Quelles sont les nouveautés apportées par la circulaire CSSF 12/552 en matière d’administration centrale, de gouvernance interne et de gestion des risques?

  • Share

Agefi Luxembourg
January 2013

Introduction

Devant l’ampleur de la crise financière, le Comité Européen des Contrôleurs Bancaires (Committee of European Banking Supervisors - CEBS), le prédécesseur de l’Autorité Bancaire Européenne (EBA), s’était penché en 2008 sur les caractéristiques des dispositifs de gouvernance interne tels qu’appliqués par les établissements de crédit à l’époque. Bien que les problématiques de gouvernance interne n’aient pas été identifiées comme étant l’un des éléments moteurs de la crise financière, elles furent considérées comme en ayant constitué un facteur d’environnement décisif provenant d’une mise en œuvre insuffisante des pratiques de marché et des lignes directrices existantes. En septembre 2011, l’EBA a publié ses « Lignes directrices en matière de gouvernance interne » consistant en une mise à jour des lignes directrices précédemment émises par le CEBS. En juin 2012, le Comité de Bâle en charge de la supervision des activités bancaires (Basel Committee on Banking Supervision - BCBS) a également défini plus en détail le rôle de la « fonction d’audit interne au sein des banques ».

Au Luxembourg, la loi modifiée du 5 avril 1993 relative au secteur financier exigeait déjà des établissements de crédit et des entreprises d'investissement qu’ils disposent d’un « solide dispositif de gouvernance interne, comprenant notamment une structure organisationnelle claire avec un partage des responsabilités qui soit bien défini, transparent et cohérent, des processus efficaces de détection, de gestion, de contrôle et de déclaration des risques auxquels ils sont ou pourraient être exposés, des mécanismes adéquats de contrôle interne, y compris des procédures administratives et comptables saines, et des politiques et pratiques de rémunération permettant et promouvant une gestion saine et efficace des risques, ainsi que des mécanismes de contrôle et de sécurité de leurs systèmes informatiques ». Des lignes directrices supplémentaires ont été ensuite apportées par plusieurs circulaires CSSF au fil des années.

Dans un passé récent, soucieuse de marquer son adhésion à l’ harmonisation de la surveillance prudentielle au sein de l’Union Européenne (UE), la CSSF a à plusieurs reprises transcrit dans ses propres circulaires les lignes directrices émises par l’autorité européenne en se référant directement aux document originaux publiés par le CEBS ou l’EBA. Cette fois,  la CSSF a transposé les lignes directrices de l’EBA en rédigeant un texte spécifique pour la Place.

La nouvelle circulaire CSSF 12/552 publiée en décembre 2012 constitue un premier pas vers un recueil réglementaire consolidé en matière de gouvernance interne au sens large, et aligne les circulaires existantes sur les lignes directrices susnommées publiés par l’EBA et le BCBS. Elle remplace un certain nombre de circulaires existantes.

Cette nouvelle circulaire est applicable à partir du 1er juillet 2013, à l’exception de certaines dispositions qui seront d’application à partir du 1er janvier 2014.

Champ d’application

La circulaire est applicable aux entités suivantes (désignées collectivement ci-après par le terme « établissements »):

  • Les établissements de crédit et entreprises d’investissement de droit luxembourgeois:
  • Sur une base individuelle ;
  • Sur une base consolidée (par exemple, la société mère) ;
  • Les établissements dans lesquels l’établissement détient une importante participation (entre 20% et 50%), mais pour lesquels l’établissement n’est pas la société mère ;
  • Les succursales luxembourgeoises d’établissements de crédit et d’entreprises d’investissement dont l’origine se situe hors de l’UE ;
  • Les succursales luxembourgeoises d’établissements de crédit et d’entreprises d’investissement (pour les domaines où la CSSF dispose d’une responsabilité de contrôle) originaires d’un état membre l’UE ou de l’Espace Economique Européen ;
  • Les professionnels effectuant des opérations de prêt.

