La CSSF a publié une nouvelle circulaire CSSF 22/821 portant révision du compte rendu analytique afin qu’il reflète l’évolution législative et réglementaire en matière de supervision prudentielle des établissements de crédit et afin de supprimer les redondances avec certains comptes rendus existants.
Dans le cadre du compte rendu analytique, les établissements de crédit concernés doivent compléter un questionnaire d’auto-évaluation qui s’articule autour de 10 thématiques (gouvernance interne, risques IT, risque de crédit, grandes expositions, parties liées, etc.) permettant de rendre compte de l’évaluation par ces derniers de leur respect de la réglementation bancaire et financière
Les réviseurs d’entreprises agréés doivent quant à eux, rédiger trois rapports séparés :
L’objectif du compte rendu analytique est de permettre aux autorités compétentes de recueillir des informations suffisantes pour mettre en œuvre leurs approches de surveillance fondée sur le risque et d’obtenir des informations et des garanties quant au respect des principales dispositions réglementaires par les établissements de crédit concernés.
1. Dans le cadre de sa mission de surveillance prudentielle, la Commission luxembourgeoise de Surveillance du Secteur financier (« CSSF ») a publié une nouvelle circulaire CSSF 22/821 intitulée « Compte rendu analytique – Règles pratiques concernant le questionnaire d’auto-évaluation à soumettre annuellement par les institutions – Mission et rapports y relatifs des réviseurs d’entreprises agréés ».
La circulaire CSSF 22/821 a pour objet d’introduire une nouvelle version du compte rendu analytique (« long form report »), celui-ci ayant été créé par la circulaire CSSF 01/27 introduisant des règles pratiques concernant le rôle des réviseurs d’entreprise agréés, afin de tenir compte des développements réglementaires et de l’évolution des pratiques de supervision depuis 2001. La circulaire CSSF 22/821 est le fruit d’une réflexion sur les objectifs, le champ d’application et le contenu du compte rendu analytique afin de le mettre en accord avec les règles prudentielles et de supervision présentant de l’intérêt et afin de supprimer des redondances avec des comptes rendus existants.
2. Le compte rendu analytique révisé s’adresse aux établissements de crédit de droit luxembourgeois, incluant leurs succursales, ainsi que les succursales luxembourgeoises d’établissements de crédit de pays tiers. Il ne s’adresse pas aux succursales luxembourgeoises d’établissements de crédit d’Etats membres de l’Union européenne.
3. Le compte rendu analytique s’articule autour de quatre parties :
4. Le cadre réglementaire introduit par la circulaire CSSF 22/821 s’applique de manière indifférenciée aux établissements de crédit concernés.
5. Il a pour vocation de permettre aux autorités compétentes de recueillir des informations suffisantes pour mettre en œuvre leurs approches de surveillance fondée sur le risque (« risk-based approaches ») et d’obtenir des informations et des garanties quant au respect des principales dispositions réglementaires par les établissements de crédit concernés.
6. La circulaire CSSF 22/821 entrera en vigueur le 31 décembre 2022.
Dans ce contexte, les dispositions de la circulaire CSSF 01/27 sur l’étendue du mandat de contrôle légal des comptes ainsi que sur le contenu des rapports et commentaires écrits émis par le réviseur d’entreprise agréé dans le cadre de son contrôle des documents comptables annuels restent pertinentes et seront mises à jour et publiées dans une circulaire séparée dans les semaines à venir.
En outre, les circulaires suivantes doivent être mises à jour après la publication de la circulaire CSSF 22/821, à savoir la circulaire CSSF 07/325 (« Dispositions relatives aux établissements de crédit et aux entreprises d’investissement d’origine communautaire établis au Luxembourg par le biais de succursales ou exerçant des activités au Luxembourg en libre prestation de services ») et la circulaire CSSF 19/731 (« Documents à soumettre à la CSSF et à la Banque centrale européenne sur une base annuelle »).
7. Le questionnaire d’auto-évaluation, lequel est téléchargeable sous format Excel sur le site Internet de la CSSF (https://www.cssf.lu/fr/Document/questionnaire-dauto-evaluation-a-soumettre-annuellement-par-les-etablissements-de-credit/), doit être transmis annuellement par les établissements de crédit via la plateforme digitale de la CSSF « E-Desk », dans les trois mois de la clôture de l’exercice.
Pour l’année 2023, ce délai est porté à quatre mois après la clôture de l’exercice.
