Catégorie : Non classifié(e)

Chez easyReg, nous organisons régulièrement des webinaires sur un thème d’actualité ou un sujet d’intérêt pour les acteurs des services financiers en prise avec la réglementation bancaire. Le 16 juin 2025, nous avons évoqué les directives internes dans les banques.

Aujourd’hui, nous retranscrivons la seconde partie de ces échanges. Découvrez le combo efficace pour gérer la documentation : directives internes et RegTech. Nous détaillons notre approche méthodologique et illustrons l’utilisation de la solution RegTech e-Reg avec un exemple concret pour les établissements financiers en Suisse : la mise en conformité de la documentation interne avec la circulaire FINMA 23/01.

Les directives internes : un sujet de préoccupation légitime pour gérer la réglementation financière

Si nous nous préoccupons chez easyReg de solutions pour gérer de façon optimale les directives internes des banques, c’est parce que le sujet est extrêmement lié à la réglementation financière. Outre le fait que ce soit une obligation légale, la documentation propre à l’établissement semble ajouter de la complexité au pilotage réglementaire. Pourtant, quand c’est bien mené, c’est au contraire un élément d’amélioration de la gestion de la réglementation.

Un webinaire consacré exclusivement à la gestion des directives internes dans les banques

easyReg a organisé, le 16 juin 2025, un webinaire centré sur les directives, politiques ou procédures internes dans les établissements financiers en Suisse. Enrico Giacoletto et Ivan Nappo, respectivement fondateur et consultant chez easyReg, vous proposent un focus sur ce sujet plus complexe qu’il n’y paraît. Ils s’appuient sur les solutions qu’offre leur plateforme RegTech, e-Reg, afin de simplifier la gestion de la réglementation financière.

Importance des directives internes et bonnes pratiques

Le premier article qui retranscrit ce webinaire explique les obligations et bonnes pratiques pour les directives internes à la banque. Non seulement gérer ces procédures et politiques propres à l’établissement financier est une obligation, mais leur rédaction et leur actualisation peuvent s’avérer compliquées. Pourtant, c’est essentiel pour réduire les recommandations et irrégularités de forme notamment.

Ce premier article détaille aussi les bonnes pratiques pour gérer ces directives internes. Conception, revue, approbation, centralisation, recherche, etc., tout est passé au crible.

Associer directives internes et RegTech : le conseil méthodologique d’easyReg

Vu la complexité de la réglementation financière sur le plan de son pilotage, y compris les directives propres à la banque, mieux vaut s’outiller de façon rationnelle. La RegTech apporte des services bien utiles aux établissements financiers. Elle participe à l’amélioration de la conformité au droit et à la réglementation, qu’il s’agisse de la loi, de circulaires, d’ordonnances, de communications, etc.

Qu’est-ce que la solution RegTech e-Reg ?

Enrico Giacoletto et Ivan Nappo sont des acteurs de la veille et de la gestion réglementaire, grâce à leurs diverses expériences dans le secteur bancaire. La solution RegTech qu’ils ont développée s’appelle e-Reg. Elle a pour objectif central de simplifier le travail avec la réglementation financière.

Avec cet outil, ils allient les meilleures technologies, dont l’intelligence artificielle, à leur connaissance approfondie des difficultés que rencontrent les acteurs de la réglementation bancaire.

Associer réglementation financière et directives internes : une idée venue du terrain

Vous vous interrogez sur les raisons et la manière d’intégrer la réglementation interne à un outil RegTech ? Enrico explique que l’idée d’allier les directives internes et la RegTech a fait son chemin chez easyReg, suite à la demande explicite d’un client. Finalement, pourquoi ne pas gérer dans l’outil, en plus de la réglementation externe, celle interne à la banque ? 

C’est ce besoin exprimé qui a engendré la création d’un référentiel central dans la solution e-Reg, afin d’y déposer toutes les procédures et politiques propres à l’établissement. La richesse de cette gestion de la réglementation financière interne réside dans la capacité à détecter les références dans les textes et qui doivent être mises à jour.

L’approche de la solution easyReg

L’insertion des réglementations propres aux établissements financiers s’effectue dans un système sécurisé et totalement ségrégé pour chacun des clients d’easyReg.

Voici les principes qui ont guidé la réflexion sur ce projet :

• Création d’un référentiel central, avec la gestion en multilingue et l’archivage des différentes versions des politiques internes.
• Fonctionnalité de recherche dans les procédures internes archivées sur la plateforme e-Reg, ainsi que dans les textes de loi ou dans toute autre source réglementaire suisse, européenne, etc.
• Capacité d’identification des références qui demandent une actualisation.
• Processus d’extraction des dates des documents afin de vérifier les cycles de validation.

Exemple concret de l’apport de la RegTech pour les politiques internes

Pour illustrer comment la RegTech se met au service des entreprises qui interviennent sur les aspects réglementaires dans les banques, voici un exemple pratique.

La circulaire FINMA 23/01 relative à la résilience opérationnelle dans les banques

Cette circulaire 23/01 a fait l’objet d’une autre présentation détaillée lors du webinaire organisé le 12 mars 2025 sur la résilience opérationnelle. Elle a remplacé l’ancienne circulaire FINMA de 2008 et a constitué un changement réglementaire de longue haleine pour les banques suisses.

Quels sont les enjeux de la documentation interne pour cette circulaire ?

La seule lecture de la table des matières de la circulaire 23/01 montre l’ampleur des procédures impactées dans les établissements bancaires. Ce texte voit apparaître de nouveaux concepts à prendre en considération, ainsi que des thématiques transversales : 

• le risque opérationnel ;
• la gestion des actifs ;
• les technologies d’information et de communication (TIC) ;
• le cyberrisque ;
• les données critiques.

Une dizaine d’impacts directs existent pour la documentation interne de chaque établissement financier. Parfois, ce sont des politiques auparavant incontournables et approuvées par le conseil d’administration qui sont à abroger. C’est le cas, par exemple, de la politique CID prévue par l’annexe 3 de l’ancienne circulaire FINMA 08/21.

Se pose aussi la question, du fait du remplacement de la directive FINMA 08/21 par la directive 23/01, de mettre à jour toutes les politiques impactées et sans en oublier. 

Tout ceci donne un aperçu de la complexité, sans solutions RegTech pour structurer le travail.

Utilisation de la solution RegTech e-Reg : analyse des impacts attendus de la Circ.FINMA 23/01

La réalisation d’une recherche dans l’outil e-Reg permet de cibler ou de corroborer ces différents impacts de la circulaire sur les textes documentaires existants en interne de la banque. Ces politiques et procédures sont de natures diverses :

Plusieurs cas de figure se présentent :

• De nouveaux documents doivent faire l’objet d’une validation.
• Des concepts nouveaux sont à insérer dans la documentation.
• D’autres sont à supprimer.

Pour faciliter le travail de réécriture, de revue et de validation, e-Reg propose un cycle complet de revue documentaire. Ainsi, les personnes en charge de la réglementation financière disposent d’une vue transversale des changements à opérer, volet par volet.

Liste non exhaustive des changements et des nouveautés auxquels e-Reg donne accès

Voici par exemple les sujets à traiter pour cette circulaire suisse 23/01, avec les Cm concernés. Cette vue transversale aide à retrouver rapidement le détail des changements et des nouveautés qu’apporte cette réglementation. Tous ces points doivent faire l’objet de contrôles et d’actualisations dans les procédures et directives internes à tous les établissements financiers.

Pour le Cm 85 avec le Business Continuity Management (BCM), il existait auparavant des directives d’autoréglementation. Elles émanaient de l’Association des banques suisses (ASB) et traitaient de la continuité des affaires. Avec la circulaire FINMA 23/01, il s’agit d’une obligation et non plus d’un texte d’autorégulation.

Le Cm 72 a trait, lui, à la procédure de gestion des risques cyber. Auparavant, intervenaient les Client Identification Data (CID) qui constituaient la donnée critique sensible. Mais, avec la circulaire 23/01, la FINMA élargit sensiblement le périmètre de ces données critiques. Désormais, les CIA (Confidentiality, Integrity and Availability) remplacent les CID.

Ceci exige de redéfinir le périmètre de la donnée critique, ainsi que la stratégie de chaque banque pour la gérer. Comme dans l’exemple précédent, les implications s’avèrent plutôt transversales.

La portée de la directive est très large. Les impacts atteignent la politique de la gestion des risques. Par exemple, la gestion des données critiques constitue un sujet très transversal.

Exemple d’utilisation de la fonction recherche d’e-Reg dans les directives internes

Imaginez de chercher dans le moteur e-Reg tous les termes « CID », comme le définissait l’annexe 3 de la circulaire antérieure 08/21, à l’intérieur des directives internes de votre banque. Dans l’exemple traité lors du webinaire, avec un serveur de démonstration, apparaît notamment un document interne sur l’appétit aux risques. Il fait référence aux contrôles en lien avec le concept antérieur de CID. Ici, la banque devrait actualiser le document pour :

• parler plutôt des données critiques dans leur ensemble ;
• ou s’assurer qu’elles ont été traitées, tout en expliquant pourquoi la référence CID est maintenue.

Les bénéfices de l’association des directives internes et de la RegTech dans e-Reg

Cet exemple de recherche RegTech sur le mot-clé « CID » montre les atouts de la solution :

• Réduction du temps et des coûts par rapport à des recherches manuelles dans tous les écrits propres à l’établissement financier.
• Disparition de la pénibilité que constitue une recherche manuelle, du type « contrôle F », répétée dans de multiples sources documentaires internes.
• Mise à disposition d’un référentiel central, la seule manière de s’assurer qu’une politique connexe, comme les ressources humaines, ne référence pas des concepts caducs (exemple avec CID).
• Une analyse exhaustive des textes, ce qui évite le moindre oubli, toujours source d’irrégularité.
• Gestion des cycles de vie des directives, par version, par langue, avec la faculté d’associer des commentaires.
• Possibilité d’allouer le travail relatif aux changements réglementaires, en fonction des types de modifications à opérer (gestion des risques, conformité, département legal, etc.).
• Export sur Excel des données.

e-Reg, une plateforme RegTech qui améliore l’efficacité de votre gestion documentaire

Avec l’association de la réglementation interne et des sources réglementaires officielles, vous professionnalisez le pilotage de la conformité. e-Reg vous aide à améliorer les changements à opérer. L’outil RegTech vous évite ainsi des omissions toujours gênantes en matière de compliance. Si une démonstration personnalisée vous intéresse, inscrivez-vous ici sur notre calendly.

 

👉 Inscrivez-vous à notre Newsletter pour rester informé de l’actualité réglementaire et suivre les annonces de nouvelles règles ou de changements majeurs.

EasyReg a organisé en juin 2025 un webinaire sur les directives internes dans les établissements financiers. En tant que spécialistes RegTech pour les secteurs financiers en Suisse, Enrico Giacoletto et Ivan Nappo vous proposent d’approfondir ce sujet au travers de deux articles qui retranscrivent les propos du webinaire. Cette première publication porte sur l’importance des directives internes à la banque, leur complexité et les bonnes pratiques à déployer.

Pourquoi est-ce important de bien gérer les directives internes à votre banque ?

Enrico Giacoletto, fondateur de la plateforme RegTech e-Reg et Ivan Nappo, consultant chez easyReg, ont animé ce webinaire du 16 juin 2025. Ils apportent leur vision sur la gestion de la réglementation financière interne, en s’appuyant sur leurs propres expériences professionnelles.

La gestion des directives internes : une obligation de documentation prévue par la loi

Gérer ses procédures et directives internes dans un établissement financier, ce n’est pas un choix. C’est une obligation qui provient de l’article 12 de l’ordonnance sur les banques. Ainsi, à l’alinéa 2, la banque doit fixer dans un règlement interne ou des directives :

• ses principes de gestion des risques ;
• les compétences et la procédure pour accorder le droit de réaliser des opérations à risques.

Ce texte spécifie tous les domaines pour lesquels l’établissement financier doit identifier, déterminer, contrôler et limiter ses risques :

• risques de crédit ;
• risques de pertes ;
• risques liés au marché ;
• risques de liquidités ;
• risques opérationnels ;
• risques juridiques ;
• risque de ternir la réputation de la banque.

De nombreuses ordonnances et circulaires FINMA viennent confirmer cette obligation de documenter toute approche des banques en matière de prise de risque.

Toutes ces dispositions réglementaires permettent en outre à des tiers, des auditeurs internes comme externes, au régulateur, etc., d’évaluer le fonctionnement de l’établissement au regard de la gestion des risques.

La complexité des directives et procédures internes ne doit pas empêcher cette gestion obligatoire

Les textes exigent de documenter les directives. Certes. Mais, pourquoi est-ce plus complexe qu’il n’y paraît ? Pourquoi avons-nous choisi ce thème pour ce webinaire ?

Par expérience, réaliser cette documentation écrite des directives internes demande beaucoup de temps. La personne chargée de rédiger ces procédures internes doit : 

• éviter de se répéter ;
• faire preuve de cohérence ;
• citer correctement les textes réglementaires ;
• appliquer correctement la réglementation ;
• trier entre ce que la banque réalise déjà et ce qui devrait être mis en place pour plus de conformité ;
• disposer d’une vue d’ensemble, exhaustive, que l’information soit dans une directive ou dans une sous-directive, par exemple.

💡Enrico spécifie que cette tâche parfois fastidieuse, voire source d’erreurs et d’omissions, représente, selon son expérience, de 25 % à 33 % des recommandations et irrégularités de forme. Or, ce manque de documentation peut s’éviter.

