Ce document, bien que destiné aux autorités, est très instructif en ce qu’il donne des pistes d’analyse des plans d’affaires des établissements de crédit ; ce document destiné aux superviseurs s’avère utile en interne pour les fonctions audit et risque afin de les aider à mieux comprendre le business model. Il peut être utile également pour les administrateurs afin de mieux appréhender le plan d’affaires qui leur est présenté.
Le document commence par des critères généraux, telle la nécessité de se concentrer sur le modèle d’entreprise, la stratégie et le profil de risque de l’établissement de crédit ; l’objectif étant de pouvoir s’assurer de la viabilité et de la durabilité du modèle d’entreprise de l’établissement et de sa capacité à se conformer aux exigences prudentielles selon l’horizon de planification. Dans le cadre de l’agrément il est essentiel également d’évaluer l’exposition aux risques de blanchiment et de financement du terrorisme résultant du plan d’activité de l’établissement de crédit : évaluation des secteurs, activités, produits, clients cibles, géographie et canaux de distribution (niveau élevé ou non de risque de BC/FT).
Enfin, il est rappelé la nécessité de prendre en compte les critères de proportionnalité.
Nous proposons ci-après les principaux éléments qui nous semblent pouvoir être exploités par les acteurs devant analyser ou approuver les enjeux liés au business model des établissements de crédit[1]. Nous nous concentrons principalement sur la partie relative au business model et à la gouvernance.
1. Élément d’appréciation du business model
1.1. Appréciation de la stratégie commerciale
Réaliser un examen qualitatif de la stratégie commerciale de l’établissement de crédit afin d’obtenir une vue d’ensemble des types d’activités qu’il entend exercer, de leur répartition géographique, de la crédibilité des hypothèses sous-jacentes et du profil de risque associé de l’établissement de crédit.
Obtenir une vision claire :
- Des types d’activités que l’établissement de crédit demandeur entend exercer, y compris l’identification des lignes d’activité principales et secondaires et des types de clients ciblés.
- Des activités couvertes par l’agrément ou le champ d’application de l’agrément, ainsi que, le cas échéant, l’existence d’autres régimes d’agrément appropriés.
- La répartition géographique des activités, y compris leur exercice envisagé par le biais de filiales et de succursales ou par la libre prestation de services au sein de l’UE ou dans un pays tiers, et l’expansion future prévue :
- En particulier lorsque le modèle d’entreprise prévoit l’utilisation de solutions numériques, évaluer si les activités transfrontalières envisagées relèvent de la “libre prestation de services” ou du “droit d’établissement”.
- Enjeu potentiel de passeport
- Vérifier si le choix de la juridiction d’application n’a pas pour objectif de contourner la réglementation.
Analyser la stratégie globale, à savoir :
- Les objectifs stratégiques.
- Les principaux moteurs de l’activité.
- Tout avantage concurrentiel identifié.
- Les objectifs quantitatifs et qualitatifs du plan d’affaires, y compris le produit ou service de l’entreprise.
- La proposition de valeur et le positionnement sur le marché.
Comprendre le profil de risque associé, y compris le risque de blanchiment et de financement du terrorisme, et l’impact sur les exigences de capital, les besoins de liquidité et de financement, ainsi que sur les dispositifs de gouvernance interne.
Comprendre la stratégie commerciale :
- Évaluer la stratégie de financement correspondante.
- Les facteurs externes et internes pertinents pour atteindre les objectifs stratégiques.
- Et la plausibilité des hypothèses quantitatives.
FCas des modèles innovants :
- Vérifier les caractéristiques des services et produits envisagés, y compris toute exposition qui augmente le risque de blanchiment de capitaux et de financement du terrorisme.
- Vérifier le marché cible et l’impact potentiel des indicateurs clés externes sur la stratégie de l’entreprise.
Dans l’ensemble, l’évaluation doit permettre une vue des forces, faiblesses, opportunités et risques de la stratégie commerciale.
1.2. compréhension de la Structure de financement, évaluation et gestion des liquidités
Obtenir une vision claire des sources prévues pour financer les activités commerciales, y compris la ou les sources du montant du capital initial.
