La rapidité de l’effondrement de la Silicon Valley Bank est effrayante. Il est clair que la réflexion sur la continuité des activités n’était pas encore d’actualité au troisième trimestre 2022. Certains ont attribué l’effondrement à la vacance du poste de directeur des risques. D’autres l’ont imputé à la transparence irréfléchie offerte par le PDG le 9 mars. Quoi qu’il en soit, la banque, son conseil d’administration et son équipe de direction ne s’étaient pas préparés à une réponse efficace et à une stratégie de communication de crise. La continuité des activités vise à prévenir les perturbations et à y répondre dans le cadre d’un effort plus large de gestion du risque opérationnel et du risque d’entreprise. Le suivi des contrôles clés qui empêchent les perturbations est essentiel pour permettre une réponse rapide et une communication efficace à toutes les parties concernées. Il est essentiel que les contrôles comprennent l’analyse de l’impact sur l’entreprise, les plans et les exercices, ainsi que les contrôles appartenant à l’entreprise et à d’autres disciplines de risque.

Un argument en faveur de la gestion intégrée des risques

Dans le cas de la SVB, les contrôles liés aux modèles de risque financier et au risque de liquidité, ainsi que la surveillance des comportements du marché et des clients auraient dû être essentiels. Mais en examinant les contrôles individuellement, la banque n’a pas réussi à faire le lien. Si elle avait intégré la réflexion sur la gestion des risques, les dirigeants auraient pu discuter de la manière dont les contrôles clés échouaient, des risques clés qui se matérialisaient et de la manière de réunir l’équipe pour rassurer les marchés, les investisseurs et les clients.

Cette situation n’était-elle pas l’objectif de la législation sur la résilience opérationnelle ?

Le Royaume-Uni a introduit une législation sur la résilience opérationnelle afin de prévenir les perturbations systémiques du secteur financier au niveau national, ce qui a influencé la législation dans d’autres pays (y compris les États-Unis). Ces réglementations sur la « résilience opérationnelle » n’étaient-elles pas censées empêcher que cela ne se produise ? Oui… et non. Le concept de résilience opérationnelle, qui place la souffrance du client au centre des efforts de résilience d’une organisation, se concentre sur la perturbation des processus et des ressources internes. Pour la plupart des organisations, elle ne réunit pas les différentes disciplines de risque pour identifier tous les contrôles et stratégies qui pourraient conduire à l’insolvabilité, y compris les scénarios plausibles dans lesquels le client est à l’origine de la perturbation. Une fois de plus, cette situation démontre la nécessité pour les personnes, les processus et la technologie de relier les points grâce à une gestion intégrée des risques.

Quel est le rôle de la continuité des activités dans une crise bancaire ?

Quatre points sont à prendre en compte pour répondre à cette question :

  1. La continuité des activités (et la résilience opérationnelle) continuera à assumer la responsabilité d’aider l’organisation à comprendre sa vulnérabilité aux perturbations et à s’efforcer de la rendre plus résiliente. Il est vrai qu’une grande partie de l’attention se porte sur les perturbations causées par une perte de capacité de processus et de ressources dépendantes. Mais comme la continuité des activités concerne de nombreux éléments d’une organisation – en particulier les éléments de la stratégie de mise sur le marché de l’organisation – les professionnels de la continuité des activités sont bien placés pour identifier les domaines où les contrôles semblent manquer ou échouer. Pour reprendre un message de l’Agence américaine de sécurité des transports, « si vous voyez quelque chose, dites-le ».
  2. Lorsqu’elle est bien menée, la continuité des activités aide l’organisation à comprendre le marché, ses clients et leurs attentes, quelles que soient les circonstances.
  3. L’un des éléments essentiels d’un programme de continuité des activités est une solide capacité de réaction, souvent appelée gestion de crise (ou d’incident). La gestion de crise ne sert pas uniquement à répondre à une catastrophe naturelle ou à une cyberattaque. Elle peut être utilisée pour tout type d’incident – petit ou grand – afin de gérer l’impact et d’accélérer le retour à la normale de l’organisation.
  4. La communication de crise est un prolongement de la gestion de crise. Les professionnels de la continuité des activités s’associent souvent à leurs homologues du marketing et de la communication pour comprendre les publics clés qui ont besoin d’un engagement tout au long d’une crise, la meilleure façon de les atteindre et ce qu’il faut dire en fonction des différents scénarios.

En l’absence d’informations privilégiées, il est difficile de se prononcer sur l’adéquation du programme de continuité des activités de SVB avec les trois premiers points. Mais la rapidité de l’effondrement de la SVB prouve que ces trois points n’étaient pas respectés. En ce qui concerne le quatrième point, la communication de crise a été visiblement déficiente. La direction de la SVB a publié une réponse quelque peu technique – sous la forme d’un PDF – sur son site web concernant sa réaction et la nécessité de lever des capitaux. Cela a soulevé deux questions :

  1. Bien que transparente quant à la situation, la réponse a qualifié la viabilité des stratégies de réponse planifiées avec des mises en garde telles que « potentiellement » et « probablement », ce qui n’a pas inspiré la confiance.
  2. La réponse de la direction de la SVB a été publiée sur son site Internet. Bien que les parties prenantes aient largement discuté et débattu de la crise imminente sur les plateformes de médias sociaux telles que Twitter (peut-être même à l’origine de la ruée vers les banques), la SVB a très peu coordonné sa communication sur les médias sociaux.

La communication de crise est l’affaire de tous :

  • Communiquer avec tous les publics
  • Créer un message clair et approprié
  • Engager le bon public par le moyen qui résonne le mieux (par exemple, les médias sociaux)

Qui est à blâmer ?

Faut-il y voir un signal d’alarme pour la continuité des activités ? Il est clair que cette situation a renforcé la nécessité d’une meilleure communication de crise. Mais cette crise n’aurait pas pu être évitée par la seule continuité des activités. La continuité des activités avait un rôle à jouer et aurait probablement dû en faire plus, en particulier sur le front de la communication de crise, mais il s’agit plus probablement d’un signal d’alarme pour une approche intégrée de la gestion des risques. L’incapacité à relier les points a conduit la SVB à sa perte. Qui est donc à blâmer ? Les candidats sont les suivants :

  • La Réserve fédérale (qui fixe les taux d’intérêt)
  • Les sociétés de capital-risque (qui ont lancé la course aux capitaux)
  • Régulateurs californiens
  • Un blogueur nommé Byrne Hobart (qui a soulevé la question)
  • Audit externe
  • Banque de la Silicon Valley

C’est vous qui décidez.

Pour en savoir plus sur la résilience opérationnelle, téléchargez notre livre électronique, Operational Resilience : Naviguer dans le paysage réglementaire mondial, et découvrez le logiciel de continuité des activités et de résilience de Riskonnect.