Est-ce important de citer la réglementation financière dans les directives internes à la banque ?

Comme l’explique Ivan, le fait que la documentation interne soit souvent dense et touffue au sein d’une banque, pourrait tenter certaines personnes d’omettre les références à la loi. Elles pensent pouvoir s’abstenir d’actualiser les références du type chiffre marginal, circulaire, communication, etc.

Ivan et Enrico estiment que citer des références explicites dans la documentation interne aide et aiguille le lecteur. Il retrouve aisément les définitions de concepts tels que le régulateur les a pensées et écrites. Il peut accéder à des exemples. C’est donc un atout, car la banque évite ainsi de transposer ce qu’a écrit le régulateur en commettant des erreurs.

Par ailleurs, l’ajout de références dans les directives internes à l’établissement financier rend ces documents plus transparents et traçables. Le lecteur au sein de la banque remonte immédiatement au texte réglementaire auquel fait référence un passage d’une directive interne.

En outre, cette bonne pratique de références insérées dans les directives internes aide à savoir d’où viennent les exigences réglementaires rédigées. Sinon, le risque, en cas de changement, c’est de ne pas s’en rendre compte et de continuer à effectuer de mauvais copier-coller d’informations caduques. C’est le cas par exemple avec le terme « commission fédérale des banques ».

Le dernier avantage de ce mode de rédaction réside dans la concision. C’est plus rapide de citer la référence à une circulaire ou à une ordonnance, plutôt que d’insérer tout le texte dans la procédure.

Tous ces arguments en faveur des sources réglementaires ne doivent pas masquer toutefois un inconvénient : la gestion de la réglementation financière suisse comporte des milliers de pages. Ce sont autant de références potentielles à maintenir à jour dans les directives internes. Mais, c’est moins risqué de procéder ainsi. Vous évitez d’omettre des actualisations importantes dans les procédures internes que la banque applique.

Quelles sont les bonnes pratiques en matière de directives internes à la banque ?

Nous avons réuni nos expériences pour vous lister ce qui nous semble, à l’usage, relever des meilleures pratiques pour documenter les directives internes dans une banque.

La conception des directives internes d’un établissement bancaire

C’est le premier niveau des bonnes pratiques. Commencez par réfléchir à une architecture solide et avec une hiérarchie logique et claire dans la documentation. Prenons l’exemple de la pyramide des directives internes autour de la gestion des risques. Elle comporte :

• le RMF (risk management framework), soit le cadre de gestion des risques ;
• puis, la politique d’appétit au risque ;
• puis, des politiques pour chacune des catégories de risques ;
• puis, des procédures.

Ce mode de fonctionnement structuré facilite aussi la rédaction de chaque directive. L’application de la circulaire FINMA 2023/01 demande parfois de mettre à jour les BCP (business continuity plan) pour améliorer la résilience opérationnelle. Avec une structuration logique de la documentation, la rédaction des politiques internes est plus facile. Par exemple, pour la résilience opérationnelle, la structure commence par le BCM (Business Continuity Management), puis viennent les BCP. Il devient simple de faire référence à ces documents lors de la création des directives internes.

La revue des directives et leur approbation

Cette organisation de la documentation des directives comporte aussi l’identification de la fréquence de revue de chaque catégorie de documents. Elle aide également à identifier quel organe dans la banque doit approuver ces procédures. Ainsi, la personne chargée d’actualiser les politiques internes sait aisément quel pack de directives elle doit réviser et soumettre au conseil d‘administration de la banque pour validation.

Centraliser la documentation interne

Le fait de disposer de toutes les politiques internes écrites, validées et répertoriées à un endroit unique, accessible de tous, facilite son utilisation et sa diffusion. Tous les acteurs dans les services financiers exploitent ainsi une seule version de la documentation.

Faciliter la recherche des directives en fonction d’un sujet donné

La quantité de concepts réglementaires ne cesse de croître dans les établissements financiers, tout comme la taxonomie des risques. La qualité de la recherche réglementaire est un facteur clé du succès de la réglementation financière pour les banques. Qu’il s’agisse d’identifier la définition d’un concept ou de retrouver à quelle fréquence doivent s’effectuer les contrôles, la recherche doit être performante et agile.

Disposer d’une vue d’ensemble des documents

Cette vue d’ensemble s’obtient grâce au déploiement d’une architecture hiérarchisée et globale, comme expliqué précédemment. Par exemple, c’est important de comprendre dans le framework de risques opérationnels où s’inscrit le BCM et quel est son rôle, par rapport aux nouveaux éléments de politique relatifs à la résilience opérationnelle. Avec cette vision globale, les services financiers de la banque perçoivent comment se réalise la coordination entre les différents contrôles et procédures.

Sans vision globale de la documentation interne, la mise en œuvre de la circulaire 23/01 reste très compliquée. D’une part, BCM et politique de résilience se chevauchent et se complètent sur des aspects très précis. D’autre part, des différences fondamentales existent également, comme les scénarios de crise à considérer ou l’objectif primaire qui diffère.

Identifier facilement les directives internes à actualiser

Des liens formels existent entre la réglementation financière interne (les directives et politiques) et la réglementation externe (circulaires, ordonnances, etc.). Le fait de faire aisément ce lien entre les deux permet d’économiser du temps et de rester toujours aligné avec les exigences réglementaires.

Le prochain article traite des moyens technologiques pour déployer cette gestion et cette surveillance des directives internes. Il s’intitule : directives internes et RegTech. Il reprend les exemples pratiques abordés dans le webinaire du 16 juin 2025. Vous y découvrirez comment intégrer la réglementation interne à votre outil RegTech.

Ce processus fait partie des fonctionnalités de notre plateforme e-Reg, dans un environnement totalement sécurisé et ségrégé, et cela sur option. Ainsi, toutes vos réglementations sont concentrées sur le même portail, quelles que soient les sources. Vous aimeriez échanger sur un tel projet qui simplifie la vie des utilisateurs de la RegTech ? Contactez-nous pour évoquer la solution la plus appropriée pour votre établissement.

 

👉 Inscrivez-vous à notre Newsletter pour rester informé de l’actualité réglementaire et suivre les annonces de nouvelles règles ou de changements majeurs.

Chez easyReg, nous suivons avec attention les évolutions de la réglementation financière. Avec le règlement DORA, nous terminons nos publications sur la thématique de la résilience opérationnelle et de la circulaire FINMA 2023/01. C’est la troisième partie du webinaire organisé le 13 mars 2025 sur LinkedIn. Nous évoquons cette fois la comparaison entre la réglementation suisse et celle de l’UE pour les TIC (technologies de l’information et des communications). Nous expliquons aussi les impacts de DORA sur la conformité réglementaire dans les banques suisses.

1 – Fin de notre triptyque sur la résilience opérationnelle

En tant qu’experts en réglementation bancaire, nous vous proposons régulièrement des webinaires sur LinkedIn avec divers experts. Vous pouvez retrouver l’intégralité du programme sur notre page web spéciale webinaires RegTech.

Cet article vient clôturer une série de publications, suite à la tenue de notre webinaire organisé le 12 mars 2025 sur LinkedIn autour de la résilience opérationnelle. C’est un sujet de préoccupation dans les banques suisses et qui fait l’actualité, du fait de la nouvelle circulaire FINMA 23/01. Voici les intervenants dont nous avons repris les propos dans ces trois articles :

• Jean-Philippe Bernard, cofondateur de la société OPCIS Services et enseignant en risques et contrôles à l’ISFB ;
• Enrico Giacoletto, fondateur de la solution RegTech e-Reg (easyReg) ;
• Ivan Nappo, spécialiste en réglementation financière et project manager chez easyReg.

Après avoir donné la définition de la résilience opérationnelle et son calendrier, puis apporté des conseils pour sa mise en place, nous terminons donc ce triptyque en abordant DORA, la réglementation de l’Union européenne.

2 – Règlement DORA et résilience opérationnelle numérique : de quoi parle-t-on ?

DORA signifie Digital Operational Resiliency Act. Ce règlement européen n° 2022/2554 du 14 décembre 2022 sur la résilience opérationnelle numérique est entré en vigueur le 17 janvier 2025. Il a donc force de loi dans tous les pays membres de l’UE. DORA concerne les banques, mais pas seulement. Ce règlement impacte aussi directement tous les prestataires de services du type TIC (technologies de l‘information et de la communication).

DORA, une couche de complexité réglementaire en plus pour la résilience opérationnelle

DORA est un chantier complexe. McKinsey a réalisé une étude qui montre à mi 2024 que seulement un tiers des répondants s’estiment prêts, à 6 mois de l’échéance de 2025. Aujourd’hui en début d’année 2025, c’est donc réellement le début de DORA.

L’importance de la résilience opérationnelle ne cesse de croître, et notamment dans le numérique avec l’impact sur les banques et les entreprises TIC. Rester au fait de la réglementation selon les autorités et institutions suisses comme européennes s’avère crucial. Ainsi, Ivan Nappo suit actuellement un programme de certification conjoint de l’International Compliance Association (ICA) et de l’International Cyber Threat Task Force (CTTF). Cette formation le conduira à devenir spécialiste certifié de la conformité de DORA.

 

Digital Operational Resilience Act (DORA) dans l’Union européenne : origine

Après la pandémie de la COVID-19, la prise de conscience de la forte dépendance des établissements financiers à de nombreux services digitaux a entraîné cette volonté de renforcer la résilience du secteur.

DORA s’insère dans un ensemble de travaux autour du Paquet Finance de l’UE. En effet, la Commission européenne a adopté en 2020 diverses mesures en vue de soutenir la transformation digitale du secteur financier et le développement de nouveaux produits financiers. Ce paquet comprend trois volets législatifs, dont un sur la résilience :

• le règlement sur les marchés de crypto-actifs (MiCA) ;
• le Régime Pilote pour les infrastructures de marché reposant sur la technologie des registres distribués ;
• le règlement DORA.

Après l’adoption du règlement DORA en 2022 par le Parlement européen et le Conseil de l’UE, les autorités européennes de surveillance (AES ou ESA), soit ABE, EIOPA et ESMA, publient des règles ou normes techniques (RTS et ITS). Elles visent à gérer les risques liés aux tiers, dont les TIC, et à classifier les incidents.

💡Ivan Nappo souligne l’importance de toujours avoir en tête le fonctionnement européen. DORA est un règlement et non pas une directive. Ce texte a donc force de loi au niveau de toute l’UE. Chaque État membre peut seulement renforcer les exigences de DORA au niveau national. Cela signifie éventuellement aller plus loin que la réglementation européenne, sans pour autant y déroger ou la diluer. 

Ainsi, les autorités nationales de surveillance (ANS ou NCA) mettent en œuvre DORA dans chaque État, sous la supervision des autorités européennes (AES ou ESA). Elles peuvent l’accentuer avec des devoirs plus contraignants. C’est le phénomène de sur-réglementation ou de gold plating.

Du fait de ce double fonctionnement UE et États membres, la réglementation DORA va encore évoluer en 2026. Les entités financières doivent suivre les exigences existantes et celles à naître. Il peut s’agir de la transmission d’un reporting des incidents à une autorité de surveillance nationale qui l’exige. Quant aux standards définis, ils vont continuer à faire l’objet de clarification, pour les concepts, les définitions et les modalités de mise en œuvre.

💡C’est donc important de réaliser une veille réglementaire en matière d’informations sur la résilience, voire de mettre en place des systèmes de notification sur des mots-clés en recherche réglementaire.

Les objectifs du règlement européen DORA

Le règlement DORA vise à harmoniser la gestion des risques liés aux TIC au sein de l’Union européenne. Il s’applique aux banques, mais aussi à tous les prestataires de services financiers et aux prestataires TIC.

 

DORA ambitionne d’accroître la résilience numérique de ce secteur en leur imposant un cadre réglementaire inspiré des meilleures pratiques existantes. Citons notamment l’impact du NIST Cybersecurity Framework 2.0 publié par le NIST aux États-Unis (National Institute of Standards and Technology).

DORA apporte :

• des exigences de gestion des risques ;
• de classification et de signalisation des incidents ;
• des tests de résilience ;
• davantage de supervision des fournisseurs de services TIC.

Le champ d’application de DORA

Le scope du règlement DORA est très large. En effet, ce sont 22 types d’entités qui sont concernées, dont les fournisseurs de services TIC. Ainsi, l’article 2 relatif au champ d’application les passe en revue : 

• « a) les établissements de crédit ;
• b) les établissements de paiement, y compris les établissements de paiement exemptés en vertu de la directive (UE) 2015/2366 ;
• c) les prestataires de services d’information sur les comptes ;
• d) les établissements de monnaie électronique, y compris les établissements de monnaie électronique exemptés en vertu de la directive 2009/110/CE ;
• e) les entreprises d’investissement ;
• f) les prestataires de services sur crypto-actifs agréés (…) et les émetteurs de jetons se référant à un ou des actifs ;
• g) les dépositaires centraux de titres ;
• h) les contreparties centrales ;
• i) les plateformes de négociation ;
• j) les référentiels centraux ;
• k) les gestionnaires de fonds d’investissement alternatifs ;
• l) les sociétés de gestion ;
• m) les prestataires de services de communication de données ;
• n) les entreprises d’assurance et de réassurance ;
• o) les intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires d’assurance à titre accessoire ;
• p) les institutions de retraite professionnelle ;
• q) les agences de notation de crédit ;
• r) les administrateurs d’indices de référence d’importance critique ;
• s) les prestataires de services de financement participatif ;
• t) les référentiels des titrisations ;
• u) les prestataires tiers de services TIC ».