Synthèse des exigences et changements essentiels

Un examen attentif du contenu riche et détaillé de la Circulaire 12/552 révèle qu’elle est susceptible d’apporter d’avantage de modifications aux pratiques de gouvernance interne qu’initialement suggéré. Les éléments essentiels abordés dans cette circulaire sont notamment les suivants:

  • La composition, le rôle et les responsabilités du Conseil d’Administration (CA), exercés avec l’assistance de comités spécialisés ;
  • L’affirmation du Grand-Duché en tant que « centre de décision » dans le cadre de la surveillance exercée par une entreprise mère luxembourgeoise sur son périmètre de consolidation ou même dans le cadre de participations détenues par un établissement luxembourgeois ;
  • La qualification, l’indépendance et les prérogatives exigées des fonctions de contrôle interne − contrôle des risques, compliance et audit interne ;
  • Les rôles et responsabilités des fonctions financière, comptable et informatique en leur qualité d’acteurs essentiels à une structure de gouvernance interne appropriée ;
  • L’importance d’un processus décisionnel transparent, d’une culture du risque ainsi que des dispositifs d’alerte, y compris le « whistleblowing » ;
  • Des lignes directrices supplémentaires publiées par la CSSF, précisant ses attentes sur des sujets essentiels tels que:
  • Les activités inhabituelles ou non transparentes (« opaques ») ;
  • Les conflits d’intérêt ;
  • Les nouveaux produits et modifications de l’activité ;
  • La sous-traitance informatique ;
  • Le risque de crédit, plus particulièrement les crédits immobiliers ;
  • La tarification du risque (« Risk Transfer Pricing ») ;
  • La gestion patrimoniale privée (« Private Banking ») ;

Même si l’objectif de cet article n’est pas de donner une liste exhaustive de toutes les exigences et modifications, tâchons de mettre en exergue ce que nous estimons être les aspects principaux susceptibles d’avoir des conséquences sur les établissements tombant dans le champ d’application.

Composition, rôle et responsabilités du Conseil d’Administration

La Circulaire 12/552 prévoit un renforcement du rôle et des responsabilités du Conseil d’Administration (CA). Par conséquent, une attention accrue est portée aux compétences individuelles et collectives des membres du CA, à leur réelle implication dans leur mission de surveillance de l’établissement et à la documentation de toutes les procédures requises et des décisions prises. Une procédure régissant la nomination et la succession des membres du CA ainsi, entre autres, que de toutes les personnes occupant des postes clés doit être mise en place, comprenant  les critères d’éligibilité et parant les conflits d’intérêt avec d’autres mandats.

Le conseil d’administration ne peut pas compter parmi ses membres une majorité de personnes qui assument un rôle exécutif au sein de l’établissement (directeurs autorisés ou autres employés de l’établissement, à l’exception des représentants du personnel). Les mandats de directeur autorisé et de président du conseil d’administration ne seront désormais plus cumulables. La CSSF recommande explicitement aux grands établissements de nommer un ou plusieurs administrateurs indépendants, ne connaissant aucun conflit d’intérêt de nature à altérer leur capacité de jugement, qu’il s’agisse d’un lien d'affaire, d’un lien familial ou autre, y compris une relation salariale.

Il est attendu que les membres du CA consultent régulièrement la direction autorisée, les fonctions de contrôle interne ou des experts externes sur tous les aspects essentiels liés à l’activité. A cette fin et sous réserve du principe de proportionnalité, la Circulaire définit des attentes et des objectifs clairs pour les comités chargés d’assister le CA – tels que le comité d’audit et le comité des risques – et les assortit de règles applicables pour leur composition et la qualification de leurs membres.

Ces mesures placent indéniablement la barre plus haut en termes des compétences professionnelles, du temps et des efforts requis des membres du CA pour l’exercice de leur mandat.

Luxembourg comme centre de décision

Lorsque l’établissement tombant dans le champ d’application est l’entreprise mère d’autres entités légales relevant de sa surveillance consolidée ou lorsqu’il détient une participation significative (entre 20 et 50%) dans d’autres sociétés, il est attendu qu’il exerce une mission de surveillance adéquate et qu’il s’assure de l’existence d’une structure de gouvernance interne conforme aux exigences de la Circulaire 12/552. Ces exigences sont bien sûr à rencontrer dans le respect du principe de proportionnalité et, autant que possible, de leur compatibilité avec les dispositions règlementaires applicables aux niveaux nationaux et, le cas échéant, avec l’assentiment des autres associés ou actionnaires concernés.

