fbpx

#Lulex: Etablissements de crédit – La circulaire CSSF 22/821 portant révision du compte rendu analytique (« long form report »)

Résumé

La CSSF a publié une nouvelle circulaire CSSF 22/821 portant révision du compte rendu analytique afin qu’il reflète l’évolution législative et réglementaire en matière de supervision prudentielle des établissements de crédit et afin de supprimer les redondances avec certains comptes rendus existants.

Dans le cadre du compte rendu analytique, les établissements de crédit concernés doivent compléter un questionnaire d’auto-évaluation qui s’articule autour de 10 thématiques (gouvernance interne, risques IT, risque de crédit, grandes expositions, parties liées, etc.) permettant de rendre compte de l’évaluation par ces derniers de leur respect de la réglementation bancaire et financière

Les réviseurs d’entreprises agréés doivent quant à eux, rédiger trois rapports séparés :

    • sur base trisannuelle, les réviseurs d’entreprise agréés rédigent un rapport sur les procédures convenues, lequel reflète leurs constatations de fait sur 7 modules prédéfinis par la CSSF (MIFID, PSD 2, risque de crédit, dépositaire d’OPC, etc.) ;
    • sur base annuelle, les réviseurs d’entreprise agréés rédigent un rapport sur la protection des instruments financiers et des fonds appartenant aux clients ;
    • sur base annuelle également, les réviseurs d’entreprise agréés rédigent un rapport portant sur les procédures mises en œuvre par les établissements de crédit concernant la prévention du blanchiment de capitaux et le financement du terrorisme.

L’objectif du compte rendu analytique est de permettre aux autorités compétentes de recueillir des informations suffisantes pour mettre en œuvre leurs approches de surveillance fondée sur le risque et d’obtenir des informations et des garanties quant au respect des principales dispositions réglementaires par les établissements de crédit concernés.

 

1. Dans le cadre de sa mission de surveillance prudentielle, la Commission luxembourgeoise de Surveillance du Secteur financier (« CSSF ») a publié une nouvelle circulaire CSSF 22/821 intitulée « Compte rendu analytique – Règles pratiques concernant le questionnaire d’auto-évaluation à soumettre annuellement par les institutions – Mission et rapports y relatifs des réviseurs d’entreprises agréés ».

La circulaire CSSF 22/821 a pour objet d’introduire une nouvelle version du compte rendu analytique (« long form report »), celui-ci ayant été créé par la circulaire CSSF 01/27 introduisant des règles pratiques concernant le rôle des réviseurs d’entreprise agréés, afin de tenir compte des développements réglementaires et de l’évolution des pratiques de supervision depuis 2001. La circulaire CSSF 22/821 est le fruit d’une réflexion sur les objectifs, le champ d’application et le contenu du compte rendu analytique afin de le mettre en accord avec les règles prudentielles et de supervision présentant de l’intérêt et afin de supprimer des redondances avec des comptes rendus existants.

2. Le compte rendu analytique révisé s’adresse aux établissements de crédit de droit luxembourgeois, incluant leurs succursales, ainsi que les succursales luxembourgeoises d’établissements de crédit de pays tiers. Il ne s’adresse pas aux succursales luxembourgeoises d’établissements de crédit d’Etats membres de l’Union européenne.

3. Le compte rendu analytique s’articule autour de quatre parties :

    • un questionnaire d’auto-évaluation (« self-assessment questionnaire ») devant être complété sur base annuelle par les établissements de crédit concernés ;
    • un (ou des) rapport(s) sur les procédures convenues (« Agreed Upon Procedure report(s) » ou « AUP reports ») à préparer tous les 3 ans par le réviseur d’entreprise agréé, selon la norme ISRS 4400 ;
    • un rapport séparé sur la protection des instruments financiers et des fonds appartenant aux clients à préparer annuellement par le réviseur d’entreprise agréé, conformément à l’article 7 du Règlement Grand-Ducal du 30 mai 2018 relatif à la protection des instruments financiers et des fonds des clients, aux obligations applicables en matière de gouvernance des produits et aux règles régissant l’octroi ou la perception de droits, de commissions ou de tout autre avantage monétaire ou non monétaire (le « Règlement Grand-Ducal du 30 mai 2018 ») ;
    • un rapport séparé annuel du réviseur d’entreprise agréé sur les procédures mises en œuvre par les établissements de crédit concernant la prévention du blanchiment de capitaux et le financement du terrorisme, conformément aux articles 49(2) et 49(3) du Règlement CSSF n°12-02 du 14 décembre 2012.

