Réunion plénière de l ALCO Mardi 21 juin 2005 Banque Générale de Luxembourg Luxembourg L ALCO remercie la BGL qui nous accueille et offre le cocktail.
2 PROGRAMME 17h30: Message d introduction J.-M. Legendre ALCO s working group coordination E. Mc Hale La lutte anti-blanchiment dans le secteur des assurances La politique de Compliance O. Sentis R. Sonnenschein 18h30: Guest speaker La place luxembourgeoise face au risque opérationnel T. Lopez 19h00: Cocktail offert par la BGL
ALCO s Working Group Coordination Evelyn Mc Hale
Importance of Working Groups Réunion plénière 21 juin 2005 4 Bringing ALCO members together Sharing knowledge and building knowledge database Raising profile with, and influencing, regulators Liaison with others associations in Luxembourg and abroad
Points to note Réunion plénière 21 juin 2005 5 The quality and timeliness of the work is important Board needs to be aware of issues arising so it can provide support and timely input
Role of the Co-ordinator Réunion plénière 21 juin 2005 6 To be the central point of contact for working group members and the Board for the set-up and progress of work To collect minutes, papers and issues arising in one place To resolve issues for working groups and to provide information to the working groups To avoid duplication
Target Réunion plénière 21 juin 2005 7 Each working group must produce a report or more: a conference within a certain time-frame
How to contact the Co-ordinator Réunion plénière 21 juin 2005 8 Any working group owner or member may contact the co-ordinator on: emchale@pt.lu GSM: 021 27 00 27
La lutte anti-blanchiment dans le secteur des assurances Problématique et dimension opérationnelle Olivier Sentis
Spécificités d un contrat d assurance vie : les personnes 10 - Preneur(s) (ou souscripteur) du contrat - Payeur(s) de prime - Assuré(s) - Bénéficiaire(s) Vie - Bénéficiaire(s)Décès : Identification au moment de la prestation TÊTE ASSUREE =M. DUPONT Albert Cie d assurance-vie En cas de décès? SOUSCRIPTEUR = M. DUPONT Albert BENEFICIAIRE = Son épouse,
Spécificités d un contrat d assurance vie : les intermédiaires 11 Degré différent de connaissance de l aspect KYC en fonction de l intervenant. Agent agréé ( en général exclusif ): statut de mandataire de la Cie le client est le client de la Cie Courtier d assurance : indépendant qui a un contrat de collaboration avec la Cie le client est son client, le rôle du courtier est de mettre son client en relation avec la Cie pour souscrire le contrat Différents types d intermédiaire: --> différentes procédures anti-blanchiment adaptées
Spécificités d un contrat d assurance vie : la vie du contrat 12 Lors des versements : la source des fonds n est pas cohérente le client verse des cotisations périodiques d un montant important, puis demande à un tiers de faire les paiements suivants. leur montant ne cadre pas avec la situation apparente du client ; Opérations qui peuvent intervenir au cours de la vie du contrat et qui nécessitent une analyse spécifique: - rachat (précoce), avance, renonciation - crédits, nantissements - modification de la clause bénéficiaire - changement de preneur,...
