Nota bene : pour l’exercice 2015, cette partie devra inclure une description des éventuelles adaptations prises ou à entreprendre par l’établissement pour se mettre en conformité avec les nouvelles dispositions introduites par les orientations de l’EBA sur le risque de taux d’intérêt dans le portefeuille bancaire, dont l’entrée en vigueur est prévue au 1er janvier 2016.
description synthétique du cadre général de la détection, de l’évaluation et de la gestion du risque de taux d’intérêt global (préciser le périmètre des entités et opérations prises en compte en justifiant le recours au principe de proportionnalité en cas de gestion sur base consolidée, le rôle des dirigeants effectifs et des organes de surveillance et la répartition des compétences en matière de pilotage du risque de taux d’intérêt global).
13.1. Dispositif de mesure et de suivi (et méthodologie) du risque de taux d’intérêt global :
description des outils et de la méthodologie utilisée en matière de gestion du risque de taux d’intérêt global (préciser les indicateurs utilisés par l’établissement notamment gaps statiques ou dynamiques, calcul de sensibilité des résultats, calcul de valeur actualisée nette, hypothèses et résultats des stress scenarii, impact des variations du risque de taux d’intérêt global sur l’activité de l’établissement pour l’année écoulée, en cas d’exposition dans différentes devises, la méthodologie utilisée pour l’agrégation des expositions) ;
présentation des conventions d’écoulement utilisées par l’établissement [préciser le périmètre couvert, les principales hypothèses retenues, le traitement de la production nouvelle, des produits ne portant pas intérêts (tels que les fonds propres), des options explicites, implicites et comportementales, notamment le traitement des dépôts non-échéancés (présentation de la méthodologie utilisée pour la segmentation des dépôts par catégories, l’identification des dépôts stables) et des produits d’épargne réglementée] ;
présentation des résultats des indicateurs de mesure de risque de taux d’intérêt global utilisés par l’établissement : préciser le niveau des gaps statiques ou dynamiques, les résultats des calculs de sensibilité des revenus, des calculs de valeur actualisée nette et des stress scenarii ;
présentation des résultats d’un choc uniforme correspondant au niveau le plus élevé entre i) +/- 200 bp et ii) les 1er et 99ème centiles des variations journalières de taux d’intérêt observées sur un historique de cinq ans, et mises à l’échelle d’une année de 240 jours. Le choc uniforme est appliqué à la hausse et à la baisse, dans les limites d’un taux d’intérêt positif, sur le PNB courant à horizon situé entre un et cinq ans et sur la valeur économique de l’établissement, en tenant compte uniquement des activités autres que de négociation. Le calcul des résultats du choc uniforme est effectué selon deux méthodologies distinctes :
en excluant les fonds propres des éléments du passif et en plafonnant la duration moyenne des dépôts à vue à 5 ans,
selon les hypothèses retenues par l’établissement pour sa gestion interne du risque de taux d’intérêt global. Présentation des hypothèses retenues et justification des éventuelles différences avec les hypothèses normalisées décrites au i).
L’annexe 1 au présent document décrit, à titre d’exemple, pour les établissements qui ne disposeraient pas de méthodologie propre, les méthodes susceptibles d’être utilisées pour calculer les résultats d’un choc uniforme de 200 bp. L’impact du choc sur la valeur économique est rapporté au niveau de fonds propres règlementaires de l’établissement ;
sensibilité des résultats du choc à une modification des hypothèses retenues (préciser l’impact d’un mouvement non-parallèle de la courbe des taux, des décalages entre références de taux (risque de base) et d’une modification des hypothèses et conventions d’écoulement retenues) ;
présentation du capital économique alloué au regard du risque de taux d’intérêt global encouru par l’établissement ;
présentation des scénarios de taux alternatifs utilisés par l’établissement (par exemple, des scénarios d’aplatissement, de pentification, d’inversion, de choc sur les taux courts, etc.) et des résultats sur la valeur économique et les revenus.