 

3 – Comparaison de la réglementation DORA avec la Circulaire FINMA 2023/01

Nous avons noté les différences majeures entre le règlement DORA et la circulaire FINMA 23/01. Voici les points majeurs qui ressortent de cette comparaison faite par Ivan Nappo.

Les secteurs économiques visés

Les deux réglementations sont proches sur ce plan, car DORA vise essentiellement le secteur financier dans l’Union européenne. Une subtilité existe toutefois dans ce règlement DORA, car sont également visés, les fournisseurs de prestations de service et de technologies d’information et de communication (TIC). Ce sont donc des tiers, hors services financiers, mais qui travaillent en liaison étroite avec ce secteur.

Par comparaison, en Suisse, la circulaire 23/01 évoque les ressources internes et externes, dont les TIC, mais ces prestataires ne doivent pas appliquer ce texte directement. En revanche, c’est la circulaire 18/03 sur l’outsourcing qui, en Suisse, complète la réglementation. Finalement, l’association des deux circulaires FINMA permet de comparer au cadre fourni par DORA.

Le périmètre de la réglementation

DORA évoque la notion de résilience opérationnelle digitale, soit mise en œuvre par l’établissement financier, soit par son prestataire du type TIC, quand des activités critiques lui sont confiées. Précisons que ceci doit s’appliquer, que le sous-traitant TIC de la banque soit dans l’Union européenne ou non.

Comme le souligne Ivan Nappo, vous voyez immédiatement émerger les impacts éventuels en cas de scénarios d’extraterritorialité, par exemple pour une entreprise TIC suisse qui traite avec des entités financières européennes.

La gouvernance des risques opérationnels

Qu’il s’agisse de la circulaire FINMA sur les risques opérationnels ou du règlement DORA sur la résilience opérationnelle digitale, ce sont les mêmes niveaux de gouvernance qui interviennent : la haute direction ou le conseil d‘administration.

Toutefois, Ivan Nappo précise que DORA oblige à prendre en compte des considérations de groupe en cas d’entités présentes dans d’autres pays hors UE, ainsi que des effets potentiels de contagion groupe.

La gestion des incidents et du risque

DORA se concentre sur la résilience opérationnelle dans le domaine digital. Donc, naturellement, elle vise les risques du type cyberrisques informatiques. En quelque sorte, cela ne constitue qu’un sous-ensemble de ce que traite la circulaire FINMA 23/01 en Suisse.

Le point très intéressant dans la comparaison, c’est que le risque lié aux tiers comprend aussi le risque relatif aux services TIC externalisés. En effet, le règlement DORA les intègre directement avec l’obligation pour la banque de déterminer quels services sous-traités de ce type sont critiques. Ceci signifie qu’il existe des implications fortes pour ces prestataires. Ils ont parfois l’obligation de se conformer à des exigences de l’autorité étatique.

Par exemple, une grande banque européenne dispose d’un service de cloud dont le fournisseur est hors zone UE. Elle pourrait devoir sous 12 mois opter pour un service cloud situé dans un des États membres.

La démarche de test

La circulaire FINMA 23/01 comporte des tests de sécurité et des évaluations de la vulnérabilité de façon régulière. Quant au règlement DORA, il prévoit des tests de résilience complets, y compris des tests de pénétration et des tests basés sur des scénarios.

4 – Pourquoi et quand le règlement DORA impacte-t-il les banques ou prestataires TIC suisses ?

Pour les établissements financiers ou les fournisseurs de services situés en Suisse, ce qui importe avec DORA, ce sont les impacts extraterritoriaux.

La portée extraterritoriale de DORA

Plusieurs dispositions du règlement européen DORA, dont l’article 36, ont une portée en dehors du territoire de l’Union européenne. Dès lors qu’un établissement présente des prestations de service réalisées par des fournisseurs transfrontaliers, l’analyse de DORA est nécessaire.

Ainsi, l’article 36 de DORA énonce les dispositions afin de superviser les sous-traitants établis dans des pays tiers, soit hors de l’UE.

Examen de quelques scénarios transfrontaliers

Le tableau ci-dessous schématise les scénarios cross-border qui peuvent se présenter.

En fonction des cas, les impacts de DORA sont complets ou limités :

• à des ajustements contractuels, comme le Service Level Agreement (SLA) et les Due Diligence (DD) ;
• voire à la nécessité de désignation de prestataires tiers critiques de services TIC dits CTPP (Critical Third Party Provider).

Ainsi, parfois, si une entité financière située dans l’UE estime que les services TIC d’un prestataire suisse sont critiques, cela peut le conduire à devoir s’établir dans l’UE.

Ceci doit inciter les entités suisses à se poser les bonnes questions et à échanger avec les clients ou filiales situés en Europe :

• Comment sont décrits les services rendus ?
• S’agit-il de services importants et essentiels ?
• Est-ce de la compliance ou des activités clés et critiques ?
• Comment anticiper les aspects désignation CTPP, en cas de services critiques en matière de TIC pour un établissement financier européen ?

Pour une entité bancaire suisse qui dispose de filiales pour des activités financières dans un pays de l’UE, là encore, de nombreuses questions se posent. Par exemple :

• Qu’ai-je mis en place en matière de résilience opérationnelle en Suisse et qui entre dans le socle commun avec DORA ?
• Les services TIC fournis à ces établissements européens par le siège suisse de la banque sont-ils critiques ?
• Est-ce que les autorités de surveillance nationales imposent d’autres exigences en plus de DORA en matière de reporting ?

DORA représente une conduite du changement exigeante et d’envergure. C’est une réglementation qui s’inscrit dans la durée, sans aucun retour en arrière possible. La résilience, plus généralement, protège l’établissement financier. Elle fait l’objet d‘une attention soutenue du régulateur. Les clés pour réussir la mise en œuvre de la résilience sont l’homogénéité de l’approche et du référentiel. C’est important d’inclure la dimension coût pour gérer les projets de conformité de façon raisonnable, ceux connus et ceux à venir. Chez easyReg, nous restons à votre écoute, si vous souhaitez approfondir ces aspects de la résilience opérationnelle. N’hésitez pas à nous contacter pour échanger sur vos problématiques réglementaires.

 

👉 Inscrivez-vous à notre Newsletter pour rester informé de l’actualité réglementaire et suivre les annonces de nouvelles règles ou de changements majeurs.

Nous poursuivons avec la thématique résilience opérationnelle. Lors de notre webinaire du 13 mars 2025 sur la Circulaire FINMA 23/01 et DORA, nos intervenants ont traité ce sujet sous de multiples angles. Après avoir repris leurs propos dans un premier article qui définit la résilience opérationnelle dans les banques, voici des conseils pour le déploiement pratique du processus dans les organisations financières suisses.

La résilience opérationnelle, un sujet qui s’inscrit dans toute une liste de webinaires RegTech

En tant que spécialiste RegTech suisse, easyReg vous propose depuis quelques mois des webinaires réguliers accessibles sur LinkedIn ainsi que sur la page spéciale de notre site web. Nous y traitons des sujets d’actualité en matière de réglementation financière :

• En avril, nous avons abordé les risques financiers liés à la nature. 
• En mai, l’intervention a fait découvrir aux participants e-Reg, notre plateforme RegTech. 
• Et le mois de juin se consacre à la gestion des directives internes d’un établissement bancaire.

Pour revenir au webinaire du 12 mars 2025, voici les trois intervenants qui ont traité le sujet de la résilience opérationnelle :

• Jean-Philippe Bernard, cofondateur de la société OPCIS Services et enseignant en risques et contrôles à l’ISFB ;
• Enrico Giacoletto, fondateur de la solution RegTech e-Reg (easyReg) ;
• Ivan Nappo, spécialiste en réglementation financière et project manager chez easyReg.

Le premier article de la thématique donne le cadre de la réglementation et la définition de la résilience opérationnelle. Pour rappel, voici comment la définir de façon synthétique :

c’est la capacité d’une banque à rétablir ses activités et services dont l’arrêt temporaire mettrait en danger sa pérennité ou son rôle sur le marché financier. Elle se mesure dans les limites de la tolérance aux interruptions fixée par la haute direction, cela pour des scénarios graves, mais plausibles.

Ici, nous vous détaillons les conseils pratiques des intervenants, afin de déployer le processus de résilience opérationnelle dans les banques. Ces recommandations font suite aux premières interventions ou audits dans les établissements financiers, ainsi qu’aux premières réactions et questions de la FINMA  

# 1 – Passer en revue les fonctions critiques, processus et ressources sous l’angle résilience opérationnelle

Ce n’est pas un sujet nouveau dans les établissements financiers. Toutefois, il mérite d’être revisité à l’occasion de la réglementation sur la résilience opérationnelle. En général, le nombre de fonctions critiques se situe entre 3 et 5 dans une banque.

Identification des activités critiques et processus critiques

La notion de fonction dépend de la méthodologie utilisée pour regrouper les processus. Jean-Philippe Bernard recommande de raisonner en termes de processus, parce que c’est du concret. Il préconise l’approche suivante pour réaliser une revue des fonctions critiques : 

• de façon top-down, afin de disposer des activités, opérations et services critiques ;
• puis en mode bottom-up pour recenser les processus les plus critiques dans ces mêmes activités.

Les ressources internes et externes consommées par les processus critiques

Un processus critique consomme plusieurs catégories de ressources internes, tout comme externes. Il en dépend aussi. Vous devez les passer en revue.

Analyse des ressources internes

Les ressources internes correspondent aux ressources humaines, l’infrastructure immobilière et matérielle ainsi que les TIC (technologies de l’information et de la communication). Pour la majorité, le plan de continuité des activités (BCM) les intègre déjà. Toutefois, Jean-Philippe Bernard recommande pour les ressources immobilières et matérielles de bien prendre en considération désormais la partie climatique et ESG ainsi que ses impacts.

En matière de résilience opérationnelle, passez en revue ces ressources internes sous l’angle du niveau de vulnérabilité face aux menaces. Évaluez aussi les conséquences en termes d’indisponibilité à l’occurrence de ces menaces. 

Pour ce travail sur les ressources internes, basez-vous sur la reprise des BIA (Business Impact Analysis, soit l’analyse d’impact de l’activité) réalisée dans l’approche BCM. Ceci fait appel aux notions de :

• DMIA (durée maximale d’interruption de l’activité) ;
• RTO (objectif de temps de récupération) 
• RPO (objectif de point de récupération), soit le seuil de risque de perte.

💡Jean-Philippe Bernard conseille de toujours disposer de la vision liée aux exigences des métiers, puis celle des gestionnaires de ressources. Cette démarche donne les écarts ou divergences qui peuvent exister.

Analyse des ressources externes

C’est un des points clés traités par la Circulaire FINMA 23/01. C’est de la responsabilité de la banque de réaliser cette analyse des ressources au regard de la résilience opérationnelle. Il faut donc prendre en compte les sous-traitants, qu’il s’agisse d’approches ITO (IT Outsourcing) ou BPO (Business Process Outsourcing). S’y ajoutent aussi des prestataires ponctuels ainsi que des intermédiaires bancaires (contreparties, dépositaires, correspondants, etc.).

Même si la banque a peu de moyens de maîtrise sur les vulnérabilités de ces ressources et de leurs propres processus, comment procéder ?

• Prendre en compte les critères de résilience lors de la sélection de ces intervenants extérieurs.
• Contractualiser avec les entreprises prestataires sur la base de SLA (Service Level Agreement, soit des accords de niveau de service).
• Exiger des certifications et analyser les reconnaissances ISAE 3402 level 2 (rapports) en matière de fonctionnement des processus et du contrôle interne chez un prestataire de service. Ces reconnaissances attestent de l’efficacité opérationnelle des contrôles sur 6 mois minimum, ce qui procure une assurance raisonnable.
• Enfin, réaliser tout simplement des tests périodiques. Ainsi, vous vous assurez de la fiabilité des processus de vos ressources extérieures et du respect des engagements de ces fournisseurs, en cas d’incidents ou d’évènements à risque.

Focus sur les TIC, un sujet majeur en matière de résilience opérationnelle bancaire

Les ressources externes du type TIC constituent un sujet fondamental. Car, dans les scénarios bâtis, les attaques du type cyber, tout comme les pannes informatiques ou d’applications générées par la cybercriminalité, occupent une place de choix.

En s’inspirant des normes ISO 27 000, la banque gère correctement ces aspects, tant pour la conception, le développement ou l’exploitation. Toutes les erreurs potentielles classiques sont évitées. Mais, en matière de résilience, l’établissement financier doit aussi compléter l’approche avec les conséquences possibles de telles cyberattaques.

Concrètement, procédez ainsi afin de mettre à jour en permanence les catalogues de menaces, par exemple MITRE ATT&CK : 

• Analysez les ressources TIC face aux dangers externes (leur vulnérabilité).
• Étudiez les mesures ex ante qui sont en mesure d’alléger cette vulnérabilité des ressources externes TIC, comme des systèmes de protection des infrastructures IT ainsi que des réseaux.
• Mettez en place, en plus, des contrôles de détection au sein du service de contrôle interne (SCI).

