Autorité Bancaire Européenne (ABE) : les 4 domaines à étudier pour la mise en conformité

by Arnaud Malardé

Orientations relatives à l’externalisation : un guide sur les règles de conformité de l’Autorité Bancaire Européenne

La version révisée du document Orientations relatives à l’externalisation de l’Autorité Bancaire Européenne (ABE) est entrée en vigueur le 30 septembre 2019. L’ABE a actualisé ses anciennes directives de 2006 à ce sujet, et a ajouté des spécifications sur l’externalisation de services cloud de 2017.

Les nouvelles règles s’appliquent désormais à un public plus large que les précédentes : elles ne concernent plus seulement les banques, mais aussi les organismes de crédit, les sociétés d’investissement, les organismes émetteurs de monnaie électronique et les fournisseurs de paiement, qui doivent tous respecter ces orientations.

Les nouvelles orientations apportent en outre une définition élargie de l’externalisation et accordent une attention particulière aux “activités critiques” :

• Externalisé : recours par une entité autorisée à un tiers auquel elle confie des activités qu’elle exécute elle-même en temps normal.
• Critique : activités d’une importance telle que tout relâchement ou défaillance pourrait avoir un impact grave sur la capacité de l’entité autorisée à remplir ses obligations réglementaires et/ou à rester opérationnelle.

Dans la pratique, tout service assuré par un tiers et prenant en charge les activités bancaires de cœur de métier est concerné par ces orientations. C'est le cas de la plupart des services informatiques et cloud. En revanche, des services tels que le nettoyage, la restauration, les prestations de juristes ou le conseil n'entrent pas dans cette catégorie. 

Il s’agit bel et bien d’un appel à l’action lancé aux banques européennes, qui se voient invitées à sécuriser leurs processus d'externalisation et à se doter des outils adéquats pour se mettre en conformité avec les orientations de l'ABE. Le non-respect de ces orientations aurait des conséquences graves : 

• Limogeage des dirigeants
• Limitations de l’activité bancaire
• Suspension des autorisations bancaires 

En revanche, le respect de ces orientations renforce la stratégie par rapport au risque et assure par conséquent un atout concurrentiel sur le marché. Cet avantage ne se restreint pas au seul marché bancaire européen. En fait, la Federal Reserve Board (FRB) a publié des directives d’externalisation assez similaires pour le marché américain en 2013.

Regardons plus en détail les obligations auxquelles font face les organismes financiers et comment ils peuvent se mettre en conformité avec ces nouvelles orientations de l’Autorité Bancaire Européenne.

Principes généraux

Selon les orientations de l’Autorité Bancaire Européenne, l’externalisation d’une activité ne doit jamais :

• Transférer la responsabilité des principaux dirigeants de la banque concernant l’exécution des fonctions de management principales (par exemple la stratégie de risque et la surveillance des opérations métier)
• Porter atteinte au contrôle des organismes de surveillance
• Porter atteinte aux obligations de gestion du risque
• Concerner des activités de dépôt ou de prêt

Exigences de l’ABE concernant les activités externalisées

Les organismes financiers doivent satisfaire toutes les conditions suivantes pour être en conformité avec les orientations de l’Autorité Bancaire Européenne :

• Disposer de ressources de surveillance suffisantes. A cet égard, l'ABE introduit le concept de proportionnalité. Les ressources (ici ressources humaines mais aussi les outils et les processus) dédiées à la gestion des arrangements d'externalisation doivent être proportionnelles au profil de risque individuel de l'organisme financier et à l'ampleur et à la portée de ses activités. En outre, la complexité des fonctions externalisées est aussi un facteur à prendre en compte.
• Un cadre strict de contrôle et de gouvernance (même lorsque les activités sont délocalisées) accompagné d’une règle d’externalisation détaillée. 
• Une bonne compréhension des limites et du risque de l’externalisation. 
• Une gestion détaillée du risque lié aux tiers (notamment le risque de concentration et le risque lié à la sous-traitance).
• La définition d’une stratégie de sortie correspondant à chaque arrangement d’externalisation.
• Plans en cas d’événements imprévus (autre fournisseur ou plan de retour à une internalisation).

Si l'équipe de direction d'un organisme financier est habilitée à allouer des ressources, une plateforme complète de Source-to-Pay telle que celle d'Ivalua peut contribuer à gérer toutes les autres exigences. Nous allons les voir de façon plus exhaustive.

1. Cadre de contrôle et de gouvernance

Les orientations d'externalisation de l'Autorité Bancaire Européenne stipulent qu'une banque doit créer, approuver et mettre à jour régulièrement une politique d'externalisation détaillée. Elle est également responsable de veiller à son application.

La solution d'Ivalua permet de répondre à cette exigence. Elle joue tout d'abord le rôle d'un référentiel de documents de règles, précisant les dates d'arrivée à expiration et émettant les notifications nécessaires pour une mise à jour le cas échéant. En outre, elle peut aussi être le véhicule qui va servir à faire appliquer les règles dans tout le processus de Source-to-Pay. Les activités critiques externalisées peuvent être traitées par des flux de travaux d’approbation spéciaux (faisant par exemple appel à des équipes de conformité ou veillant à ce que les clauses dédiées soient signées par les fournisseurs).