Evaluer le profil de liquidité et la structure du passif, en accordant une attention particulière à la crédibilité des hypothèses sous-jacentes.
- Structure du passif : évaluer les différentes sources de financement (types de passif, instruments et contreparties), les coûts y afférents, les options intégrées et leurs échéances contractuelles et comportementales.
Evaluer ainsi les projections pour les ratios réglementaires de liquidité et de financement tels que le LCR et le NSFR, en tenant également compte de leur évolution dans le cadre de la mise en place de la stratégie.
Prendre en compte l’évolution potentielle de la structure des liquidités en fonction de l’évolution des activités commerciales (exemple : augmentation significative des crédits LT accordés qui supposera des ressources stables).
Evaluer les solutions alternatives, notamment en cas de concentration des sources de financement ou du profil de financement déséquilibré (par exemple, un décalage excessif des échéances).
Evaluation des coûts de financement en tant que partie intégrante des pertes et profits de l’établissement de crédit demandeur
Evaluation des hypothèses sous-jacentes – en particulier les taux d’intérêt prévus – en fonction de l’environnement commercial et macroéconomique.
Evaluation des informations permettant d’apprécier les enjeux de la liquidité[2] :
- La gouvernance de la liquidité. (Organisation, reportings, limites).
- La stratégie de financement et la planification de la liquidité (capacité de l’établissement à élaborer des scénarios, y compris des simulations de crise et des plans de financement d’urgence).
- c) Le cadre de contrôle interne de la liquidité.
Analyser l’impact du scénario de crise de financement et de liquidité présenté, tel qu’une hausse des coûts de financement, sur les ratios de liquidité et de financement.
- Le cas échéant, vérification du contenu du processus d’élaboration du plan de redressement afin de s’assurer qu’il tient compte des indicateurs de liquidité et de financement.
Vérifier les modalités prévues pour respecter a minima les exigences prévues en matière de liquidité.
1.3. L’appréciation des facteurs externes
Prendre en compte les principaux facteurs externes pouvant influer sur le business model, y compris l’environnement commercial, afin d’apprécier la plausibilité des hypothèses.
Prendre en compte l’analyse du marché cible pour bien comprendre les enjeux.
Comprendre l’environnement commercial, compte tenu des activités des principaux acteurs existants et des concurrents potentiels sur le ou les marchés cibles, ainsi que de l’évolution probable de l’environnement commercial.
- Examiner l’analyse des tendances du marché cible qui peuvent avoir un impact sur la performance et la rentabilité de l’établissement :
- Evolution réglementaire, évolution des conditions de crédit, évolutions technologiques, tendances sociétales/démographiques (par exemple, la composition de la clientèle, les changements de produits en raison de l’évolution des tendances du marché, la demande accrue de services bancaires islamiques).
- Prise en compte des nouveaux acteurs liés à la tech et qui se développent dans les services financiers. Une telle analyse devrait également être menée en coordination avec l’examen du marché cible, y compris l’impact de ces concurrents sur l’établissement de crédit demandeur, par exemple sur le marketing direct auprès des consommateurs.
1.4. L’appréciation des facteurs internes pouvant influer sur le business model
Approche qualitative du modèle d’activité afin de comprendre les facteurs de succès et les principales dépendances de ce modèle :
- À cet égard, analyser les principaux facteurs endogènes qui influencent le succès du modèle d’entreprise (prise en compte des forces et faiblesses, de la capacité en risque).
- Evaluer si les prévisions financières correspondent à la stratégie commerciale exposée dans le plan, s’il existe un plan clair de mise en œuvre et la capacité d’exécuter et de mettre en œuvre le plan d’affaires.
- Evaluation notamment de la capacité professionnelle de la direction sur une base continue, au regard notamment de la stratégie prévisionnelle.
1.5. Analyse des prévisions financières
Réaliser un examen quantitatif du plan d’entreprise, en se concentrant sur les prévisions financières, tant pour le scénario de base que pour le scénario de crise :
- En tenant compte de la répartition géographique, des types d’activités et de la position sur le marché au niveau individuel et, le cas échéant, au niveau du groupe ou du sous-groupe consolidé.