Jean-Philippe Bernard souligne que le responsable de la sécurité du système d’information (RSSI) ou le directeur de la sécurité de l’information (CISO) doit entrer dans une approche risque opérationnelle afin de garantir la résilience.

#2 – Retenir une approche homogène pour la résilience opérationnelle

Enrico Giacoletto explique que tous les acteurs doivent adopter une approche homogène, même si le calendrier de déploiement de la résilience opérationnelle en plusieurs étapes peut contrecarrer cette homogénéité pourtant essentielle. 

Ce qui peut aussi complexifier la démarche, c’est l’obligation de s’assurer en permanence que l’établissement reste bien aligné avec les hypothèses et moyens définis dans le plan de continuité des activités (PCA ou BCM).

Cette approche homogène et systémique intègre la gestion de crise, son organisation, ses processus ainsi que les outils pour décider « sous stress » sur des scénarios non prévus au départ. Ce processus garantit des réponses adaptées et dimensionnées correctement, face aux risques et menaces identifiés.  

💡Vous établissez le reporting unique annuel à destination du Board, avec la présentation du concept de résilience. Enrico Giacoletto vous conseille de vous assurer qu’il est homogène, aisément explicable et pensé de façon globale. Si ce n’est pas le cas, il conviendra d’améliorer cette homogénéité l’année suivante.

#3 – Adopter un référentiel unique et commun : nécessité et avantages

Jean-Philippe Bernard l’a expliqué dans l’article précédent sur le cadre de la résilience opérationnelle : la gestion des données, tant pour leur cohérence, leur qualité que leur mise à jour est un vrai défi. C’est illusoire de vouloir y parvenir avec de simples fichiers Excel. Les établissements bancaires doivent se doter d’un référentiel unique. Cela permet de mieux gérer les dépendances entre les objets à risque, les contrôles, process, menaces, ressources, etc.

Les avantages d’un référentiel unique (Enterprise Risk Management Repository)

• Consolider l’approche résilience dans la gestion globale des risques opérationnels.
• Renforcer la sensibilisation et l’implication des premières lignes pour garder une vision proche du business et ainsi simplifier la récolte par l’unité risque de multiples données (car le langage risque sera uniforme).
• Déduire rapidement, dans le cadre d’une gestion de crise, l’impact d’une indisponibilité totale ou partielle des ressources sur les processus critiques.
• Savoir quelles priorités prendre en compte afin de mettre en place les mesures les plus utiles, etc.

La granularité du référentiel unique

Veillez à retenir un niveau de détail adapté pour couvrir tous les sujets, tout en garantissant la cohérence et la possibilité de mise à jour des données.

Les économies induites par un référentiel unique

Jean-Philippe Bernard précise que la création d’un tel référentiel prend du temps et coûte de l’argent. Mais le rapport bénéfices/coûts s’avère très intéressant, vu les économies significatives que permet ce processus pour tous les projets de mise en conformité. En effet, toutes les exigences réglementaires tournent autour des mêmes données de base incluses dans le référentiel unique.

#4 – Retenir une vision globale très tôt et éradiquer les approches du type alibi

Pour la résilience opérationnelle, il convient d’expliquer et de démontrer que l’établissement financier fait ce qu’il a dit qu’il ferait. Il ne s’agit plus ici d’un processus du type « je coche la case » afin de trouver des solutions, au fur et à mesure qu’apparaissent les nouvelles échéances réglementaires.

Nous rappelons que, malgré un calendrier de mise en place de la résilience opérationnelle en plusieurs étapes, l’approche globale et la cohérence s’imposent dès le début du processus.

Comme l’explique Enrico Giacoletto par une métaphore de l’animal hybride, raisonner étape par étape et se comporter toujours en réaction conduisent à résoudre le problème seulement partiellement. Tout comme, si vous dessinez un animal en plusieurs fois, le résultat manque d’homogénéité par rapport à un travail réalisé d’un seul coup.

Toutefois, gardez en tête que le régulateur attend probablement que la banque adapte ce qu’elle a réalisé, avec une montée en puissance du processus de résilience opérationnelle. Aussi, avant la fin du calendrier, les banques disposent de suffisamment de temps pour étudier les travaux déjà accomplis et s’assurer de l’homogénéité de leur approche.

#5 – Un reporting sur la résilience opérationnelle simple et compréhensible de tous

Qui dit exigences réglementaires, dit reporting à la haute direction de l’établissement. Vous devez lui donner les moyens d’analyser de façon éclairée les actions de l’exécutif en vue de garantir la résilience opérationnelle. Mais, le reporting sert aussi à l’exécutif.

Le reporting sur la résilience à l’usage de la haute direction de la banque

Ce reporting découle d’une exigence explicite de la circulaire FINMA 2023/01. 

En effet, la haute direction a l’obligation de :

• recevoir cette information annuelle sur la capacité de résilience de l’organisation ;
• valider les fonctions critiques identifiées ;
• se prononcer sur la tolérance aux interruptions des fonctions critiques.

💡Enrico Giacoletto conseille de réaliser un reporting spécial résilience, même si les informations existent ailleurs dans divers autres documents. Il contient la description des processus et des fonctions critiques, ainsi que la tolérance. Il détaille les étapes retenues lors du raisonnement, donc la méthode.

💡Enrico Giacoletto explique aussi le besoin de vulgarisation, afin d’aider la haute direction à donner son avis sur la capacité de résilience de la banque. Le reporting doit décrire les scénarios, hypothèses et mesures de façon simple et compréhensible par des non-experts.

Le reporting pour l’exécutif

L’exécutif a la charge de gérer dans les faits les risques opérationnels. Il propose des mesures correctives pour les ramener dans la tolérance retenue. L’accès à un reporting détaillé lui donne la faculté d’approfondir ses analyses et recommandations.

Vous disposez désormais de conseils pratiques pour avancer dans le déploiement de la résilience opérationnelle, en conformité avec la circulaire FINMA 2023/01. Notre article suivant se concentre sur le règlement européen DORA, pour la résilience opérationnelle numérique dans le secteur financier. Il traite des considérations relatives aux activités transfrontalières. Nous évoquons aussi les effets de contagion groupe notamment. Vous souhaitez échanger sur vos problématiques en matière de résilience opérationnelle ? Chez easyReg, nous restons à l’écoute. Vous pouvez nous contacter ou programmer une demo de notre solution RegTech.

 

👉 Inscrivez-vous à notre Newsletter pour rester informé de l’actualité réglementaire et suivre les annonces de nouvelles règles ou de changements majeurs.

Le 12 mars 2025, easyReg a organisé un webinaire sur le thème de la résilience opérationnelle : Circulaire FINMA 23/01 et DORA, des réglementations d’actualité en Suisse en 2025. Cet article est le premier d’un triptyque sur le sujet. Il reprend les échanges sur la définition de la résilience opérationnelle. Il détaille les sources réglementaires applicables aux établissements financiers ainsi que le calendrier. Deux autres articles suivront. L’un apportera des conseils pour implémenter les exigences réglementaires en matière de résilience opérationnelle. Le dernier réalisera une analyse de DORA, le règlement européen qui donne un cadre pour gérer les risques liés aux TIC (technologies de l’information et de la communication).

1. Un webinaire très suivi et organisé par des acteurs experts de la réglementation financière

Chez easyReg, nous organisons des webinaires accessibles via LinkedIn sur des sujets d’actualité dans le domaine de la réglementation bancaire. La page de notre site, dédiée à cette thématique, vous donne les informations sur les prochains évènements à mettre dans votre agenda. Par exemple, le 9 avril, nous abordons les risques financiers liés à la nature.

Ce 12 mars 2025, de nombreux participants ont suivi les échanges nourris autour de la résilience opérationnelle entre les trois intervenants :

• Jean-Philippe Bernard, cofondateur de la société OPCIS Services et enseignant en risques et contrôles à l’ISFB ;
• Enrico Giacoletto, fondateur de la solution RegTech e-Reg (easyReg) ;
• Ivan Nappo, spécialiste en réglementation financière et project manager chez easyReg.

2. Résilience et résilience opérationnelle : définition(s) pour comprendre les exigences réglementaires

Résilience vient du latin « resilire », un mot qui veut dire « rebond ». Pour Jean-Philippe Bernard, le mot essentiel est en effet rebond. Plus précisément, nous devons analyser la manière et la vitesse dont on rebondit. Notre intervenant évoque aussi l’importance de la notion d‘apprentissage, comme pour apprendre à jouer avec un ballon.

Que signifie la résilience ?

Wolfgang Kröger, directeur exécutif de l’ETH Risk Center de Zurich, donne cette définition : « la résilience est la capacité d’un système à résister à un effet négatif initial qui résulte d’un évènement nuisible ou d’une force perturbatrice interne ou externe (facteur de stress) et la vitesse à laquelle il peut revenir à une opérabilité ou un équilibre approprié ».

Définition de la résilience opérationnelle pour un organisme

Laissons le Docteur José Lamas-Valverde, CEO de gestRisk donner cette définition. Selon lui, un tel organisme adopte une orientation stratégique à long terme. Il planifie en forme détaillée les perturbations prévues ainsi que la gestion de crise et les ressources pour faire face aux imprévus. Il dispose de processus d’apprentissage et de prédiction.

Définition de la courbe de résilience

La courbe de résilience caractérise le concept de résilience opérationnelle pour une entreprise ou une organisation. Tout d’abord, le seuil de robustesse correspond au seuil au-dessous duquel il devient impossible de se rétablir. Deux types de mitigation (action d’atténuer ou de réduire la vulnérabilité) complètent la définition de la résilience opérationnelle. Il s’agit de :

• La mitigation ex ante, donc basée sur les expériences du passé, afin de ne pas descendre sous le seuil de robustesse. Elle sert à diminuer le nombre de menaces.

La mitigation ex post, donc la vérification a posteriori des faits comparés aux prévisions ex ante. Elle aide à se rétablir avec des systèmes de type workaround (solution de rechange ou palliatif) ou BCP (Business Continuity Plan).

Définition de la résilience opérationnelle selon la Circulaire FINMA 2023/01

Selon la FINMA, la résilience opérationnelle correspond à la capacité d’une banque à rétablir ses fonctions critiques en cas d’interruptions, cela dans les limites de la tolérance aux interruptions. C’est donc la faculté à la fois à identifier les menaces et les défaillances et à prendre les mesures de protection en réaction aux risques.

La Circulaire FINMA 2023/01 « Risques et résilience opérationnels – banques » spécifie aussi ce que comprennent les fonctions critiques. Ainsi, elle évoque :

• Les opérations, processus, services et ressources pour lesquels une interruption prolongée comporterait un risque de continuité des activités de l’établissement sur le marché financier ;
• Les fonctions d’importance systémique telles que définies par l’article 8 de la LB.

La notion de tolérance aux interruptions

Il s’agit ici de prévoir des scénarios extrêmes afin que la banque puisse survivre, par exemple, un ou deux jours en mode dégradé, grâce à des méthodes de contournement. Ces scénarios sont dits critiques.

La résilience, un concept plus large qu’opérationnel

La Circulaire FINMA 2023/01 se concentre sur la résilience opérationnelle dans les institutions financières. Toutefois, plus largement, la résilience touche tous les domaines, notamment le secteur financier.

Des scénarios sont à bâtir par rapport au contexte géopolitique, à l’influence des marchés financiers sur les résultats ou aux intermédiaires bancaires, par exemple. Dans ces cas, la gestion des risques présente un caractère mixte, à la fois opérationnel et financier.

Quant aux risques qui proviennent de ressources externes, comme la disponibilité de la supply chain, les fournisseurs ou les sous-traitants, ils demandent une gestion opérationnelle dans les entreprises en général, comme dans le secteur bancaire.

Pour conclure sur la définition de la résilience, elle suppose une triple gestion :

• des risques ;
• de crise ;
• de la continuité.

Différence entre résilience et BCM (Business Continuity Management)

La résilience comporte d’autres risques, évènements ou facteurs de stress, en plus de ce que prévoit un processus BCM (plan de continuité des activités).

Elle ajoute la couverture des risques liés à des changements progressifs. C’est par exemple la perte de production électronique ou d’approvisionnements en électricité et qui s’opère progressivement, en fonction d’un contexte géopolitique.

3. Rappels réglementaires sur la résilience opérationnelle et calendrier progressif en Suisse

Le concept de résilience apparaît en mars 2021 quand le Comité de Bâle publie un document intitulé « principes pour la résilience opérationnelle ».

Les origines de la résilience dans la réglementation

C’est la crise financière de 2007-2009 qui a conduit le BCBS à renforcer la capacité des établissements bancaires à affronter les risques opérationnels liés à des pandémies, des évènements climatiques, des cyber-incidents, etc. Cette crise majeure mondiale a montré que les banques présentaient des difficultés en matière de fonds propres et de liquidité.

Mais, elle a aussi mis en évidence le fait que ces établissements ne disposaient pas de la capacité suffisante à s’adapter aux circonstances afin de relever ces défis. C’est alors que les régulateurs ont souhaité ajouter des exigences en matière de résilience opérationnelle, et notamment pour toutes les banques d’importance systémique.

Les dispositions de la FINMA pour la mise en conformité des banques de catégorie 4 et 5

La liste de ces exigences constitue la manière la plus simple de comprendre le travail à mener dans chaque banque. Pour les autres établissements, de catégorie 3, comme pour ceux soumis au régime des petites banques, des ajustements existent par rapport à cette liste.

