ADMINISTRATION CENTRALE, GOUVERNANCE INTERNE, GESTION DES RISQUES Circulaire CSSF 12/552 21 février 2013
Introduction (1) Développements récents au niveau international Problèmes de gouvernance interne vus comme facteur décisif dans crise financière Comité Européen des Contrôleurs Bancaires (Committee of European Banking Supervisors CEBS) se penche sur cette question dès 2008 2 septembre 2010: Lignes directrices du CEBS en matière de risques de concentration 27 octobre 2010: Lignes directrices du CEBS en matière de tarification de la liquidité 27 septembre 2011: Lignes directrices de l Autorité Bancaire Européenne en matière de gouvernance interne 28 juin 2012: Lignes directrices du Comité de Bâle en matière d audit interne Etat des lieux au Luxembourg Articles 5 et 17 de la loi du 5 avril 1993 (la «Loi») (obligations générales précisées suite à l introduction de MiFID) Contenu de ces obligations générales précisé dans plusieurs circulaires IML/CSSF éparses, plus ou moins explicites 2
Introduction (2) Objectifs de la circulaire 12/552 (la «Circulaire») Transposition des textes internationaux Concentration de l ensemble des principales dispositions en matière de gouvernance interne dans une circulaire unique Premier pas vers un recueil réglementaire consolidé en matière de gouvernance interne au sens large Annonce d une «version ultérieure» de la Circulaire (inclura totalité des aspects relatifs aux risques et leur gestion) 3
Champ d application (1) Les établissements concernés Etablissements de crédit («EC») et entreprises d investissements («EI») de droit lux., y compris leurs succursales Succursales lux. d EC et d EI dont le siège est établi hors de l EEE Succursales lux. d EC et d EI dont le siège est établi dans l EEE Mais seulement pour les domaines où la CSSF dispose d une responsabilité de contrôle (?) Professionnels effectuant des opérations de prêt Mais seulement chapitre 3 de partie III de la Circulaire concernant le risque de crédit Circulaire s applique sur base individuelle ou consolidée Obligatoirement à tout le groupe si entité de droit lux. est entreprise mère au sens de la Loi (tête de groupe) Obligation de faire son possible pour l appliquer aux entités dans lesquelles l entité de droit lux. détient une participation importante (entre 20% et 50%) si cette dernière entité n est pas une entreprise mère au sens de la Loi Entrée en vigueur A partir du 1 er juillet 2013, à l exception de certaines dispositions applicables à partir du 1 er janvier 2014 (p.ex. exigences concernant composition et qualification du conseil d administration) 4
Champ d application (2) Dispositions abrogatoires Abrogations IML 93/94 (entrée en vigueur pour les banques de la loi du 5 avril 1993 relative au secteur financier), CSSF 10/466 (informations à fournir en situations de crise) Ne seront plus applicables aux EC/ EI (mais le resteront pour autres PSF) IML 95/120 (administration centrale) IML 96/126 (organisation administrative et comptable) IML 98/143 (contrôle interne) CSSF 04/155 (fonction compliance) CSSF 05/178 (organisation administrative et comptable, sous-traitance informatique) NB: les dispositions de certaines de ces circulaires ont été reprises telles quelles dans la Circulaire 5
De quelques principes clés de la Circulaire (1) Principe de proportionnalité Mesures à prendre par chaque EC/EI: «proportionnelles à la nature, l échelle et la complexité des activités, y compris les risques, et de l organisation» de l EI/EC Dispositif renforcé pour EC/EI «plus importants, complexes ou risqués» ou EC/EI «présentant un profil de risque plus élevé ou complexe» (ex. instauration de comités spécialisés) Dispositif peut être allégé pour EC/EL «dont la diversité, la taille ou la complexité de l activité sont moindres» (ex. fonction de compliance et/ou de contrôle des risques à temps partiel) Dérogations possibles pour EC/EI de petite taille et/ou activités limitées et/ou simples Analyse au cas par cas Limite: ségrégation des tâches 6