Avant d’être transmis, le questionnaire d’auto-évaluation doit être revu et signé électroniquement par la direction autorisée de l’établissement de crédit.
Les informations communiquées dans le cadre du questionnaire d’auto-évaluation doivent être correctes, sincères et aussi concises que possible.
8. Le questionnaire d’auto-évaluation est composé des sections suivantes :
L’établissement de crédit doit fournir une vue d’ensemble de sa structure opérationnelle et décisionnelle, en ce compris la composition de ses comités et fonctions de contrôle interne.
Cela concerne les établissements de crédit sur une base individuelle, à l’exclusion de leurs succursales.
L’établissement de crédit doit fournir une vue d’ensemble des systèmes informatiques, incluant une évaluation du niveau de risques et des contrôles en place.
Cela concerne les établissements de crédit, ainsi que leurs succursales.
L’établissement de crédit doit fournir une vue d’ensemble des méthodologies appliquées pour le calcul des pertes de valeur en vertu de la norme IFRS 9 ainsi qu’une description de la manière dont le concept de « forborne » (il s’agit des concessions accordées à un débiteur qui fait face ou qui est sur le point de faire face à des difficultés financières pour respecter ses engagements) est mis en œuvre à son niveau.
L’établissement de crédit fournit également un aperçu des scénarios et des prévisions utilisés pour tenir compte de son exposition au risque de crédit.
Cela concerne les établissements de crédit sur une base individuelle, y compris leurs succursales.
L’établissement de crédit doit fournir des informations qualitatives sur les grandes expositions signalées.
Cela concerne les établissements de crédit sur une base individuelle, y compris leurs succursales.
L’établissement de crédit fournit une vue d’ensemble des expositions intragroupes, y compris une description de l’objectif de ces expositions. En outre, l’établissement de crédit doit fournir un aperçu des services fournis à / prestés par les parties liées.
Cela concerne les établissements de crédit sur une base individuelle, y compris leurs succursales.
L’établissement de crédit dresse une vue d’ensemble des succursales à l’étranger, y compris une description de la façon dont les politiques d’entreprise, les politiques commerciales et les politiques de groupe en matière de risque sont appliquées dans les succursales étrangères.
L’établissement de crédit fournit également une vue d’ensemble des contrôles en place.
Cela concerne les succursales étrangères situées dans un autre Etat membre de l’Union européenne ou dans un pays tiers.
Sont en revanche exemptés les établissements de crédit qui n’avaient pas de succursales étrangères dans un autre Etat membre de l’Union européenne ou dans un pays tiers à la clôture de l’exercice.
L’établissement de crédit fournit une vue d’ensemble de la mise en œuvre organisationnelle et opérationnelle de MIFID et une description des services d’investissement et des instruments financiers offerts aux clients.
L’établissement de crédit doit également inclure une information sur les moyens de distribution et de communication, ainsi que sur la base de données clients.
Cela concerne les établissements de crédit sur une base individuelle, à l’exclusion de leurs succursales.
Sont exemptés les établissements de crédit qui n’ont pas fourni de services d’investissement ou réalisé de vente ou fourni de conseils en rapport avec des dépôts structurés durant l’exercice.
L’établissement de crédit fournit une vue d’ensemble des services de paiement et une description de l’interface à travers laquelle ces services de paiement sont offerts aux clients.
Cela concerne les établissements de crédit sur une base individuelle, y compris leurs succursales.
Sont exemptés les établissements de crédit qui n’ont pas fourni de services de paiement durant l’exercice.
L’établissement de crédit dresse une vue d’ensemble quantitative et qualitative de la fonction de dépositaire d’OPC et des services liés. L’établissement de crédit procède également à une auto-évaluation à l’égard des exigences légales principales.
Cela concerne les établissements de crédit sur une base individuelle, à l’exclusion de leurs succursales.
Sont exemptés les établissements de crédit qui ne fournissent pas des services de dépositaires et services liés.
L’établissement de crédit doit fournir des informations relatives à la surveillance des filiales (organisation, fonction de contrôle, systèmes informatiques) et des informations quantitatives sur chaque filiale.
Sont concernées toutes les filiales inclues dans le champ de consolidation prudentielle, selon les dispositions du Chapitre 2 du Titre II de la Partie I du Règlement n°573/2013.
Sont exemptés les établissements de crédit n’ayant pas consolidé d’autres entités sous une perspective prudentielle à la clôture de l’exercice concerné.