13.2. Dispositif de surveillance du risque de taux d’intérêt global :
pour l’approche par les revenus et l’approche par la valeur économique des capitaux propres, description synthétique des limites fixées en matière de risque de taux d’intérêt global (indiquer la nature et le niveau des limites mises en place, par exemple en termes de gap, de sensibilité par rapport aux résultats ou aux fonds propres, indiquer la date à laquelle la révision des limites est intervenue au cours du dernier exercice, préciser la procédure de suivi des dépassements) ;
description synthétique des reportings utilisés pour la gestion du risque de taux d’intérêt global (préciser notamment la périodicité et les destinataires des reportings) ;
rôles des dirigeants effectifs, de l’organe de surveillance et le cas échéant du comité des risques dans la définition de la stratégie globale en matière de risque de taux d’intérêt global et de l’appétence pour les risques de taux actuels et futurs de l’établissement (cf. articles L.511-92 et L.511-93 du Code monétaire et financier), et dans la fixation des limites (cf. article 224 de l’arrêté du 3 novembre 2014).
13.3. Dispositif de contrôle permanent de la gestion du risque de taux d’intérêt global :
préciser s’il existe une unité en charge de la surveillance et de la gestion du risque de taux d’intérêt global et de manière plus générale comment cette surveillance s’inscrit dans le dispositif de contrôle permanent.
13.4. Résultats des contrôles permanents menés en matière de risque de taux d’intérêt global :
principales insuffisances relevées ;
mesures correctives engagées pour remédier aux insuffisances relevées, date de réalisation prévisionnelle de ces mesures et état d’avancement de leur mise en œuvre à la date de rédaction du présent rapport ;
modalités de suivi des recommandations résultant des contrôles permanents (outils, personnes en charge) ;
modalités de vérification de l’exécution dans des délais raisonnables des mesures correctrices décidées au sein des entreprises, par les personnes compétentes (cf. articles 11 f) et 26 a) de l’arrêté du 3 novembre 2014).
13.5. Conclusion synthétique sur l’exposition au risque de taux d’intérêt global
Risque d’intermédiation des prestataires de services d’investissement
relevés de la répartition globale des engagements par ensemble de contreparties et de donneurs d’ordres (par notation interne, par instrument financier, par marché ou par tout autre critère significatif dans le cadre des activités exercées par l’établissement) ;
éléments d’information sur la gestion du risque (prises de garantie, appels de couverture des positions, collatéraux,…) et sur les procédures suivies en cas de défaillance d’un donneur d’ordre (couverture insuffisante des positions, refus de l’opération) ;
description synthétique du dispositif de limites d’engagement fixées en matière de risque d’intermédiation – par bénéficiaire, par débiteurs liés, etc. (préciser le niveau des limites par rapport au volume d’opérations des bénéficiaires et par rapport aux fonds propres) ;
modalités et périodicité de la révision des limites fixées en matière de risque d’intermédiation (indiquer la date de la dernière révision) ;
dépassements éventuels de limites observés au cours du dernier exercice (préciser les causes, les contreparties concernées, le montant de l’engagement total, le nombre des dépassements, leur durée et leur montant) ;
procédures suivies pour autoriser ces dépassements et mesures mises en œuvre pour régulariser ces dépassements ;
éléments d’analyse retenus pour apprécier le risque sur les donneurs d’ordres pris en compte lors des décisions d’engagement (méthodologie, données prises en compte) ;
typologie des erreurs intervenues au cours de l’exercice dans la prise en charge et l’exécution des ordres (modalités et périodicité de l’analyse des erreurs par le responsable du contrôle interne, seuil retenu par les dirigeants effectifs pour documenter ces erreurs) ;
résultats des contrôles permanents menés en matière de risque d’intermédiation ;
principales conclusions de l’analyse du risque encouru.
Risque de règlement/livraison
description du système de mesure du risque de règlement/livraison (mise en évidence des différentes phases du processus de règlement, prise en compte des nouvelles opérations venant s’ajouter aux opérations en cours…) ;
description synthétique des limites fixées en matière de risque de règlement/livraison (préciser le niveau des limites, par type de contrepartie, par rapport au volume d’opérations de ces contreparties et par rapport aux fonds propres) ;
périodicité de la révision des limites fixées en matière de risque de règlement/livraison (indiquer la date de la dernière révision) ;
dépassements éventuels de limites observés au cours du dernier exercice (préciser les causes des dépassements, leur nombre, leur durée et leur montant) ;
procédures suivies pour autoriser ces dépassements et mesures mises en œuvre pour régulariser ces dépassements ;
analyse des suspens en cours (préciser leur antériorité, leurs causes, le plan d’action pour leur apurement) ;
résultats des contrôles permanents menés en matière de risque de règlement/livraison ;
principales conclusions de l’analyse du risque encouru.