Évaluer ainsi la crédibilité des hypothèses sous-jacentes (en ce qui concerne la croissance de l’activité, la croissance de revenus, l’estimation des coûts et les risques sous-jacents), la viabilité et la durabilité du modèle d’affaires du demandeur et sa capacité globale à atteindre les résultats projetés en conformité avec les exigences prudentielles, tant dans le scénario de base que dans le scénario de crise.
S’assurer que les prévisions financières reflètent la stratégie commerciale ciblée de l’établissement de crédit (zones géographiques les plus importantes, y compris les filiales, les succursales, les activités fournies en libre prestation de services, les types d’activités, les lignes d’activité et les lignes de produits sur la base de la contribution aux bénéfices (par exemple, sur la base du P&L).
Examiner la crédibilité des hypothèses quantitatives sous-jacentes (par exemple, l’activité par région, le revenu des commissions, le nombre de clients, les frais de personnel, les hypothèses macroéconomiques, etc.).
Accorder une attention particulière aux aspects de la stratégie commerciale afin d’analyser si elle permet la viabilité future du modèle d’entreprise et la survie dans les situations de crise.
Anticiper l’exposition de l’établissement de crédit aux risques et vulnérabilités existants ou nouveaux :
- Cela permet de comprendre la viabilité initiale de l’établissement de crédit et la viabilité du modèle d’entreprise sur une période donnée (a minima trois ans).
- En ce qui concerne le scénario de crise, il devrait être suffisant pour que l’établissement de crédit puisse se conformer aux exigences prudentielles sur l’horizon de planification.
Evaluer, si besoin, le plan d’affaires à plus long terme, par exemple cinq ans.
- Dans le cas d’établissements dont le cycle d’activité se développe sur cinq ans ou dont les plans d’activité triennaux présentent des faiblesses en matière de durabilité.
Utiliser des benchmarks par rapport à des secteurs d’activité similaires.
1.6. Analyse de la rentabilité
Se référer aux indicateurs de rentabilité et de risque les plus courants, tels que :
- Rentabilité des fonds propres.
- Rentabilité des actifs.
- Ratio coût/revenu.
- Coût du risque.
- Ratio de levier.
Prendre en compte le risque sous-jacent à la performance économique (par exemple, le niveau de risque des actifs), en tenant également compte, dans la mesure du possible, d’indicateurs ajustés au risque.
Comprendre les sources de profits et de pertes de l’établissement (notamment des facteurs sous-jacents tels que les volumes – stock et flux – et les prix/marges) afin d’identifier les principaux facteurs et dépendances de la performance commerciale et les vulnérabilités potentielles.
Comprendre si les sources de revenus attendues sont cohérentes avec la stratégie commerciale globale ciblée (type de modèle commercial, taille de l’entreprise).
Point d’attention sur les prévisions de bénéfices excessivement optimistes, liées par exemple au taux d’intérêt à terme et à d’autres hypothèses pertinentes de génération de revenus, et à leur impact potentiel sur la fiabilité et, en fin de compte, la durabilité des projections.
Analyse de la tarification
Analyser la tarification et la structure des produits de l’établissement de crédit :
- Prendre en compte par exemple :
- Le recours à des sources de revenus risquées ou concentrées (par exemple, prêts hypothécaires à risque, prêts à effet de levier, crédit à la consommation, groupes de clients spécifiques) et ses effets sur le modèle d’entreprise, tels qu’une vulnérabilité accrue aux changements de l’environnement commercial (par exemple, baisse du prix de l’immobilier, baisse de la demande des produits financés par les prêts à la consommation).
- Le recours à des sources de revenus plus volatiles (par exemple, revenus de négociation, revenus de couverture ou autres sources non récurrentes) et les implications pour la viabilité à long terme des revenus.
Compréhension des différents modèles de revenus :
- Basés sur les intérêts (par exemple, l’activité de crédit à la clientèle) ou sur les commissions (par exemple, le financement du commerce international, les services de correspondants bancaires, la garde de titres ou les services de conseil.