4. Le cadre réglementaire introduit par la circulaire CSSF 22/821 s’applique de manière indifférenciée aux établissements de crédit concernés.

5. Il a pour vocation de permettre aux autorités compétentes de recueillir des informations suffisantes pour mettre en œuvre leurs approches de surveillance fondée sur le risque (« risk-based approaches ») et d’obtenir des informations et des garanties quant au respect des principales dispositions réglementaires par les établissements de crédit concernés.

6. La circulaire CSSF 22/821 entrera en vigueur le 31 décembre 2022.

Dans ce contexte, les dispositions de la circulaire CSSF 01/27 sur l’étendue du mandat de contrôle légal des comptes ainsi que sur le contenu des rapports et commentaires écrits émis par le réviseur d’entreprise agréé dans le cadre de son contrôle des documents comptables annuels restent pertinentes et seront mises à jour et publiées dans une circulaire séparée dans les semaines à venir.

En outre, les circulaires suivantes doivent être mises à jour après la publication de la circulaire CSSF 22/821, à savoir la circulaire CSSF 07/325 (« Dispositions relatives aux établissements de crédit et aux entreprises d’investissement d’origine communautaire établis au Luxembourg par le biais de succursales ou exerçant des activités au Luxembourg en libre prestation de services ») et la circulaire CSSF 19/731 (« Documents à soumettre à la CSSF et à la Banque centrale européenne sur une base annuelle »).

1. LE QUESTIONNAIRE D’AUTO-EVALUATION A COMPLETER PAR L’ETABLISSEMENT DE CREDIT

7. Le questionnaire d’auto-évaluation, lequel est téléchargeable sous format Excel sur le site Internet de la CSSF (https://www.cssf.lu/fr/Document/questionnaire-dauto-evaluation-a-soumettre-annuellement-par-les-etablissements-de-credit/), doit être transmis annuellement par les établissements de crédit via la plateforme digitale de la CSSF « E-Desk », dans les trois mois de la clôture de l’exercice.

Pour l’année 2023, ce délai est porté à quatre mois après la clôture de l’exercice.

Avant d’être transmis, le questionnaire d’auto-évaluation doit être revu et signé électroniquement par la direction autorisée de l’établissement de crédit.

Les informations communiquées dans le cadre du questionnaire d’auto-évaluation doivent être correctes, sincères et aussi concises que possible.

8. Le questionnaire d’auto-évaluation est composé des sections suivantes :

1.1. Gouvernance interne

L’établissement de crédit doit fournir une vue d’ensemble de sa structure opérationnelle et décisionnelle, en ce compris la composition de ses comités et fonctions de contrôle interne.

Cela concerne les établissements de crédit sur une base individuelle, à l’exclusion de leurs succursales.

1.2. Risque informatique

L’établissement de crédit doit fournir une vue d’ensemble des systèmes informatiques, incluant une évaluation du niveau de risques et des contrôles en place.

Cela concerne les établissements de crédit, ainsi que leurs succursales.

1.3. Risque de crédit

L’établissement de crédit doit fournir une vue d’ensemble des méthodologies appliquées pour le calcul des pertes de valeur en vertu de la norme IFRS 9 ainsi qu’une description de la manière dont le concept de « forborne » (il s’agit des concessions accordées à un débiteur qui fait face ou qui est sur le point de faire face à des difficultés financières pour respecter ses engagements) est mis en œuvre à son niveau.
L’établissement de crédit fournit également un aperçu des scénarios et des prévisions utilisés pour tenir compte de son exposition au risque de crédit.

Cela concerne les établissements de crédit sur une base individuelle, y compris leurs succursales.

1.4. Grandes expositions

L’établissement de crédit doit fournir des informations qualitatives sur les grandes expositions signalées.

Cela concerne les établissements de crédit sur une base individuelle, y compris leurs succursales.

1.5. Parties liées

L’établissement de crédit fournit une vue d’ensemble des expositions intragroupes, y compris une description de l’objectif de ces expositions. En outre, l’établissement de crédit doit fournir un aperçu des services fournis à / prestés par les parties liées.