Pour les prestataires de services d’investissement qui apportent leur garantie de bonne fin :
description des différents instruments traités et de chaque système de règlement utilisé avec identification des différentes phases du processus de règlement livraison ;
modalités de suivi des flux de trésorerie et de titres ;
modalités de suivi et de traitement des suspens ;
modalités de mesure des ressources, titres ou espèces facilement mobilisables pour assurer le respect des engagements vis-à-vis des contreparties.
Risques de liquidité 0
Nota bene : Pour l’exercice 2015, cette partie devra inclure une description des adaptations prises par l’établissement pour se mettre en conformité avec les nouvelles dispositions introduites par la transposition de la directive et par l’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’ACPR.
description synthétique du cadre général de la détection, de la mesure, de la gestion et du suivi des risques de liquidité: préciser le périmètre des entités et opérations prises en compte, en tenant compte des expositions hors bilan, le rôle des dirigeants effectifs et des organes de surveillance et la répartition des compétences en matière de pilotage des risques de liquidité, le profil de risque et le niveau de tolérance au risque (cf. articles 181 et 183 de l’arrêté du 3 novembre 2014) ;
informations sur la diversification de la structure de financement et des sources de financement : description de la structure de financement et des sources de financement auxquelles l’établissement a recours (préciser les différents canaux, les montants, les maturités, les principales contreparties, le recours aux instruments d’atténuation des risques de liquidité), description des indicateurs utilisés pour mesurer la diversification des sources de financement (cf. article 160 de l’arrêté du 3 novembre 2014).
16.1. Dispositif de mesure (et méthodologie utilisée) des risques de liquidité :
description des outils et de la méthodologie utilisée en matière de gestion des risques de liquidité : préciser les hypothèses retenues et les échéances prises en compte pour le calcul des indicateurs utilisés par l’établissement (cf. article 156 de l’arrêté du 3 novembre 2014), en lien avec la complexité des activités, le profil de risque et la tolérance au risque de l’établissement, déclinaison des outils et indicateurs utilisés pour chaque devise dans laquelle l’établissement développe une activité importante, préciser les scénarios alternatifs tels que prévus à l’article 168 de l’arrêté du 3 novembre 2014 ;
le cas échéant, description et justification des scénarios spécifiques à certaines implantations étrangères, entités juridiques ou lignes d’activité (cf. article 171 de l’arrêté du 3 novembre 2014) ;
informations sur les dépôts et leur diversification (en nombre de déposants) ;
description des hypothèses retenues pour constituer le stock d’actifs liquides ;
description des moyens mis en œuvre pour connaître en permanence le stock d’actifs liquides nécessaires et des hypothèses d’ajustement aux différents horizons considérés ;
modalités de prise en compte du coût interne de la liquidité et analyse de l’évolution des indicateurs de coût de la liquidité au cours de l’exercice ;
description des plans de financement : modalités d’évaluation de la capacité à lever des fonds auprès des sources de financement de l’entreprise en temps normal et en période de stress sur toutes les maturités envisagées et par devise (hypothèses et résultats des tests effectués…), modalités de prise en compte du risque de réputation, modalités de distinction des actifs grevés et non grevés disponibles à tout moment notamment en situation d’urgence et modalités de prise en compte des limitations d’ordre juridique, règlementaire et opérationnel aux éventuels transferts de liquidité et d’actifs non grevés entre les entités, modalités de prise en compte des possibles décotes en cas de cession d’actifs dans des délais brefs ;
description des stress scenarii utilisés pour mesurer le risque encouru en cas de forte variation des paramètres de marché (indiquer les hypothèses retenues ainsi que leur périodicité de révision et décrire le processus de leur validation ; indiquer le résultat de la simulation et les modalités de sa communication à l’organe de surveillance), ainsi que les principales conclusions de l’analyse du risque encouru en cas de forte variation des paramètres de marché ;
description des plans d’urgence mis en place pour faire face à une crise de liquidité (le plan doit prendre en compte à la fois le risque propre de refinancement, le risque d’assèchement des marchés et les interactions entre les deux risques) : préciser notamment les procédures mises en place (identité et niveau hiérarchique des personnes concernées, solutions d’accès à la liquidité envisagée, communication au public, tests réguliers des plans d’urgence…) ;
description des plans de rétablissement de la liquidité fixant les stratégies et mesures de mise en œuvre afin de remédier aux éventuels déficits de liquidité et devant être testés régulièrement : préciser notamment les mesures opérationnelles adoptées garantissant une mise en œuvre immédiate de ces plans de rétablissement (détention de sûretés immédiatement disponibles…).