Evolution du contrat Réunion plénière 21 juin 2005 13 Opérations qui peuvent intervenir au cours de la vie du contrat et qui nécessitent une analyse spécifique: Rachat Modification de la clause bénéficiaire Changement de preneur,
14 AY remet à sa sœur BY des espèces ayant pour origine un trafic de stupéfiants CY Le père, retraité, souscrit des bons de capitalisation nominatifs La sœur BY verse ces espèces sur son compte bancaire et paie par chèques à son père CY, le loyer de plusieurs garages dont elle serait sous-locataire
15 Achat d une voiture avec des fonds d origine illicite Remboursement par l assureur de la valeur de la voiture Déclaration de vol à l assureur
Compliance policy GT n 23 Rob Sonnenschein
Working group n 23 Compliance Policy Réunion plénière 21 juin 2005 17 Members of the working group: Roland Dillien Hans van der Drift Martin Fey Mette Garby Sundhevy Goiot Anne Kayser Philippe Lassine Matthias Maertens Katrin Manegold Asli Mutlucan Harold Parize Sophie Pirotte Sophie Rase Nicholas Tandy Michel Tessore Marco Zwick Rob Sonnenschein
18 In accordance with CSSF circular 2004/155 Key items: Identify key compliance risk issues Explain the principles laid down by the board of directors Establish the compliance function, its independence and its objectives Require the drawing up of a compliance charter Institute the implementation of a continuous learning program
19 Senior management puts in place a compliance function to monitor the implementation of and to ensure that the compliance policy is followed. Independency; particularly the compliance function shall: Assist senior management in ensuring the adherence of the ethical rules Identify and assess the compliance risks Assist senior management in the management and control of compliance risks Inform and educate staff
20 Compliance risks Risk of breach of ethical rules Legal and regulatory risks Operational risks Risk of Sanctions Reputation risk
21 Compliance principles (I) Engage in and promote business and professional ethical conduct Comply with laws, regulations, rules and professional standards Avoid any conflicts of interest Take all reasonable measures to protect confidentially Protect the company s assets
22 Compliance principles (II) Protect the client s best interests Respect corporate governance principles Small treasurer note: Please be so kind to transfer your membership fee in case it slipped your mind
23 ALCO - Réunion Plénière 21 juin 2005 La Place luxembourgeoise face au risque opérationnel Thierry López Head of KBL Group Risk Management Président de PRiM
24 Plan Genèse du risque opérationnel & définition - Typologie du risque dans le secteur financier - Illustrations - 1990 : COSO - 2004 : Bâle II - CAD III Exclusions - Risque stratégique - Risque de réputation Audit, Compliance & Risk Management : complémentaires, non opposées - Charte Compliance de la Banque des Règlements Internationaux - GT 25 de l ALCO (IACI - PRiM) La Place luxembourgeoise et le risque opérationnel - Première approche - Deuxième approche [ 24 ]
25 Genèse du risque opérationnel & définition Typologie du risque dans le secteur financier MARKET CREDIT OPERATIONAL RISK METHODOLOGY RISK METHODOLOGY RISK METHODOLOGY Interest rate ERAC, VaR. Direct Weighting of nominal. IT Sum in absolute terms of net positions Weighting of notional, Advanced Measurement Forex for all currencies; excluding the base currency. Indirect CSA. Staff Approach (loss distribution Liquidity Price Maximum Cash Outflow. Mark-to-Market. Settlement weighting of nominal/notional in local systems. Process External events approach, scorecards) and insurances. [ 25 ]
26 Genèse du risque opérationnel & définition Illustrations Barings (1995) : pertes de 1,3 milliard de dollars. Responsable : Nick Leeson, trader. Causes : la concentration du risque de marché sur l'activité de trading en instruments financiers dérivés ; les cadres supérieurs ne perçoivent pas l'importance des opérations du trader ; le manque de rapports de suivi des activités et opérations de marché ; le manque de réaction et d'implication des dirigeants aux notifications de l'audit interne. En 1994, un rapport d'audit interne, avait formellement identifié le manque de séparation des tâches qui existait entre le front et le back-office de la banque, néanmoins le Comité de direction ne prend aucune mesure pour réduire ce facteur de risque de fraude ; le manque de proactivité de la part des autorités de contrôle. En effet, bien que celles-ci aient constaté et averti du risque inhérent au manque de séparation des responsabilités du trader, aucune sanction n'avait été prise à l'encontre de la banque. [ 26 ]
