Yvan ALLIOLI

 

Dans un contexte économique de taux bas et de faible rentabilité, l’outsourcing constitue un levier important de réduction des coûts. L’ensemble des institutions financières (Établissements bancaires, institutions de paiement, de monnaie électronique, etc.) est aujourd’hui concerné par ce phénomène, quel que soit le métier exercé et la taille de l’établissement.

1. LE NOUVEAU CONTEXTE RÉGLEMENTAIRE

Fort de ces enjeux, l’ABE a publié le 25/02/2019 son rapport final sur les orientations relatives à l’externalisation, visant à créer des lignes directrices pour encadrer de manière uniforme l’externalisation par les institutions financières relevant de son périmètre.
L’ACPR a publié le 15/07/2019 une notice de conformité aux Orientations de l’EBA, entendant se conformer pleinement à ces orientations, précisant  » qu’elles doivent être lues à la lumière de celles de l’arrêté du 3 novembre 2014 « .
Les exigences de l’arrêté du 3 novembre 2014 concernant la gestion de l’externalisation sont largement renforcées par les Guidelines de l’EBA. Ils constituent le catalyseur pour réviser et optimiser le dispositif de gestion et de contrôle de l’Outsourcing au sein des établissements.
À court terme, ces Guidelines imposent la définition d’un cadre de gouvernance et d’une méthodologie standardisée de business case, d’analyse de risque et de due diligence des sous-traitants, pour toute nouvelle externalisation ou renouvellement/révision de contrat existant à compter du 30/09/2019. Les établissements auront ensuite deux ans pour se mettre en conformité sur l’ensemble du stock de contrats existants.

2. LE PÉRIMÈTRE

Les exigences de l’EBA visent les prestations rendues par des prestataires de services externes et les prestations intra groupe.

3. LES PRINCIPALES RECOMMANDATIONS

Les recommandations de l’EBA en la matière sont basées sur trois axes principaux :
1. L’identification et de qualification de prestations critiques/importantes.
2. Le cadre de Gouvernance.
3. Le processus d’outsourcing.

4. PRINCIPES D’IDENTIFICATION ET DE QUALIFICATION

Les procédures et méthodologies d’identification des prestations externalisées et de qualification des prestations critiques devront être revues au regard des exigences renforcées de l’BAE (principes d’identification plus détaillés que l’arrêté du 3 novembre 2014, approche par les risques prépondérante pour la qualification des prestations critiques ou non).
Un registre des contrats d’externalisation devra être créé, intégrant les prestations critiques ou non critiques, et tenue à la disposition du régulateur.

5. CADRE DE GOUVERNANCE

Les politiques d’externalisation devront être révisées :
■ En précisant la stratégie et l’appétence au risque en matière d’Outsourcing.
■ En intégrant les rôles et responsabilités des différentes fonctions participant au dispositif (décision, mise en œuvre et contrôle), les prérogatives de l’outsourcing Officer et son positionnement, ainsi que le comité en charge des approbations d’externalisation.
■ Enfin les modalités d’information préalable du régulateur pour tout nouveau projet d’externalisation de prestation critique devront être formalisées.
Le programme de travail du contrôle périodique devra lui aussi être mis en perspective des nouvelles exigences de l’ABE (audit du dispositif d’Outsourcing et des prestataires/prestations criques outsourcées).

6. PROCESS D’EXTERNALISATION

En termes d’analyse préalable à toute décision d’externalisation et de choix de sous-traitant, les modalités de Business case/Risk Assessment/Due dilligences devront être révisées/renforcées en intégrant les dimensions de risques opérationnels, de non-conformité (enjeu juridique) et de concentration.
Une méthodologie d’identification/gestion des conflits d’intérêts liée à la sous-traitance devra être déployée.
En termes de contractualisation, les clausiers utilisées dans les contrats d’Outsourcing (composante juridique et niveau de service) devront être complétés et renforcés en ce qui concerne notamment les modalités de la subdélégation des prestations (sous-traitance en cascade), les conditions de réversibilité et les modalités de contrôle permanent des prestations (KPI/KRI, etc.).
Enfin une méthodologie de stratégie de sortie la formalisation de plan de sortie/transition devra être formalisée.

Sources :

■ Orientations relatives à l’externalisation de l’ABE du 25/02/2019.
■ Notice de conformité de L’ACPR du 15/07/2019 .