Cela concerne les établissements de crédit sur une base individuelle, y compris leurs succursales.

1.6. Succursales étrangères

L’établissement de crédit dresse une vue d’ensemble des succursales à l’étranger, y compris une description de la façon dont les politiques d’entreprise, les politiques commerciales et les politiques de groupe en matière de risque sont appliquées dans les succursales étrangères.
L’établissement de crédit fournit également une vue d’ensemble des contrôles en place.

Cela concerne les succursales étrangères situées dans un autre Etat membre de l’Union européenne ou dans un pays tiers.

Sont en revanche exemptés les établissements de crédit qui n’avaient pas de succursales étrangères dans un autre Etat membre de l’Union européenne ou dans un pays tiers à la clôture de l’exercice.

1.7. MIFID

L’établissement de crédit fournit une vue d’ensemble de la mise en œuvre organisationnelle et opérationnelle de MIFID et une description des services d’investissement et des instruments financiers offerts aux clients.
L’établissement de crédit doit également inclure une information sur les moyens de distribution et de communication, ainsi que sur la base de données clients.

Cela concerne les établissements de crédit sur une base individuelle, à l’exclusion de leurs succursales.

Sont exemptés les établissements de crédit qui n’ont pas fourni de services d’investissement ou réalisé de vente ou fourni de conseils en rapport avec des dépôts structurés durant l’exercice.

1.8. PSD 2

L’établissement de crédit fournit une vue d’ensemble des services de paiement et une description de l’interface à travers laquelle ces services de paiement sont offerts aux clients.

Cela concerne les établissements de crédit sur une base individuelle, y compris leurs succursales.

Sont exemptés les établissements de crédit qui n’ont pas fourni de services de paiement durant l’exercice.

1.9. Banque dépositaire

L’établissement de crédit dresse une vue d’ensemble quantitative et qualitative de la fonction de dépositaire d’OPC et des services liés. L’établissement de crédit procède également à une auto-évaluation à l’égard des exigences légales principales.

Cela concerne les établissements de crédit sur une base individuelle, à l’exclusion de leurs succursales.

Sont exemptés les établissements de crédit qui ne fournissent pas des services de dépositaires et services liés.

1.10. Aspects relatifs à la consolidation

L’établissement de crédit doit fournir des informations relatives à la surveillance des filiales (organisation, fonction de contrôle, systèmes informatiques) et des informations quantitatives sur chaque filiale.

Sont concernées toutes les filiales inclues dans le champ de consolidation prudentielle, selon les dispositions du Chapitre 2 du Titre II de la Partie I du Règlement n°573/2013.

Sont exemptés les établissements de crédit n’ayant pas consolidé d’autres entités sous une perspective prudentielle à la clôture de l’exercice concerné.

2. LE RAPPORT SUR LES PROCEDURES CONVENUES A PREPARER PAR LE REVISEUR D’ENTREPRISE AGREE

9. Les établissements de crédit doivent mandater leur réviseur d’entreprise agréé afin de réaliser une liste prédéfinie de procédures convenues, réparties dans différents modules. Les procédures convenues à réaliser par le réviseur d’entreprise agréé sont disponibles sur un document Excel, accessible depuis le site Internet de la CSSF : https://www.cssf.lu/fr/Document/procedures-convenues-a-realiser-par-les-reviseurs-dentreprises-agrees-dans-le-cadre-du-compte-rendu-analytique/.

Le réviseur d’entreprise agréé mandaté est celui qui a été désigné par l’établissement de crédit pour l’audit de ses états financiers.

10. Ce rapport doit être réalisé conformément à la norme ISRS 4400 intitulée « Missions de procédures convenues relatives aux informations financières ».

Ladite norme explicite les objectifs d’une mission de procédures convenues (points 4 & 5):

« (…) 4. L’objectif d’une mission de procédures convenues est, pour l’auditeur, de mettre en œuvre des procédures de nature d’audit, définies d’un commun accord entre l’auditeur, l’entité et tout autre partie intéressée, et de communiquer les constatations de fait.