Le principe qu’un établissement luxembourgeois tête de groupe ne doit pas se contenter d’être  un centre administratif n’est pas neuf. La Circulaire 12/552 définit toutefois des objectifs plus clairs en matière de niveau de surveillance des filiales et succursales, et souligne l’importance de la capacité d’en contrôler les  activités à partir du Luxembourg par l’intermédiaire de systèmes d’information de gestion appropriés et complets. Au-delà de l’accès aux données, la Circulaire énonce le principe de subordination de toutes les fonctions essentielles (en particulier, les fonctions de contrôle) à leur échelon hiérarchique luxembourgeois, en rappelant la nécessité de procéder régulièrement à des visites sur place (par exemple pour l’audit interne) et de définir clairement - voire de restreindre - les pouvoirs délégués au sein de toutes les entités du groupe contrôlées par le Luxembourg.

Par conséquent, lorsque des décisions de gestion sont prises par des comités  plus larges que la seule direction autorisée, il est requis que celle-ci en fasse partie et qu’il existe un droit de veto à son bénéfice. Ceci pourrait avoir des conséquences très concrètes pour les établissements luxembourgeois de groupes étrangers dans lesquels la direction exécutive locale a l’habitude d’accepter des instructions de la part de comités internationaux (tels que un ALCO ou des comités de crédit ‘groupe’).

Qualification, indépendance et prérogatives des fonctions de contrôle interne

La Circulaire 12/552 souligne l’importance de disposer de suffisamment d’employés dûment qualifiés pour les fonctions de contrôle interne. En particulier, les possibilités de sous-traiter ces fonctions ou de les combiner avec d’autres prérogatives sont désormais clairement limitées. La CSSF s’attend à ce que chaque poste d’une fonction de contrôle interne soit occupé à plein temps par un responsable désigné − un Chief Risk Officer, un Chief Compliance Officer et un Chief Internal Auditor, à ne pas confondre avec les membres de la direction autorisée responsables de ces fonctions.

En vertu du principe de proportionnalité, il est toujours permis d’assumer ces fonctions à temps partiel, mais une justification doit désormais être fournie par l’établissement à la CSSF. L’audit interne est la seule des 3 fonctions de contrôle interne pour laquelle la sous-traitance est autorisée, toutefois cette option est soumise à des conditions d’indépendance strictes. Les nominations et révocations  des responsables de fonctions de contrôle interne doivent respecter des procédures écrites, être approuvées par le CA et rapportées à la CSSF dans les meilleurs délais en en communiquant les motifs. L’importance d’une ségrégation adéquate des tâches et de barèmes de rémunération aptes à préserver l’objectivité de ces responsables est réaffirmée par une description explicite d’un certain nombre de situations d’incompatibilité.

Après l’entrée en vigueur de la Circulaire, les responsables de fonctions de contrôle interne qui accèdent pour la première fois à une telle position doivent également posséder les connaissances théoriques adéquates. Toutefois, il n’est pas fait explicitement référence à un quelconque certificat ou diplôme.

Avant tout, les personnes relevant de fonctions de contrôle interne doivent faire preuve d’indépendance d’esprit et de jugement et doivent pouvoir s’exprimer librement. La Circulaire 12/552 exige que les fonctions de contrôle interne disposent d’un accès direct au CA, en particulier au comité d’audit mais aussi au réviseur externe ainsi qu’à la CSSF si cela s’avère nécessaire. Un aspect intéressant de la Circulaire réside dans l’importance accordée à la fonction de gestion des risques qui doit désormais publier son propre rapport annuel de synthèse, distinct du rapport ICAAP, quitte à faire double emploi avec ce dernier, ce qui permet l’expression d’une vraie opinion indépendante quant aux risques encourus par l’établissement.

Rôles et responsabilités des fonctions finance, comptable et informatique

La Circulaire met également en évidence la contribution de tous les employés et de toutes les fonctions à une saine gouvernance au sein de l’établissement, soulignant l’importance de la première ligne de défense, des ressources humaines ainsi que d’un organigramme clair. La fonction financière et comptable ainsi que la fonction informatique voient leurs rôles précisés en détail.

La fonction financière et comptable doit jouer un rôle de support au contrôle indépendant des risques par la production et la mise à disposition sans délai d’une information de gestion intègre, fiable et exhaustive. Etant donné qu’elle est également responsable du reporting financier et prudentiel, il est attendu que cette fonction travaille dans le respect d’une ségrégation appropriée des tâches, non cumulables avec celles des unités commerciales et administratives.