De quelques principes clés de la Circulaire (2) «Comply or explain» Point 61 de la Circulaire : «une fois par an, la direction autorisée confirme à la CSSF le respect de la présente circulaire par le biais d une phrase écrite unique suivie des signatures de toute la direction autorisée. Lorsqu en raison d un manque de conformité, la direction autorisée n est pas en mesure de confirmer le respect intégral de la circulaire, la déclaration précitée prend la forme d une réserve qui énonce sommairement les points de non-conformité en donnant des explications sur leurs raisons d être» Dérogations à justifier auprès de la CSSF 7
Principaux changements à retenir Présentation synthétisera les principaux changements, en mettant l accent sur quelques impacts pratiques, dans les domaines suivants Dispositif de «gouvernance interne» Responsabilités, composition et qualification du Conseil d administration Responsabilités, composition et qualification de la Direction autorisée Organisation administrative, comptable et IT Fonctions de contrôle interne (contrôle des risques/ compliance/ audit interne) Autres points saillants 8
9 Dispositif de «gouvernance interne»
Dispositif de gouvernance interne (1) Définition et impact du concept Finalité: assurer gestion saine et prudente des activités, y compris risques inhérents Modèle des «trois lignes de défense» 1 ère ligne: Unités opérationnelles Contrôles quotidiens par personnel exécutant (ex. vérification du solde de caisse, etc ) Contrôles critiques continus assurés par personnel chargé du traitement administratif des opérations: fonctionne si respect du principe de ségrégation des tâches (ex. contrôle hiérarchique, double signature, réconciliation, contrôle des limites internes, etc ) Contrôles réalisés par les membres de la Direction autorisée sur les activités ou fonctions qui tombent sous leur responsabilité directe (ex. vérification des risques liés à une activité, du respect des procédures, des budgets, des limites, etc ) 2 ème ligne: Fonctions financière et comptable, informatique, compliance et contrôle des risques Contribuent au contrôle indépendant des risques 3 ème ligne: Fonction d audit interne Evaluation objective et critique des deux premières lignes de défense Composition minimale du dispositif de gouvernance interne: check-list au point 10 de la Circulaire! 10
Dispositif de gouvernance interne (2) Fonction d audit interne Fonctions financière et comptable, informatique, compliance et de contrôle des risques Direction autorisée Contrôles critiques par le personnel de traitement administratif Contrôles par le personnel opérationnel 1 2 3 11
Dispositif de gouvernance interne (3) Propriétés du dispositif de gouvernance interne Robustesse Adéquation Efficacité Intégrité Exhaustivité Cohérence Transparence Implications pratiques (points 13 à 16 de la Circulaire): organigramme à établir, documentation écrite de l ensemble du dispositif de gouvernance interne, révision critique au moins une fois par an de ce dispositif, publication des éléments clés de ce dispositif 12
Responsabilités, composition et qualification du Conseil d administration 13
Responsabilités, composition et qualification du CA (1) Notion de CA: pas à prendre au sens juridique strict Organe qui contrôle la gestion exercée par la Direction autorisée Clarification des responsabilités du CA Définition de la stratégie commerciale ainsi qu en matière de risques et fonds propres/liquidités Définition de principes directeurs Stratégies et principes directeurs seront mis en œuvre par la Direction autorisée via politiques et procédures internes approuvées par CA (ex. plan d audit interne) et sous surveillance du CA Evaluation annuelle critique du dispositif de gouvernance interne (contenu minimum au point 20 de la Circulaire!) 14
Responsabilités, composition et qualification du CA (2) Accès du CA aux sources d informations visées au point 20 de la Circulaire doit être garanti pour lui permettre d exercer ses missions Interactions avec fonctions de contrôle interne et réviseurs externes Obligation de notification à la CSSF Déficience dans le dispositif de gouvernance interne Remise en cause de la qualification ou l honorabilité d un membre du CA, de la Direction autorisée ou d un responsable d une fonction de contrôle interne 15