Voici les principales dispositions de la Circulaire 2023/01 pour les banques de catégories 4 et 5, hors régime des petites banques :

• Cm 101 : identification des fonctions critiques et des tolérances aux interruptions, avec leur approbation annuelle par le Conseil d’Administration.
• Cm 102 : préparation de mesures qui visent à garantir la résilience opérationnelle (avec prise en considération des scénarios graves, mais plausibles).
• Cm 105 : envoi des rapports sur la résilience opérationnelle à la Direction et au Conseil d’Administration au moins une fois dans l’année.
• Cm 106 : gestion des menaces internes et externes ainsi que des risques opérationnels induits par les fonctions critiques.
• Cm 107 : révision annuelle au minimum de l’inventaire des fonctions critiques.
• Cm 108 : pour les fonctions critiques, recensement des risques opérationnels importants et des contrôles clés.
• Cm 109 : établissement de BCP des fonctions et processus critiques ainsi que des ressources nécessaires.

💡Concernant les scénarios graves, mais plausibles, Jean-Philippe Bernard souligne la nécessité de les réviser périodiquement. Il suggère, par exemple, tous les 5 ans. En effet, certains scénarios ont une durée de vie limitée, notamment au niveau géopolitique mondial.

💡Enrico Giacoletto conseille aussi d’évoquer les scénarios dès le début de la démarche, même si cela fait partie des dernières mesures à déployer. C’est une manière de rendre le sujet de la résilience opérationnelle plus accessible pour le Conseil d’Administration.

Les échéances réglementaires en matière de résilience opérationnelle

Ces dispositions principales citées préalablement peuvent s’implémenter en plusieurs phases. Toutefois, malgré un agenda réglementaire sur 3 ans, Enrico Giacoletto recommande de s’assurer que l’ensemble des processus déployés sur le plan de la résilience fait sens et reste cohérent.

Pour les banques de catégories 4 et 5

Voici les points clés à connaître au niveau du calendrier :

• Applicable dès janvier 2024 : Cm 101 et Cm 105. C’est l’identification des fonctions critiques, des tolérances aux interruptions, ainsi que la mise en place du rapport aux organes de direction.
• Avant le 1er janvier 2025 : Cm 106 à Cm 109. Ceci comprend l’identification des menaces, l’évaluation du risque opérationnel, l’inventaire, les connexions et dépendances, les contrôles clés, la documentation des fonctions critiques ainsi que leur couverture par le BCP.
• Avant le 1er janvier 2026 : Cm 102. Ce sont les mesures de garantie de la résilience opérationnelle, avec l’intégration des scénarios graves, mais plausibles.

La notion de scénarios graves, mais plausibles qui entrent en vigueur en janvier 2026

Nous recommandons d’inclure dès à présent les organes de direction dans le travail d’identification et de choix des différents scénarios graves, mais plausibles. Notez que la FINMA donne des exemples et envisage que l’intervention de l’État puisse être induite par certains scénarios.

Les connexions et dépendances entre processus critiques et ressources

Jean-Philippe Bernard pense que ce point reste essentiel et induit souvent une certaine complexité difficilement gérable par de simples outils Excel. Vu la quantité de dépendances, chaque établissement devrait utiliser une base de données relationnelle intégrée dans un référentiel unique qui couvre les risques et les contrôles. Ce mode de fonctionnement aide à identifier rapidement les processus clés ou critiques qui dysfonctionnent en cas de survenance d’une menace.

Enrico Giacoletto ajoute l’importance de bien analyser ce qui est réellement critique, afin de déterminer ce qui doit vraiment entrer dans la gestion de la résilience opérationnelle.

Avec cet article, easyReg vous brosse le cadre réglementaire de la résilience opérationnelle pour les banques suisses. C’est la première étape pour mettre en place vos obligations liées à la Circulaire 2023/01. Le second article détaille les conseils prodigués lors du webinaire, en collaboration avec Jean-Philippe Bernard de la société OPCIS, afin de déployer la résilience opérationnelle dans vos organisations. Enfin, le troisième et dernier article traite du règlement européen DORA sur la résilience opérationnelle numérique dans le secteur financier. En tant que spécialistes de la réglementation financière, nous vous proposons notre solution RegTech, la plateforme e-Reg, par exemple pour de la veille réglementaire. Nous vous apportons aussi toute une offre de services sur mesure.

 

👉 Inscrivez-vous à notre Newsletter pour rester informé de l’actualité réglementaire et suivre les annonces de nouvelles règles ou de changements majeurs.

Au fil des années, les régulateurs ont renforcé les dispositifs de surveillance de la solvabilité des banques, en Suisse comme dans le monde entier. De nombreux ratios et acronymes viennent encadrer les exigences en matière de liquidité, notamment. LCR, NSFR, voilà deux ratios de liquidité incontournables. Mais ce ne sont pas les seuls paramètres à maîtriser sur le plan de la solidité bancaire. Cet article fait le point sur les ratios de liquidité en banque, leurs définitions et différences, mais aussi les autres indicateurs et reportings statistiques obligatoires (formulaire AU208 et LMT).

1 – Des ratios de liquidité bancaires bien distincts de ceux de l’entreprise

Évacuons tout de suite les ratios de liquidité pour les entreprises. Ils leur sont propres. Mais, ils peuvent se comparer à ceux utilisés dans le secteur bancaire. Pour la lecture du bilan d’une société, notamment par un banquier, ce ratio de liquidité sert à estimer la capacité d’une structure à faire face à ses dettes à court terme. Le terme de liquidité immédiate se rencontre également.

Cet indicateur est un pourcentage qui s’obtient par un calcul simple basé sur des données issues de la comptabilité. Vous divisez les créances (clients essentiellement) et les disponibilités bancaires, par les dettes à court terme (fournisseurs, organismes sociaux, salariés, etc.). Vous pouvez aussi adopter une formule qui part de l’actif circulant, duquel vous déduisez les stocks, avant de rapporter le solde à l’endettement court terme qui figure au passif.

2 – Les principaux ratios de liquidité en banque à connaître

Les banques suisses doivent respecter des ratios de liquidité spécifiques afin de démontrer leur capacité à rester financièrement stables et à honorer leurs engagements. Tout ceci s’opère en ligne directe avec les exigences du Comité de Bâle ainsi que l’ordonnance sur les liquidités des banques et des maisons de titres (Oliq).

Le ratio de couverture de liquidité à court terme (LCR)

Le ratio LCR ou Liquidity Coverage Ratio en anglais est apparu en Suisse après la crise financière de 2008.

Définition du ratio de liquidité LCR 

Comme nous l’avons expliqué dans la page du glossaire, le ratio de liquidité LCR sert à vérifier la capacité permanente d’une banque à honorer ses obligations de paiement. C’est également le cas si l’établissement se trouve en situation de crise.

Plus précisément, cet indicateur financier mesure la capacité à supporter une sortie nette de trésorerie sur 30 jours en situation de crise.

Calcul du LCR

Pour l’obtenir, procédez ainsi :

• numérateur du ratio LCR (A) = montant des actifs liquides de haute qualité, soit les HQLA (High Quality Liquid Assets) ;
• dénominateur du ratio LCR (B) = montant des sorties nettes de trésorerie prévisionnelles sur les 30 jours ;
• ratio LCR = (A/B), sachant que les règles prudentielles exigent un pourcentage supérieur ou égal à 100.

Le ratio de financement stable net (NSFR)

Cet autre ratio de liquidité signifie en anglais Net Stable Funding Ratio. Nous avions expliqué, dans notre article sur les principaux ratios réglementaires, que le NSFR est un ratio structurel de liquidité long terme. C’est donc cet horizon qui le distingue fondamentalement du ratio de liquidité LCR.

Définition du NSFR

Parfois appelé aussi ratio de financement, il mesure la capacité des établissements financiers à se financer sur le long terme. L’objectif est de limiter le risque de défaillance des banques grâce à une stabilité au niveau de la composition des actifs et des activités hors bilan. Ainsi, avec des ressources de financement suffisamment stables, les banques peuvent couvrir les besoins de leurs activités sur le long terme.

Notez que les dispositions de Bâle III final en Suisse n’ont pas modifié la réglementation sur le ratio NSFR (Oliq et circulaire FINMA 15/02).

Calcul du ratio de liquidité NSFR

Ce ratio s’obtient comme suit, conformément à l’article 17 g de l’Oliq : 

• numérateur (A) = financement stable disponible ou Available Stable Funding (ASF) ;
• dénominateur (B) = financement stable exigé ou Required Stable Funding (RSF) ;
• ratio NSFR = (A)/(B), sachant que les autorités prudentielles imposent au moins un ratio de 1.

3 – L’exigence relative à la garantie des dépôts

D’autres dispositions réglementaires s’ajoutent aux obligations que doivent respecter les établissements bancaires suisses en matière de liquidité. C’est le cas de la garantie des dépôts.

Qu’est-ce que la garantie des dépôts ?

Ce système réglementaire dans le secteur bancaire contribue à protéger les déposants et à prévenir la faillite d’un établissement financier. La garantie des dépôts est un processus qui intervient en cas de défaillance de la banque, car il couvre la perte de dépôts de clients jusqu’à la somme de CHF 100 000 (en date du 9 avril 2025).

Le ratio de 125 % des dépôts privilégiés

Pour assurer cette protection des dépôts clients, les autorités prudentielles exigent que chaque banque détienne au moins 125 % du montant des dépôts privilégiés en créances couvertes en Suisse. Ceci doit se maintenir en permanence et fait l’objet d’un contrôle, au travers du rapport mensuel AU208 à destination de la BNS (Banque Nationale Suisse).

Notez que la révision de la loi sur les banques et de l’ordonnance sur les banques début 2023 a modifié le calcul et la définition des dépôts privilégiés (cf. Art. 37a de la LB).

4 – Reporting sur les paramètres d’observation (LMT)

Toujours dans le souci des liquidités, les banques suisses doivent produire d’autres données statistiques périodiques, en plus des ratios précédents.

Quelles sont les obligations relatives au Liquidity Monitoring Tool (LMT) ?

En français, ce terme LMT se traduit par reporting sur les paramètres d’observation. Les banques suisses, ainsi que les succursales de banques étrangères notamment, ont l’obligation d’adresser régulièrement ces statistiques à la Banque Nationale Suisse. Ce reporting permet à la BNS de mieux appréhender leurs expositions.

Que comprennent les statistiques LMT obligatoires dans les banques suisses ?

Ce reporting LMT couvre essentiellement les trois domaines qui suivent : 

• analyse des échéances par maturité et par devise ;
• concentration du financement ;
• actifs non grevés disponibles par devise.

La FINMA a publié le 4 avril 2019 des instructions de traitement pour la collecte des données relatives aux paramètres d’observation supplémentaires.

La finance d’entreprise exige une gestion rigoureuse, quelle que soit l’activité, des ratios de liquidité, calculés sur les actifs circulants et les dettes à court terme. Toutes les banques doivent procéder au même type de surveillance, tant pour le court terme, que pour le long terme. Elles se conforment ainsi aux exigences issues de la réglementation financière. Chaque ratio de liquidité prévu par les textes et chaque reporting statistique constituent autant d’outils pour exercer une surveillance et limiter les risques de défaillance. C’est un sujet capital pour le secteur des services financiers. EasyReg apporte sa pierre à l’édifice en vous offrant une solution RegTech qui vous simplifie la tâche autour de la réglementation.

 

👉 Inscrivez-vous à notre Newsletter pour rester informé de l’actualité réglementaire et suivre les annonces de nouvelles règles ou de changements majeurs.

La réglementation financière suisse c’est notre spécialité chez easyReg. Elle évolue régulièrement au gré des changements qui interviennent tant dans notre pays que dans le monde entier, notamment à l’initiative de la FINMA ou du Comité de Bâle. Parmi les changements majeurs que nous vivons actuellement, Bâle III final apporte de nombreuses exigences nouvelles que le secteur des services financiers se doit d’intégrer. Cette page a pour objectif de synthétiser les changements clés de Bâle III final.

Tableau récapitulatif des changements clés de Bâle III final

Ce tableau fait l’objet de mises à jour régulières. N’hésitez pas à enregistrer la page dans vos favoris,. Vous conservez ainsi une source synthétique d’informations sur les changements clés relatifs à cette réforme de Bâle III, Bâle III final ou Bâle IV.

---

Pour compléter ce sujet, nous vous recommandons aussi de prendre connaissance du détail du déploiement de Bâle III et Bâle III final en Suisse.

easyReg, le spécialiste qui vous simplifie la réglementation financière en suisse

Notre société EasyReg est spécialisée dans les outils RegTech avec un objectif majeur, simplifier la réglementation financière. Nous avons construit une solution en ligne, e-Reg, pour aider dans cette démarche les différentes typologies de clients confrontées à la réglementation bancaire. Sa mise en œuvre s’opère simplement, grâce à une aide personnalisée de nos experts. C’est l’assurance d’une prise en main rapide.

Les fonctionnalités RegTech proposées par notre application e-Reg comprennent notamment :

• la recherche dans la réglementation financière, en multi-langue et selon plusieurs méthodes, dont la recherche sémantique, le tout avec le contexte réglementaire systématique ;
• l’ajout de commentaire et la possibilité de partage de l’information pour un travail collaboratif ;
• la gestion du savoir réglementaire, dans un but documentaire, d’amélioration des compétences autour de la conformité et de la maîtrise des risques ;
• la mise en place de bibliothèques réglementaires, y compris pour les procédures et directives internes aux banques ;
• la gestion des changements réglementaires, avec un tableau de bord, pour un pilotage collaboratif du projet facilité.