27 Genèse du risque opérationnel & définition Illustrations LTCM (1998) : pertes de 4 milliards de dollars. Responsables : des prix Nobel... Causes : concentration du risque sur une seule position (d où risques de crédit, de marché et de liquidité) : actifs de la dette publique russe ; pas de stratégie précise du Comité de direction concernant le profil de risque maximum accepté par l'institution (responsabilités des dirigeants) ; pas de procédures de reporting régulier afin de suivre l'évolution du profil de risque et pouvoir prendre des décisions rapides d'ajustement du profil de risque ; et... modélisation Value at Risk (VaR) inadéquate. [ 27 ]
28 Genèse du risque opérationnel & définition 1990 : COSO Définition : le risque opérationnel regroupe l'ensemble des pertes qui ne sont pas couvertes par le risque de crédit et le risque de marché et qui sont issues des unités fonctionnelles. Critiques : mérite d exister même si définition par défaut ; si ni crédit ni marché, alors activités opérationnelles MAIS aussi les événements externes ; orientation vers les éléments générateurs : les interruptions de la chaîne de production ; les carences des contrôles de production et de la qualité ; les pannes de systèmes d'information ; les erreurs ou malversations humaines ; les événements extérieurs. [ 28 ]
29 Genèse du risque opérationnel & définition 2004 : Bâle II - CAD III Définition : le risque opérationnel se définit comme le risque de pertes résultant de carences ou de défauts attribuables à des procédures, personnels et systèmes internes ou à des événements extérieurs. La définition inclut le risque juridique, mais exclut les risques stratégique et de réputation. Critiques : 4 catégories de vecteurs de risque dont les 3 premières regroupent des risques sur lesquels la banque dispose d'un contrôle direct et cela par le biais de sa structure fonctionnelle et des responsabilités de son organisation alors que la dernière catégorie (événements externes) est plus difficile à contrôler et à évaluer ; exclusion du risque stratégique et du risque de réputation (voir infra) ; création d un flou quant aux périmètres respectifs des fonctions Audit, Compliance et Risk Management (voir infra). [ 29 ]
30 Plan Genèse du risque opérationnel & définition - Typologie du risque dans le secteur financier - Illustrations - 1990 : COSO - 2004 : Bâle II - CAD III Exclusions - Risque stratégique - Risque de réputation Audit, Compliance & Risk Management : complémentaires, non opposées - Charte Compliance de la Banque des Règlements Internationaux - GT 25 de l ALCO (IACI - PRiM) La Place luxembourgeoise et le risque opérationnel - Première approche - Deuxième approche [ 30 ]
31 Exclusions Risque stratégique Définition : risque lié aux choix stratégiques d'une firme pour s'adapter à son environnement concurrentiel. Les choix stratégiques doivent respecter les attentes des actionnaires et des clients, assurer la croissance des revenus et l'amélioration de la qualité de ses services et de ses produits. Donc : risque de pertes de revenus encourus par une banque qui n'adapte pas ses produits, ses activités commerciales ou ses pratiques aux besoins et usages en vigueur sur son marché de prédilection. Critiques : choix stratégiques ont un impact sur ses revenus futurs mais impact peu aisé à mesurer car indirect et désynchronisé par rapport à la période à laquelle le choix stratégique a été opéré ; difficulté de différencier risque stratégique et risque opérationnel : si l implémentation des choix stratégiques est la cause directe (implémentation de systèmes défaillants ou inadaptés) des pertes assimilables à l'une ou l'autre des [ 31 ] catégories de risque opérationnel, ces pertes seraient de facto considérées comme des pertes opérationnelles.