Responsabilités, composition et qualification du CA (3) Assistance du CA par des comités spécialisés Exemples de comités envisagés par la Circulaire Audit Risque Rémunération Ressources humaines Gouvernance interne Compliance La Circulaire fixe les missions, les règles de composition de ces comités ainsi que les relations fonctionnelles et lignes de reporting avec CA et autres comités Dérogations possibles si nature, échelle ou complexité de EC/EI et de ses activités n exigent pas de tels comités En tout état de cause, pas d obligation! Attention cependant: les tâches incombant aux comités, telles que définies dans la Circulaire (point 38 et suiv.), incomberont au CA lui-même dans ce cas 16
Responsabilités, composition et qualification du CA (4) Qualification du CA: clarification et extension de la portée des exigences des articles 7 et 19 de la Loi compétences professionnelles + qualités personnelles + honorabilité CA, en tant que collectif Nombre suffisant Compétence appropriée à la nature, à l échelle et à la complexité des activités et de l organisation Analyse au cas par cas MAIS UNE LIMITE: compréhension parfaite de l ensemble des activités (et des risques qui leur sont inhérents), de l environnement économique et réglementaire, de la structure organisationnelle Composition «adéquate» du CA dans son ensemble Membres du CA individuellement 17 Parfaite compréhension du dispositif de gouvernance interne et de leurs responsabilités Maîtrise des activités qui sont du ressort de leur domaine d expertise Bonne compréhension des autres activités significatives Qualités personnelles leur permettant d exécuter leur mandat d administrateur de manière efficace, avec engagement, disponibilité, objectivité, sens critique et indépendance
Responsabilités, composition et qualification du CA (5) Impacts pratiques Réunions régulières du CA en vue de s acquitter efficacement de ses responsabilités Reflète souhait des autorités d avoir CA s impliquant de manière plus effective dans mission de surveillance Documentation de tous les travaux ainsi que du dispositif de gouvernance interne par écrit Evaluation régulière du CA par lui-même dans un souci de meilleure efficacité et de vérifier compliance Culture du contradictoire Nomination d un ou plusieurs administrateurs indépendants Pas requis pour petits EC/EI Principes directeurs pour la désignation et succession des administrateurs à fixer par écrit (ex. continuité, évaluation performances, formation continue, etc ) Termes des mandats à adapter (ex. conflits d intérêts, disponibilité, etc ) Cumul président CA et membre de la Direction autorisée: interdit! 18 Majorité des membres du CA : n assume pas un rôle exécutif Dérogation pour petits EC/EI?
Responsabilités, composition et qualification de la Direction autorisée 19
Responsabilités, composition et qualification de la Direction autorisée (1) Direction autorisée responsable de la gestion journalière efficace, saine et prudente des activités (et des risques inhérents) Définition de politiques et procédures internes mettant en œuvre les stratégies et principes directeurs définis par CA et contrôle de leur application et de la nécessité de les adapter au fil du temps (toute violation doit entraîner mesures correctrices promptes et adaptées) S assure que EC/EI dispose de mécanismes de contrôle interne, des infrastructures techniques et des ressources humaines nécessaires Définition d un code de conduite et vérification de son application sur base des contrôles effectués par les fonctions de compliance et d audit interne S assure de la disponibilité des informations de gestion requises à tous les niveaux Concept d informations de gestion: non défini Selon point 8 de la Circulaire: concept à interpréter largement et au moins incluant l information financière et le reporting prudentiel 20
Responsabilités, composition et qualification de la Direction autorisée (2) Interactions avec les fonctions de contrôle interne Doit tenir compte des conseils et avis des fonctions de contrôle interne dans la contexte de la gestion journalière Avant de prendre une décision pouvant avoir impact matériel sur le profil de risque de EC/EI: doit recueillir avis préalable de la fonction de contrôle de risques et la cas échéant la fonction compliance En vue de remédier aux faiblesses Définition de procédures écrites (contenu minimum fixé au point 57 de la Circulaire), sur proposition des fonctions de contrôle interne Mise en œuvre effective des mesures correctrices (incluant désignation des responsables et allocation de ressources), relevées par les fonctions de contrôle interne et les réviseurs externes, en tenant compte des recommandations des fonctions de contrôle interne Suivi de l application des mesures correctrices: fonctions de contrôle interne Procédure analogue à mettre en œuvre si CSSF demande de prendre des mesures (correctrices) Reporting au CA en cas de retard dans la mise en œuvre de mesures correctrices (ce dernier autorisera les prorogations de délais) Doit les informer des changements majeurs en termes d activité ou d organisation 21