9. Les établissements de crédit doivent mandater leur réviseur d’entreprise agréé afin de réaliser une liste prédéfinie de procédures convenues, réparties dans différents modules. Les procédures convenues à réaliser par le réviseur d’entreprise agréé sont disponibles sur un document Excel, accessible depuis le site Internet de la CSSF : https://www.cssf.lu/fr/Document/procedures-convenues-a-realiser-par-les-reviseurs-dentreprises-agrees-dans-le-cadre-du-compte-rendu-analytique/.
Le réviseur d’entreprise agréé mandaté est celui qui a été désigné par l’établissement de crédit pour l’audit de ses états financiers.
10. Ce rapport doit être réalisé conformément à la norme ISRS 4400 intitulée « Missions de procédures convenues relatives aux informations financières ».
Ladite norme explicite les objectifs d’une mission de procédures convenues (points 4 & 5):
« (…) 4. L’objectif d’une mission de procédures convenues est, pour l’auditeur, de mettre en œuvre des procédures de nature d’audit, définies d’un commun accord entre l’auditeur, l’entité et tout autre partie intéressée, et de communiquer les constatations de fait.
5. Dès lors que l’auditeur ne fournit qu’un rapport sur des constatations de fait sur base des procédures convenues, aucun degré d’assurance n’est exprimé. Au contraire, c’est aux destinataires du rapport d’évaluer par eux-mêmes les procédures et les constatations de fait de l’auditeur, et de tirer leurs propres conclusions des travaux de l’auditeur. (…)»
11. Le rapport établi par le réviseur d’entreprise agréé doit comporter un certain nombre de mentions obligatoires, listées dans la norme ISRS 4400 et il doit préciser l’objectif de la mission et les procédures convenues de manière suffisamment détaillée pour permettre à la CSSF de comprendre la nature et l’étendue des travaux effectués (points 17 & 18).
12. La mise en œuvre d’un tel audit s’effectuera selon une approche échelonnée.
Pour l’année 2023, sur la base des informations relatives à l’exercice 2022, les modules MIFID et PSD 2 doivent être réalisés pour tous les établissements de crédit. Les autres modules – à savoir sur le risque de crédit, le risque informatique, les dépositaires d’OPC, les parties liées et les grandes expositions –, seront couverts au cours des années suivantes.
13. L’ensemble des modules n’est pas pertinent pour l’ensemble des établissements de crédit. La détermination des modules applicables pour un établissement de crédit se fera au cas par cas selon une approche basée sur le risque.
Il reviendra au réviseur d’entreprise agréé de le mentionner explicitement.
14. Les modules doivent être réalisés, en principe, par cycle de trois ans.
15. Le rapport doit comporter la signature électronique de l’associé du cabinet d’audit en charge du mandat au sein de l’établissement de crédit. Le rapport doit être transmis par le réviseur d’entreprise agréé à l’établissement de crédit, lequel pourra formuler des commentaires sur les constatations du réviseur d’entreprise agréé. Ces commentaires ne feront pas partie du rapport du réviseur d’entreprise agréé. Le rapport doit ensuite être transmis par l’établissement de crédit à la CSSF sous forme électronique via « E-Desk » dans les 5 mois de la clôture de l’exercice. Pour l’année 2023, ce délai est porté à 6 mois après la clôture de l’exercice.
16. Dans la mesure où cela leur est applicable, les établissements de crédit doivent également mandater leur réviseur d’entreprise agréé afin que ce dernier prépare, sur base annuelle, un rapport séparé sur la protection des instruments financiers et sur les fonds appartenant aux clients.
17. Ce rapport doit couvrir :
18. La direction autorisée de l’établissement de crédit est responsable de fournir au réviseur d’entreprise agréé les informations requises pour la rédaction des parties descriptives du rapport. Le réviseur d’entreprise agréé peut inclure dans son rapport des éléments descriptifs directement fournis par la direction autorisée de l’établissement de crédit, mais doit vérifier et s’assurer que ces éléments sont corrects et adéquats.
19. L’objectif d’un tel rapport est de s’assurer la fiabilité des réponses fournies par les établissements de crédit dans le questionnaire d’auto-évaluation en ce qui concerne la protection des instruments financiers et des fonds appartenant à leurs clients. Cependant, cela n’empêche pas le réviseur d’entreprise agréé de réaliser d’autres évaluations que celles prévues dans ledit questionnaire.
