Blog Post LES PRINCIPALES MODIFICATIONS APPORTÉES PAR L’ARRÊTÉ DU 25 FÉVRIER 2021 ABROGEANT L’ARRÊTÉ DU 3 NOVEMBRE 2014 RELATIF AU CONTRÔLE INTERNE DES BANQUES


Avr

13

2021

LES PRINCIPALES MODIFICATIONS APPORTÉES PAR L’ARRÊTÉ DU 25 FÉVRIER 2021 ABROGEANT L’ARRÊTÉ DU 3 NOVEMBRE 2014 RELATIF AU CONTRÔLE INTERNE DES BANQUES

Evelyne Ngnotue, 13/04/2021

1. Les raisons de la modification de l’arrêté du 03 Novembre 2014

Le nouvel arrêté vise à mettre à jour l’arrêté du 3 novembre 2014 en matière de contrôle interne afin de prendre en compte certaines dispositions ayant été adoptées tant au niveau international qu’au niveau européen et de s’adapter à certaines pratiques de place.
Il clarifie notamment les différents niveaux de contrôle qui peuvent exister et précise les obligations qui doivent être respectées, tant en matière d’agrégation des données que de gestion du risque informatique.
Le respect des dispositions relatives à la gestion du risque informatique doit se faire en cohérence avec l’organisation globale du contrôle interne prescrite dans cet arrêté.

2. Le périmètre de la réforme

L’arrêté porte sur le contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumis au contrôle de l’Autorité de Contrôle Prudentiel et de Résolution.

3. Calendrier de mise en œuvre

À l’exception de l’article 241-2 qui est entré en vigueur le lendemain de sa publication au Journal officiel de la République française, l’ensemble des dispositions entrent en vigueur le 28 juin 2021.

4. Les nouveautés apportées par le texte

4.1. Les exigences sur le cadre de gestion du risque informatique au sein des banques
4.1.1. Définition du risque informatique et des systèmes d’information

Le risque informatique est le risque de perte résultant d’une inadéquation ou d’une défaillance affectant l’organisation, le fonctionnement, le changement ou la sécurité du système d’information. Le risque informatique est un risque opérationnel.
L’arrêté  du 25 Février 2021 précise la définition des systèmes d’informations comme étant l’ensemble des actifs informatiques et des données, ainsi que des moyens humains permettant le traitement de l’information d’une banque.

4.1.2. Les attentes sur le dispositif de gestion du risque informatique

Le nouvel arrêté spécifie les attentes sur le dispositif de gestion du risque informatique au travers des systèmes d’information et de la qualité du service informatique.
Les banques doivent  établir leur stratégie en matière informatique afin de répondre aux objectifs de leur stratégie d’affaires. Les dirigeants effectifs et l’organe de surveillance doivent  s’assurer que les ressources allouées à la gestion des opérations informatiques, à la sécurité du système d’information ainsi qu’à la continuité d’activité sont suffisantes pour que la banque remplisse ses missions.

Le dispositif de gestion des risques informatiques au sein des banques vise à :
– identifier le risque informatique auquel elles sont exposées pour l’ensemble de leurs actifs informatiques et de leurs données utilisés pour leurs différentes activités opérationnelles, de support ou de contrôle ;
– évaluer ce risque, au regard de leur appétit pour le risque, en tenant compte des menaces et des vulnérabilités connues ;
– adopter des mesures adéquates de réduction du risque informatique, y compris des contrôles ;
– surveiller l’efficacité de ces mesures et informer les dirigeants effectifs et l’organe de surveillance de leur bonne exécution.

4.1.3. Les attentes sur le dispositif de sécurité des systèmes d’information

La politique de sécurité du système d’information doit préciser les principes mis en œuvre pour protéger la confidentialité, l’intégrité et la disponibilité de leurs informations et des données de leurs clients, de leurs actifs et services informatiques. Les objectifs étant de garantir l’authenticité, l’imputabilité, la responsabilité et la fiabilité des systèmes d’information.
Cette politique doit être fondée sur une analyse des risques et approuvée par les dirigeants effectifs et l’organe de surveillance.

Les banques doivent formaliser et mettre en œuvre des mesures de sécurité physique et logique adaptées à la sensibilité des locaux, des actifs et services informatiques, ainsi que des données. Elles doivent également mettre en œuvre un programme de sensibilisation et de formations régulières à la sécurité du système d’information, soit au moins une fois par an, au bénéfice de tous les personnels et des prestataires externes, et en particulier de leurs dirigeants effectifs.