Responsabilités, composition et qualification de la Direction autorisée (3) Information au moins annuelle au CA Obligation de notification à la CSSF Déficience dans le dispositif de gouvernance interne Nominations/révocations des chefs des fonctions de contrôle 22
Responsabilités, composition et qualification de la Direction autorisée (4) Qualification de la Direction autorisée: clarification de la portée des exigences des articles 7 et 19 de la Loi Dans le même sens que pour CA Impacts pratiques Droit de veto si des décisions de gestion sont prises par des comités de gestion plus larges Documentation des travaux ainsi que du dispositif de gouvernance interne par écrit Un membre doit être en charge de l organisation administrative, comptable et informatique et se chargera i.a. Définition de l organigramme et description des tâches (basé sur le principe de séparation des tâches) Production et publication des informations comptables destinées aux tiers et du reporting à la CSSF 23
Responsabilités, composition et qualification de la Direction autorisée (5) Un ou plusieurs membres doivent être en charge des fonctions de contrôle interne Responsabilité collective mais possibilité de répartition des tâches en évitant les conflits d intérêts. Cumuls non possibles: Fonctions de prise de risque et de contrôle indépendant de ces risques Chief Compliance Officer et responsable de la fonction d audit interne Formation professionnelle continue 24
25 Organisation administrative, comptable et IT
Organisation administrative, comptable et IT (1) Ressources humaines Doivent être suffisantes en terme de nombre et compétences professionnelles individuelles et collectives Organigramme et description des tâches à établir, dans le respect du principe de ségrégation des tâches Programme de formation professionnelle continue à tous les niveaux Au niveau de chaque fonction commerciale: support d une infrastructure administrative 26
Organisation administrative, comptable et IT (2) Fonction financière et comptable Mission: gestion comptable de l EC/EI Principes clés Ségrégation des tâches: pas possible d exercer tâches commerciales ou administratives incompatibles Importance du principe d intégrité (point 84 de la Circulaire) Procédures comptables écrites: check-list au point 78 de la Circulaire + manuel des procédures comptables (point 84 de la Circulaire) Règles en matière d ouverture/clôture de comptes et écritures comptables (points 81 à 83 de la Circulaire) Possibilité de sous-traitance Décentralisation interne à EC/EI possible sous conditions Sous-traitance envisagée dans Q&A CSSF pas formalisée dans la Circulaire Contrôle de gestion à mettre en place 27
Organisation administrative, comptable et IT (3) Fonction IT Premier choix: propre service informatique encadré par un dispositif de contrôle interne et disposant de son propre système informatique + personnel compétent (points 85 et suiv. de la Circulaire) Principaux rôles Assurer la disponibilité/ continuité des systèmes Nécessité d une solution de back-up en ligne avec le BCP/BRP Préserver l intégrité des systèmes et des données Deux responsables à nommer IT Officer: responsable de la fonction informatique stricto sensu RSSI: responsable de la sécurité des systèmes d information/protection de l information Indépendant des fonctions opérationnelles et doit pouvoir rapporter directement au CA Pour petits EC/EI: chacune de ces fonctions peut être assumée par un membre de la Direction autorisée, voire par un même membre de cette Direction autorisée, qui pourra s appuyer sur expertise externe 28