- Les facteurs spécifiques de revenus.
- Les indicateurs clés de performance et le niveau de risque des lignes d’activité correspondantes.
- Point d’attention en cas de taux de croissance élevés :
- Analyse des hypothèses de risque qui y sont associées, notamment en ce qui concerne l’adéquation des capacités d’exécution et de gestion des risques de l’établissement de crédit, pour soutenir la réalisation des objectifs définis et des projections financières.
- Analyse de la crédibilité des hypothèses sous-jacentes en tenant compte de divers éléments, notamment la stratégie commerciale globale, la tarification des produits, l’environnement commercial, la stratégie de financement, la tolérance et l’appétence au risque, l’existence de politiques visant à assurer une gestion saine et prudente, etc.
Comprendre la structure des coûts et des indicateurs pertinents :
- Exemple : évolution du ratio coûts/revenus cibles (en valeur absolue ou par rapport aux pairs) à la fin de la période envisagée dans le plan d’entreprise et dans des situations de crise.
- La structure de coûts cible (par exemple, les coûts salariaux, administratifs ou informatiques) doit être examinée en termes absolus.
- Attention à la sous-estimation de certains coûts, en particulier pendant la phase de démarrage ou dans des situations de stress.
- Attention aux concentrations de coûts récurrents qui peuvent refléter une rigidité de la structure des coûts.
Cas des établissements qui s’appuient en grande partie sur la technologie :
- Possibilité que les coûts marginaux soient plus faibles que les établissements de crédit dont les transactions sont liées à des coûts variables élevés.
- La rentabilité de ces modèles d’activité est en principe susceptible d’augmenter après l’atteinte d’une certaine masse critique qui absorbe les coûts d’investissement fixes (Dépenses fortes au départ en compétence en ingénierie ou en marketing produit).
2. Appréhender la gouvernance
Sur la partie relative à la gouvernance, le contenu est instructif sur :
- Le rôle de la direction générale.
- Les attendus de la fonction des risques.
- Le cadre de contrôle interne.
Nous reprenons ci-après quelques points qui nous semblent incontournables dans les rôles et responsabilités.
2.1. Quels attendus de la direction générale ?
Disposer d’une structure de gouvernance claire, transparente et solide garantissant une prise de décision efficace, et que les pouvoirs et les responsabilités sont clairement répartis à tous les niveaux de l’organisation et entre les organes de direction :
- Un organe de gestion dans la fonction de gestion et un organe de gestion dans la fonction de surveillance.
- Une distinction claire entre les fonctions de gestion (exécutives) et de surveillance (non exécutives).
Vérifier notamment que les responsabilités confiées à l’organe de direction comprennent la définition, l’approbation et la surveillance de la mise en œuvre :
- De la stratégie commerciale globale et des principales politiques de l’établissement de crédit.
- De la stratégie globale en matière de risques, y compris l’appétit de l’établissement de crédit pour le risque, son cadre de gestion des risques et les mesures visant à garantir que l’organe de direction consacre suffisamment de temps aux questions de risques et à l’exercice de sa fonction.
- D’un cadre de gouvernance et de contrôle interne adéquat et efficace, comprenant une structure organisationnelle claire et des fonctions indépendantes et performantes de gestion interne des risques, de conformité et d’audit, dotées d’une autorité, d’une stature et de ressources suffisantes pour exercer leurs fonctions.
- Un cadre de gouvernance interne et de contrôle interne adéquat et efficace, afin de garantir le respect des exigences applicables, y compris dans le contexte de la prévention du blanchiment d’argent et du financement du terrorisme.
- Les montants, les types et la répartition du capital interne et du capital réglementaire pour couvrir de manière adéquate les risques de l’établissement.
- Les objectifs en matière de gestion des liquidités de l’établissement.
- Une politique de rémunération.
- Des dispositions relatives à l’aptitude, à la composition, à l’efficacité et à la planification de la succession de l’organe de direction, sur le plan individuel et collectif.
- Un processus de sélection et d’évaluation de l’aptitude des titulaires de fonctions clés.
- Des dispositions visant à assurer le fonctionnement interne de chaque comité de l’organe de direction, lorsqu’il est établi.
