The CSSF renforce les règles de sous-traitance

Tant attendue par les professionnels de la Place, the Commission de surveillance du secteur financier (CSSF) a publié ce 22 avril la circulaire 22/806 portant sur l’externalisation. The document contributes non seulement un cadre pour les accords d’externalisation, but rather aborde également les exigences en matière de technologies de l’Information et de la communication (TIC). The s’agit là d’un changement, car ces dernières étaient jusqu’à présent ventilées au travers de différentes circulaires de la CSSF. “Cette circulaire a avantage de mettre tout dans une seule. C’est un bon point de référence, car on n’a plus qu’une seule circulaire à laquelle il faut se référer », remarque David Hagen, founder of Hagen Advisory, une société de consultance dans le domaine de la compliance IT.

The CSSF circulaire 22/806 is inscribed in the perspective of the European convergence en matière de supervision financière. En février 2019, the European Banking Authority (EBA), the autorité européenne de surveillance du secteur bancaire, avait émis ses recommandations sur les arrangements d’externalisation (EBA / GL / 2019/02). La circulaire CSSF 22/806 fait donc suite à l’étude menée par le régulateur luxembourgeois des recommandations de la EBA, les intégrant à sa pratique administrative et son approche réglementaire.

Cette circulaire a avantage de mettre tout dans une seule. C’est un bon point de référence, car on n’a plus qu’une seule circulaire à laquelle il faut se référer.

David Hagen, & nbsp fondateur, & nbsp Hagen Advisory

Dans ses recommandations de 2019, the EBA notait que les institutions financières démontrent un intérêt croissant pour the externalization of certaines de leurs activités pour des raisons de coûts, de flexibilité et d’efficacité. In a context of digitalisation of the industry des services financiers, of plus and plus d’acteurs adaptent leurs modèles d’affaires, intensifiant the utilization of fintech solutions.

Les premières lignes directrices européennes encadrant l’externalisation remontent à 2006, s’appliquant exclusivement établissements de credit. Les nouvelles règles actualisées visent dorénavant a cadre plus harmonisé pour the ensemble des institutions financières supervisées par la EBA, en l’occurrence les établissements de crédit, maize also les entreprises d’vestissement et les établissements de paiement et de monnaie électronique.

Pas de délégation de la responsabilité

As stipule la circulaire, le régulateur luxembourgeois a toutefois jugé useful “d’étendre le champ d’application (…) afin de promouvoir la convergence au niveau national”. La circulaire CSSF 22/806 inclut donc également les professionnels des services financiers (PS) and Post Luxembourg.

Dans le cas d’externalisation de services IT, la circulaire s’applique également, dans son ensemble, notamment aux gestionnaires de fonds, aux contreparties centrales, aux opérateurs de marchés de trading et aux chambres de compensation. «The sociétés de gestion et les fonds ne sont concernés qu’en matière de sous-traitance informatique», explique le fondateur de Hagen Advisory.

The sociétés de gestion et les fonds ne sont concernés qu’en matière de sous-traitance informatique.

David Hagen

David Hagen, & nbsp fondateur, & nbsp Hagen Advisory

De la sorte, le texte réglementaire modifie le cadre de gouvernance internal des entités surveillées, notamment par l’identification des “fonctions critiques ou importantes”. Elles seront ainsi soumises à des exigences plus strictes, based on the accords d’externalisation sur une approche du risque. Les entities régulées devront dès lors hold a registre de tous les accords d’externalisation here pourra être utilisé for the authorités de contrôle au cours de ses activités de supervision.

L’un des piliers de la circulaire est, qu’en matière d’externalisation, the responsabilité de l’organ de direction de l’entité supervisée ne peut quant à elle pas être externalisée. Ce qui est également le cas lorsqu’il est fait appel à un sous-contractant, note la circulaire: “L’entité du champ d’application reste entièrement responsable de la conformité aux exigences réglementaires, y compris en cas de” sub-outsourcing “, Étant donné que la” sub-outsourcing “peut modifier le risque et la fiabilité des accords d’externalisation.”

L’évaluation des fonctions critiques

Parmi les changements apportés par la circulaire, the notion d’externalisation matérielle’est remplacée par the notion ‘d’externalisation de fonction critique ou important “, explique the CSSF. Indeed, the Circulaire fournit certains indicateurs objectifs servant d’orientation pour permre de les identifier. «On ne parle plus de matérialité de la fonction qui est sous-traitée, mais bien de criticité», soulève David Hagen, qui alors la question de savoir «dans those mesure fait-on evaluation qui est pertinente pour le régulateur». Car, “le principe de proportionnalité laisse la possibilité de moduler l’évaluation de la criticité”. Il ya donc un enjeu lié à un alignement between the attentes du régulateur en termes de proportionnalité par rapport aux éléments indiqué dans la circulaire. Ce qui risque de laisser la porte ouverte à de nombreuses discussions surinterpretation de la matérialité. «À mon sens, ça va obliger à retourner vers de l’analyse de risque pour pouvoir expertiser la proportionnalité», explains David Hagen. Le but de la démarche étant d’être en mesure d’argumenter auprès du regulateur “afin d’éviter tout élément subjectif sur ce qui est critique et ce qui ne est pas”.

Le principe de proportionnalité laisse la possibilité de moduler l’évaluation de la criticité.

David Hagen

David Hagen, & nbsp fondateur, & nbsp Hagen Advisory

Il est donc attendu des entités supervisées qu’elles déterminent «si la sous-traitance est autorisée et adapter sa internal governance». Elles doivent en outre adapter leur cadre de gestion des risques.

The CSSF attends des entités régulées qu’elles limitent les risques opérationnels lorsqu’elles concluent des accords de sous-traitance. “Les risques à take en compte sont notamment ceux liés à la relation avec le prestataire de services, le risque lié à au” sub-outsourcing “, le risque de concentration posé par des accords d’externalisation multiples avec le même prestataire et / ou le risque de concentration posé par l’externalisation de fonctions critiques ou importantes à un nombre limité de prestataires », souligne la circulaire.

Les entités doivent donc prêter une attention toute particulière aux risques opérationnels, du point de vue de la concentration et de la dépendance, corn also d’un point de vue de contrôle: “L’externalisation ne doit pas porter attentente à la qualité et à the indépendance des contrôles internes des entités. “

Une notification préalable

La circulaire 22/806 is applicable à partir du 30 juin 2022 à tous les accords d’externalisation concluded ou modifiés à partir de cette date. Dès lors, les entités régulées devront notifier la CSSF au minimum trois mois à avance de leurs projets d’externalisation. “The authorization préalable précédemment applicable aux ‘externalisations matérielles non ICT’ est dorénavant remplacée par une notification préalable simple des ‘externalisations de fonctions critiques ou importantes non ICT’ à compter du 30 juin 2022”, reports the CSSF

Le texte réglementaire adds une un autre nouvelle subtilité, indique la CSSF: “The notification préalable avec possibilité d’objecter des’ externalisations ICT matérielles’, introduced en 2021, est également remplacée par une notification préalable simple des’ externalisations ICT critiques or important “. À la différence des externalisations non ICT, la procédure de notification simple est entrée en vigueur dès la date de publication de la circulaire. An application rétroactive ainsi été mise en place for the dossiers d’externalisation ICT déjà notifiés à la CSSF.

Leave a Reply

Your email address will not be published.