Organisation administrative, comptable et IT (4) Possibilité de sous-traitance (points 190 et suiv. de la Circulaire)? Synthèse simplifiée des règles existantes en la matière Règles varient selon Type de service: gestion/opération de systèmes IT, conseil/développement/maintenance et hébergement/propriété de l infrastructure Profil du prestataire tiers Localisation géographique du prestataire tiers Une compétence IT minimale à maintenir au sein de l EC/EI Confidentialité à assurer Pas de transfert de la fonction financière et comptable en raison de la sous-traitance IT Accès aux systèmes IT de l EC/EI à l étranger par des intermédiaires professionnels, des succursales ou bureaux de représentation soumis à autorisation préalable de la CSSF 29
Fonctions de contrôle interne (contrôle des risques / compliance / audit interne) 30
Fonctions de contrôle interne (1) Définition du concept de contrôle interne Dispositif composé de règles et de procédures But: assurer que les objectifs posés par l établissement sont atteints, les ressources sont utilisées de façon économique et efficiente, les risques sont contrôlés et le patrimoine est protégé, l information financière et l information de gestion sont correctes, complètes, pertinentes, compréhensibles et disponibles sans délais, les lois et réglementations ainsi que les politiques et les procédures internes sont respectées, les demandes et exigences de la CSSF sont respectées Exemples Mécanismes de prévention des erreurs d exécution et des fraudes et permettant leur détection rapide NB: si activités de gestion patrimoniale/services liés à l administration des OPC importants, mécanismes de contrôle internes adéquats pour ces activités, i.a. la gestion discrétionnaire, le traitement du courrier domicilié, la conservation de valeurs de tiers (banque dépositaire), la tenue de comptabilité et le calcul de la valeur nette d inventaire 31
Fonctions de contrôle interne (2) Trois fonctions de contrôle interne différentes: contrôle des risques, compliance, audit interne Direction autorisée désigne parmi ses membres la ou les personne(s) en charge des fonctions de contrôle interne Pour chacune de ces fonctions, il convient de nommer un chef de fonction distinct exerçant à temps plein: Chief Risk Officer, Chief Compliance Officer, Chief Internal Auditor Procédure interne de nomination/révocation à mettre en place + approbation du CA + notification CSSF (incluant motifs de la révocation) Responsables vis-à-vis de la Direction autorisée et, en dernier ressort à l égard du CA droit d accès direct au président du CA ou aux membres du comité d audit doit être garanti Chief Compliance Officer est la personne de contact privilégié avec les autorités en charge de la lutte contre le blanchiment et le financement du terrorisme et les abus de marché 32
Fonctions de contrôle interne (3) Si principe de proportionnalité peut jouer 1. Le membre de la Direction autorisée responsable de la fonction compliance peut lui-même assumer le poste de Chief Compliance Officer avec autorisation spécifique de la CSSF 2. Le membre de la Direction autorisée responsable de la fonction de contrôle des risques peut lui-même assumer poste de Chief Risk Officer Autorisation CSSF non prévue (?) 3. Un même membre de la Direction autorisée peut cumuler ces deux postes 4. Chief Compliance Officer à temps partiel avec autorisation spécifique de la CSSF (justification écrite à fournir) 5. Chief Risk Officer à temps partiel sous condition d une «information» à la CSSF avec justification de la décision 33
Fonctions de contrôle interne (4) Responsabilités, organisation et qualités des fonctions de contrôle interne Principales missions Vérifier le respect des politiques et procédures internes tombant dans leur champ de compétence Évaluer l adéquation de ces mêmes politiques et procédures internes Rendre compte à la Direction autorisée et au CA, le cas échéant en fournissant avis Au moins une fois par un an, un rapport de synthèse sur ses activités et fonctionnement est soumis au CA ou aux comités spécialisés pour approbation et à la Direction autorisée pour information Fournir des avis et conseils à la Direction autorisée et au CA ou aux comités spécialisées, sur demande Notification de toute déficience à la Direction autorisée et au CA SI EC/EI est tête de groupe: surveillance des fonctions de contrôle interne de tout le groupe NB: tous les travaux doivent être documentés! 34