4.2. Les exigences sur le plan de continuité d’activité associé aux systèmes d’information

Les banques doivent  établir un dispositif de gestion de la continuité d’activité validé par l’organe de surveillance et mis en œuvre par les dirigeants effectifs, qui vise à assurer leur capacité à maintenir leurs services, notamment informatiques, de manière continue et à limiter leurs pertes en cas de perturbation grave.

Le plan de continuité informatique comprend :
– une procédure d’analyse quantitative et qualitative des impacts de perturbations graves sur leurs activités, tenant compte des liens de dépendance existant entre les différents éléments mis en œuvre pour chaque activité, notamment les actifs informatiques et les données ;
– un plan d’urgence et de poursuite de l’activité fondé sur l’analyse des impacts, qui indique les actions et moyens à mettre en œuvre pour faire face aux différents scénarios de perturbation des activités et les mesures requises pour le rétablissement des activités essentielles ou importantes ;
– un plan de reprise d’activité qui comporte des mesures d’urgence destinées à maintenir les activités essentielles ou importantes.

 Les banques doivent tester périodiquement leur dispositif de gestion de la continuité d’activité, notamment leurs services informatiques, et s’assurent que leur organisation et la disponibilité de leurs ressources humaines, immobilières, techniques et financières, font l’objet d’une appréciation régulière au regard des risques liés à la continuité de l’activité.

4.3. De fortes attentes sur la capacité d’agrégation des données sur les risques en ligne avec le principe de proportionnalité

L’arrêté du 25 Février 2021 insiste sur l’amélioration de la capacité d’agrégation des données sur les risques pour les établissements importants. Elle inclut  la définition, la collecte et le traitement des données sur les risques permettant aux établissements de mesurer leurs résultats au regard de leur appétit pour le risque.

Ainsi les établissements importants doivent définir des politiques, à l’échelle du groupe, régissant la gestion, la qualité et l’agrégation des données sur les risques. Dans ce cadre, ils doivent mettre  en place des procédures qui prévoient :

– la mise en place de mesures visant à assurer l’exactitude, l’intégrité et l’exhaustivité des données sur les risques ;
– la mise en place d’une structure de données uniforme ou homogène, le cas échéant à l’échelle du groupe, pour identifier sans équivoque les données sur les risques ;
– les données agrégées sur les risques sont disponibles en temps utile ;
– les capacités d’agrégation des données sont suffisamment adaptables pour répondre à des demandes ponctuelles.

Les établissements importants doivent définir :
– les responsabilités pour toutes les étapes du processus d’agrégation des données sur les risques et les contrôles liés aux processus mis en place ;
– les rôles et les responsabilités relatifs à la propriété et à la qualité des données.

Les autres établissements qui ne sont pas des établissements importants sont soumis aux dispositions semblables tout en prenant en compte le principe de proportionnalité.  La mise en œuvre des exigences sur la capacité d’agrégation des données de risques se fera au cas par cas selon des modalités adaptées à leur taille, à la nature et à la complexité de leur activité.

4.4. Une redéfinition des trois niveaux de contrôle interne en cohérence avec le principe de proportionnalité

Les banques doivent disposer, selon des modalités adaptées à leur taille, à la nature et à la complexité de leurs activités, de trois niveaux de contrôle distincts.

4.4.1. Le premier niveau de contrôle

Il est assuré par des agents exerçant des activités opérationnelles. Ces agents identifient les risques induits par leur activité et respectent les procédures et les limites fixées.

4.4.2. Le deuxième niveau de contrôle

Il est assuré par des agents au niveau des services centraux et locaux exclusivement dédiés à la gestion des risques y compris le risque de non-conformité. Dans le cadre de cette mission, ces agents vérifient notamment que les risques ont été identifiés et gérés par le premier niveau de contrôle selon les règles et procédures prévues.
Ce deuxième niveau de contrôle est assuré par la fonction de vérification de la conformité et la fonction de gestion des risques ou par une ou plusieurs unités indépendantes dédiées au deuxième niveau de contrôle. Les agents exerçant des contrôles de deuxième niveau sont indépendants des unités qu’ils contrôlent.