Nous proposons en complément de cette solution RegTech clé en main, des services sur mesure. Ils conviennent pour les besoins spécifiques des banques ou institutions financières ainsi que des cabinets de conseil qui les accompagnent. Pour découvrir le champ des possibles dans ce domaine, consultez notre page services RegTech.

Quel que soit le domaine d’activité, une entreprise ou un établissement financier est confronté à la conformité réglementaire. Dans toute organisation, le pilotage des risques suppose de respecter diverses réglementations, textes de loi, ordonnances, décrets. Dans ce contexte, la veille réglementaire doit prendre sa place et faire l’objet d’une structuration optimale.

Le secteur des services financiers est particulièrement exposé à ce besoin de curation. Nous vous donnons notre vision d’une bonne veille réglementaire, avec ses enjeux, les mauvaises pratiques à éviter et les meilleures à mettre en place. Vous découvrirez aussi comment la RegTech vient conforter les processus grâce à des outils de veille réglementaire efficaces.

1 – Qu’est-ce que la veille réglementaire ?

Le concept de veille parfois appelé aussi curation se retrouve dans de très nombreux domaines d’activité. La veille réglementaire concerne tous les acteurs économiques dès lors qu’ils doivent respecter un texte légal, une ordonnance, un règlement, une norme, un référentiel, etc.

1.1 – Définition de la veille réglementaire

La veille de la réglementation signifie la mise en place d’un processus structuré pour rechercher, identifier et analyser les nouveaux textes qui concernent une entreprise, une banque ou une organisation. Il s’agit aussi de comprendre les impacts sur la structure, afin de déployer les changements réglementaires nécessaires pour la mise en conformité.

Une activité de veille juridique et réglementaire comporte un volet de suivi, mais aussi d’anticipation. En effet, la réglementation nationale comme internationale peut potentiellement avoir des conséquences sur la stratégie d’une entité économique. “Mieux vaut prévenir que guérir”.

1.2 – Les domaines qui exigent le plus de veille réglementaire en matière de conformité

La réglementation existe dans de nombreux secteurs. C’est aussi le cas des activités de veille. En tant que RegTech, c’est la réglementation financière qui nous intéresse. Elle fait partie par essence de l’activité des :

• banques et établissements financiers, y compris les fintechs suisses au sens de l’art.1b LB ;
• sociétés de conseil en réglementation financière ;
• cabinets d’audit ;
• cabinets d’avocats.

En dehors du domaine bancaire, la notion de veille réglementaire prend tout son sens également pour :

• le secteur HSE (hygiène, sécurité et environnement) ;
• les activités de normalisation du type ISO ;
• la santé ;
• le droit du travail.

2 – Quels sont les enjeux d’une bonne veille réglementaire pour le secteur financier ?

La mise en place d’une veille réglementaire n’est pas vraiment une option. Au vu des enjeux et des risques de non-conformité pour le domaine bancaire, la démarche vaut le coup de s’y pencher sérieusement.

2.1 – Maîtriser la quantité de sources réglementaires applicables et les évolutions de la réglementation

La réglementation financière est une matière en perpétuelle évolution. En Suisse, la gestion de la réglementation financière suppose de consulter et analyser des milliers de pages en provenance de sources variées. Ce domaine ne cesse de grossir et d’évoluer, par exemple avec les dispositions de Bâle III et Bâle III final.

Tout sauf figée, la réglementation bancaire exige de l’adaptation permanente de la part des acteurs des services financiers afin de s’y conformer, autant que possible de façon proactive. C’est tout l’enjeu de la veille : identifier et comprendre les modifications réglementaires déjà adoptées ou à venir, à l’intérieur de cette masse d’informations conséquente et mouvante. 

2.2 – Éviter les conséquences négatives d’un respect insuffisant des exigences réglementaires

La veille réglementaire suppose d’agir de façon anticipée. Dans le cas contraire, un établissement bancaire risque d’ignorer l’existence d’un nouveau texte auquel il doit pourtant se conformer. Cette méconnaissance des dispositions à appliquer fait courir des risques à l’établissement financier. Citons les coûts de la non-conformité, ainsi que les risques de réputation que cela engendre. Mais, elle peut aussi entraîner des conséquences externes négatives comme des pratiques de greenwashing dans le domaine de la finance durable et des investissements ISR.

2.3 – Gagner du temps dans sa veille réglementaire grâce à la mise en place d’outils de curation pertinents

La veille réglementaire suppose de travailler de façon proactive et de devancer l’évolution des exigences réglementaires afin de disposer de temps et de sérénité.

Prenons l’exemple des normes ESG dans le monde et de leur impact pour la Suisse. L’ensemble des réglementations sur le plan international ne cesse d’évoluer et de croître. Une convergence vers des normes mondiales pourrait même se dessiner. C’est impératif pour les banques suisses de rester en veille constante sur le sujet.

Pour parvenir à gagner le match de la réglementation, les acteurs de la veille doivent se préoccuper d’identifier les outils de curation adaptés à cette tâche permanente. Les personnes chargées de la veille peuvent concevoir un système de gestion réglementaire imbriqué dans les processus et l’activité de l’établissement. Elles disposent alors d’outils pour piloter aussi le changement, une fois le besoin d‘évolution identifié et quantifié.

2.4 – La gestion du changement réglementaire, une obligation pour conserver sa licence

Le dernier enjeu essentiel de la veille réglementaire concerne la détention d’autorisations ou de licences octroyées par la FINMA. Citons par exemple le cas des fintechs suisses qui doivent obtenir l’autorisation prévue à l’art.1b LB. Les entités qui en bénéficient doivent rester en veille afin de les conserver.

De nombreuses catégories d’autorisation délivrées par la FINMA existent. Elles impliquent toutes la nécessité de maintenir une veille réglementaire, tant pour un gestionnaire de fortune que pour une banque ou un organisme d’autorégulation.

3 – Quelles sont les contraintes des changements réglementaires pour les acteurs de la réglementation ?

Les évolutions des textes réglementaires présentent de nombreuses difficultés pratiques dans les organisations. Sans structuration du processus, elles peuvent devenir un réel fardeau au quotidien.

3.1 – Un travail de grande ampleur pour mener à bien le changement réglementaire

Plus les modifications des textes réglementaires dans l’environnement d’un établissement financier s’empilent, plus la tâche pour implémenter le changement augmente. Lorsque les acteurs de la réglementation ont peu de recul sur les nouveautés, ils se retrouvent à gérer le travail dans l’urgence.

3.2 – Une difficulté d’analyse des textes réglementaires en vigueur ainsi que des évolutions à venir

Les personnes en charge de la gestion réglementaire dans les établissements financiers peuvent éprouver des difficultés pour identifier et interpréter les projets de changement. Sans tout le contexte d’un texte aisément accessible ainsi que l’environnement réglementaire international sur le sujet, ces professionnels perdent du temps dans leurs travaux.

3.3 – La possibilité de devoir se conformer à plusieurs juridictions

La complexité de la gestion des changements réglementaires décrite précédemment peut survenir au sein d‘une même juridiction. Elle peut aussi s’expliquer par le fait qu’un établissement est soumis à plusieurs juridictions : 

• de manière active, parce qu’il y exerce effectivement une activité ;
• de manière passive, du fait de l’augmentation des aspects extraterritoriaux de certaines lois.

3.4 – La multitude des échéances ou des impacts induits par un changement réglementaire

Les dispositions ou exigences qui génèrent des conséquences multiples compliquent le pilotage des changements de réglementation au sein des banques. Lorsque le nouveau texte ajoute de multiples changements et à des dates différentes, la conduite du changement s’alourdit. Mieux vaut une veille réglementaire structurée afin d’anticiper et d’effectuer une évaluation des conséquences au plus tôt.

3.5 – La complexité du suivi d’un projet réglementaire sans outil dédié

La gestion des risques émergents consiste à rester en veille au niveau de réglementations parfois encore en construction. En revanche, pour la gestion effective d’un changement acté dans les textes, la veille s’effectue de façon coordonnée et rapprochée avec les actions de mise en œuvre concrètes. En opérant ainsi, avec une solution informatique de gestion du projet, toute l’organisation gagne en efficacité. Devoir piloter un changement réglementaire sans outil nous semble bien hasardeux pour le respect de la conformité.

4 – Les pratiques et outils de veille réglementaire à bannir

Avant d’aborder les méthodes et organisations vertueuses d’une bonne surveillance des données réglementaires, voici les mauvaises pratiques à éviter absolument.

4.1 – Réaliser sa veille réglementaire sur des outils gratuits comme des tableurs

La complexité actuelle de la réglementation financière suisse, européenne comme internationale exige de s’équiper sérieusement. Ainsi, penser que la réglementation financière peut se suivre en utilisant un tableur Excel nous semble utopique. Ce genre d’action présente aussi peu d’efficacité que de procéder avec des CTRL+F dans des PDF. À l’heure où les nouvelles technologies améliorent la recherche sémantique ou vectorielle, mieux vaut oublier les outils de veille gratuits pour attaquer vraiment chaque référentiel réglementaire.

4.2 – Réaliser une curation de la réglementation sans l’exploiter réellement

Une autre pratique consiste parfois à surveiller les évolutions réglementaires, sans toutefois en tirer suffisamment les enseignements. L’établissement qui ne consacre pas assez de ressources ou de budget à l’analyse des données issues de la veille rate des opportunités. Il se coupe d’échanges avec les bons acteurs. Il se prive de réflexions stratégiques au profit du développement des affaires. C’est aussi le cas quand il s’agit d’adopter une ligne de défense face à l’évaluation d’un risque ou d’une menace.

4.3 – Fonctionner en mode pompier pour la gestion du changement réglementaire, sans anticipation active

L’autre erreur classique consiste à reléguer la veille réglementaire au dernier moment. Ce n’est d’ailleurs pas une gestion de la veille dans un tel cas. Ce sont de simples actions de mise en place de changements réglementaires subis et pilotés dans l’urgence. Le risque encouru c’est aussi de devoir affronter des surprises et gérer des crises. S’ensuivent alors des surcoûts financiers, notamment du fait de la rareté des ressources disponibles. Ce mode contraint ou de crise dessert les objectifs fixés.

4.4 – Penser réaliser des économies en ignorant le processus de veille réglementaire

Enfin, les établissements qui regardent leurs coûts et s’abstiennent de structurer la veille réglementaire se pénalisent. Une bonne veille avec suffisamment d’anticipation permet une approche avec un spectre plus large. Ce processus réduit le risque de non-conformité par méconnaissance des textes. Il diminue la gestion de crise et donc les surcoûts qu’elle comporte.

5 – Comment structurer correctement sa veille réglementaire ?

Alors, quelles sont les bonnes pratiques à adopter ? Quels outils de veille réglementaire choisir pour optimiser le processus ? Comment éviter le mode réactif et urgence ? Nous pensons que les méthodes utilisées en management du changement s’imposent, tout comme le fait de faire appel à un service RegTech.

5.1 – Piloter la veille réglementaire sur le mode de la gestion du changement

Chez easyReg, nous sommes convaincus que la gestion du changement réglementaire doit suivre la philosophie adoptée par les entreprises en matière de management du changement. Ou plutôt, la conduite du changement doit intégrer nativement toutes les évolutions externes et environnementales, dont celles de la réglementation.

Avec un tel processus structuré, une organisation ou entreprise parvient étape par étape à :

• identifier correctement bien en amont des échéances la nature et les impacts du changement à opérer ;
• définir les adaptations nécessaires, ainsi que les ressources adéquates et à moindre coût ;
• concevoir avec suffisamment d’adaptation un rétroplanning, processus classique pour les projets réglementaires (s’organiser pour respecter une deadline imposée par les textes) ;
• confirmer les impacts et évaluer leurs magnitudes sur la structure (H/M/L).

Ainsi l’établissement financier peut mener les réflexions stratégiques en conséquence :

• de la simple adaptation des métiers, des outils ou des documents relatifs tant au business model qu’aux opérations ou aux politiques internes ;
• jusqu’à des évolutions stratégiques fortes, voire un changement juridictionnel.

5.2 – Sensibiliser les sachants en amont des changements réglementaires

Ce processus de management du changement autour de la réglementation demande de la communication, de l’information et de la sensibilisation en amont. Les collaborateurs chargés de la veille réglementaire s’attachent à mobiliser les ressources qui comptent dans l’organisation : les SME (Subject Matter Expert), soit les sachants. 

5.3 – S’équiper d’outils de veille réglementaire adaptés au secteur de la finance

Cette conduite du changement demande à se doter d’outils de veille adéquats. L’objectif est bien de maximiser l’efficacité des acteurs chargés de cette curation ainsi que de la gestion des changements réglementaires qui en découle. La quantité et la complexité des sources d’information empêchent de traiter cette tâche de veille manuellement ou avec la bureautique.

5. 4 – e-Reg, une plateforme RegTech ou outil de veille réglementaire dans le secteur bancaire

Acteurs de la gestion réglementaire, nous avons développé une plateforme RegTech : e-Reg. Cette solution en ligne se destine à simplifier la réglementation et à la digitaliser. Elle comporte toutes les fonctionnalités nécessaires autour de la réglementation : 

• la recherche d’informations dans les textes actuels ou en projet, avec l’intégralité du contexte ;
• des outils d’analyse, d’annotation des textes et de notification des équipes ;
• un dashboard pour piloter les changements réglementaires et les projets de façon collaborative ;
• le pilotage du savoir et des connaissances ;
• la gestion des bibliothèques réglementaires, tant pour les données externes à l’établissement que pour ses propres politiques et procédures internes.

