La CSSF, la Commission de Surveillance du Secteur Financier, s’apprête à publier deux nouvelles circulaires, introduisant le concept d’approche par les risques – ou  risk-based approach -, pour les PSF de support.

Le client financier d’un PSF de support est responsable du service presté à ses clients, et donc résultat des opérations de son fournisseur au sein de sa propre chaîne de valeur. Le PSF de support a dès lors intérêt à être à même de démontrer sa maîtrise des risques vis-à-vis du secteur financier, fonction de la nature des services prestés, la part de marché relative par rapport au secteur non-financier ou encore l’organisation du PSF de support concerné.

Dès 2008, la CSSF recommandait à cette famille de PSF «de se préparer à disposer d’un processus d’évaluation et de gestion des risques pour les activités prestées au secteur financier» 1. La concrétisation de la réflexion se traduit par la volonté d’optimiser le cadre de la surveillance exercée sur les PSF de support en introduisant le concept d’approche par les risques (« risk-based approach »), selon un principe de proportionnalité.

En deux temps

A ce sujet, l’Association des PSF de Support communiquait des informations ce lundi : la scission de l’approche risk based en deux étapes, traduites dans deux circulaires différentes.

La première circulaire détaillera les attentes de la CSSF concernant deux rapports :
– le Rapport d’Analyse de Risques (RAR), présentant l’auto-évaluation annuelle des risques du PSF de support ;
– le Rapport Descriptif (RD), présentant une description des activités prestées auprès du secteur financier, de l’organisation et de l’infrastructure du PSF de support – rapport également annuel.

La seconde circulaire sera publiée, selon la CSSF, plus tard dans l’année en cours et décrira la définition des règles pratiques concernant la mission des réviseurs d’entreprises agréés auprès de ces entités, et l’établissement d’un compte rendu analytique de révision (CRA).

La publication de la première de ces deux circulaires est attendue dans les jours à venir.

RAR

Les techniques d’évaluation de risque portent sur deux variables : la probabilité de survenance du risque (P), et son impact (I) s’il venait à se réaliser (impact financier, légal et réglementaire, opérationnel, etc..). L’importance du risque étant calculée ensuite, sur base d’échelles d’appréciation.

Selon toute vraissemblance, échelles de P et I, ainsi que les catégories seront définies dans la circulaire, afin que le référentiel soit commun pour le marché.
Une carte d’identité de chaque risque peut être dressée et figurer dans le rapport, comprenant un descriptif, le résultat du calcul, les moyens de mitigations mis en oeuvre pondérant éventuellement ce résultat.

Ce type de rapport comprend encore la description des rôles et responsabilités des différentes parties prenantes au système de gestion des risques, les méthodes et procédures en place pour leur évaluation, ainsi que les outils de gestion et de documentation éventuellement utilisés.

RD

Le rapport descriptif, quant à lui, décrit l’organisation administrative et comptable, le système de contrôle interne, l’infrastructure informatique, les activités et la situation financière du PSF de support, selon la structure que la circulaire standardisera aussi à des fins d’efficacité.

Le PSF de support aura 3 mois au plus tard après la clôture de l’exercice pour remettre le rapport d’analyse de risques à la CSSF. Comme pour d’autres activités de reporting, la sous-traitance à un expert externe devrait être possible – à charge pour le réviseur externe d’analyser indépendamment la démarche a posteriori.

1 Circulaire CSSF 08/350

Par Jean-Philippe Wagnon, Vectis