Les deux premiers niveaux de contrôle assurent le contrôle permanent de la conformité, de la sécurité et de la validation des opérations réalisées et du respect des autres diligences liées aux missions de la fonction de gestion des risques.
Les responsables des fonctions de contrôle permanent de deuxième niveau, lorsqu’ils ne sont pas dirigeants effectifs, n’effectuent aucune opération commerciale, financière ou comptable. Les banques doivent désigner un dirigeant effectif responsable de la cohérence et de l’efficacité dudit contrôle permanent.

4.4.3. Le troisième niveau de contrôle

Il  est assuré par la fonction d’audit interne composée d’agents au niveau central et, le cas échéant, local distincts de ceux réalisant les contrôles de premier et deuxième niveau.
Le troisième niveau de contrôle assure, au moyen d’enquêtes, le contrôle périodique de la conformité des opérations, du niveau de risque effectivement encouru, du respect des procédures, de l’efficacité et du caractère approprié des dispositifs  du contrôle permanent.

4.5. Un meilleur encadrement des situations de conflits d’intérêt

L’arrêté  du 25 Février 2021 a rajouté des alinéas permettant de préciser les attentes sur le dispositif de gestion des conflits d’intérêts. Ainsi des procédures mises en place doivent permettre de recenser, évaluer, gérer et atténuer ou éviter les conflits d’intérêts avérés et potentiels au niveau de l’établissement, ainsi que les conflits avérés et potentiels entre les intérêts de l’établissement et les intérêts privés du personnel qui pourraient avoir une incidence défavorable sur l’exercice de leurs attributions et responsabilités.

4.6. Une clarification du mandat et du positionnement de la fonction de l’audit interne

Les attentes portent sur :
– les procédures internes encadrant la désignation et la révocation du responsable de l’audit interne ;
– la désignation d’un dirigeant effectif en charge de la cohérence et de l’efficacité du contrôle périodique assuré par la fonction d’audit interne ;
– la réaffirmation de l’indépendance des membres de la fonction d’audit interne à l’égard de l’ensemble des entités et services qu’ils contrôlent ;
– les moyens  suffisants affectés à la fonction d’audit interne pour lui permettre de mener un cycle complet d’investigations de l’ensemble des activités sur un nombre d’exercices aussi limité que possible qui ne saurait excéder cinq ans. La fréquence et les priorités des cycles d’audit sont proportionnées aux risques identifiés au sein des entreprises assujetties.

4.7. Des précisions sur le périmètre du comité nouveau produit et nouvelle activité

Les  banques doivent définir des politiques d’approbation des nouveaux produits et changements significatifs recouvrant :
– les nouveaux produits et services ;
– les changements significatifs, pour cette entreprise ou pour le marché, à un produit, service ou processus existant et leurs systèmes associés ;
– les opérations de croissance interne et externe ;
– les transactions exceptionnelles.

Les banques doivent mettre en place des systèmes et procédures assurant une analyse à la fois en amont et prospective des risques encourus lorsqu’elles décident de réaliser des opérations relatives à des nouveaux produits ou des changements significatifs listées précédemment.

4.8. Un renforcement des exigences sur les prestations externalisées

Les banques doivent tenir  et mettre à jour un registre des dispositifs d’externalisation en vigueur en distinguant les dispositifs d’externalisation portant sur des prestations de services ou des tâches opérationnelles essentielles ou importantes et les dispositifs d’externalisation d’autres activités.
Elles doivent également  informer l’Autorité de contrôle prudentiel et de résolution en cas de conclusion d’un contrat d’externalisation portant sur des prestations de services ou d’autres tâches opérationnelles essentielles ou importantes ou lorsqu’une activité externalisée est devenue une prestation de service ou une tâche opérationnelle essentielle ou importante en lui adressant, une fois par an, une extraction du registre dédié.

4.9. Clarification des attentes sur le reporting à l’attention des dirigeants effectifs, de l’organe de surveillance et de l’ACPR

Les banques dont le total de bilan social ou consolidé est supérieur à 5 milliards d’euros doivent constituer un comité des risques, un comité des nominations et un comité des rémunérations.
Les banques doivent  transmettre à l’ACPR, au moins une fois par an et au plus tard le 30 juin, les informations requises mentionnées aux articles L. 511-98 et L. 511-99 du code monétaire et financier.
Tout changement relatif à l’objectif et à la politique des banques concernées par ce périmètre est communiqué dans les meilleurs délais à l’ACPR.

Références

https://www.legifrance.gouv.fr/loda/id/JORFTEXT000043220074/

Comments are closed.