Récapitulatif: Du 30 Mars au 10 Avril Rapports de l OICV sur les plans de continuité d activité.

Transcription

1 Du 30 Mars au 10 Avril 2015 Récapitulatif: Rapports de l OICV sur les plans de continuité d activité. Mise à jour de la liste des Contreparties Centrales autorisées en Europe. Lancement d un projet conjoint entre le CSD de Russie et Interfax.

2 Rapports de l OICV sur les plans de continuité d activité L Organisation Internationale des Commissions de Valeurs (OICV) a publié le 7 Avril 2015, pour consultation, deux rapports sur les plans de continuité d activité : - Un 1 er rapport sur les mesures destinées aux systèmes de négociation pour une gestion efficace des risques de négociation électronique et des plans de continuité d activité (Mechanisms for Trading Venues to Effectively Manage Electronic Trading Risks and Plans for Business Continuity) ; - Un 2 ème rapport sur les plans de continuité et de reprise d activité des intermédiaires de marchés (Market Intermediary Business Continuity and Recovery Planning). Alors que le 1 er rapport énonce des recommandations spécifiques pour les systèmes de négociation concernant la gestion des risques et les meilleures pratiques en matière de plans de continuité d activité (PCA), le 2 ème rapport constitue une revue du rapport du «Joint Forum», publié en 2006 et traitant des principes fondamentaux de la continuité d activité. La révision du 2 ème rapport s est basée sur un questionnaire transmis à 22 régulateurs et 60 intermédiaires de marchés ainsi que sur les informations collectées dans le cadre des tables rondes organisées par l OICV. Le rapport établit des normes applicables aux régulateurs ainsi que des recommandations destinées aux intermédiaires de marchés. Parmi les principales pratiques décrites, figurent : Etat des lieux Gouvernance La plupart des régulateurs interrogés ont mis en place des exigences encadrant l élaboration d un PCA et définissant les évènements critiques qui doivent être pris en considération, par les intermédiaires. Toutefois, l OICV a relevé qu une minorité de régulateurs imposent des pénalités en cas de non-conformité aux conditions exigées alors que d autres publient, au profit de leurs participants, des rapports sur les meilleures pratiques de continuité sans pour autant imposer leur application. La majorité des régulateurs imposent à la Direction Générale ou au Conseil d Administration la responsabilité de l organisation et de la supervision du PCA. Certains régulateurs exigent à la Direction Générale de : (i) mettre en place une structure chargée de l implémentation du PCA, (ii) informer régulièrement le Conseil d Administration de toute modification du PCA. Les intermédiaires interrogés disposent d un PCA formel qui se compose essentiellement de 2 parties : (i) les procédures d identification des menaces, (ii) l évaluation de l impact potentiel de ces menaces. Les menaces concernent, outre celles relatives aux locaux, à la technologie, aux prestataires de services, l indisponibilité du personnel ainsi que les catastrophes naturelles. Les PCA des intermédiaires prévoient notamment des dispositions relatives à : l encadrement des relations avec les infrastructures de dénouement et de compensation, la mise en place d un site de secours opérationnel, la réplication instantanée et le stockage de donnée hors site, la révision annuelle du PCA, l existence d un système de supervision 24 heures, la détermination des personnes responsables de la gestion de la continuité d activité, un programme de formation et de sensibilisation des employés, Les intermédiaires disposent d une structure de gestion de continuité d activité qui tend à impliquer la Direction Générale ou le Conseil d Administration dans la fixation des orientations stratégiques et la supervision de haut niveau. Aussi, des comités opérationnels sont créés pour implémenter la stratégie de continuité définie et simuler des scénarios de tests. Les intermédiaires prévoient un modèle de gouvernance qui inclut une politique de révision du PCA, le contrôle et la conformité, le reporting des risques à la Direction générale et aux parties prenantes.