32 Exclusions Risque de réputation Définition : la réputation peut se mesurer par le crédit dont jouit une firme, il s'agit à la fois de la confiance issue de la qualité des produits et services et/ou de la sincérité inspirée par l'intégrité de ses dirigeants et des valeurs sociales que ces derniers se sont engagés à promouvoir. Selon Brotzen : le risque de réputation se définit comme l'ensemble des menaces qui affectent à long terme la confiance des partenaires de la firme. Critiques : risque bien réel mais souvent sous-jacent à un risque opérationnel avéré (Cf. illustrations précédentes) ; extrêmement difficile à quantifier. [ 32 ]
33 Plan Genèse du risque opérationnel & définition - Typologie du risque dans le secteur financier - Illustrations - 1990 : COSO - 2004 : Bâle II - CAD III Exclusions - Risque stratégique - Risque de réputation Audit, Compliance & Risk Management : complémentaires, non opposées - Charte Compliance de la Banque des Règlements Internationaux - GT 25 de l ALCO (IACI - PRiM) La Place luxembourgeoise et le risque opérationnel - Première approche - Deuxième approche [ 33 ]
34 Audit, Compliance & Risk Management : complémentaires, non opposées Charte Compliance de la Banque des Règlements Internationaux Définition : This Charter describes the basic principles for promoting sound compliance practices at the BIS. Responsabilités : Compliance responsibilities are shared among all staff members as well as across various units of the Bank, the most notable of which are the following: [ 34 ]
35 Audit, Compliance & Risk Management : complémentaires, non opposées Charte Compliance de la Banque des Règlements Internationaux Management and line managers have primary responsibility for compliance at the Bank. The Compliance Unit identifies and assesses compliance risks, guides and educates staff on compliance issues, performs a monitoring and reporting role and in cooperation with the Legal Service also an advisory role. The Legal Service has primary responsibility for identifying the relevant laws, rules and standards with which the Bank should comply and for providing interpretation in case of doubt. Risk Control monitors the Bank s financial risks (credit risk, market risk and liquidity risk) and ensures compliance with the respective policies and limits. Internal Audit reviews the adequacy of controls established to ensure compliance with policies, plans, procedures and business objectives, in accordance with the Internal Audit Charter. [ 35 ]
36 Audit, Compliance & Risk Management : complémentaires, non opposées Charte Compliance de la Banque des Règlements Internationaux BIS Audit Committee Charter - 1. Purpose - The Audit Committee is an advisory committee established pursuant to Article 43 of the Bank s Statutes to assist the Board in its oversight responsibilities with respect to audit and compliance and the implementation of the financial reporting. The Audit Committee will review: (1) the effectiveness of the Bank s internal control and risk management system; (2) the effectiveness of the internal audit function; (3) the independent audit process, including recommending the appointment and assessing the performance of the external auditor; and (4) the Bank s process for monitoring compliance with relevant laws and regulations. [ 36 ]
37 Audit, Compliance & Risk Management : complémentaires, non opposées Charte Compliance de la Banque des Règlements Internationaux 5. Roles and responsibilities - The Audit Committee, in fulfilling its purpose, will: ( ) C. Compliance review the effectiveness of the Bank s system for monitoring compliance with relevant laws and regulations (including internal rules) and the measures taken by Management as a result of its investigation of material incidents of non-compliance. [ 37 ]
38 Audit, Compliance & Risk Management : complémentaires, non opposées GT 25 de l ALCO (IACI - PRiM) Définition : Ce groupe - auquel participent des représentants des trois associations ALCO, IACI et PRiM - a été constitué à la suite d'une demande de la CSSF pour approfondir la caractérisation de la fonction de Compliance par rapport aux fonctions voisines de l'audit Interne et du Risk Management. Critiques : néant! [ 38 ]