- Une culture du risque qui traite de la sensibilisation de l’institution aux risques et de son comportement en matière de prise de risque.
- Une culture et des valeurs d’entreprise qui favorisent un comportement responsable et éthique, y compris un code de conduite ou un instrument similaire.
- Une politique en matière de conflits d’intérêts au niveau de l’institution et du personnel.
- Des dispositions visant à garantir l’intégrité des systèmes de comptabilité et d’information financière, y compris les contrôles financiers et opérationnels et la conformité avec la loi et les normes pertinentes.
Plus largement l’organe de direction doit viser à garantir un modèle d’entreprise durable qui tient compte de tous les risques, y compris les risques environnementaux, sociaux et de gouvernance.
2.2. Quels enjeux en matière de déontologie et de conformité ?
2.2.1. Valeurs de l’entreprise, culture du risque, code de conduite et politiques de gouvernance
S’assurer de l’adoption, la promotion et la mise en œuvre de normes éthiques et professionnelles élevées, en créant un environnement de remise en question efficace dans lequel les processus de décision favorisent cette remise en question.
2.2.2. Gestion des conflits d’intérêts
Disposer d’une politique en matière de conflits d’intérêts qui précise les responsabilités de l’organe de direction quant à la mise en œuvre et le maintien de politiques efficaces pour identifier, évaluer, gérer et atténuer ou prévenir les conflits d’intérêts réels et potentiels au niveau institutionnel” ainsi qu’entre l’institution et le personnel, y compris le personnel de l’institution.
2.2.3. Whistleblowing, abus de marché, gouvernance des produits, protection des consommateurs, gestion des réclamations
Disposer d’une politique d’alerte permettant au personnel de signaler en toute sécurité les violations potentielles ou réelles des exigences réglementaires ou internes.
- Les procédures d’alerte doivent garantir la protection des données personnelles à la fois de la personne qui signale la violation et de la personne physique prétendument responsable de la violation, conformément au règlement (UE) 2016/679, règlement général sur la protection des données.
Disposer d’une politique en matière d’abus de marché afin d’être conforme aux normes de prévention des abus de marché.
- En particulier, inclure le processus d’identification, de gestion et de notification des abus de marché.
Disposer d’une politique de gouvernance produit qui garantit que l’établissement de crédit, agissant en tant que fabricant et/ou distributeur, mettra en œuvre une politique de gouvernance des produits adaptée prévoyant des processus, fonctions et stratégies internes
- (i) Pour garantir que les intérêts, les objectifs et les caractéristiques des consommateurs sont pris en compte.
- ii) D’éviter tout préjudice potentiel pour les consommateurs et iii) de réduire au minimum les conflits d’intérêts.
- Et (iii) de minimiser les conflits d’intérêts.
Disposer d’une politique de protection des consommateurs qui doit viser à s’assurer que cette politique permet de fournir une information adéquate aux consommateurs et de les protéger.
- En particulier, garantir que la politique de protection des consommateurs est conforme au cadre réglementaire.
- Que le personnel dispose d’une formation adéquate. À cette fin, elle doit couvrir les normes et principe, le contrôle de la conformité et la sensibilisation du personnel.
Disposer d’une politique de traitement des réclamations qui doit permettre de fournir aux consommateurs une protection adéquate et conforme aux attendus réglementaires ; la politique part de la réception de la réclamation à son évaluation et les réponses apportées.
2.3. Les attentes relatives au cadre de contrôle interne
Disposer d’un cadre de contrôle interne approprié, adapté aux activités envisagées de l’établissement de crédit, au modèle d’entreprise, à la complexité et aux risques associés de l’établissement de crédit (par exemple, la banque en ligne, la protection et les dispositifs de cybersécurité).
Disposer de fonctions de contrôle interne indépendantes des lignes d’activité qu’elles contrôlent, incluant une séparation adéquate des tâches, et qui les moyens de s’acquitter de leurs responsabilités.
Les titulaires de fonctions clés, doivent avoir des responsabilités clairement définies et dûment documentées.