La veille réglementaire constitue un processus à déployer en amont du management des changements réglementaires et du suivi de la conformité. Pierre angulaire de la gestion des risques pour les établissements financiers, cette activité de veille exige de s’équiper. Les outils RegTech comme e-Reg allient les technologies à la connaissance de la problématique métier. Aussi, nous vous proposons d’approfondir la découverte de notre plateforme et des fonctionnalités mises à disposition de nos utilisateurs.

 

👉 Inscrivez-vous à notre Newsletter pour rester informé de l’actualité réglementaire et suivre les annonces de nouvelles règles ou de changements majeurs.

Dès l’année 2018, la Suisse s’est dotée d’un dispositif légal et innovant pour le secteur des sociétés FinTechs. Le Conseil fédéral a ainsi adopté les mesures qui régissent l’autorisation FinTech avec son insertion dans la loi sur les banques. Nous vous proposons un panorama complet sur le fonctionnement et les enjeux de ce type de FinTech suisse avec licence. Vous découvrirez aussi comment la RegTech ou Regulatory Technology peut devenir un allié naturel de la FinTech, afin de respecter la réglementation imposée à une licence FinTech.

1 – Qu’est-ce que la licence FinTech en Suisse ?

La notion d’autorisation octroyée aux FinTechs suisses par la FINMA s’inscrit dans un processus afin de promouvoir l’innovation dans le secteur de la finance. L’objectif est de tendre vers une place financière suisse toujours plus compétitive.

1.1 – Finance Technology ou FinTech : définition

Le mot FinTech est la contraction de l’expression Finance Technology. Ce terme désigne une société qui exploite de nouvelles technologies (digital, algorithmes, intelligence artificielle, etc.), afin de rendre plus optimal un service offert dans le secteur de la finance. Ces entreprises visent à simplifier la vie d’autres professionnels ou de particuliers, grâce à des solutions abordables et attractives. Généralement en mode start-up, la FinTech met l’innovation au cœur de ses processus.

1.2 – Licence ou autorisation FinTech : définition

L’autorisation FinTech, appelée aussi licence bancaire FinTech, est la troisième mesure suisse en faveur de l’innovation dans le domaine financier. Elle intervient en 2018 après : 

• la création par le Conseil fédéral en 2017 d’un espace d’innovation non soumis à autorisation (sandbox) ;
• la prolongation d’un délai de garde pour les comptes d’exécution (art. 5 al. 3 let. c OB ; Cm 16 à 16.2 de la Circ.-FINMA 08/3).

Cette FinTech license permet à ces start-ups de la Tech de réaliser certaines opérations financières, bien que l’activité principale se situe en dehors du champ bancaire. Ainsi, l’autorisation FinTech donne la possibilité d’accepter des dépôts du public, dans la limite de 100 millions de francs suisses ou sous forme de cryptomonnaies. Pour autant, la FinTech n’est pas une banque. Aussi, cette licence n’accorde pas la possibilité de rémunérer ces sommes ni de les investir.

1.3 – Mise en œuvre de ce concept de licence FinTech : le contexte

L’origine de cette réglementation des licences FinTech remonte à la consultation réalisée en 2017 en Suisse sur un projet relatif au domaine des FinTechs. La Suisse a adapté les exigences réglementaires pour les sociétés qui proposent des prestations sans faire partie du secteur bancaire. Elle a pris en compte le potentiel de risque.

Tant la loi sur les banques (LB) que l’ordonnance sur les banques (OB) ont fait l’objet de révisions. L’objectif consistait à faciliter l’accès de ces structures au marché et à les inciter à encore plus innover. Parmi les mesures principales, on relève celle qui est au cœur de cet article : les licences FinTechs. C’est une manière plus souple que les licences bancaires classiques de recevoir une autorisation d’exploiter, notamment sur trois aspects : 

• l’établissement des comptes ;
• l’audit ;
• la garantie des dépôts.

2 – Les sources réglementaires en matière d’autorisation FinTech en Suisse

Les textes qui régissent ces licences octroyées aux FinTechs en Suisse sont de deux ordres.

2.1 – La loi sur les banques : art.1b LB

Cet article a été inséré dans la loi sur les banques fin 2018. Il a trait à la “promotion de l’innovation”. Il évoque les “personnes qui sont principalement actives dans le secteur financier”, à savoir les FinTechs suisses. Il reprend les mesures expliquées précédemment en matière de dépôts réalisés par le public.

2.2 – Le guide pratique Autorisation FinTech 

Même si ces sociétés doivent respecter une réglementation financière, le niveau des exigences reste moindre que celui qui s’impose aux établissements bancaires. Le guide pratique édité par la FINMA donne les consignes à suivre pour réaliser une demande d’autorisation FinTech.

Qui peut déposer une demande d’autorisation auprès de la FINMA ? L’activité commerciale de la FinTech doit s’opérer sur le territoire suisse. La structure candidate doit être une société :

• en commandite par actions ;
• ou anonyme ;
• ou à responsabilité limitée.

Le processus d’octroi de la licence prévoit la possibilité de déposer un projet auprès de la FINMA, préalablement à l’envoi du dossier officiel. Lors de son étude, la FINMA peut exiger l’établissement d’un rapport d’audit avant d’accorder ou pas la licence FinTech.

3 – Quels sont les enjeux pour les sociétés FinTechs suisses qui possèdent la licence 1b LB ?

Ce dispositif implique que les FinTechs qui détiennent cette licence se soucient en permanence de respecter la réglementation qui leur est applicable. Le recours à une solution RegTech comme e-Reg facilite grandement la chose.

3.1 – Une maîtrise nécessaire par les FinTechs suisses des exigences réglementaires qui les concernent

Une FinTech suisse qui obtient la licence auprès de la FINMA doit respecter un sous-ensemble des exigences de lla réglementation bancaire. Seul un sous-ensemble des exigences réglementaires s’applique. C’est donc capital de savoir parfaitement identifier ce qui est pertinent. Par ailleurs, disposer d’une vue complète des textes et du contexte semble préférable.  

3.2 – Un besoin des fonctionnalités RegTech pour gérer les exigences de la licence Fintech

Ces entreprises qui détiennent l’autorisation FinTech ont tout à gagner à s’équiper d’une solution SaaS du type RegTech pour gérer la réglementation financière. C’est exactement ce que la plateforme e-Reg apporte à ces professionnels de la finance et de la technologie. Voici un tour d’horizon des tendances et fonctionnalités RegTech les plus appropriées pour ces FinTechs.

a – Recherche réglementaire et gestion documentaire des travaux

Nous l’avons détaillé dans un article spécial : la recherche réglementaire et la RegTech constituent un réel combo gagnant en Suisse. L’emploi de ce type d’outil simplifie la complexité de la réglementation bancaire pour les licences FinTechs. Avec e-Reg, les collaborateurs de ces structures de la Tech peuvent :

• identifier et accéder à la réglementation applicable, notamment grâce à l’étude du contexte systématiquement proposé par l’outil ;
• analyser et ajouter des commentaires dans l’application, et donc documenter leurs travaux ;
• suivre les analyses, commentaires et actions dans un dashboard interne, voire exporter les données sur Excel.

b – Documentation des procédures internes de la FinTech en matière d’exigences réglementaires

Toute entité RegTech régulée doit se soumettre aux audits et requêtes de l’autorité prudentielle. C’est donc capital de savoir expliquer comment elle s’organise pour répondre à toutes les exigences réglementaires. C’est le type de fonctionnalités proposées par e-Reg :

• Piloter la formation en réglementation bancaire, gérer les données, les connaissances et le savoir, notamment au travers de bibliothèques numériques.
• Y agréger la réglementation interne propre à la FinTech (politiques, directives, procédures, etc.).
• Personnaliser les réglementations selon les besoins de la FinTech (module de réglementation interne à la start-up disponible en option).

c – Un outil pour la documentation et les études en matière réglementaire au sein de la FinTech

La RegTech avec e-Reg, c’est aussi un outil pour documenter les analyses effectuées afin d’identifier ce qui doit se mettre en œuvre ou pas dans la FinTech. La fonctionnalité de gestion de projets réglementaires facilite le suivi des actions à réaliser. D’ailleurs, notre solution en ligne aide aussi dans le cadre de consultations réglementaires ou d‘analyse d’impact.

4 – FinTech et RegTech, deux alliés naturels qui exploitent la technologie

Le fonctionnement de la RegTech entre par définition dans le business model des entreprises FinTechs. Ces deux catégories de sociétés sont issues de la même école. Elles exploitent toutes les deux la technologie et l’innovation pour la croissance de leurs activités et la proposition de produits ou services. Elles interviennent dans le même domaine d’activité, la finance. Elles présentent donc une similarité et une complémentarité qui doivent les conduire à collaborer naturellement.

Une solution RegTech comme e-Reg constitue un outil numérique qui facilite la gestion de la réglementation pour une licence FinTech. Elle s’inscrit exactement dans l’esprit du secteur FinTech, qui justement exploite aussi l’IA, le machine learning, etc. Envie d’échanger avec Enrico Giacoletto, le CEO d’EasyReg et fondateur d’e-Reg ? Organisez directement votre rendez-vous de 30 minutes sur son Calendly.

 

Les investisseurs cherchent à identifier des entreprises ou produits financiers durables ou responsables. Mais comment mesurer la durabilité ? Comment s’assurer d’orienter ses investissements dans des actions en faveur de l’environnement ou qui limitent les risques financiers liés à la nature ?

C’est tout l’enjeu des publications de données non financières. Elles visent à informer l’investisseur. Ces sujets d’actualité progressent en permanence grâce aux travaux d’organismes internationaux et à l’émission de standards ou de normes. Nous vous proposons dans cet article un panorama des normes ESG en vigueur et des instances à connaître. Nous évoquons aussi les positions de la Suisse et les évolutions probables de la réglementation.

1 – Normes ESG : de quoi parle-t-on ?

L’acronyme ESG signifie environnemental, social et gouvernance. Ce terme se rencontre désormais partout dans les entreprises ainsi que dans le secteur de la finance et de la banque. Ce sont les critères non financiers que revêtent des activités économiques ou des investissements et qui impactent l’environnement ou l’ensemble de la société.

1.1 – Définition des critères ESG

Les trois dimensions ESG servent à évaluer la durabilité (sustainabilty ou soutenabilité), soit la démarche RSE (responsabilité sociétale des entreprises). Ce sont donc des indicateurs pour suivre les effets des activités économiques d’une entité sur l’environnement et sur l’ensemble de la société.

1.1.1 – Axe environnemental

Ces critères ESG concernent les impacts sur le changement climatique, l’utilisation des ressources sur la terre et les émissions de gaz à effet de serre (GES). Ils mesurent aussi des aspects comme la pollution ou le traitement des déchets.

1.1.2 – Axe social ou sociétal

D’autres indicateurs ESG évaluent les impacts d’une activité économique sur les hommes, qu’il s’agisse des salariés, des clients ou des fournisseurs :

• conditions de travail, sécurité et santé dans les entreprises ;
• droits de l’homme ;
• communication, relations entre les salariés, implication dans la communauté, etc.

1.1.3 – Axe de la gouvernance

Ce troisième axe des critères ESG s’intéresse à la manière dont une entreprise est gérée et administrée : 

• les relations avec les actionnaires, les organes de direction et le conseil d’administration ;
• les échelles de rémunération et la transparence en la matière ;
• la politique anti-corruption ;
• l’éthique fiscale, etc. 

1.2 – Les normes ESG, une manière de poser un cadre pour mesurer la finance durable et responsable

L’ensemble des critères ESG aide l’investisseur dans ses choix financiers, grâce à l’intégration de données non financières afin d’évaluer la performance globale. Le fait d’adopter une stratégie d’investissement responsable doit générer plus de valeur pour la société à long terme.

Comment mesurer ces facteurs ESG ? Comment éviter le greenwashing ou écoblanchiment ? Ce sont des problématiques auxquelles sont confrontés notamment les acteurs de la finance verte. C’est pourquoi des normes ESG ont surgi au niveau international afin de fournir un cadre formel au reporting de données non financières.

2 – Quels sont les standards internationaux et non européens de publication d’informations non financières ?

Les services de l’entreprise chargés de la gestion des reportings doivent s’intéresser régulièrement à l’évolution de la réglementation en matière de publication et de normes ESG. Certaines sociétés doivent appliquer des dispositions légales. D’autres adoptent ces standards de façon facultative, afin de mettre en avant leur politique RSE. Les normes facilitent l’apport d’information utile aux fonds communs de placement, sociétés de courtage et banques qui proposent des produits de finance durable. Citons par exemple les besoins d’indicateurs pour les ISR (investissements socialement responsables).

2.1 – Le Global Reporting Initiative (GRI)

Le GRI est une organisation internationale indépendante qui existe depuis 1997. Elle vise à accompagner et aider les acteurs économiques, institutions et gouvernements dans l’information relative à la gestion durable et responsable. Aussi, le GRI a émis des standards ESG :

• les normes universelles applicables à toutes les entités dans le monde ;
• les normes sectorielles pour certains secteurs d’activité spécifiques, avec la prise en compte d’un contexte donné ;
• les normes thématiques qui s’intéressent à un impact particulier, comme les droits de l’homme ou les émissions carbone.  