39 Plan Genèse du risque opérationnel & définition - Typologie du risque dans le secteur financier - Illustrations - 1990 : COSO - 2004 : Bâle II - CAD III Exclusions - Risque stratégique - Risque de réputation Audit, Compliance & Risk Management : complémentaires, non opposées - Charte Compliance de la Banque des Règlements Internationaux - GT 25 de l ALCO (IACI - PRiM) La Place luxembourgeoise et le risque opérationnel - Première approche - Deuxième approche [ 39 ]
40 La Place luxembourgeoise et le risque opérationnel Première approche Notre Place compte des institutions financières très bien capitalisées, ce qui de facto relativise la charge supplémentaire de consommation en fonds propres due à ce type de risque. La présence, sur nos terres, de filiales de grands Groupes internationaux, suppose souvent une décentralisation décisionnelle peu encline à une harmonisation locale de la gestion, notamment méthodologique, du risque opérationnel. Même si ce n'est pas typiquement luxembourgeois, l'immaturité des méthodes dites de type AMA, et les doutes entourant l'économie en consommation de fonds propres y liée, si on les compare aux méthodes Standardisée ou de Base, n'ont pas aidé à plaider la cause du risque opérationnel jusqu'à ce jour. [ 40 ]
41 La Place luxembourgeoise et le risque opérationnel Deuxième approche Fondamentalement, la prise en compte du risque opérationnel pour calculer les besoins en fonds propres force les institutions financières à mieux prévoir que par le passé des réponses à l'incertitude. Les objectifs de base de toute gestion des risques sont au nombre de trois : 1. éviter les pertes autant que faire se peut en limitant, le cas échéant, leur fréquence et leur sévérité ; 2. transférer éventuellement les risques ; et 3. se préparer de manière dynamique afin d'être capable de rétablir une situation détériorée et d'en limiter l'impact. [ 41 ]
42 La Place luxembourgeoise et le risque opérationnel Deuxième approche Probabilité d occurrence de pertes Tactique de réduction du risque Tactique de rejet du risque Tactique d acceptation du risque Tactique de transfert du risque Intensité des pertes Source : Lacroix [ 42 ]
43 La Place luxembourgeoise et le risque opérationnel Deuxième approche Risk Management Assurances Identification Evaluation Transfert Prévention Gestion a posteriori Operational Risk Management BCP Source : Esch, Kieffer & López [ 43 ]
44 La Place luxembourgeoise et le risque opérationnel Deuxième approche Si ces trois objectifs de base (éviter, transférer, se préparer) sont franchement bien rencontrés pour les risques financiers (i.e. de marché et de crédit) et, qui plus est, méthodologiquement bien appuyés, la nature non financière du risque opérationnel ne permet malheureusement pas d'aboutir au même constat. La Place de Luxembourg a pour core business des métiers dits «non risqués», sur le plan des risques financiers, mais par contre éminemment risqués sur le plan opérationnel justement. [ 44 ]
45 La Place luxembourgeoise et le risque opérationnel Deuxième approche Les questions qui viennent alors à l'esprit sont au nombre de trois : tout d'abord la question liée au capital. L'institution est-elle et demeurera-t-elle suffisamment capitalisée pour absorber tout désastre, quelle qu'en soit l'ampleur? ensuite, la politique générale d'une maison mère non luxembourgeoise en matière de gestion du risque opérationnel est-elle complètement adéquate avec le core business de sa filiale luxembourgeoise et compatible avec ses contraintes locales? et enfin ne mélange-t-on pas les notions de coût, d'une part, et de valeur d'autre part? Les méthodes d'appréhension du risque opérationnel ne servent-elles qu'à faire du risk measurement ou au contraire à mieux faire du risk management qualitatif, créateur de valeur pour l'entreprise? [ 45 ]
46 La Place luxembourgeoise et le risque opérationnel Deuxième approche En filigrane, l'homogénéité des métiers phares de la Place ne constitue-elle pas matière à mieux nous protéger ensemble, le cas échéant en ayant recours à des méthodes de type avancé, fût-ce dans un premier temps au titre du capital économique, c'est-à-dire de celui du management qui cherche à mieux allouer son capital sans question régulatoire immédiate? Le projet de mutualisation des incidents LuxOR (pour Luxembourg Operational Risk), même s'il n'a pas encore reçu l'accueil qu'il mérite, refera parler de lui. [ 46 ]