5. Dès lors que l’auditeur ne fournit qu’un rapport sur des constatations de fait sur base des procédures convenues, aucun degré d’assurance n’est exprimé. Au contraire, c’est aux destinataires du rapport d’évaluer par eux-mêmes les procédures et les constatations de fait de l’auditeur, et de tirer leurs propres conclusions des travaux de l’auditeur. (…)»

11. Le rapport établi par le réviseur d’entreprise agréé doit comporter un certain nombre de mentions obligatoires, listées dans la norme ISRS 4400 et il doit préciser l’objectif de la mission et les procédures convenues de manière suffisamment détaillée pour permettre à la CSSF de comprendre la nature et l’étendue des travaux effectués (points 17 & 18).

12. La mise en œuvre d’un tel audit s’effectuera selon une approche échelonnée.

Pour l’année 2023, sur la base des informations relatives à l’exercice 2022, les modules MIFID et PSD 2 doivent être réalisés pour tous les établissements de crédit. Les autres modules – à savoir sur le risque de crédit, le risque informatique, les dépositaires d’OPC, les parties liées et les grandes expositions –, seront couverts au cours des années suivantes.

13. L’ensemble des modules n’est pas pertinent pour l’ensemble des établissements de crédit. La détermination des modules applicables pour un établissement de crédit se fera au cas par cas selon une approche basée sur le risque.
Il reviendra au réviseur d’entreprise agréé de le mentionner explicitement.

14. Les modules doivent être réalisés, en principe, par cycle de trois ans.

15. Le rapport doit comporter la signature électronique de l’associé du cabinet d’audit en charge du mandat au sein de l’établissement de crédit. Le rapport doit être transmis par le réviseur d’entreprise agréé à l’établissement de crédit, lequel pourra formuler des commentaires sur les constatations du réviseur d’entreprise agréé. Ces commentaires ne feront pas partie du rapport du réviseur d’entreprise agréé. Le rapport doit ensuite être transmis par l’établissement de crédit à la CSSF sous forme électronique via « E-Desk » dans les 5 mois de la clôture de l’exercice. Pour l’année 2023, ce délai est porté à 6 mois après la clôture de l’exercice.

3. LE RAPPORT SUR LA PROTECTION DES INSTRUMENTS FINANCIERS ET DES FONDS APPARTENANT AUX CLIENTS

16. Dans la mesure où cela leur est applicable, les établissements de crédit doivent également mandater leur réviseur d’entreprise agréé afin que ce dernier prépare, sur base annuelle, un rapport séparé sur la protection des instruments financiers et sur les fonds appartenant aux clients.

17. Ce rapport doit couvrir :

    • lorsque l’établissement de crédit détient des instruments financiers des clients, l’adéquation des dispositions prises pour préserver les droits de propriété des clients (notamment en cas d’insolvabilité de l’établissement de crédit) et pour empêcher l’utilisation des instruments financiers des clients pour compte propre si ce n’est avec le consentement explicite des clients (Article 37-1 (7) de la loi du 5 avril 1993 sur le secteur financier) ;
    • lorsque l’établissement de crédit détient des fonds appartenant aux clients, l’adéquation des dispositions prises pour préserver les droits des clients (Article 37-1 (8) de la loi du 5 avril 1993 sur le secteur financier) ;
    • l’adéquation des dispositions prises dans le cadre de l’interdiction faite aux établissements de crédit, dans le cadre de la fourniture de services d’investissement, de conclure un transfert de propriété à titre de garantie avec un client de détail au sens de l’article 4, paragraphe 1er, point 11, de la directive 2014/65/UE, en vue de garantir ses obligations présentes ou futures, réelles, conditionnelles ou potentielles, ou de les couvrir d’une autre manière (Article 13, paragraphe 4, de la loi du 5 août 2005 sur les contrats de garantie financière) ;
    • l’adéquation des dispositions prises en application de la section 2 « Protection des instruments financiers et des fonds des clients » du Règlement Grand-Ducal du 30 mai 2018.

18. La direction autorisée de l’établissement de crédit est responsable de fournir au réviseur d’entreprise agréé les informations requises pour la rédaction des parties descriptives du rapport. Le réviseur d’entreprise agréé peut inclure dans son rapport des éléments descriptifs directement fournis par la direction autorisée de l’établissement de crédit, mais doit vérifier et s’assurer que ces éléments sont corrects et adéquats.