2. Une bonne compréhension des limites et du risque de l’externalisation

Les organismes financiers doivent identifier clairement dans leurs accords actuels ceux qui concernent l’externalisation des activités, déterminer si ces activités sont critiques et si elles sont réalisées dans un pays tiers (c'est-à-dire un pays ne reconnaissant pas l'autorité de l'ABE). Ils doivent fournir des informations exhaustives sur les contrats d'externalisation critiques.

Pour les aider à répondre à cet impératif, Ivalua propose un Registre des contrats externalisés. Tous les arrangements d'externalisation peuvent y être stockés sous un identifiant unique. Ils peuvent être qualifiés en fonction du type d'externalisation (Externalisation, Sous-traitance ou En interne), son degré critique (Critique, Non critique) et sa délocalisation (Oui/Non). Selon le type de contrat envisagé, certaines zones dédiées peuvent être déclenchées afin de recevoir des informations plus spécifiques. Par exemple, dans le cas de l'externalisation d'une activité critique, les preuves suivantes peuvent être exigées : dates du dernier et du prochain audit de contrat, autre fournisseur identifié, possibilité de substitutions et plan d'évaluation d'une réintégration.

Ce registre fournit une vue claire du risque d'externalisation. Des rapports peuvent être générés à partir des données du registre en cas de demande d'audit ou de surveillance, soit à intervalles réguliers, soit sur demande. 

3. Gestion du cycle de vie de l’externalisation

Les organismes financiers doivent prouver qu'ils ont mis en place un processus efficace de gestion du cycle de vie de l'externalisation. Ils doivent pouvoir contrôler chaque stade de ce cycle de A à Z. En d'autres termes, ils doivent réaliser plusieurs vérifications avant d'accepter de nouveaux arrangements d'externalisation ou avant d'en renouveler un. Ils doivent :

• Analyser le degré critique de l’activité externalisée.
• Garantir le respect des conditions de surveillance.
• Assurer une diligence raisonnable vis-à-vis des fournisseurs.
• Évaluer le risque potentiel (notamment les conflits d’intérêt potentiels).

Ce cycle de vie ne s’achève pas avec la sélection des fournisseurs, car les étapes suivantes sont elles aussi d’une importance cruciale :

• Mise en place d’un cadre contractuel solide.
• Évaluation de la performance du fournisseur par rapport aux attentes du contrat.
• Gestion correcte de la fin des arrangements d’externalisation.
• Évaluation du risque en continu.

La solution Ivalua permet de gérer tout le cycle de vie d’un arrangement d’externalisation : sélection du fournisseur, conclusion du contrat, évaluation de la performance du fournisseur par rapport au contrat et implémentation de stratégies de sortie le cas échéant. 

Les événements de sourçage correspondant aux activités d’externalisation doivent comporter un questionnaire d’évaluation du degré critique qui doit être rempli par les parties prenantes en interne. Si un projet semble concerner une activité critique, certaines étapes supplémentaires seront dans ce cas nécessaires. Par exemple, les fournisseurs devront accepter certaines clauses avant d'avoir accès à l'appel d'offres. Ces clauses figureront également dans le contrat final. Un exemple de ce type de clause est l’obligation pour le fournisseur d’accorder aux autorités un accès complet aux données en rapport avec le service.

Pour vérifier que toutes les précautions ont été prises avant de conclure un contrat d’externalisation critique, un flux de travaux d’approbation est déclenché avant que le service ne soit attribué à un fournisseur potentiel. Ce flux de travaux doit comprendre la révision/l'approbation d'une équipe interne d'audit ou de conformité avant que la procédure entamée avec le fournisseur sélectionné ne puisse se poursuivre.

Pour que le reste du processus se déroule lui aussi sans anicroches, notre solution propose des fonctionnalités contractuelles dédiées, ainsi que la gestion des performances et de la stratégie de sortie.

4. Gestion du risque lié aux tiers

Les organismes financiers doivent évaluer, gérer et atténuer de façon stricte et permanente le risque lié aux tiers, notamment le risque lié à la sous-traitance. Une attention toute particulière doit être accordée aux activités critiques externalisées et une diligence raisonnable vis-à-vis du risque doit être menée avant toute conclusion de contrat.

Le IVALUA | Risk Center d'Ivalua aide les organismes financiers à se mettre en conformité avec leurs obligations de gestion du risque. La solution leur permet de créer un mappage complet du risque fournisseurs avec une vue directe de leurs sous-traitants et de leur niveau de risque. Cette vue dynamique du risque agrège les données de risque internes et externes sur vos fournisseurs de prédilection (par exemple Dun&Bradstreet, Ecovadis). Les responsables peuvent recevoir des alertes contextuelles en cas d'augmentation de l'exposition au risque et prendre les mesures d'atténuation appropriées à partir de l'outil.

Plusieurs grandes banques européennes ont déjà choisi la solution Ivalua pour leur stratégie de conformité.