S’il y a bien un secret qui n’en n’est pas un, c’est la complexification exponentielle de la mise en conformité du reporting règlementaire ces dernières années.
Les plus anciens se souviendront par exemple du ratio de Cooke/Bâle 1 qui pouvait être réalisé en quelques heures avec l’aide précieuse d’Excel ou d’Access. Son remplaçant, le ratio McDonough/Bâle 2, était déjà plus complexe à produire, mais n’égalait en rien les défis d’aujourd’hui : Nous pourrions citer les nouveaux reporting introduits ces 10 dernières années : LCR, NSFR, ALMM, Vue Unique Clients, AnaCredit, Conseil de Résolution Unique, ou ceux existants depuis longtemps et qui ont atteint un niveau certain de complexité : FINREP, COREP, les reporting BCE MIR et BSI.
Les régulateurs ont déjà tenté de limiter ces demandes croissantes. C’était l’un des buts affichés pour AnaCrédit : harmoniser les reporting à travers l’Europe et graduellement rendre obsolète d’autres reporting déjà existants en tirant partie des données AnaCrédit. Force est de constater que cet objectif n’est pas encore atteint.
Les régulateurs eux-mêmes reconnaissent la complexité, les coûts, les redondances et la non-harmonisation de leurs exigences entre eux. Les initiatives IReF de la BCE, l’étude EBA ‘Cost of compliance with supervisory reporting’ et l’introduction du concept de proportionnalité n’en sont que les exemples les plus récents. Malheureusement, elles ne porteront pleinement leurs fruits que dans plusieurs années.
Ces défis sont encore plus exacerbés aujourd’hui avec de nouvelles dimensions telles que la cyber sécurité, un environnement de faible taux d’intérêt, la concurrence introduite par les Fintechs, les défis de la pandémie et l’aspiration au télétravail.
Il est pourtant possible de transformer ces risques en opportunités : Le déploiement d’une solution en mode SaaS en est une illustration parfaite. Les principaux avantages sont une maitrise des coûts, une adaptabilité à la hausse ou à la baisse en fonction de l’activité, une plus grande agilité, une sécurité informatique accrue, tout en répondant aux évolutions organisationnelles.
Le mode SaaS est encore plus pertinent en tenant compte de la masse des changements règlementaires, de leurs fréquences et des mises à jour tardives et inattendues des régulateurs. Concrètement, il y a en moyenne 2 à 3 évolutions majeures par an et au bas mot une dizaine de mises à jour impromptues des régulateurs. Tout indique que cette tendance va continuer pour les prochaines années :
- Un tsunami de changements réglementaires nous attend au cours des 9 prochains mois tel que OSCAMPS 2, CRR2/CRD5 qui impactent fortement les collectes liées (FINREP, COREP, NSFR, Pilier 3 et d’autres encore), Investment Firm Reporting, sans oublier le structurant passage de SURFI vers RUBA, et pour finir CREDITHAB. Bien que les échéances approchent à grand pas, les régulateurs continuent de mettre à jour et corriger leurs instructions à une fréquence élevée.
- Les prochaines années seront également hautes en couleur avec l’ambitieux projet IReF, CRR3 et CRD5, et les sujets ESG qui vont graduellement monter en puissance.
Quelle que soit la fréquence des mises à jour des régulateurs, leurs incorporations dans un logiciel de reporting sont par défaut couverts en mode SaaS et les investissements sont alors fixés et connus dès le départ.
Le personnel d'une banque, désormais libre d'utiliser son logiciel de reporting réglementaire, sans avoir à le surveiller et à le mettre à jour en permanence pour s'assurer qu'il fonctionne correctement, peut alors s'engager dans des activités à valeur ajoutée. C'est une considération particulièrement importante pour les petits établissements dont les équipes peuvent être dispersées et qui ont donc besoin de toutes les efficiences qu'ils peuvent trouver. Les grandes institutions ne sont pas non plus à l’abri des problèmes liés à la concentration de la Connaissance chez un nombre restreint de collaborateurs.
L’adossement d’un logiciel en mode SaaS avec un des acteurs majeurs du cloud, tel que Microsoft Azure, permet en plus de bénéficier de leur expertise en cyber sécurité, leur réseau de centre données à travers le monde, et d’atteindre les meilleurs standards en termes de DDoS, uptime, RTO et RPO. Ces avantages vont crescendo grâce à la transformation vers Cloud Native des solutions hébergées en SaaS.
Dans un monde où tout est possible, il y a toujours un risque que le système ou les données subissent des dommages, où qu'ils se trouvent. Il pourrait y avoir des dommages physiques naturels ou causés par l'homme; ou le vol ou toute autre perte résultant d'un piratage informatique ou simplement d'une erreur humaine. Mais un tel événement est moins susceptible de se produire sur les serveurs cloud. Ils ont tendance à être conservés dans des endroits plus sécurisés physiquement, et les fournisseurs de services dépensent d'énormes sommes pour protéger leur technologie contre les actes malveillants ou imprudents de toutes sortes, de préférence avant qu'ils ne se produisent. À lui seul, Microsoft Azure dépense plus d'un milliard de dollars par an en cyber sécurité. Combien un grand groupe financier, et encore moins une petite institution, peut-il consacrer à une telle entreprise ?
L’hébergement des données en cloud répond déjà aux attentes de la société et aux exigences des régulateurs. Des centres de données Azure existent en Europe, dont certains avec des solutions innovantes afin d’assurer la conformité avec les règlementations, mêmes les plus contraignantes. De manière générale, l’Union Européenne protège déjà nos données (GDPR) et les évolutions législatives et judicaires (Schrems I & II) continuent dans ce sens. Dans le monde du reporting règlementaire, les régulateurs autorisent déjà les déploiements en mode SaaS sous conditions du respect d’exigences particulières.
« C'est quand la mer se retire qu'on voit ceux qui se baignent nus ». Cette citation de Warren Buffet s’appliquait initialement aux preneurs de risques qui ont été balayés par la crise de 2008. Elle pourrait également s’appliquer aux acteurs forcés de maintenir leurs activités pendant la pandémie et qui n’ont ni l’infrastructure, ni l’organisation en place pour le télétravail. Une solution SaaS répond parfaitement à ce besoin, tant en mode crise qu’en mode « business as usual » : l’aspiration pour le télétravail est une tendance de fond et va devenir un argument clé pour attirer et retenir les talents. D’autres architectures permettent également le travail à distance, mais aucune n’égale les avantages d’un mode SaaS.
De premier abord, les offres SaaS peuvent paraitre plus onéreuses que celles « on premise ». Une analyse plus fine des coûts de chacune des options démontrera le contraire. En effet, pour mesurer le coût total de possession, il faut y inclure les licences de la solution de reporting et des bases de données attenantes, leurs installations et mises à jour régulières, le suivi de leur cycle de vie, les tests, le matériel informatique physique, le Plan de Continuité d'Activité (PCA) ainsi que la nécessité d’avoir des experts internes ou externes des applications, en gestion de base de données, en sécurité informatique, qui devraient être disponibles quasi constamment.
Le timing pour basculer vers SaaS n’est jamais idéal, mais il ne le sera pas non plus dans le futur alors que les contraintes « on premise » ne vont que s’accentuer dans le temps. Il est également plus facile de changer de fournisseur de solution en optant pour une solution SaaS. Cette solution Saas permet aussi de s’étendre géographiquement avec le minimum de contraintes. En combinant un mode SaaS avec un service de mise à jour règlementaire, les astres sont alignés pour permettre aux institutions de gagner en agilité, de réduire et prédire leurs coûts, tout en répondant aux évolutions technologiques et règlementaires.