19. L’objectif d’un tel rapport est de s’assurer la fiabilité des réponses fournies par les établissements de crédit dans le questionnaire d’auto-évaluation en ce qui concerne la protection des instruments financiers et des fonds appartenant à leurs clients. Cependant, cela n’empêche pas le réviseur d’entreprise agréé de réaliser d’autres évaluations que celles prévues dans ledit questionnaire.

20. Le rapport doit comporter la signature électronique de l’associé du cabinet d’audit en charge du mandat au sein de l’établissement de crédit. Le rapport doit être transmis par le réviseur d’entreprise agréé à l’établissement de crédit, lequel le transmettra ensuite à la CSSF sous forme électronique via « E-Desk » dans les 5 mois de la clôture de l’exercice. Pour l’année 2023, ce délai est porté à 6 mois après la clôture de l’exercice.

4. LE RAPPORT EN MATIERE D’AML/FT A PREPARER PAR LE REVISEUR D’ENTREPRISE AGREE

21. Les établissements de crédit doivent mandater leur réviseur d’entreprise agréé afin qu’il prépare, sur base annuelle, un rapport séparé couvrant le volet AML/ FT, conformément au Règlement CSSF n°12-02.

22. Le rapport doit fournir, en particulier :

    • une description de la politique mise en place par l’établissement de crédit afin de prévenir le blanchiment et le financement du terrorisme, la vérification de sa conformité avec les réglementations applicables en la matière et le contrôle de sa bonne application ;
    • une évaluation de l’analyse faite par l’établissement de crédit des risques en matière de blanchiment et de financement du terrorisme auxquels il est exposé ; le réviseur d’entreprise agréé doit vérifier si les procédures mises en œuvre, les infrastructures et contrôles, ainsi que le champ d’application des mesures AML/FT sont appropriées au vu du risque de blanchiment et de financement du terrorisme auquel l’établissement de crédit est exposé, particulièrement au regard de son activité, de la nature de ses clients et des produits et services fournis ;
    • une déclaration indiquant si un audit du respect de la politique de l’établissement de crédit en matière d’AML/FT a été réalisé par la fonction d’audit interne et par le responsable de la conformité chargé du contrôle du respect des obligations professionnelles ;
    • une description courte des formations et mesures de sensibilisation pour les employés en matière d’AML/FT, notamment en ce qui concerne l’identification des opérations de blanchiment et de financement du terrorisme ;
    • des statistiques concernant les opérations suspectes détectées, indiquant le nombre d’opérations suspectes reportées à la Cellule de renseignement financier par l’établissement de crédit ainsi que le montant total des fonds impliqués pendant l’exercice ;
    • le contrôle de l’application des dispositions du Règlement (UE) n°2015/847 par l’établissement de crédit, le pourcentage des transferts de fonds pour lesquels les données relatives au donneur d’ordre ou au bénéficiaire étaient manquantes ou incomplètes et les mesures prises dans ce contexte par l’établissement de crédit ;
    • une description des rôles et responsabilités en matière d’AML/FT au sein de l’établissement de crédit, en ce compris les rôles et responsabilités entre le management et les différents départements et services, ainsi que leurs interactions, et le nombre de membres du personnel impliqués sur le volet AML/FT ; une description des comités et des structures hiérarchiques et fonctionnelles correspondantes, en indiquant les délégations de pouvoir générales et particulières consenties en matière d’AML/FT ;
    • une description par l’établissement de crédit et une évaluation par le réviseur d’entreprise agréé du modèle de « trois lignes de défense » tel que défini à l’article 39(7) du Règlement CSSF n°12-02 ;
    • une liste des personnes impliquées en matière d’AML/FT et référencées dans le Règlement CSSF n°12-02 et la circulaire CSSF12/552 (compliance officer, CCO,…) ainsi que tout changement dans ces personnes intervenu pendant l’exercice ; une description des mécanismes de délégation de certaines tâches opérationnelles en relation avec ces fonctions à d’autres membres du personnel ;
    • une description du réseau des agences nationales, des filiales nationales et étrangères, des succursales à l’étranger, des bureaux de représentation étrangers et des agents liés, ainsi que les principaux risques de blanchiment et de financement du terrorisme y afférents ; le cas échéant, une description de la manière dont l’établissement de crédit utilise les services de gestionnaires externes, en ce qui concerne les avoirs et les actifs des clients et de la manière dont les relations avec les gestionnaires externes sont gérées et documentées du point de vue AML/FT ;
    • une description de la politique commerciale de l’établissement de crédit ainsi que de la stratégie de gestion du risque de blanchiment et de financement du terrorisme ; cela inclut une description de la manière dont l’établissement de crédit surveille et assure le respect de ses objectifs internes en matière de gestion des risques de blanchiment et de financement du terrorisme ; le réviseur d’entreprise agréé doit également évaluer si l’établissement de crédit dispose de ressources financières suffisantes et d’une infrastructure appropriée pour contrôler les risques de blanchiment et de financement du terrorisme auxquels il est exposé.

