Objectifs
- Connaître le dispositif réglementaire et normatif.
- Savoir déployer des méthodologies d’identification et d’évaluation des risques liées à l’externalisation compte-tenu du contexte règlementaire.
- Connaître les modalités de mise en œuvre d’un dispositif de supervision permanent et périodique des services externalisés et savoir les mettre en œuvre.
- S’appuyer sur les meilleures pratiques de place.
Animateur(s)
Yvan ALLIOLI
- Risques Opérationnels.
- Cartographie des risques.
- Lutte contre le risque de fraude.
- Contrôle et Audit Interne.
- Plan de Continuité d’Activité.
Programme
1LES PRINCIPALES NOTIONS ATTACHÉES À LA NOTION DE PEE
Enjeux de l’externalisation pour l’industrie bancaire.
Enjeux de l’externalisation pour l’industrie bancaire.
Définitions.
Contexte réglementaire :
- Arrêté du 3 novembre 2014 relatif au contrôle interne.
- Analyse comparée avec les guidelines de l’EBA de février 2019 « orientations relatives à l’externalisation ».
- Adhérences avec le règlement DORA en matière de résilience.
Principales obligations : contrats et dispositif de contrôle.
Gouvernance et examen du contrôle des PEE.
Travaux de place et éléments normatifs.
2ÉLIGIBILITÉ, CLASSIFICATION, APPROCHE PAR LES RISQUES
Critères d’éligibilité.
Principes de classification.
Typologie de risques associés à l’externalisation.
Approche par les risques des PEE :
- Critères quantitatifs.
- Risques qualitatifs.
Lien avec les cartographies des risques existantes.
3PÉRIMÈTRE DU CONTRÔLE INTERNE DES PRESTATIONS ESSENTIELLES EXTERNALISÉES
Contrôle de conformité et contrôle opérationnel.
Les principaux éléments constitutifs du périmètre de contrôle :
- Conformité contractuelle.
- Situation financière du prestataire.
- Agréments, certifications et qualité.
- Dispositif Général de Gouvernance et de contrôle interne.
- Contrôle interne de la prestation fournie.
- Dispositif de traitement des incidents relatifs à la prestation.
- Fiabilité des états de suivi et de reporting.
- Systèmes d’information et Continuité d’Activité.
4MISE EN ŒUVRE DU CONTRÔLE PERMANENT ET PÉRIODIQUE DES PRESTATIONS ESSENTIELLES EXTERNALISÉES
Rôle et responsabilités des différents organes de contrôle et des opérationnels en charge de la prestation.
Définition d’un niveau de surveillance adapté.
Typologie des contrôles sur pièces et sur place.
Élaboration d’un plan de contrôle permanent des PEE.
Élaborer un plan et guide d’audit des PEE :
- Particularités des audits de PEE.
- Audits dédiés vs audits mutualisés.
- Suivi des recommandations d’audit des PEE.
5SYNTHÈSE ET CONCLUSION
Synthèse de la journée.
Évaluation de la formation.
Public et pré-requis
Participants
- Fonctions contrôle permanent, contrôle périodique, conformité.
- Directeurs des risques.
- Responsables risques opérationnels.
- RCCI et RCSI, représentants des dépositaires.
- Administrateurs de fonds.
- Responsables de back-office.
- Comptables et gestionnaires des OPC et des sociétés de gestion.
- Commissaires aux Comptes et leurs collaborateurs.
Supports et moyens pédagogiques
- Documentation en PowerPoint.
- Alternance d’illustrations et d’exercices pratiques.
- QCU, Vrai/Faux, questions/réponses pour vérifier, réviser et confirmer les acquis.
- Synthèses.
Connaissances requises
- Aucune connaissance particulière n’est exigée.
Dates
| Dates | Localisation / Modalité | Animateur(s) | |
|---|---|---|---|
| 27/11/2025 | Paris | Yvan ALLIOLI | S'inscrire |
| 27/11/2025 | Distanciel | Yvan ALLIOLI | S'inscrire |
Formation PSEE : maîtriser les contrôles des prestations essentielles externalisées dans le secteur financier
La transformation numérique et la recherche de performance conduisent de nombreuses institutions financières à externaliser des fonctions critiques.
Ces prestations essentielles externalisées (PSEE), bien qu’efficaces, génèrent des risques opérationnels, réglementaires et de continuité d’activité qu’il est impératif d’encadrer.