Parallèlement à sa responsabilité fondamentale en matière de disponibilité et de continuité des systèmes, la fonction informatique assume aussi un rôle important par l’assistance opérationnelle qu’elle apporte aux fonctions de contrôle interne et par la mission qui lui est confiée de préserver  l’indispensable intégrité des systèmes et des données. Le responsable désigné de la fonction informatique (IT Officer) est épaulé par un Responsable de la Sécurité des Systèmes d’Informations ou Information Security Officer, personne plus spécifiquement chargée de la sécurité et de la protection de l’information. L’Information Security Officer doit être indépendant des fonctions opérationnelles et dégagé de la mise en œuvre opérationnelle des actions de sécurité. En cas de problème exceptionnel, il doit aussi disposer d’un droit d’escalade au plus haut niveau de la hiérarchie, y inclus le CA.

Dispositifs d’alerte, y compris le « whistleblowing »

La Circulaire met en évidence l’importance d’une prise de décision transparente et le développement d’un dispositif de sensibilisation au risque ainsi que d’un esprit critique dans l’ ensemble de l’établissement. Les limites internes applicables, les seuils d’alerte et le processus de recours hiérarchique doivent être communiqués et compris de la même manière dans l’ensemble de l’établissement. Dans ce dispositif, Les risques envers des parties liées (par exemple, les transactions réalisées au sein du groupe) sont à traiter sur le plan interne avec la même attention que les risques envers des parties tierces.

Tout le personnel étant concerné par le contrôle des risques, la Circulaire introduit l’exigence de la mise en place d’une dispositif interne d’alerte (« whistleblowing »), c’est-à-dire, la possibilité donnée à tout membre du personnel d’attirer l'attention sur des préoccupations importantes et légitimes liées à la gouvernance interne en dehors des lignes hiérarchiques établies, jusqu’au niveau du CA si cela s’avère nécessaire. Ce dispositif doit respecter la confidentialité des personnes qui soulèvent de telles préoccupations et les alertes données de bonne foi n’entraînent aucune responsabilité d’aucune sorte dans le chef des personnes qui les ont données. Bien que la pratique du « whistleblowing » soit déjà partie prenante de la culture d’entreprises dans d’autres pays, il s’agit d’un concept relativement neuf au Luxembourg.

Lignes directrices et recommandations spécifiques

La Circulaire 12/552 a été rédigée en vue d’adapter des recommandations générales publiées par l’EBA et le BCBS aux réalités de la Place et aux leçons tirées de la récente crise. Elle contient dès lors des lignes directrices spécifiques relatives à un certain nombre de mesures perçues comme étant particulièrement importantes pour Luxembourg, telles que :