23. En termes de méthodologie, le réviseur d’entreprise agréé procède à une sélection de dossiers dont il assurera la revue (« échantillon »). Une fois l’échantillon déterminé, le réviseur d’entreprise agréé doit appliquer une approche fondée sur les risques, tenant compte des différentes activités commerciales exercées par l’établissement de crédit.

24. Lorsque le réviseur d’entreprise agréé identifie des cas de non-conformité avec les dispositions légales ou réglementaires ou des déficiences, il doit en donner des indications complètes afin de permettre à la CSSF d’évaluer la situation (nombre de dossiers incomplets en cours sur le nombre total de dossiers revus ; détail des déficiences identifiées ; etc.).

25. Le cas échéant, le rapport du réviseur d’entreprise agréé doit englober les succursales, les filiales majoritairement détenues à l’étranger et les agents liés de l’établissement de crédit. Il doit couvrir, plus particulièrement, la conformité des succursales, des filiales majoritairement détenues et des agents liés avec les dispositions applicables en matière de blanchiment et de financement du terrorisme (analyse des risques encourus par ces entités en matière d’AML/FT ; description et évaluation des risques dans ces entités ; vérification de la mise en œuvre et de la conformité de ces entités avec la politique en matière d’AML/FT de l’établissement de crédit).

26. Le rapport du réviseur d’entreprise agréé doit être suffisamment complet et transparent et fournir des descriptions et évaluations détaillées afin de permettre d’avoir une opinion précise et documentée des risques encourus par l’établissement de crédit en matière d’AML/FT. Les formulations négatives, globales ou approximatives doivent être évitées dans le rapport du réviseur d’entreprise agréé.

27. Le réviseur d’entreprise agréé doit également effectuer le suivi des constatations observées lors des audits précédents et décrits en détail dans le rapport AML/FT précédent.

28. Le réviseur d’entreprise agréé fournira une description de tout problème que l’établissement de crédit pourrait avoir avec des autorités compétentes étrangères en matière d’AML/FT.

29. La direction autorisée de l’établissement de crédit est chargée de fournir au réviseur d’entreprise agréé les informations nécessaires à la rédaction des parties descriptives du rapport AML/FT. Le réviseur d’entreprise agréé peut inclure dans son rapport des éléments descriptifs directement fournis par la direction autorisée de l’établissement de crédit, mais il doit les vérifier et s’assurer que ces éléments sont corrects et adéquats.

30. En plus des éléments descriptifs, le réviseur d’entreprise agréé doit effectuer de manière indépendante une évaluation détaillée des risques de blanchiment et de financement du terrorisme auxquels l’établissement de crédit est exposé, ainsi que des aspects organisationnels. Cette évaluation doit être dûment documentée.

31. Enfin, le réviseur d’entreprise agréé informe également la CSSF de toutes les opérations suspectes déclarées en vertu de l’article 5 de la loi du 12 novembre 2004 relative à la lutte contre le blanchiment de capitaux et le financement du terrorisme, telle que modifiée. De même, le réviseur d’entreprise agréé doit informer la CSSF au cas où il estime que l’établissement de crédit aurait dû déclarer une opération suspecte mais ne l’a pas fait, en expliquant son raisonnement et en tenant compte de celui de l’établissement de crédit.

32. Le rapport doit comporter la signature électronique de l’associé du cabinet d’audit en charge du mandat au sein de l’établissement de crédit. Le rapport doit être transmis par le réviseur d’entreprise agréé à l’établissement de crédit, lequel le transmettra ensuite à la CSSF sous forme électronique via « E-Desk » dans les 5 mois de la clôture de l’exercice. Pour l’année 2023, ce délai est porté à 6 mois après la clôture de l’exercice.

* *
*