3 Systèmes activités critiques et Dispositifs de secours Protection des données et des actifs Personnel critique La plupart des régulateurs exigent que les PCA fixent des objectifs qui tiennent compte de délais raisonnables de reprise d activité. En Corée, le site principal doit reprendre son activité normale au bout de 3 heures. Certains régulateurs mettent en place des exigences spécifiques qui doivent être prises en considération lors de la définition du PCA, d autres accordent une certaine flexibilité aux intermédiaires. En Romanie, les intermédiaires doivent disposer de 2 serveurs de secours qui permettent de sauvegarder les données en temps réel. Les régulateurs exigent la mise en place d un minimum de procédures de secours. En Hongrie, le régulateur impose aux intermédiaires d implémenter des dispositifs de secours qui soient géographiquement séparés du site principal. La majorité des régulateurs n ont pas établi, dans le cadre du PCA, des règles spécifiques encadrant la sécurité physique et d informations; seulement des règles générales sont prévues. Les régulateurs exigent que des formations soient effectuées pour le personnel critique afin de le préparer à faire face aux situations de crises. Rapports de l OICV sur les plans de continuité d activité (Suite) Pour prioriser et déterminer les fonctions, les processus et les systèmes critiques, les intermédiaires adoptent une approche basée sur l analyse de l impact de l indisponibilité d une fonction, d un processus ou d un système et ce tenant compte des aspects métier, règlementaires, financiers et de réputations. Une fois les fonctions critiques définies, les intermédiaires procèdent à leur évaluation via : des tests réguliers, le recours à une entreprise tierce (évaluation indépendante), l identification des dépendances vis-à-vis des technologies et des prestataires tiers, 40% des intermédiaires interrogés disposent d un site de secours qui constitue une duplication du site principal. Généralement, les sites de secours des intermédiaires sont situés à 20 Km au minimum de leur site principal. Les intermédiaires ont mis en place des politiques et des procédures d identification et de gestion des risques spécifiques en relation avec la protection des avoirs. Toutefois, l OICV a annoncé qu il n est pas clair si ces politiques sont relatives au PCA ou si elles sont d ordre général. 53% des intermédiaires interrogés ont identifié le personnel ayant des postes clés. 28% des intermédiaires interrogés ont identifié le personnel nécessaire à l exécution des fonctions critiques dans le cadre du PCA. 23% des intermédiaires ont confirmé que le personnel dispose de solutions d accès qui leur permettent de travailler à domicile.

4 Rapports de l OICV sur les plans de continuité d activité(suite) Relations avec tierces parties les Les exigences règlementaires encadrant les relations des intermédiaires avec les tierces parties leur fournissant des services critiques sont assez différentes d une juridiction à une autre. Certains régulateurs exigent que les intermédiaires demandent, à leurs tierces parties, la garantie d un niveau minimum de services en cas de crise et l identification de solutions de continuité. D autres exigent l identification, par les intermédiaires, de leur degré de dépendance vis-à-vis des tierces parties. Tests La majorité des régulateurs exigent que les intermédiaires effectuent des tests réguliers de leurs PCA. La périodicité de conduite des tests n a pas été spécifiée juridiquement, exceptée pour quelques pays. La majorité des intermédiaires ont signé des accords de niveau de service (service level agreement) et des accords de non divulgation (non disclosure agreement) avec leurs prestataires de services. D autres ont annoncé avoir réduit au maximum l externalisation de leurs activités. En ce qui concerne les intermédiaires, la fréquence de tests dépend des exigences règlementaires implémentées, des problématiques identifiées lors des tests précédents ainsi que de la criticité de l activité ; certains intermédiaires effectuent des tests annuels alors que d autres effectuent des tests trimestriels et semestriels. Les 2/3 des intermédiaires interrogés participent à des tests de place. Parmi les dispositions testées, figurent les plans de communications, la résilience de l infrastructure IT, la capacité de reprise, l opérationnalité du site de secours et la disponibilité d un centre de données alternatif. Surveillance des PCA Plusieurs régulateurs collectent des informations relatives aux PCA des intermédiaires dans le cadre de leurs processus d évaluation des risques et de surveillance des marchés. Sur certains marchés, les régulateurs élaborent des questionnaires aux fins d évaluer la robustesse des principes de continuité adoptés par leurs intermédiaires. D autres adoptent un système de notation des PCA qui tient compte des risques potentiels de non-conformité des intermédiaires avec les objectifs fixés. En ce qui concerne les intermédiaires d importance systémique, 14 régulateurs ont indiqué que leurs règlementations ne distinguent pas entre les institutions d importance systémique et les autres institutions. Toutefois, en Allemagne, les programmes de supervision appliquent le principe de proportionnalité où les institutions d importance systémique font l objet d une attention particulière. En Italie, les intermédiaires d importance systémique sont sujets à des exigences plus strictes. Référence: 1 er rapport : ; 2 ème rapport :

5 Mise à jour de la liste des Contreparties Centrales autorisées en Europe L Autorité Européenne des Marchés Financiers (ESMA) a publié une mise à jour de la liste des Contreparties Centrales (CCP)*agréées en vertu de la règlementation EMIR qui prévoit qu une CCP peut fournir des services de compensation à des participants de l'union Européenne sous réserve d être agréée par l'esma. La liste des CCP autorisées compte désormais 16 entités. * Une contrepartie centrale (CCP) s interpose entre les contreparties des contrats négociés sur un ou plusieurs marchés financiers, devenant l acheteur vis-à-vis de tout vendeur le vendeur vis-à-vis de tout acheteur, et assurant ainsi la réalisation de positions ouvertes. Lancement d un projet conjoint entre le CSD de Russie et Interfax Le CSD de Russie (NSD) et l agence d informations (Interfax) ont annoncé le lancement d un projet conjoint visant à encadrer la collecte, la vérification et la distribution des informations relatives aux Opérations Sur Titres. Dans le cadre de ce projet, un système sera créé pour recenser toutes les données relatives aux émetteurs tout en assurant leurs mises. Ce système sera géré par l agence et permettra de réduire les risques liés à la communication de données incorrectes, incomplètes ou en retard en créant une source fiable et standardisée d informations.