16.2. Dispositif de surveillance des risques de liquidité :
description synthétique des limites fixées en matière de risques de liquidité ainsi que du niveau de tolérance aux risques de liquidité (préciser les niveaux, par type d’activité, par devise, par type de contrepartie, par rapport au volume d’opérations de ces contreparties et par rapport aux fonds propres) ;
périodicité de la révision des limites fixées en matière de risques de liquidité (indiquer la date de la dernière révision) ;
périodicité de la révision des critères d’identification, de valorisation, de liquidité, de disponibilité des actifs et de prise en compte des instruments d’atténuation des risques de liquidité (indiquer la date de la dernière révision) ;
périodicité de la révision des hypothèses et hypothèses alternatives liées à la situation de financement, aux positions de liquidité et aux facteurs d’atténuation du risque (indiquer la date de la dernière révision) ;
dépassements éventuels de limites observés au cours du dernier exercice (préciser les causes des dépassements, leur nombre et leur montant) ;
procédures suivies pour autoriser ces dépassements et mesures mises en œuvre pour régulariser ces dépassements ;
description synthétique des reportings utilisés pour la gestion des risques de liquidité (préciser notamment la périodicité et les destinataires des reportings) ;
description des incidents rencontrés au cours du dernier exercice ;
description des dispositifs de mesure et de gestion de la qualité et de la composition des coussins de liquidité ;
procédures de contrôle par la fonction de gestion des risques des actifs définis comme liquides ;
modalités d’approbation et de révision par l’organe de surveillance des stratégies et politiques régissant la prise, la gestion, le suivi et la réduction des risques de liquidité (cf. article L.511-60 du Code monétaire et financier).
16.3. Dispositif de contrôle permanent de la gestion des risques de liquidité :
présentation de l’environnement de contrôle de la gestion des risques de liquidité (préciser le rôle du contrôle permanent).
16.4. Pour les établissements de crédit (et les succursales d’établissements de crédit ayant
leur siège à l’étranger) :
modalités de prise en compte du coût interne de la liquidité et analyse de l’évolution des indicateurs de coût de la liquidité au cours de l’exercice ;
dans le cadre de l’approche standard des risques de liquidité, les établissements élaborent une annexe au rapport :
décrivant les caractéristiques et hypothèses utilisées pour établir le tableau de trésorerie prévisionnelle et les modifications intervenues au cours de l’exercice,
comportant une analyse de l’évolution des impasses calculées dans les tableaux de trésorerie établis au cours de l’exercice ;
pour les établissements utilisant l’approche avancée des risques de liquidité, préciser comment la méthodologie interne tient compte des répercussions systémiques pouvant résulter de l’importance de l’établissement sur son marché, notamment dans chacun des États membres de l’Union européenne où il exerce son activité (cf. article 150 de l’arrêté du 3 novembre 2014).
16.5. Résultats des contrôles permanents menés en matière de risques de liquidité :
principales insuffisances relevées ;
mesures correctives engagées pour remédier aux insuffisances relevées, date de réalisation prévisionnelle de ces mesures et état d’avancement de leur mise en œuvre à la date de rédaction du présent rapport ;
modalités de suivi des recommandations résultant des contrôles permanents (outils, personnes en charge) ;
modalités de vérification de l’exécution dans des délais raisonnables des mesures correctrices décidées au sein des entreprises assujetties, par les personnes compétentes (cf. articles 11 f) et 26 a) de l’arrêté du 3 novembre 2014).
16.6. Conclusion synthétique sur l’exposition aux risques de liquidité
Risque de levier excessif
Cette partie ne s’applique pas aux sociétés de financement (cf. article 213 de l’arrêté du 3 novembre 2014).
description des politiques, processus et indicateurs (incluant le ratio de levier et les asymétries entre actifs et obligations) utilisés pour détecter, gérer et suivre le risque de levier excessif de façon prudente (cf. article 211 de l’arrêté du 3 novembre 2014) ;
cible de ratio de levier fixée par l’établissement ;
stress scenarii utilisés pour évaluer la résistance de l’établissement en cas de diminution de ses fonds propres en raison de pertes attendues ou réalisées (cf. article 212 de l’arrêté du 3 novembre 2014), incluant des plans de renforcement des fonds propres en situation de crise.