47 La Place luxembourgeoise et le risque opérationnel Deuxième approche Le projet GRIF (Gestion des Risques Opérationnels dans les Institutions Financières) débouche sur l'approche méthodologique de la CSSF dans le cadre du Pilier II des Nouveaux Accords de Bâle. Il s agit d une méthode d'évaluation permettant de répondre aux nouvelles exigences de Bâle II sans imposer de contraintes sur des procédures spécifiques, mais en favorisant la valorisation des savoir-faire des établissements financiers, de leurs fournisseurs ainsi que des autorités de surveillance. Cette méthode doit permettre d'obtenir une mesure objective sur le modèle de gestion des risques opérationnels soumis par les établissements à la CSSF dans le cadre du Pilier II. La méthode retenue est générique et permet à terme l'évaluation de tous types d'organisations sur base de la maturité de ses processus et peut donc être appliquée par les établissements financiers pour évaluer la maturité aussi bien de la gestion des risques opérationnels que des activités métiers. [ 47 ]
48 Conclusion 98/143 : par contrôle interne on entend des mesures mises en place par la direction, y inclus les procédures et les contrôles en place au sein d une banque ou d un PSF, qui ont pour but d assurer que : les objectifs posés par l entreprise sont atteints ; les ressources sont utilisées de façon économique et efficiente ; les risques sont contrôlés adéquatement et le patrimoine est protégé ; l information financière et l information de gestion sont complètes et fiables ; les lois et réglementations ainsi que les politiques, les plans, les règles et les procédures internes sont respectés. ( ) le système de contrôle interne ( ) comporte finalement une fonction d audit interne dont l objet est d évaluer de façon régulière l adéquation du contrôle interne. [ 48 ]
49 Conclusion 04/155 : la fonction Compliance est définie comme une fonction indépendante dont l'objectif est d'identifier et d'évaluer le risque de Compliance d un établissement ainsi que d assister la direction dans la gestion et le contrôle de ce risque. Elle fait rapport à la direction et, en cas de besoin, au conseil d'administration et sert de conseiller à la direction. Par risque de Compliance on entend le risque de préjudices qu'un établissement peut subir suite au fait que les activités ne sont pas exercées conformément aux normes en vigueur. Il peut comporter une variété de risques tels que le risque de réputation, le risque légal, le risque de contentieux, le risque de sanctions ainsi que certains aspects du risque opérationnel, ceci en relation avec l intégralité des activités de l établissement. [ 49 ]
50 Conclusion Bâle II : le risque opérationnel se définit comme le risque de pertes résultant de carences ou de défauts attribuables à des procédures, personnels et systèmes internes ou à des événements extérieurs. Principle 2: The board of directors should ensure that the bank s operational risk management framework is subject to effective and comprehensive internal audit by operationally independent, appropriately trained and competent staff. The internal audit function should not be directly responsible for operational risk management. Principle 8: Banking supervisors should require that all banks, regardless of size, have an effective framework in place to identify, assess, monitor and control/mitigate material operational risks as part of an overall approach to risk management. [ 50 ]
51 Conclusion La Compliance et le Risk Management font partie du périmètre auditable, mais concourent à l efficience du système de contrôle interne. En termes prudentiels, il est pire d avoir des gaps que des overlaps : la largesse de la définition du risque opérationnel pose la question de l identification des gaps et overlaps entre Audit, Compliance et Risk Management. Une culture de la gestion du risque passe d abord par une définition claire du périmètre de chaque intervenant et des interactions entre intervenants. Peu ou ne pas se soucier de la gestion qualitative, voire quantitative, du risque opérationnel à Luxembourg aux titres que la banque est bien capitalisée, que la maison mère s en occupe ou encore que certaines méthodes ne sont pas mûres est plus qu hasardeux étant donné le profil en risque opérationnel des core businesses de la Place. La gestion du risque opérationnel, c est comme la politique, quand on ne s en occupe pas, c est elle qui s occupe de vous... [ 51 ]