qualité et auditabilité de l’information (article 5 CRBF 97-02) « Le système de contrôle des opérations et des procédures internes a notamment pour objet (…) de : c) vérifier la qualité de l’information comptable et financière (…) ; d) vérifier les conditions d’évaluation, d’enregistrement, de conservation et de disponibilité de cette information, notamment en garantissant l’existence de la piste d’audit au sens de l’article 12 ; e) vérifier la qualité des systèmes d’information et de communication » Sécurité, continuité, intégrité, confidentialité (article 14 CRBF 97-02) « Le niveau de sécurité des SI est périodiquement apprécié et, le cas échéant, des actions correctrices sont entreprises » « Des procédures de secours informatique sont disponibles afin d’assurer la continuité d’exploitation » « en toutes circonstances sont préservées l’intégrité et la confidentialité des informations » 27/11/2012 18 3.3 Les principales références réglementaires (3/5)  Continuité d’activité (y.c. ressources techniques) (art. 14-1 CRBF 97-02)  LCB-FT (Code monétaire et financier, réglementation)  Maîtrise des prestations essentielles externalisées (articles 37-1 et suivants CRBF 97-02)  Qualité des données (Bâle 2) : (Art. 145 Arrêté du 20 février 2007) « Les établissements assujettis mettent en place un système fiable pour valider l’exactitude et la cohérence des systèmes de notation, des procédés de notation ainsi que des estimations des paramètres de risque pertinents » 27/11/2012 19 3.3 Soft regulation (4/5)  Maîtrise de la sécurité : rapport « Lagarde »  Huit éléments de contrôle interne  Dont « la sécurité des systèmes informatiques et la protection des codes d’accès »  Livres blancs de la Commission bancaire (ex : Sécurité des systèmes d’information,1996)  Analyses et commentaires de l’ACP (ou de la Banque de France) 27/11/2012 20 3.3 Les principales normes (5/5) ISO 27002, code de bonnes pratiques pour la sécurité de l’information Guide de contrôle de la sécurité ISO/IEC 38500 Corporate Governance of information technology : Gouvernance du SI Maîtrise de la conduite de projets Guidelines BRI, IOSCO, IAIS on business continuity, 2006 27/11/2012 21 4. Principaux enseignements (1/2)  La maîtrise des risques informatiques touche à la fois :  La gestion courante  Les changements liés aux évolutions, notamment technologiques 27/11/2012 22 4. Principaux enseignements (2/2) Culture, organisation : effet taille Continuité d’activité : généralisation des PSI, mais la question de la localisation demeure Principaux points d’attention :  Cartographie du SI, hétérogénéité des environnements  Analyse des risques, implication des RSSI  Qualité des données, notamment dans le contexte Bâle II  Maîtrise des projets  Maîtrise des prestations externalisées  Paramétrage des outils de LCB/FT  Maîtrise des habilitations  Niveau de sécurité du web-banking et du web-trading 27/11/2012 23 1. Le contrôle sur place des systèmes d’information bancaires : objectifs, modalités, enseignements  Marc Andries, Inspecteur de la Banque de France et Chef de mission à l’ ACP 2. Le contrôle sur place des systèmes d’information en assurance : stratégie du contrôle et premier retour d’expérience  Thierry Auran, Chef de service des contrôles sur place spécialisés (SCPS/DCST)  Frédéric Merilhou, Responsable de mission au SCPS  François Philippe, Responsable de mission au SCPS 1ère partie : le contrôle des systèmes d’information par l’ACP : objectifs, modalités, retour d’expérience. 27/11/2012 24 Sommaire 1. Le contrôle des systèmes d’information par l’ACP : pourquoi et comment Pourquoi Référentiel de contrôle Organisation des contrôles 2. Retour d’expérience sur 3 ans de contrôles 3. Conclusion 27/11/2012 25 1.1 Pourquoi Pourquoi l’ACP contrôle-t-elle les systèmes d’information des organismes d’assurance ? La qualité des données utilisées par l’assureur est essentielle à sa pérennité (évaluation des engagements, segmentation, tarification, solvabilité ...) et à la correcte appréciation du respect des règles prudentielles par l’Autorité. Les crises financières et la nécessité d’accroître la régulation financière. La qualité des informations fournies devient de plus en plus nécessaire. L’importance stratégique uploads/s1/ controle-si.pdf

Documents similaires

GEN4 V1 R0 L’histoire de l’EDI dans l’automobile Domaine Thème Sous-thème Date 0 0

La Direction Générale de la Modernisation de l’Etat (DGME) est un des nombreux 0 0

5455, rue Saint-Denis Montréal (Québec) H2J 4B7 Téléphone : 514 596-5855 Téléco 0 0

GRILLE D’AUDIT SYSTÈME QUALITÉ 17025 Programme d’accréditation des laboratoires 0 0

Ministère de la Culture et de la Communication Direction générale des Patrimoin 0 0

Rapport du projet Réalisé par : OKOMBI MPOURAMO Juliana Dieuveille MIAMBOUTILA 0 0

Contrôles Non destructifs RACHID BOURAS-UMMTO 1 CONTRÔLES NON DESTRUCTIFS Objec 0 0

1 Bases de données et sites WEB Licence d’informatique LI345 Anne Doucet Anne.D 0 0

SEARCH ENGINE OPTIMIZATION (ou référencement naturel) Adams SALAHOU adams@seose 0 0

ROYAUME DU MAROC Agence Régionale d’Exécution des projets Région Souss Massa Ap 0 0

• Détails
• Publié le Oct 12, 2021
• Catégorie Administration
• Langue French
• Taille du fichier 1.0023MB