Dispositif de contrôle interne des dispositions relatives au cantonnement
des fonds de la clientèle des entreprises d’investissement, des établissements de paiement et des établissements de monnaie électronique
description de l’outil de calcul du montant des fonds des clients, des procédures prévues pour leur placement et des vérifications associées (cf. notamment article 255 g) de l’arrêté du 3 novembre 2014) ;
communication du rapport des commissaires aux comptes sur l’adéquation des dispositions mises en place en application des dispositions réglementaires relatives au cantonnement.
Dispositif de contrôle interne des dispositions de séparation bancaire
description des indicateurs mis en place pour permettre le contrôle du respect du titre Ier de la loi n°2013-672 du 26 juillet 2013 de séparation et de régulation bancaire, notamment ceux relatifs aux activités de tenue de marché (cf. article 6 de l’arrêté du 9 septembre 2014 portant application du titre Ier de la loi de séparation bancaire) ;
description synthétique des résultats des indicateurs mis en place ;
résultats du contrôle permanent relatif aux exigences prévues à l’article 2 de l’arrêté du 9 septembre 2014 portant application du titre Ier de la loi n°2013-672 du 26 juillet 2013 de séparation et de régulation des activités bancaires, actions et mesures correctives engagées pour remédier aux insuffisances relevées ;
résultats du contrôle périodique du respect du titre Ier de la loi n°2013-672 du 26 juillet 2013 de séparation et de régulation bancaire, actions et mesures correctives engagées pour remédier aux insuffisances relevées.
Informations spécifiques demandées aux conglomérats financiers
total de bilan du groupe et total de bilan respectif du secteur bancaire, du secteur des assurances et du secteur non financier.
20.1. Dispositif de contrôle interne et d’évaluation des risques appliqué à l’ensemble des entités appartenant au conglomérat financier :
présentation des conditions dans lesquelles les activités des entités d’assurance sont prises en compte dans le système de contrôle interne du conglomérat ;
présentation des procédures anticipant l’impact des stratégies de développement sur le profil des risques et les exigences complémentaires en matière de fonds propres ;
présentation des procédures permettant d’identifier, de mesurer, de surveiller et de maîtriser les transactions entre les différentes entités du conglomérat ainsi que la concentration des risques ;
résultats des contrôles permanents menés sur les entités d’assurance.
20.2. Informations sur les risques liés aux entités du secteur des assurances :
description des risques portés par les entités du secteur des assurances et qui sont de même nature que les risques liés aux activités bancaires et financières ;
description des risques spécifiques attachés aux activités d’assurance (il conviendra notamment de préciser quels risques sont gérés de façon centralisée, selon quelles procédures, ceux qui restent décentralisés).
20.3. Informations sur les transactions intra-groupe :
informations relatives aux transactions intragroupe réalisées au cours de l’année entre les entités du conglomérat ayant une activité bancaire ou de services d’investissement d’une part et celles ayant une activité d’assurance d’autre part dès lors qu’elles font au moins l’objet d’une influence notable :
description de celles-ci, notamment en différenciant les différentes catégories définies à l’article 4 de l’instruction 2005-04 de la Commission bancaire et en soulignant le degré d’interdépendance des activités au sein du conglomérat,
pour chaque type de transaction, le sens dans lequel elle est réalisée dans la majorité des cas (d’une entité ayant une activité bancaire ou de services d’investissement vers une entité ayant une activité d’assurance ou l’inverse), et les objectifs poursuivis,
modalités de tarification interne de ces transactions ;
information quantitative sur toute transaction intragroupe dont le montant excède 5 % de la somme des exigences de solvabilité applicables aux différents secteurs, calculée sur la base de l’arrêté annuel précédent :
dès lors qu’ils sont supérieurs au seuil : le montant nominal cumulé des transactions donnant lieu à des versements de flux financiers hors opérations de marché (prêts, garanties, ventes d’actifs…) le montant global des commissions versées, et pour les opérations sur instruments financiers à terme, l’équivalent risque de crédit global (ou à défaut le montant notionnel global),
pour chaque transaction, lorsqu’il est supérieur au seuil, le montant nominal de la transaction et la date de conclusion de celle-ci. Les conglomérats financiers donnent, de surcroît, une description de la transaction, en précisant l’identité des contreparties, le sens dans lequel elle est réalisée et les objectifs poursuivis, selon le modèle ci-après :
Type de transaction
|
Date de la conclusion de l’opération
|
Montant nominal pour les éléments du bilan, le montant notionnel et l’équivalent risque de crédit pour les instruments financiers à terme.
|
Description de l’opération (contreparties, sens, objectifs poursuivis …)
|
|
|
|
|
Annexe relative à la sécurité des moyens de paiement scripturaux
mis à disposition ou gérés par l’établissement
Document à transmettre en double exemplaire.