La formation PSEE proposée par l’AFGES permet aux cadres et managers de la banque, de l’assurance et de l’asset management de comprendre les enjeux liés à l’externalisation, d’évaluer les obligations réglementaires et de mettre en place des contrôles robustes, en conformité avec les recommandations de l’EBA, le RGPD et les exigences d’un Plan de Continuité d’Activité.
Comprendre les exigences de l’EBA sur les prestations externalisées à travers la formation PSEE
L’EBA (European Banking Authority) a émis des lignes directrices précises sur la gestion des PSEE, notamment via son guide sur l’externalisation applicable aux établissements de crédit, aux entreprises d’investissement et aux prestataires de services financiers.
Ces recommandations imposent une cartographie des fonctions externalisées, une évaluation rigoureuse des prestataires, des clauses contractuelles spécifiques et une surveillance continue.
La formation PSEE offre une analyse détaillée de ces exigences, en expliquant comment identifier une prestation essentielle, comment formaliser un contrat conforme aux recommandations de l’EBA, et comment structurer un plan de surveillance post‑externalisation. Elle met en lumière les points de contrôle attendus par les superviseurs et les sanctions potentielles en cas de manquement.
Les participants développent ainsi une posture proactive face aux audits de conformité, en s’appuyant sur une méthodologie structurée et alignée avec les standards européens de supervision.
Se former pour mieux intégrer les obligations RGPD dans la gestion des PSEE
Toute formation PSEE se doit également d’aborder la question de la protection des données. En effet, nombre de prestations externalisées impliquent des flux d’informations sensibles, parfois transfrontaliers, ce qui soulève des obligations strictes en matière de RGPD.
Le règlement général sur la protection des données impose notamment la sécurisation des traitements, la responsabilité conjointe avec les sous-traitants, la conservation limitée des données, ainsi que des mécanismes de traçabilité et de droit d’accès.
La formation permet aux professionnels de cerner les risques liés à l’externalisation de traitements de données personnelles, d’analyser les clauses contractuelles RGPD nécessaires, et de mettre en place des contrôles internes adaptés. Elle aborde également la gestion des violations de données, les obligations de notification et les audits de conformité.
Grâce à cette approche, les participants peuvent concilier les contraintes réglementaires du RGPD avec les exigences opérationnelles des PSEE, garantissant ainsi un cadre contractuel sécurisé et conforme aux attentes de la CNIL et des régulateurs financiers.
Formation PSEE et Plan de Continuité d’Activité : sécuriser les activités critiques
La résilience opérationnelle est devenue une priorité stratégique pour les acteurs du secteur financier. Dans ce contexte, toute externalisation de processus essentiels doit impérativement s’accompagner d’un Plan de Continuité d’Activité (PCA) solide.
La formation PSEE aborde en détail les obligations en matière de continuité et de reprise d’activité, telles qu’attendues par l’EBA, mais aussi par les normes ISO ou les réglementations nationales.
Les participants apprennent à intégrer le PCA dans le contrat d’externalisation, à définir des scénarios de crise, à organiser des tests de continuité et à s’assurer que le prestataire dispose lui-même d’un plan testé, documenté et éprouvé. L’objectif est de garantir la capacité de l’entreprise à maintenir ses fonctions critiques, même en cas de défaillance du prestataire ou de crise majeure.
La mise en œuvre d’un Plan de Continuité d’Activité est ainsi présentée comme une composante essentielle du pilotage des PSEE, au même titre que la gouvernance, la cybersécurité ou le suivi de la performance.
La formation PSEE est indispensable pour piloter efficacement l’externalisation des fonctions critiques
La formation PSEE de l’AFGES s’adresse aux professionnels en charge de la conformité, de l’audit interne, de la gestion des risques ou des achats stratégiques. Elle leur apporte les outils et les référentiels nécessaires pour sécuriser l’externalisation de fonctions essentielles, tout en respectant les exigences réglementaires en vigueur.
Grâce à une approche pédagogique structurée, la formation permet de maîtriser les attentes de l’EBA, d’intégrer le RGPD dans les processus contractuels, et de mettre en œuvre un PCA robuste pour garantir la continuité des opérations.
Elle favorise le développement d’une culture du contrôle rigoureuse, indispensable pour préserver la résilience et la réputation des établissements financiers dans un contexte d’externalisation croissante.
