Build vs. Buy
Quelle approche pour vos solutions LBC-FT
En amont de tout projet de mise en place d’une solution réglementaire automatisée, de la taille et de la complexité d’une solution de Lutte contre le Blanchiment des Capitaux et de Financement du Terrorisme (LBC-FT), les professionnels de l’industrie financière sont souvent confrontés à une question épineuse : doit-on procéder à des développements en interne ou devrions-nous plutôt avoir recours à un éditeur spécialisé ?
Cette question ambitieuse, souvent parsemée d’incertitudes, pourrait concerner les institutions qui disposent de grosses structures SI regroupant l’effectif, l’expertise et la performance nécessaires.
Or, malgré l’ampleur des fonds injectés et l’abondance des compétences techniques et organisationnelles engagées, quatre projets sur cinq sont voués à l’échec ; un échec profusément prouvé et témoigné par le Chaos Report_2018 publié par le bureau de recherche international Standish Group.
S’adressant essentiellement aux Compliance et Risk managers, le présent article a pour objectif d’évaluer la pertinence de recourir à un éditeur spécialisé dans la mise en place de solutions réglementaires automatisées pour la LBC-FT ; et ce par le biais du recensement des risques opérationnels pouvant altérer le développement, le déploiement ou l’exploitation d’une solution réglementaire « faite maison ».
Développement en interne : y a-t-il un risque de dépassement budgétaire ?
Développer une solution réglementaire en interne nécessite un coût de démarrage important, souvent imprévisible, qui cumule les charges d’étude, de conception et de développement et qui est alourdi par une éventuelle dérive des objectifs ; caractéristique intrinsèque à toute structure dynamique avec des besoins en constants changements. Ces charges systémiques mènent dans la majorité des cas à un insoutenable dépassement budgétaire.
À contrario, votre éditeur spécialisé dispose d’une solution opérationnelle dont le coût de démarrage est fortement mutualisé, et par conséquent capable de vous proposer un coût total de possession (TCO) chiffré et précis dès le démarrage de votre projet.
Développement en interne : quels périls pour le planning du projet ?
Le fait de développer une solution réglementaire au sein de votre structure SI vous expose à des aléas techniques et organisationnels qui peuvent mettre en défaut votre planning prévisionnel. À titre d’exemples vous serez confrontés :
- À des spécifications imprécises ou ambiguës qui vont nécessiter des workshops de clarification ou d’arbitrage ;
- À des risques mal évalués qui vont surgir sur le chemin critique du projet ;
- À des contraintes logistiques et RH qui pourraient défaire vos prévisions
Avec votre éditeur spécialisé dans les solutions de Lutte contre le Blanchiment des Capitaux et de Financement du Terrorisme, vous serez dotés d’un planning prévisionnel clair et concis via une solution opérationnelle et un plan de déploiement rodé et expérimenté, basé sur une cartographie des risques consolidée et optimisée grâce aux expériences similaires précédentes.
Développement en interne : y a-t-il un risque d’aboutir à une solution appauvrie en « Best Practices » ?
Lors de la conception d’une solution réglementaire en interne, dans le cadre d’une expérience isolée et limitée à la seule vision de vos développeurs et de vos experts métiers internes, vous risquez d’aboutir à une solution privée des bonnes pratiques, appauvrie de l’ergonomie et de la prise en main adéquates.
Le fait de vous faire accompagner par votre éditeur spécialisé vous prémunit de ces aléas. En effet, ce dernier est doté d’une solution normalisée, doublement amendée par le recueil continu des équipes R&D et le retour d’expérience des divers acteurs de l’industrie financière auprès desquels la solution a été déployée.
Développement en interne : y-a-il un risque d’une solution précaire ?
Développer une solution réglementaire en interne à partir d’une feuille blanche (solution créée de zéro) nécessite une période d’exploitation, d’observation et de contrôle pour vous permettre de cerner, d’évaluer et enfin de corriger ses bugs et ses irrégularités ; et par conséquent de réussir à la stabiliser.
Un éditeur spécialisé dans les solutions LBC-FT dispose quant à lui d’une solution vigoureusement rodée par l’industrie :
- Ayant fait l’objet de plusieurs itérations d’optimisation et d’amélioration continues (PDCA) ;
- Et ayant abouti à de multiples montées en versions, la rendant plus stable et plus efficace.
Développement en interne : y a-t-il un risque de support défaillant ?
Le fait de développer une solution réglementaire en interne vous rend dépendant d’une documentation technique drastique, produite par les acteurs du projet (architectes, développeurs, experts métiers, etc.) non habitués à fournir et à maintenir ce type de livrables.
De ce fait, et sans consignes précises sur la méthodologie, la structure et le contenu, cette documentation devient rapidement coûteuse à rédiger, pénible à lire et surtout fortement dépendante des ressources (risque de perte de connaissances liée au turnover de personnes clés ayant contribué au projet).
Mis à part son support continu cadencé par des niveaux de service (SLA) contractuels, votre éditeur spécialisé va quant à lui mettre à votre disposition une documentation normalisée, structurée et continuellement révisée, assurée par des rédacteurs techniques spécialisés ; la rédaction technique étant au cœur du métier des éditeurs de logiciels.
Développement en interne : y-a-il un risque de susciter la vigilance du régulateur ?
Développer une solution réglementaire en interne vous rend une cible privilégiée du régulateur qui est bien informé sur la réputation de la majorité des logiciels du marché et qui va se poser des questions quant à la conformité et l’efficacité de la solution que vous avez conçue en interne. Par conséquent, vous serez sous surveillance renforcée (logique RBA) avec des contrôles et des audits réguliers.
La solution de votre éditeur spécialisé dans la LBC-FT est largement déployée sur le marché national et international. Elle est évaluée et reconnue par les divers organismes de contrôle et de régulation, et par conséquent, bénéficie d’une vigilance allégée du régulateur.
Plus la taille et la complexité d’un projet informatique sont importantes, plus le risque d’échec est de taille, et plus le risque de sanction réglementaire est probable vu l’obligation de moyens et de résultat imposée par la majorité des régulateurs. Ceci s’applique intrinsèquement aux projets de mise en conformité LBC-FT, soumis à des directives réglementaires précises et strictes et exposés à un environnement mouvant, en continuelle évolution.
En tant qu’établissement financier doté de structures SI conséquentes, le recours à un éditeur spécialisé s’avère souvent ne pas être une option, mais bien une nécessité pour garantir efficacité durable de votre dispositif de Lutte contre le Blanchiment des Capitaux et de Financement du Terrorisme.
Anis Gharbi
Directeur Risques et Conformité chez Vneuron
Avec ses 16 ans d’expérience dans la conformité réglementaire et le management des risques, capitalisés dans plusieurs secteurs tels que la télécommunication et l’assurance, Anis GHARBI a mené avec succès plusieurs missions de mise en place de dispositif LAB-FT dans plusieurs pays africains (Afrique du nord, zones UEMOA, CEMAC, CIMA, etc), s’adaptant ainsi à différentes spécificités organisationnelles, réglementaires et sectorielles.