  • Le principe de « Know your structure » nécessitant une gouvernance, une surveillance et une gestion appropriée accrue des risques inhérents aux activités «inhabituelles» ou «non transparentes» - c’est-à-dire celles impliquant des entités juridiques particulières («special purpose vehicles ») ou des entités soumises à des obligations réglementaires moins strictes, y compris les transactions effectuées pour le compte de clients ;
  • Les conflits d’intérêt avec les parties liées (par exemple, au sein du groupe) à tous les niveaux, qui font l’objet d’une attention particulière ;
  • Une procédure d’approbation des nouveaux produits (et des nouvelles activités) – l’exigence de la consultation de toutes les parties concernées en interne avant d’entreprendre de nouvelles activités ainsi que de documenter cette consultation est mise en évidence. Alors qu’il s’agit déjà d’une pratique courante dans la plupart des grands établissements, ceux de plus petite taille ont pu y être moins attentifs jusqu’à présent ;
  • Les exigences en matière de sous-traitance informatique sont clarifiées quant à la préservation de la confidentialité de l’information, plus particulièrement lorsque des structures transfrontalières sont déployées et dans le souci d’éviter toute dépendance critique envers un prestataire unique ;
  • Le processus d’octroi de crédit: l’exigence pour chaque prise de risque de crédit d’une analyse écrite et d’un processus décisionnel prédéfini impliquant une instance distincte de la fonction commerciale, assortie d’un suivi adéquat et d’une bonne gestion des engagements en retard de paiement est soulignée. Ces principes sont bien connus des prêteurs expérimentés, mais peuvent s’avérer déficients dans les établissements où ces activités sont récentes ou occasionnelles. La Circulaire porte une attention toute particulière aux crédits immobiliers, reconnaissant l’existence d’un risque de concentration sur le marché domestique luxembourgeois. Elle modifie les pondérations applicables aux crédits immobiliers résidentiels prévues dans la Circulaire CSSF 06/273 portant sur la définition des exigences de fonds propres en liant ces pondérations  au ratio « loan-to-value » (LTV) par référence au seuil critique de 80% déjà mis en œuvre par d’autres pays dans le cadre de Bâle II. La circulaire précise également l’accroissement minimum des probabilités de défaut (PDs) ainsi que  le taux de perte minimum en cas de défaut (LGD) applicable au test d’endurance portant sur les expositions sur la clientèle de détail garanties par un bien immobilier résidentiel dans le cadre de l’utilisation d’un modèle basé sur les notations internes (IRB).
  • La tarification des risques: la Circulaire requiert la mise en œuvre d’un mécanisme de tarification pour l’ensemble des risques encourus (c’est-à-dire, pas seulement limitée au risque de liquidité) même si elle n’en détaille pas davantage les exigences techniques. La tarification des risques est déjà pratiquée au sein des grandes institutions, mais l’est dans une bien moindre mesure parmi les institutions luxembourgeoises.
  • Les activités de banque privée: des indications relatives aux règles de conduite en matière de gestion patrimoniale privée. La CSSF se prononce en faveur d’une ségrégation entre les activités de gestion discrétionnaire, de gestion conseil et de simple exécution. La production des informations transmises aux clients sur l’état de leurs avoirs, la modification de leurs  données signalétiques (par exemple, leur profil de risque et autres informations collectées pour le respect de MiFID) ainsi que les opérations de retrait ou du versement de valeurs doivent être effectuées par des fonctions indépendantes de la fonction commerciale, afin de prévenir d’éventuelles fraudes. Aux fins d’assurer une couverture adéquate des crédits accordés dans le cadre de services de Banque privée (par exemple, les crédits Lombard et autres découverts), appels de marges et processus d liquidations doivent être appliqués sans délai. La gestion des garanties financières doit encore être pourvue d’un « early warning system » indépendant doté d’une marge de sécurité suffisante.

La Circulaire 12/552 traitant peu de la mesure des risques proprement dite, elle n’a pas pour vocation de remplacer les lignes directrices en la matière reprises dans les Circulaires précédentes, telles que la Circulaire 06/273 sur les exigences en capital, la Circulaire 07/301 relative à ICAAP ou la Circulaire 11/506 sur les stress tests. En plus d’établir le principe d’une tarification des risques, la Circulaire plaide en faveur d’une confrontation régulière des appréciations ex-ante de risques potentiels avec les risques réalisés ex-post (principe du «back-testing»).

Délai de conformité et orientations futures

La nouvelle Circulaire est applicable à partir du 1er juillet 2013, à l’exception des nouvelles dispositions relatives à la composition et à la qualification du CA, des comités spécialisés et de certains documents devant être rédigés par le CA, qui seront applicables à partir du 1er janvier 2014.

Outre l’obligation de rendre compte par écrit au moins une fois par an au CA de l’état, de l’adéquation et de l’efficacité du dispositif de gouvernance interne sous tous ses aspects, la direction autorisée confirme chaque année à la CSSF le respect de la présente circulaire par le biais d’une phrase écrite unique signée par chacun de ses membres. Dans le cas contraire, cette déclaration prend la forme d’une réserve qui énonce sommairement les points de non-conformité accompagnés d’explications.

Les Circulaires IML 93/94 et CSSF 10/466 seront abrogées tandis que les Circulaires IML 95/120, IML 96/126, IML 98/143, CSSF 04/155 et CSSF 05/178 ne sont plus applicables aux établissements de crédit et entreprises d’investissement à partir de la date d’entrée en vigueur.

Fait intéressant, la Circulaire 12/552 est présentée comme une première étape avant la rédaction d’un recueil règlementaire plus complet sur la gouvernance interne au sens large. Dès lors, la place financière luxembourgeoise peut considérer cette initiative de la CSSF comme l’indice probable d’un renforcement des exigences en la matière et de leur surveillance.

Laurent Denayer, Partner, Simone Thiel et Vincent Galand, Senior Managers, EY, Luxembourg