Disposer d’un cadre de contrôle interne qui couvre tous les domaines de l’institution et reflète le modèle des trois lignes de défense pour l’identification des fonctions de traitement et de gestion des risques.
- 1ère ligne : des unités opérationnelles et de soutien, qui sont responsables en premier lieu
- De l’identification et de la gestion des risques auxquels elles sont confrontées.
- D’établir et de maintenir des processus et des contrôles adéquats pour garantir que ces risques sont analysés, mesurés, surveillés, dûment signalés et maintenus dans les limites de l’appétit pour le risque de l’établissement (et conforme aux exigences réglementaires internes et externes).
Disposer de 2ème et 3ème ligne de défense de manière proportionnée aux enjeux.
S’assurer que les fonctions de contrôle interne sont conformes aux exigences d’indépendance, à savoir :
- Le personnel n’effectue aucune tâche opérationnelle relevant des activités que les fonctions de contrôle interne sont censées surveiller et contrôler
- Ils sont séparés, sur le plan organisationnel, des activités qu’ils sont chargés de suivre et de contrôler
- Nonobstant la responsabilité globale des membres de l’organe de direction de l’établissement, le responsable d’une fonction de contrôle interne ne peut pas être considéré comme une personne morale.
- La rémunération du personnel des fonctions de contrôle interne ne doit pas être liée à l’exécution des activités que la fonction de contrôle interne surveille et contrôle.
Les responsables des fonctions de contrôle interne :
- Se situeront à un niveau hiérarchique adéquat qui confère au responsable de la fonction de contrôle l’autorité et la stature nécessaires à l’accomplissement de sa mission.
- Seront indépendants des lignes d’affaires ou des unités qu’ils contrôlent.
- Rendent compte et sont directement responsables devant l’organe de direction, et leurs performances doivent être examinées par l’organe de direction.
- Si nécessaire, ils auront accès et rendront compte directement à l’organe de direction dans le cadre de sa fonction de surveillance, afin de soulever des préoccupations majeures et d’avertir la fonction de surveillance, le cas échéant, lorsque des développements spécifiques affectent ou peuvent affecter les activités de l’entreprise.
2.4. Les attendus de la fonction de risk management
Disposer d’un cadre holistique de gestion des risques à l’échelle de l’établissement.
S’assurer que la fonction de gestion des risques (FGR) facilite la mise en œuvre d’un cadre de gestion des risques solide dans l’ensemble de l’établissement.
Vérifier que son rôle au sein de l’établissement intègre son implication dans :
- La stratégie et la décision en matière de risques :
- Évaluation de la stratégie de gestion de ces risques et notamment de la déclaration de tolérance et d’appétit pour le risque et des mesures visant à aligner le risque évalué sur l’appétit pour le risque.
- Participation du responsable fonction gestion des risques (FGR) à un stade précoce de la continuité de l’exploitation dans le cadre d’un processus de gestion des risques.
- Implication dans la mise en place d’un processus de gestion des risques efficaces et fournit à l’organe de direction toutes les informations pertinentes relatives aux risques pour permettre la fixation d’un niveau d’appétence pour le risque de l’établissement de crédit.
- Évaluation des évolutions significatives :
- Implication du FGR en amont de la déclinaison de la stratégie et des changements importants afin d’évaluer l’impact sur le niveau de risque et fournir des conclusions avant que les décisions ne soient prises.
- Identification, mesure, évaluation, gestion, atténuation et suivi des risques, et élaboration de reportings réguliers sur ces thématiques afin de suivre l’appétit pour le risque ainsi que les limites et la recommandation de mesures correctives.
Mise à disposition du FGR et accès à tout type d’information et de métier afin de pouvoir assurer son rôle en matière de gestion des risques.
Évaluation indépendante des dépassements de l’appétit pour le risque ou des limites (y compris la détermination de la cause et la réalisation d’une analyse juridique et économique du coût réel de la fermeture, de la réduction ou de la couverture de l’exposition au risque par rapport au maintien en statu quo).
- La FGR devrait évaluer de manière indépendante toute violation de l’appétit pour le risque ou des limites de risque.