Contexte
Cette annexe est consacrée à la sécurité des moyens de paiement scripturaux définis à l’article L. 311-3 du Code monétaire et financier, émis ou gérés par l’établissement.
Sont considérés comme moyens de paiement tous les instruments qui permettent à toute personne de transférer des fonds, quel que soit le support ou le procédé technique utilisé.
L’annexe est transmise par le Secrétariat général de l’Autorité de contrôle prudentiel et de résolution à la Banque de France pour l’exercice de sa mission définie au I de l’article L. 141-4 du Code monétaire et financier.
Les établissements gestionnaires de moyens de paiement sans être pour autant leurs émetteurs doivent renseigner cette annexe. Les établissements qui n’émettent ou ne gèrent aucun moyen de paiement portent la mention : « l’établissement n’émet ou ne gère aucun moyen de paiement au titre de son activité ».
Caractéristiques et contenu de l’annexe
L’annexe étant principalement destinée à la Banque de France, elle constitue un document autonome du reste des rapports établis en vertu des articles 258 à 266 de l’arrêté du 3 novembre 2014.
À travers cette annexe, les « établissements concernés » présentent l’évaluation, la mesure et le suivi de la sécurité des moyens de paiement qu’ils émettent ou qu’ils gèrent au regard de leurs procédures internes et des recommandations d’organismes externes telles que celles mentionnées dans la liste fournie en annexe.
Les informations attendues par la Banque de France se concentrent autour des 4 points suivants :
identification des moyens de paiement émis ou gérés par l’établissement ;
procédures et mesures mises en œuvre pour maîtriser les risques liés aux processus opérationnels associés aux moyens de paiement émis ou gérés ;
types de contrôles axés sur la sécurité des moyens de paiement mis en place par l’établissement ;
évolutions prévues dans le paysage des moyens de paiement émis ou gérés par l’établissement.
Cette annexe est composée :
d’une partie descriptive récapitulant les quatre points évoqués ci-dessus et qui est détaillée dans la méthodologie de remplissage de l’annexe ;
d’une partie d’évaluation, qui permet à l’établissement d’apprécier la qualité de ses réponses en fonction des objectifs de sécurité définis (Appendice A).
Sont exclues du champ de cette annexe toutes les données concernant les statistiques de fraude pour l’ensemble des moyens de paiement, lesquelles sont désormais communiquées via le questionnaire intitulé « Recensement de la fraude sur les moyens de paiement scripturaux » (site ONEGATE/OSCAMPS).
Le contenu doit être :
exhaustif : toute information nécessaire à une correcte appréciation des moyens de paiement ;
délimité : uniquement des informations concernant les moyens de paiement scripturaux.
Les établissements concernés peuvent également consulter une liste de questions les plus fréquemment posées, régulièrement mise à jour sur le site Internet de l’ACPR.
Méthodologie de remplissage de l’annexe
Le présent guide de remplissage détaille chacun des points évoqués précédemment et définit les termes employés. Sauf contrainte interne, les éléments devront être communiqués en respectant le formalisme du tableau fourni dans ce document.
Les établissements ayant répondu au questionnaire d’évaluation du « Référentiel de la sécurité du chèque » (RSC) de la Banque de France au titre de l’exercice sous revue, sont dispensés de suivre le plan d’analyse proposé pour le chèque, tout comme de transmettre la déclaration RSC dans l’annexe moyens de paiements scripturaux du rapport annuel.
Les établissements membres du GIE Cartes Bancaires pourront utilement s’inspirer du format de réponse proposé par le GIE Cartes Bancaires pour la carte bancaire « CB » qui devra être impérativement complété de leurs caractéristiques propres et pour chaque risque brut identifié, du risque résiduel subsistant après application des mesures de couverture.
Ceci ne dispense pas les déclarants de remplir le tableau fourni en annexe pour les autres cartes interbancaires (VISA-only, Mastercard-only…) et les cartes privatives qu’ils émettent ou gèrent.