Fonctions de contrôle interne (5) Interactions CA, Direction autorisée et fonctions de contrôle interne Conseil d administration Rapporte Rapportent Conseillent Informent Direction autorisée Rapporte CSSF Rapportent Conseillent Informent Informe Consulte Rapporte Fonctions de contrôle interne 35
Fonctions de contrôle interne (6) Organisation Permanence Ressources humaines, infrastructure et budget, nécessaires et suffisants (apprécié au regard du principe de proportionnalité) Quid sous-traitance?» Fonction de compliance / contrôle des risques: NON» Fonction d audit interne: OUI si petits EC/EI + profil de risques faible et non-complexe + en principe, si EC/EI n a pas d agences, succursales ou filiales et sur demande écrite auprès de la CSSF (incluant nom de l expert externe, personne physique, qui doit être indépendant du réviseur externe ou du groupe auquel ce dernier appartient) Recours possible à l expertise ou aux moyens techniques de tiers (pour certains aspects seulement)» Conformément à une procédure ad hoc.» Indépendants du réviseur externe ou du groupe auquel ce dernier appartient mais, en matière d audit, il peut s agir des auditeurs internes du groupe auquel l EC/EI appartient (point 159 de la Circulaire) 36
Fonctions de contrôle interne (7) Indépendance, ce qui exclut Cumul de tâches opérationnelles avec des fonctions de contrôle de ces mêmes tâches Intégration ou dépendance hiérarchique par rapport aux unités opérationnelles contrôlées Rémunération fonction de la performance des activités contrôlées ou d autres critères affectant l objectivité (?) Intégration des fonctions de contrôle des risques et/ou compliance au sein du service d audit interne Autorité suffisante Requiert notamment accès à toutes les données et informations externes et internes nécessaires pour leurs missions Droit d accès direct au CA ou son président ou aux présidents des comités spécialisés, aux réviseurs externes et à la CSSF 37
Fonctions de contrôle interne (8) Qualités Objectivité (indépendance d esprit, pas de conflits d intérêts, rotation des tâches de contrôle assignées aux auditeurs internes, auditeur recruté en interne ne doit pas contrôler des activités ou fonctions exercées dans un passé récent, etc ) Compétences professionnelles élevées collectivement et individuellement Apprécié au cas par cas en fonction de la nature de la mission de chaque collaborateur et la complexité/diversité des activités de l EC/EI Connaissances théoriques initiales Formation continue Intégrité et discrétion (point 114 de la Circulaire) 38
Fonctions de contrôle interne (9) Impacts pratiques Vérifier que les responsabilités respectives des fonctions de contrôle des risques, compliance et audit soient en lignes avec les exigences de la Circulaire Vérifier que la charte de compliance et la charte d audit soient en lignes avec les exigences de la Circulaire Pas de charte requise pour la fonction de contrôle des risques Mise en place d un plan d audit interne pour une période pluriannuelle 39
40 Autres points saillants
Autres points saillants Importance de la communication interne (clarté, exhaustivité, accès aisé et permanent, communication de l information de gestion) Mise en place d un mécanisme de whistleblowing en matière de gouvernance interne Procédure à mettre en place pour lancement de nouveaux produits et modifications de l activité, avec l assistance des fonctions de contrôle interne - Approbation de la Direction autorisée Sous-traitance - De manière générale, synthèse simplifiée des textes épars existants en la matière Gestion patrimoniale privée («Private Banking») Ségrégation organisationnelle des activités de gestion discrétionnaire, conseil en investissement et exécution d ordres Liste de tâches ne pouvant être exécutées par le fonction commerciale (production/distribution relevés de compte/portefeuille, modification données clients, etc ) Mesures en vue de l encadrement des crédits et dépassements en compte courant («early warning system») 41
Conclusion Je suppose que vous n avez pas de questions 42
Contact Glenn Meyer Partner Banking & Financial Services Tel : 40 78 78 352 Email : Glenn.Meyer@arendt.com