Possibilité de faire des rapports directement à l’organe de direction dans le cadre de sa fonction de surveillance lorsque le manquement est important, tout en conservant la possibilité de faire rapport à d’autres fonctions et comités internes.
2.5. Une politique de rémunération adaptée au profil de risque de l’établissement
Cf. Article 94 CRD et EBA « Guidelines on remuneration policy ».
2.6. Une fonction Compliance correctement définie qui permet le pilotage adapté du risque
2.7. Une politique LCB-FT conforme et adaptée aux enjeux de l’établissement
Les politiques, contrôles et procédures comprennent notamment :
- L’élaboration de politiques, de contrôles et de procédures internes :
- Y compris les pratiques de gestion du risque de modèle (si l’établissement utilise des modèles en matière LCB-FT).
- L’obligation de vigilance à l’égard de la clientèle.
- L’établissement de rapports (qualité de l’information et de la communication).
- La tenue de registres.
- Le contrôle interne (éléments de contrôle interne dont contrôles N1 et N2).
- La gestion de la conformité[3].
2.8. Une fonction d’audit interne indépendante avec une démarche objective
2.9. Un dispositif permettant la résilience opérationnelle et la continuité d’activité[4]
Vérifier la qualité de l’analyse (exhaustivité du périmètre), à savoir :
- Prise en compte des facteurs de risque liés aux perturbations graves de ses activités.
- Prise en compte des expositions à ces perturbations.
- Évaluation (quantitative que qualitative) de leur incidence potentielle au moyen de données internes et/ou externes ou d’une analyse de scénarios.
Vérifier mise en place au regard des analyses :
- Des plans d’urgence et de continuité des activités nécessaires.
- Des plans de rétablissement des ressources critiques[5].
Vérifier la qualité :
- De la documentation.
- Des tests.
- Des formations du personnel.
3. Conclusion
À partir des éléments ci-dessus, il est possible d’appréhender les principaux attendus des dispositifs internes aux établissements ; ces éléments doivent être complétés des documents sources dont les références sont précisées ci-après.
Références Guidelines Autorité Bancaire Européenne (ABE)
- Guidelines Gouvernance interne
EBA/GL/2021/05 of 2 July 2021, https://www.eba.europa.eu/guidelines-internal-governance-secondrevision
- Guidelines Compétences des instances
EBA/GL/2021/06 of 2 July 2021, https://www.eba.europa.eu/joint-esma-and-eba-guidelines-assessmentsuitability-members-management-body-revised
- Guidelines Politique rémunération
EBA/GL/2021/04 of 2 July 2021, https://www.eba.europa.eu/regulation-andpolicy/remuneration/guidelines-on-sound-remuneration-policies-second-revision
- Guidelines Politique externalisation
EBA GL/2019/02 of 25 February 2019, https://eba.europa.eu/regulation-and-policy/internalgovernance/guidelines-on-outsourcing-arrangements
- Guidelines Politique et gestion des risques IT et SSI
EBA/GL/2019/04 of 29 November 2019, https://eba.europa.eu/regulation-and-policy/internalgovernance/guidelines-on-ict-and-security-risk-management 4
- Guidelines Facteurs de risque LCB-FT
EBA/GL/2021/02 of 1 March 2021, https://www.eba.europa.eu/regulation-and-policy/anti-moneylaundering-and-e-money/revised-guidelines-on-ml-tf-risk-factors
[1] De ce fait, le texte d’origine a été retravaillé afin de le rendre exploitable par les acteurs internes.
[2] “Un aperçu des cadres et politiques suivants de l’établissement de crédit demandeur : […] b) politique de gestion du risque de liquidité ; c) politique de concentration et de diversification des financements ; d) politique de gestion des sûretés ; e) politique de dépôt”
[3] Y compris, le cas échéant, compte tenu de la taille et de la nature de l’entreprise, la désignation d’un responsable de la conformité
[4] Possibilité d’instaurer une fonction indépendante spécifique de continuité des activités au sein du FGR.
[5] Tout risque résiduel lié à des perturbations potentielles des activités devrait être conforme à l’appétit pour le risque de l’établissement.