Identification des moyens de paiement émis ou gérés par l’établissement
Fournir pour chaque moyen de paiement émis ou géré, une description synthétique (ex : SDD, SCT, etc.), la clientèle concernée (particuliers, professionnels…) ainsi que ses caractéristiques (phase dans le cycle de vie0, modalités de fonctionnement pour les nouveaux moyens de paiement0, etc.).
Un établissement doit fournir au moins une fois les caractéristiques détaillées de l’ensemble des moyens de paiement qu’il émet ou qu’il gère. Lors des exercices ultérieurs, seuls les nouveaux moyens de paiement innovants ou incorporant de nouvelles fonctionnalités font l’objet d’une description plus détaillée.
Procédures et mesures mises en place pour maîtriser les risques liés aux processus opérationnels des moyens de paiement émis ou gérés
Pour chaque moyen de paiement :
identifier de façon synthétique les principaux risques auxquels sont exposés les processus opérationnels liés au moyen de paiement considéré (risques bruts). Il s’agit d’évaluer la probabilité qu’un événement ou une situation se produise et son impact avant la prise en compte des mesures de prévention ou des mesures correctives ;
indiquer les procédures et mesures prises par l’établissement pour maîtriser les risques identifiés (mesures de couverture mises en œuvre), pouvant inclure les contrôles de premier niveau effectués par les opérationnels et qui ne sont pas du ressort des services de conformité (ces derniers seront décrits dans la partie « III – les différents types de contrôles axés sur les moyens de paiement ») ;
fournir des éléments d’information sur la mise en œuvre des recommandations d’organismes externes en matière de sécurité des moyens de paiement (cf. appendice B).
Suite aux solutions mises en place en matière de maîtrise des risques, décrire de manière succincte les risques subsistant après l’application des mesures de couverture précédemment décrites (risques résiduels).
La Banque de France s’attend à une certaine cohérence entre la fraude effectivement constatée par l’établissement et l’estimation des risques résiduels produite.
Cette partie ne doit en aucun cas être confondue avec une description des processus opérationnels mis en place par l’établissement. Elle doit porter exclusivement sur l’analyse, le traitement et le suivi des risques auxquels ces processus sont confrontés.
Les différents types de contrôles axés sur les moyens de paiement
Les établissements concernés donnent une description synthétique des contrôles mis en œuvre en matière de sécurité des moyens de paiement (préciser, pour chaque contrôle, si ce dernier est effectué pour un moyen de paiement donné ou de façon transversale pour l’ensemble des moyens de paiement), dans le but de s’assurer de leur conformité avec les normes internes et les recommandations externes. Dans cette description l’établissement indique :
l’entité de contrôle :
qui a effectué le(s) contrôle(s) (indication du responsable du contrôle),
quel est le niveau de rattachement de cette entité (hiérarchique et, le cas échéant, fonctionnel) ? Exemple : le contrôle est effectué par le responsable du Service Inspection Contrôle et Risques, qui est rattaché hiérarchiquement à la Direction Générale, etc.
l’objet du contrôle :
quels sont les éléments contrôlés ?
à quel niveau du processus a (ont) été effectué(s) ce(s) contrôle(s) ? Il ne s’agit pas ici de décrire l’ensemble des processus, mais d’identifier dans un langage commun, à quelle tâche il est fait référence.
la périodicité des contrôles :
s’agissait-il d’un (de) contrôle(s) périodique(s) ou permanent(s) ?
quelle a été la fréquence de ce(s) contrôle(s) ?
dans le cas du contrôle périodique, quelles ont été les missions concernant les moyens de paiement réalisées au cours de l’année écoulée et quelles sont les missions prévues pour l’année à venir ?
les constats du (des) contrôle(s) :
quels ont été les dysfonctionnements constatés suite aux contrôles effectués ?
les actions correctives (effectuées ou envisagées) :
suite aux constats précédents, quelles sont les solutions mises en œuvre ou envisagées pour remédier aux dysfonctionnements ? Il est utile de compléter l’information avec le calendrier de mise en œuvre des solutions.
Perspectives et évolutions prévues
Cette partie concerne les évolutions prévues par l’établissement, comme l’émission d’un nouveau moyen de paiement ou toute modification touchant les moyens de paiement émis ou gérés actuellement.
En aucun cas, l’établissement ne doit confondre les perspectives et évolutions prévues avec les actions correctrices effectuées ou envisagées dans le cadre des contrôles décrits ci-dessus.
