La Commission de Surveillance du Secteur Financier, la CSSF (en photo Jean Guill, son directeur), a révélé l’attendue circulaire 12/544, impactant la gestion des PSF de Support. Cette directive introduit la dimension de l’optimisation par une approche par les risques de la surveillance exercée sur les « PSF de support », dite aussi Risk-Based Approach. Les premiers rapports devront être rédigés dès 2013…

La CSSF a publié une nouvelle circulaire s’adressant à tous les PSF exerçant une ou plusieurs activités de PSF de support. Elle vise donc tant les Agents de Communication à la Clientèle telles que définies dans l’article 29-1, que les Agents Administratifs du 29-2, et également les OSIP (Opérateurs de Systèmes informatiques primaires) du secteur financier sous l’article 29-3 et les OSIS (Opérateurs IT secondaires) régit par le 29-4 de la loi du 5 avril 1993 relative au secteur financier. « Les PSF de support offrent des services davantage de nature opérationnelle et technique que financière et ne sont pas, par nature, des professionnels du secteur financier. Leurs services s’adressent à tout type d’entreprises appartenant ou non au secteur financier. C’est la prestation de certains services à des clients professionnels du secteur financier qui les qualifie alors eux-mêmes de professionnels du secteur financier et les fait ainsi entrer dans le périmètre de surveillance de la CSSF. »

« Or, cette prestation de services peut accentuer ou engendrer un certain nombre de risques pour le secteur financier. Le degré de risque que chaque PSF de support fait courir au secteur financier peut varier fortement d’un PSF de support à un autre, selon notamment la nature des services prestés ainsi que la part de marché et l’organisation du PSF de support concerné. Dans un souci de clarté, précisons qu’il ne s’agit pas des risques des clients professionnels financiers du PSF de support – tel que la dépendance au fournisseur, la perte d’expertise, etc… qui doivent être adressés par les clients professionnels financiers eux-mêmes – mais, bien des risques du PSF de support pouvant avoir un impact direct ou indirect sur les clients professionnels financiers et qui représentent donc un risque pour ces derniers. »

Ne pas mélanger des pommes et des poires

Dès avril 2008, la CSSF affirmait « qu’il devenait prioritaire pour la CSSF comme pour les PSF de support de recentrer la surveillance prudentielle par rapport aux enjeux et risques encourus par le secteur financier uniquement ». Elle recommandait aux PSF de support « de se préparer à disposer d’un processus d’évaluation et de gestion des risques.

La CSSF affirme donc sa volonté d’optimiser le cadre de la surveillance exercée sur les PSF de support en introduisant un nouveau concept d’approche par les risques (« risk-based approach »).

La surveillance se fera principalement par rapport aux enjeux et risques engendrés pour le secteur financier sur :

1. la proportionnalité de l’activité du PSF de support dans le secteur financier
2. la prise en compte de l’auto-évaluation et de la gestion par le PSF de support des risques qu’il fait courir au secteur financier,
3. la définition des règles pratiques concernant la mission des réviseurs d’entreprises agréés auprès de ces entités

La CSSF crée aussi de nouveaux rapports :

• Un rapport d’analyse de risques (RAR) par le PSF de support ;
• Un rapport descriptif (RD) annuel qui doit faciliter la compréhension et l’analyse des risques reportés dans le RAR.
• Un compte rendu analytique de révision (CRA) rédigé dans le cadre de la mission des réviseurs d’entreprises

Ce recentrage de la surveillance comprend deux étapes.

La circulaire 12/544 spécifie, d’une part, le contenu du rapport d’analyse de risques et, d’autre part, le contenu du rapport descriptif, sachant que ces deux documents constituent une source importante d’informations tant pour la direction du PSF de support dans le cadre de sa fonction de gestion que pour la CSSF dans l’exercice de sa mission de surveillance prudentielle.

Dans ses dispositions finales et transitoires, la circulaire prévoit la remise à la CSSF des premiers rapports d’analyse de risques et des premiers rapports descriptifs dès 2013. Une seconde circulaire (étape 2) viendra définir les règles pratiques concernant la mission des réviseurs d’entreprises agréés auprès des PSF de support et le contenu du compte rendu analytique de révision, complétant ainsi le dispositif d’optimisation de la surveillance.