KPMG

 

Afficher dans votre navigateur
 
 

Actualités bancaires n°2021-30

Révision de l’arrêté du 3 Novembre 2014 relatif au dispositif et contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’ACPR

L’arrêté du 25 février 2021 modifiant l’arrêté du 3 Novembre 2014 relatif au dispositif et contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’ACPR a été publié au Journal Officiel le 6 mars 2021.

L’enjeu de cette révision est la transposition de certaines dispositions de la directive CRD 5 et la mise à jour du texte de plusieurs orientations de l’EBA relatives à la gestion du risque informatique (EBA/GL/2019/04) et au dispositif de contrôle des activités externalisées (EBA/GL/2019/02).

Les modifications sur l’arrêté sur le contrôle interne portent principalement sur :

1.

L’organisation du contrôle interne

La reconnaissance explicite des 3 niveaux de contrôle inspirés du modèle des 3 lignes de défense et assimilation du contrôle périodique à la fonction d’audit interne ;
La rédaction de procédures internes sur la désignation et la révocation du responsable de la fonction d’audit interne et du responsable de la vérification de la conformité ;
La désignation formelle d’un dirigeant effectif en charge de la cohérence et de l’efficacité du contrôle permanent et du contrôle périodique ;
La mise en place du plan d’audit interne sur un nombre d’exercice aussi limité que possible allant au maximum jusqu’à 5 ans.
   
2.

Les exigences en matière d’agrégation des données

La création d’un nouvel article relatif aux exigences en matière d’agrégation des données qui seront applicables à l’ensemble des établissements avec un principe de proportionnalité pour les moins importants (en cohérence avec les exigences du Comité de Bâle -BCB2 239).
   
3.

Les exigences en matière d’agrégation des données

L’évaluation par la fonction gestion des risques des politiques d’approbation des nouveaux produits ;
La définition explicite de la notion « d’appétit au risque » ;

La codification des exigences issues des Orientations de l’EBA en matière d’externalisation, qui implique de nouvelles obligations en matière de PSEE :

Information annuelle de l’ACPR via la transmission d’un registre de tous les PSEE ;
Information préalable en cas d’externalisation d’une activité essentielle demandée aux Etablissements de paiement, Etablissements de Monnaie Electronique et aux Prestataires de Services d’information sur les comptes ;
Evaluation du risque encouru, préalablement à la signature d’un contrat de PSEE.
   
   
4.

Les nouvelles exigences de diffusion d’informations

Le nouvel article 241-2 impose aux établissements de communiquer annuellement à l’ACPR les résultats de l’évaluation des administrateurs réalisée par le Comité des nominations - Cette exigence est d’application immédiate ;
La mention dans le rapport sur la politique et les pratiques de rémunération de l'écart de rémunération entre les femmes et les hommes.
   
5.

Le renforcement des exigences en matière de gestion du risque informatique

L’intégration de plusieurs définitions via l’insertion à l’article 10 de plusieurs notions du domaine informatique, telles que risque informatique, actif informatique, système d’information… ;
L’intégration formelle de la gestion du risque informatique dans le cadre de contrôle interne des banques par la modification du paragraphe e) de l’article 11 ;

De nouvelles exigences spécifiques au risque informatique, mentionnées dans le Titre VI bis V, portant sur :

La définition d’une stratégie en matière informatique ;
La mise en place d’une gestion du risque informatique reposant sur l’identification du risque, son évaluation, l’adoption de mesures de réduction et la surveillance de son efficacité ;
Des précisions ou compléments apportés aux anciens articles 88, 89 et 90 concernant la politique de sécurité du système d’information, la gestion des opérations informatiques et les projets et programmes informatiques ;
   

La mise en place d’une stratégie en matière informatique au sein de chaque établissement.
   

L’arrêté entre en vigueur le 28 juin 2021.

L’article 241-2, portant sur les résultats de l’évaluation des administrateurs, entre en vigueur le lendemain de la publication du présent arrêté au Journal officiel de la République française.

A noter également que l’ensemble des dispositions relatives au dispositif de lutte anti-blanchiment et de gel des avoirs a été supprimé de cet arrêté sur le contrôle interne pour faire l’objet d’un arrêté dédié commun au secteur Assurance. Cette modification est détaillée dans l’Actu banque n° 2021-18

Pour aller plus loin

Pour aller plus loin
 

Déclaration de Confidentialité | Mentions légales

Vos données personnelles sont traitées par KPMG S.A., agissant en qualité de responsable de traitement, à des fins d'information, d'organisation d'événements ou de prospection commerciale. Elles sont exclusivement destinées à KPMG*, et dans certains cas à ses partenaires et à ses sous-traitants. Vos données sont susceptibles d'être transférées vers un pays tiers. Ce transfert est effectué conformément à des garanties appropriées. Vos données personnelles sont conservées durant au moins trois ans.

Vous disposez d'un droit d'accès et de rectification aux données vous concernant, d'un droit de suppression, d'un droit à la portabilité, d'un droit de donner des directives sur le sort de vos données en cas de décès, d'un droit à la limitation du traitement de vos données, du droit de vous opposer à leur traitement, ainsi que d'un droit d'introduire une réclamation auprès de la CNIL. Vous pouvez exercer vos droits et demander une copie des garanties appropriées en cliquant le lien ci-après : j'exerce mes droits.

Pour gérer vos préférences et votre désabonnement, merci de bien vouloir cliquer ici

* «KPMG» désigne KPMG S.A., une société anonyme de droit français, dont le siège social se situe à Tour Eqho, 2 avenue Gambetta CS 60055 – 92066 Paris La Défense Cedex, les entités qu'elle détient et contrôle en France, ainsi que KPMG Associés, KPMG Academy, KPMG Avocats, et la Fondation d'entreprise KPMG France.

© 2021 KPMG S.A., société anonyme d'expertise comptable et de commissariat aux comptes, membre français de l’organisation mondiale KPMG constituée de cabinets indépendants affiliés à KPMG International Limited, une société de droit anglais (« private company limited by guarantee »). Tous droits réservés. Le nom et le logo KPMG sont des marques utilisées sous licence par les cabinets indépendants membres de l’organisation mondiale KPMG.