Exemple sur les perspectives et évolutions : La migration vers le format SEPA des virements et prélèvements, lancement d’une carte virtuelle, de cartes prépayées, abandon d’un moyen de paiement, etc.
Remarque importante concernant les groupes mutualistes
Cas d’une entreprise assujettie affiliée à un organe central qui émet et/ou gère un moyen de paiement scriptural (responsable de l’analyse des risques au niveau global) :
l’organe central seul, produit l’analyse de risques dans la présente annexe. L’établissement affilié en est ainsi dispensé. Néanmoins il doit mentionner «qu’il se réfère à ce qui a été décrit par l’organe central, en matière d’analyse des risques et de mesures de couverture mises en place ». Les risques spécifiques à l’établissement lui-même, qui n’ont pas été décrits dans l’analyse fournie par l’organe central, devront néanmoins être précisés par l’établissement affilié.
cette remarque s’applique aussi à l’activité de contrôle périodique. Si celle-ci est effectuée sous la responsabilité de l’organe central et décrite par lui dans la partie « contrôle périodique », seuls les contrôles propres à l’établissement affilié doivent être fournis par ce dernier.
elle s’applique enfin à la description des évolutions prévues : l’établissement affilié ne doit alors décrire que les évolutions qui lui sont propres et non reprises par l’organe central.
Cas où l’organe central n’émet ni ne gère de moyens de paiement, mais reste responsable de l’activité de contrôle (notamment les contrôles axés sur les moyens de paiement) :
l’établissement affilié doit décrire, de manière claire et précise, l’ensemble des contrôles axés sur les moyens de paiement mis en œuvre par l’organe central et ne doit à aucun moment renvoyer au rapport sur le contrôle interne de l’organe central (lequel ne comporte pas d’annexe relative à la sécurité des moyens de paiement).
Tableau de reporting :
Présentation : Afin de guider le déclarant dans l’élaboration de sa réponse et d’harmoniser les données des différents établissements, l’ensemble des informations peuvent être communiquées à travers le tableau de reporting présenté ci-après. Toutefois et même si ce modèle de reporting est encouragé, l’établissement peut utiliser son propre format de reporting dans la mesure où a minima les informations demandées ci-dessous y sont reprises.
Moyen de paiement :
|
Identification et gestion des risques (par moyen de paiement)
|
Risques bruts0
|
Mesures de couverture mises en œuvre
&
Recommandations d’organismes externes
|
Risques résiduels
|
|
|
|
|
B) Perspectives et évolutions prévues (par moyen de paiement)
|
|
|
C) L’activité de contrôle (axée sur les moyens de paiement)
|
Entité
de contrôle
|
Objet
du contrôle
|
Périodicité de contrôle
|
Constats
|
Actions correctives
(effectuées
ou envisagées)
|
|
|
|
|
|
Terminologie
Moyen de paiement scriptural : instrument de paiement autre que la monnaie fiduciaire, qui permet à toute personne de transférer des fonds, quel que soit le support ou le procédé technique utilisé.
Processus opérationnels : ensemble d’activités corrélées ou qui interagissent, nécessaires à l’exploitation du moyen de paiement.
Risque opérationnel : risque de subir un préjudice en raison d’une inadéquation ou d’une défaillance attribuable aux procédures, aux personnes, aux systèmes ou encore aux événements extérieurs.
Risques bruts : les risques susceptibles d’affecter le bon fonctionnement et la sécurité des moyens de paiement, avant la prise en compte par l’établissement des procédures et mesures pour les maîtriser.
Mesures de couverture : ensemble d’actions mises en place par l’établissement afin de mieux maitriser ses risques, en diminuant leur impact ainsi que leur fréquence de survenance.
Risque résiduel : risque subsistant après prise en compte des mesures de couverture.
Conformité : respect des lois, des réglementations, des codes et des guides de pratiques professionnelles.
Contrôle interne : dispositif consistant à donner une assurance raisonnable quant au respect de la conformité.
Contrôle périodique (ou audit) : contrôle de conformité assuré sous forme d’enquêtes (missions d’audit).
Contrôle permanent : ensemble des procédures, des systèmes et des contrôles mis en œuvre pour vérifier de manière continue le respect des règles, recommandations et codes de bonne conduite édictés en matière de sécurité des moyens de paiement.
Évolution : ensemble des principales modifications technologiques ou organisationnelles pouvant avoir une incidence sur la sécurité des moyens de paiement hormis les actions correctives prises dans le cadre des contrôles permanents ou périodiques.
|