2.2 – Le sustainability accounting standards board (SASB)

Le SASB est un autre système de référence utile pour les reportings de données non financières de type ESG. Il apporte des solutions pratiques pour 77 industries spécifiques. Il facilite la comparaison entre les sociétés d’un même secteur d’activité.

Désormais, les SASB Standards font partie d’IFRS Foundation, comme mentionné sous leur logo sur leur site web. Ainsi, l’International Sustainability Standards Board (ISSB) de l’International Financial Reporting Standards (IFRS) Foundation encourage les acteurs économiques à continuer d’utiliser les standards SASB. La fondation IFRS travaille en parallèle à la préparation de ses propres futures normes Sustainability Disclosure Standards.

2.3 – La Task Force on Climate-related Financial Disclosures (TCFD), un organisme dissous depuis fin 2023

Le Conseil de stabilité financière (Financial Stability Board ou FSB) a créé la TCFD afin d’émettre des recommandations en matière de reporting relatif au changement climatique. Les informations visent à estimer comment le climat peut affecter les performances et à réaliser l’analyse et l’évaluation des risques induits.

La TCFD a publié son rapport d’étape en octobre 2023. Aussi, l’organisation a rempli ses objectifs et est désormais dissoute. Le FSB a confié à la fondation IFRS le suivi et l’évolution de ces critères ESG liés au climat. Le site web du TCFD reste accessible en termes de ressources documentaires.

2.4 – IFRS : un projet de normes ESG

Comme évoqué, la fondation IFRS ambitionne d’établir ses propres standards et normes ESG appelés Sustainability Disclosure Standards. D’ailleurs, en juin 2023, l’ISSB a déjà publié les deux premières normes IFRS liées à la durabilité : 

• IFRS S1 – Exigences générales relatives aux informations à fournir sur le développement durable ;
• IFRS S2 – Informations à fournir sur le climat.

3 – Normes ESG de l’Union européenne

L’Union européenne n’est pas en reste en matière d’obligations et de directives du type ESG. Voici un zoom utile sur les normes européennes pour deux raisons :

• les standards RSE européens impactent directement certaines entreprises suisses ;
• la Suisse est en train d’adapter certaines de ces mesures.

3.1 – La publication d’informations non financières du type NFRD

La directive 2014/95/EU date de 2014. Elle est entrée en vigueur en 2018. C’est la première obligation de publication d’informations non financières qui s’impose à des entreprises de l’Union européenne. NFRD signifie Non Financial Reporting Directive. Elle constitue la première norme ESG. Elle pose un cadre aux entreprises afin de communiquer sur les critères non financiers, mais aussi environnementaux, sociaux et de gouvernance.

Cette étape dans l’information durable a concerné environ 11 000 structures dans l’UE. Mais, cette directive a montré ses limites. C’est pourquoi la réglementation CSRD la remplace depuis peu.

3.2 – La directive CSRD de 2022

La directive européenne 2022/2464/EU Corporate Sustainability Reporting Directive (CSRD) se substitue à la directive précédente NFRD. Elle apporte de nouvelles normes pour l’information extra-financière. Elle doit aider les entreprises à se doter des moyens afin d‘atteindre les objectifs fixés par l’UE en matière de réduction des émissions carbone (Green Deal).

La nouvelle directive doit aider à mieux identifier les entreprises qui œuvrent pour le développement durable à partir de critères ESG. L’entrée en vigueur s’effectue progressivement, notamment en fonction de la taille des sociétés, y compris pour les petites et moyennes entreprises cotées en bourse.

La nouvelle directive CSRD conduit pour la première fois à une double matérialité, par rapport à la réglementation antérieure. Ainsi, elle oblige à mesurer  :

• la matérialité financière, soit les opportunités ou risques qu’un environnement économique, environnemental ou social peut générer pour la performance d’une entreprise ;
• la matérialité socio-environnementale, soit les impacts positifs comme négatifs d’une entreprise, tant sur l’environnement que sur la société. 

3.3 – L’European Sustainability Reporting Standards (ESRS) : des normes d’information en matière de durabilité

Le 31 juillet 2023, c’est au tour de la Commission européenne d’adopter ses normes pour mesurer la durabilité des entreprises : les ESRS. Ces normes ESG servent à mettre concrètement en application la directive CSRD.

C’est une pierre supplémentaire à l’édifice normatif européen en termes de finance durable. Des échanges avec l’ISSB et le GRI ont précédé l’émission de ces normes. L’objectif consiste à :

• atteindre un bon niveau d’interopérabilité entre ces normes régionales (UE) et internationales ;
• éviter des déclarations ou informations en double pour les entreprises.

3.4 – ESRS : une évolution vers des normes mondiales ou pas ?

Ces dernières années, plusieurs publications évoquent une volonté d’accélérer la normalisation des rapports financiers. Elles montrent des convergences entre les normes ESG internationales des différents organismes. C’est le cas entre le GRI, la fondation IFRS, le SASB et les ESRS, comme nous l’avons expliqué. En outre, les ESRS apportent une normalisation applicable dans une grande zone géographique du monde. L’avenir dira si ce schéma européen s’imposera ou pas comme le cadre de référence pour tous les acteurs économiques mondiaux.

4 – Quelles sources d’inspirations internationales existent en matière de risques financiers liés à la nature ?

Plus particulièrement, attachons-nous maintenant à identifier les organismes qui agissent en matière de finance verte et de risques financiers liés à la nature. C’est un sujet qui prend de plus en plus d’ampleur du fait du changement climatique et de la mise en danger de la biodiversité.

4.1 – Le Network of Central Banks and Supervisors for Greening the Financial System (NGFS)

Cette organisation signifie en français “réseau pour le verdissement du système financier”. Elle comprend des banques centrales et des superviseurs financiers. Le NGFS émet des recommandations aux établissements financiers concernant leur rôle sur le plan du changement climatique.

Dans son rapport d’étape daté de 2018, le NGFS écrit que «les risques liés au climat sont une source de risques financiers». Il ajoute qu’il «appartient par conséquent aux banques centrales et aux superviseurs, dans le cadre de leur mandat, de veiller à la

résilience du système financier face à ces risques».

4.2 – Des sources d’inspiration et d’information en matière de risques financiers liés à la nature

Voici quelques organismes cités par la FINMA dans son rapport explicatif relatif au projet de circulaire sur les risques financiers liés à la nature.

4.2.1 – L’IPBES (Intergovernmental platform on biodiversity and ecosystem service)

Cette organisation existe depuis 2012. Plusieurs États membres de l’Organisation des Nations unies (ONU) se sont réunis autour des enjeux ESG afin :

• de réaliser des évaluations par thématique, domaine ou zone dans le monde ; 
• d’identifier des outils et méthodes pour déployer des politiques ESG ;
• de renforcer les connaissances et les capacités des États membres ;
• de sensibiliser et informer sur les travaux réalisés par l’IPBES.

4.2.2 – Intergovernmental panel on climate change (IPCC) ou GIEC en français

Cet organisme constitue le groupe intergouvernemental d’experts sur l’évolution du climat (GIEC). C’est donc un organe des Nations Unies chargé de réaliser les évaluations de données scientifiques concernant le changement climatique.

4.2.3 – International Sustainability Standards Board (ISSB) de l’International Financial Reporting Standards (IFRS) Foundation

Nous avons déjà évoqué cet organisme ISSB que l’on peut traduire en français par Conseil international des normes de durabilité. Sa création émane de la fondation IFRS. C’est une annonce réalisée en 2021 lors de la 26e Conférence des Nations Unies sur les changements climatiques, la COP 26. L’objectif de l’ISSB consiste à construire des normes relatives à l’information en matière de développement durable. Ces standards ESG démarrent par le signe IFRS-S, le S signifiant sustainability.

4.2.4 – Task Force on Climate-related Financial Disclosures (TCFD)

Nous avons déjà évoqué le TCFD dans une partie précédente de l’article. La dissolution de cet organisme est prononcée fin 2023, une fois émises les recommandations en matière de reporting sur le changement climatique. C’est la fondation IFRS qui reprend le suivi de ces travaux.

4.2.5 – Task Force on Nature-related Financial Disclosures (TNFD)

Ce groupe de travail comprend 40 membres issus d’institutions financières mondiales ou d’organismes gouvernementaux. La TNFD élabore des recommandations autour des risques liés à la nature, tant pour leur gestion, leur évaluation que pour l’établissement de reportings. La TNFD ne se concentre pas uniquement sur le changement climatique, contrairement à la TCFD.

5 – Comment la Suisse fait-elle évoluer sa réglementation sur le plan des normes et standards ESG ?

Par rapport à l’ensemble de ces standards et normes internationales en matière d’ESG, comment la Suisse agit-elle ? Quel est le niveau d’intégration des processus environnementaux, sociaux et de gouvernance dans les travaux de normalisation ? Quelles réglementations s’appliquent déjà ? Existe-t-il des projets d’évolution pour les entreprises et aussi pour le secteur bancaire ? Voici un tour d’horizon.

5.1 – Position du Conseil fédéral et plans d’action RSE

La Confédération évoque la responsabilité sociétale des entreprises et affirme qu’elle “attend des sociétés établies ou actives en Suisse qu’elles assument leur responsabilité, en Suisse comme à l’étranger, conformément aux normes et directives RSE internationalement reconnues”. Plusieurs plans d’action RSE du Conseil fédéral se sont succédé depuis 2015. Le dernier en date couvre la période 2020-2023.

5.2 – Obligation d’informations non financières en Suisse

Le code des obligations impose aux entreprises de communiquer :

• Sur les sujets environnementaux et de travail, la lutte contre la corruption ainsi que les droits de l’homme, cela en ligne avec la directive européenne 2014/95/UE, soit les dispositions NFRD.
• Et de faire diligence, concernant les minerais de conflit et le travail des enfants liés à l’importation de produits ou services.

L’ordonnance relative au rapport sur les questions climatiques précise les modalités à respecter pour construire ce document destiné à rendre compte de cette thématique climat.

5.3 – Des exigences réglementaires qui émanent de la FINMA

La FINMA aussi avance en matière de normalisation pour la finance durable, la finance verte, la lutte contre l’écoblanchiment ainsi que les risques financiers liés à la nature. Voici quelques textes réglementaires adoptés ou en cours d’élaboration. La communication du 4 décembre 2023 “la FINMA met en œuvre les recommandations du NGFS” fournit également une vue d’ensemble.

5.3.1 – Future circulaire FINMA relative aux risques financiers liés à la nature

Les risques financiers liés à la nature font l’objet d’une audition publique qui s’étend jusqu’au 31 mars 2024. La FINMA aligne sa définition de ces risques sur celle émise par le NGFS. Anciennement risque émergent, ce sujet en sort donc, du fait de la création en cours d’une réglementation spécifique.

5.3.2 – Obligations de transparence en matière de risques climatiques

La FINMA a révisé plusieurs circulaires en vue de rendre obligatoire l’information du public par les banques et assurances sur les risques en matière de climat. Ainsi, les publications suivantes sont impactées à compter du 1er juillet 2021 :

• Publication – banques ;
• Publication – assureurs.

Notez que les textes prévoient une proportionnalité de la réglementation, car seules les entités des catégories de surveillance 1 et 2 sont concernées dans un premier temps.

5.4 – Une évolution naturelle vers les normes ESG européennes ?

Comme évoqué, le Conseil fédéral souhaite avancer dans le domaine de la RSE en s’appuyant sur les normes internationalement reconnues. Le Code des obligations comporte désormais des exigences d’informations non financières qui rejoignent la directive NFRD de l’Union européenne. Même si pour le moment, aucune disposition réglementaire suisse n’implique de suivre la directive CSRD, les impacts sur les entreprises suisses existent déjà pour deux raisons. Le processus est en marche, voici pourquoi.

5.4.1 – Pourquoi les normes ESG européennes s’appliquent-elles obligatoirement à certaines entreprises suisses ?

Les textes européens s’imposent parfois à certaines structures non européennes, donc suisses notamment. C’est le cas :

• si elles vendent plus de 150 millions d’euros avec des pays de l’UE ;
• ou si elles détiennent une succursale ou une filiale, dans le cas de dépassement des seuils prévus par la loi.

5.4.2 – Pourquoi la directive CSRD concerne-t-elle bien plus d’entreprises suisses ?

Même sans obligation légale, les dispositions CSRD vont entraîner des conséquences significatives en Suisse. Les entreprises situées dans l’Union européenne qui y sont soumises exigent de leurs fournisseurs suisses la production de critères ESG, comme la fourniture d’un bilan carbone. Vu les volumes d’échanges entre la Suisse et ces pays, les normes ESG selon le format européen vont peu à peu entrer dans la stratégie des entreprises helvétiques.

Les normes ESG : une tendance mondiale à la convergence qui s’accroît

La finance durable exige de respecter des normes et standards reconnus, voire imposés par la réglementation, afin de communiquer les informations non financières pertinentes aux investisseurs. Les banques se situent en première ligne en termes d’ISR (investissement socialement responsable). Les financial services ont tout intérêt à soigner leur veille et leur recherche réglementaire en Suisse, comme auprès des instances internationales. Chez EasyReg, nous leur offrons avec notre solution RegTech, de nombreuses fonctionnalités qui leur facilitent cette tâche.

 

👉 Inscrivez-vous à notre Newsletter pour rester informé de l’actualité réglementaire et suivre les annonces de nouvelles règles ou de changements majeurs.