20. Le rapport doit comporter la signature électronique de l’associé du cabinet d’audit en charge du mandat au sein de l’établissement de crédit. Le rapport doit être transmis par le réviseur d’entreprise agréé à l’établissement de crédit, lequel le transmettra ensuite à la CSSF sous forme électronique via « E-Desk » dans les 5 mois de la clôture de l’exercice. Pour l’année 2023, ce délai est porté à 6 mois après la clôture de l’exercice.
21. Les établissements de crédit doivent mandater leur réviseur d’entreprise agréé afin qu’il prépare, sur base annuelle, un rapport séparé couvrant le volet AML/ FT, conformément au Règlement CSSF n°12-02.
22. Le rapport doit fournir, en particulier :
23. En termes de méthodologie, le réviseur d’entreprise agréé procède à une sélection de dossiers dont il assurera la revue (« échantillon »). Une fois l’échantillon déterminé, le réviseur d’entreprise agréé doit appliquer une approche fondée sur les risques, tenant compte des différentes activités commerciales exercées par l’établissement de crédit.
24. Lorsque le réviseur d’entreprise agréé identifie des cas de non-conformité avec les dispositions légales ou réglementaires ou des déficiences, il doit en donner des indications complètes afin de permettre à la CSSF d’évaluer la situation (nombre de dossiers incomplets en cours sur le nombre total de dossiers revus ; détail des déficiences identifiées ; etc.).
25. Le cas échéant, le rapport du réviseur d’entreprise agréé doit englober les succursales, les filiales majoritairement détenues à l’étranger et les agents liés de l’établissement de crédit. Il doit couvrir, plus particulièrement, la conformité des succursales, des filiales majoritairement détenues et des agents liés avec les dispositions applicables en matière de blanchiment et de financement du terrorisme (analyse des risques encourus par ces entités en matière d’AML/FT ; description et évaluation des risques dans ces entités ; vérification de la mise en œuvre et de la conformité de ces entités avec la politique en matière d’AML/FT de l’établissement de crédit).
26. Le rapport du réviseur d’entreprise agréé doit être suffisamment complet et transparent et fournir des descriptions et évaluations détaillées afin de permettre d’avoir une opinion précise et documentée des risques encourus par l’établissement de crédit en matière d’AML/FT. Les formulations négatives, globales ou approximatives doivent être évitées dans le rapport du réviseur d’entreprise agréé.
27. Le réviseur d’entreprise agréé doit également effectuer le suivi des constatations observées lors des audits précédents et décrits en détail dans le rapport AML/FT précédent.
28. Le réviseur d’entreprise agréé fournira une description de tout problème que l’établissement de crédit pourrait avoir avec des autorités compétentes étrangères en matière d’AML/FT.
29. La direction autorisée de l’établissement de crédit est chargée de fournir au réviseur d’entreprise agréé les informations nécessaires à la rédaction des parties descriptives du rapport AML/FT. Le réviseur d’entreprise agréé peut inclure dans son rapport des éléments descriptifs directement fournis par la direction autorisée de l’établissement de crédit, mais il doit les vérifier et s’assurer que ces éléments sont corrects et adéquats.
30. En plus des éléments descriptifs, le réviseur d’entreprise agréé doit effectuer de manière indépendante une évaluation détaillée des risques de blanchiment et de financement du terrorisme auxquels l’établissement de crédit est exposé, ainsi que des aspects organisationnels. Cette évaluation doit être dûment documentée.
31. Enfin, le réviseur d’entreprise agréé informe également la CSSF de toutes les opérations suspectes déclarées en vertu de l’article 5 de la loi du 12 novembre 2004 relative à la lutte contre le blanchiment de capitaux et le financement du terrorisme, telle que modifiée. De même, le réviseur d’entreprise agréé doit informer la CSSF au cas où il estime que l’établissement de crédit aurait dû déclarer une opération suspecte mais ne l’a pas fait, en expliquant son raisonnement et en tenant compte de celui de l’établissement de crédit.
32. Le rapport doit comporter la signature électronique de l’associé du cabinet d’audit en charge du mandat au sein de l’établissement de crédit. Le rapport doit être transmis par le réviseur d’entreprise agréé à l’établissement de crédit, lequel le transmettra ensuite à la CSSF sous forme électronique via « E-Desk » dans les 5 mois de la clôture de l’exercice. Pour l’année 2023, ce délai est porté à 6 mois après la clôture de l’exercice.
* *
*