Les 280 articles de l'arrêté du 3 novembre 2014 relatif au contrôle interne, qui abroge la réglementation CRBF 97-02 modifiée du 21 février 1997, impactent l'organisation du contrôle interne des établissements assujettis. Les établissements soumis aux dispositions de l'arrêté sont multiples: les établissements de crédit (y compris les succursales d'EC de pays tiers), les sociétés de financement, les entreprises d'investissement autres que les sociétés de gestion de portefeuille, les adhérents de chambres de compensation, les teneurs de comptes conservateurs, les établissements de paiement et les établissements de monnaie électronique. FRANCE: Arrêté du 25 février 2021 modifiant l'arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque soumises au contrôle de l'ACPR - GlobalBPA. Une des modifications les plus discutées concerne la gouvernance de ces établissements et notamment la mise en place de comités spécialisés. Toutefois, le nouvel arrêté redéfinit aussi les besoins d'encadrement de 14 risques auxquels sont exposés les établissements; certains risques déjà décrits dans le CRBF 97-02, mais aussi de nouveaux en termes de réglementation (mentionnés aux articles 79 à 87 de la CRD 4).
Points clés de l'arrêté du 3 novembre 2014 relatif au contrôle interne: Gouvernance 1) Recentrage du comité d'audit sur sa mission de contrôle de l'information financière, et création de trois comités spécialisés distincts: un comité des risques, un comité des nominations et un comité des rémunérations pour les entités dont le total bilan excède 5 milliards d'euros. Article 104 2) Substitution des notions d'organe exécutif et d'organe délibérant par dirigeants effectifs et organe de surveillance, sans changement dans la définition mais avec une clarification de leurs rôles respectifs. S’approprier l’arrêté du 3/11/2014 relatif au contrôle interne bancaire - IFACI. Articles 10, 242 et 243 3) Changement de la dénomination de la « filière risques », qui devient la « fonction de gestion des risques », et renforcement du rôle du responsable de la fonction de gestion des risques. Article 77 4) Impossibilité de démettre le responsable de la fonction de gestion des risques de ses fonctions sans accord de l'organe de surveillance. Article 83 5) Rattachement du responsable du contrôle de la conformité directement à l'organe de surveillance ou au comité des risques.
Un plan de reprise d'activité qui comporte des mesures d'urgence destinées à maintenir les activités essentielles ou importantes. Les entreprises assujetties testent périodiquement leur dispositif de gestion de la continuité d'activité, notamment leurs services informatiques, et s'assurent que leur organisation et la disponibilité de leurs ressources humaines, immobilières, techniques et financières font l'objet d'une appréciation régulière au regard des risques liés à la continuité de l'activité. Arrêté du 3 novembre 2014 acpr. » 5. Gestion du risque informatique. Il est inséré, après l'article 270 de l'arrêté du 3 novembre 2014, un titre VI bis intitulé « Gestion du risque informatique » et composé des articles 270-1 à 270-5. À ce stade, notre glose serait moins pertinente que le texte de ces dispositions lui-même: – article 270-1: « Les entreprises assujetties établissent leur stratégie en matière informatique afin de répondre aux objectifs de leur stratégie d'affaires.
Ces procédures couvrent notamment l'exploitation, la surveillance et le contrôle des systèmes et services informatiques. Elles sont complétées par un processus de détection et de gestion des incidents opérationnels ou de sécurité »; – article 270-5: « Les entreprises assujetties disposent d'un cadre de conduite clair et efficace de leurs projets et programmes informatiques. Il est accompagné d'un processus de gestion de l'acquisition, du développement et de l'entretien des systèmes d'information, ainsi que par un processus de gestion des changements informatiques garantissant que les modifications apportées aux systèmes informatiques sont enregistrées, testées, évaluées, approuvées et implémentées de façon contrôlée. Adieu CRBF et Bienvenue à l’arrêté du 3 novembre 2014 - Afges. » Là où le commentaire peut reprendre son empire, c'est lorsque l'on met, par exemple, ces règles nouvelles en relation avec le futur règlement européen sur la résilience opérationnelle numérique du secteur financier, dont la Commission a publié la proposition le 24 septembre dernier [9], au sein du « paquet finance numérique ».
« III. -Les fonds propres utilisés pour respecter une exigence de fonds propres supplémentaires fixée par l'Autorité pour faire face au risque de levier excessif insuffisamment couvert au titre de l'article 92, paragraphe 1, point d, du règlement (UE) n° 575/2013 sont uniquement constitués de de fonds propres de catégorie 1 définis à l'article 25 du règlement (UE) n° 575/2013 du Parlement européen et du Conseil du 26 juin 2013. « Lorsqu'il ne s'agit pas de faire face au risque de levier excessif mentionné à l'alinéa précédent, au moins les trois quarts des fonds propres utilisés pour respecter une exigence de fonds propres supplémentaires doivent être constitués de fonds propres de catégorie 1 définis à l'article 25 du règlement (UE) n° 575/2013 du Parlement européen et du Conseil du 26 juin 2013. Arrêté du 3 novembre 2014 le. Les trois quarts de ces derniers doivent eux-mêmes être des fonds propres de base définis à l'article 26 de ce même règlement. « L'Autorité de contrôle prudentiel et de résolution peut, si elle le juge nécessaire compte tenu des circonstances spécifiques à l'entreprise, exiger que l'exigence de fonds propres supplémentaire soit respectée avec une proportion plus élevée de fonds propres de catégorie 1 ou de fond propres de base de catégorie.
La gestion des risques se trouve au centre des enjeux de gouvernance. La notion de "filière" est remplacée par celle de "fonction". Le "responsable de la fonction de gestion des risques" peut, si nécessaire, rendre directement compte à l'organe de surveillance et, le cas échéant, au comité des risques, sans en référer aux dirigeants effectifs (art 77). Ce responsable s'assure du respect des limites telles qu'elles ont été définies par les dirigeants effectifs et approuvées par les organes de surveillance. Le rôle des organes de surveillance se trouve renforcé dans la supervision de l'ensemble des risques, à savoir: Risques de crédit et de contrepartie. Risque de marché, de taux d'intérêt global, de base. Risque d'intermédiation, de règlement-livraison. Risque de liquidité. Risque de titrisation. Risque de levier excessif. Ainsi que des risques systémiques, des risques liés au modèle et du risque opérationnel. Chacun de ces risques disposera de limites globales dont le responsable des risques assurera le respect.
skytimetravel.net, 2024