Catégorie : Non classifié(e)

Chez easyReg, nous suivons avec attention les évolutions de la réglementation financière. Avec le règlement DORA, nous terminons nos publications sur la thématique de la résilience opérationnelle et de la circulaire FINMA 2023/01. C’est la troisième partie du webinaire organisé le 13 mars 2025 sur LinkedIn. Nous évoquons cette fois la comparaison entre la réglementation suisse et celle de l’UE pour les TIC (technologies de l’information et des communications). Nous expliquons aussi les impacts de DORA sur la conformité réglementaire dans les banques suisses.

1 – Fin de notre triptyque sur la résilience opérationnelle

En tant qu’experts en réglementation bancaire, nous vous proposons régulièrement des webinaires sur LinkedIn avec divers experts. Vous pouvez retrouver l’intégralité du programme sur notre page web spéciale webinaires RegTech.

Cet article vient clôturer une série de publications, suite à la tenue de notre webinaire organisé le 12 mars 2025 sur LinkedIn autour de la résilience opérationnelle. C’est un sujet de préoccupation dans les banques suisses et qui fait l’actualité, du fait de la nouvelle circulaire FINMA 23/01. Voici les intervenants dont nous avons repris les propos dans ces trois articles :

• Jean-Philippe Bernard, cofondateur de la société OPCIS Services et enseignant en risques et contrôles à l’ISFB ;
• Enrico Giacoletto, fondateur de la solution RegTech e-Reg (easyReg) ;
• Ivan Nappo, spécialiste en réglementation financière et project manager chez easyReg.

Après avoir donné la définition de la résilience opérationnelle et son calendrier, puis apporté des conseils pour sa mise en place, nous terminons donc ce triptyque en abordant DORA, la réglementation de l’Union européenne.

2 – Règlement DORA et résilience opérationnelle numérique : de quoi parle-t-on ?

DORA signifie Digital Operational Resiliency Act. Ce règlement européen n° 2022/2554 du 14 décembre 2022 sur la résilience opérationnelle numérique est entré en vigueur le 17 janvier 2025. Il a donc force de loi dans tous les pays membres de l’UE. DORA concerne les banques, mais pas seulement. Ce règlement impacte aussi directement tous les prestataires de services du type TIC (technologies de l‘information et de la communication).

DORA, une couche de complexité réglementaire en plus pour la résilience opérationnelle

DORA est un chantier complexe. McKinsey a réalisé une étude qui montre à mi 2024 que seulement un tiers des répondants s’estiment prêts, à 6 mois de l’échéance de 2025. Aujourd’hui en début d’année 2025, c’est donc réellement le début de DORA.

L’importance de la résilience opérationnelle ne cesse de croître, et notamment dans le numérique avec l’impact sur les banques et les entreprises TIC. Rester au fait de la réglementation selon les autorités et institutions suisses comme européennes s’avère crucial. Ainsi, Ivan Nappo suit actuellement un programme de certification conjoint de l’International Compliance Association (ICA) et de l’International Cyber Threat Task Force (CTTF). Cette formation le conduira à devenir spécialiste certifié de la conformité de DORA.

 

Digital Operational Resilience Act (DORA) dans l’Union européenne : origine

Après la pandémie de la COVID-19, la prise de conscience de la forte dépendance des établissements financiers à de nombreux services digitaux a entraîné cette volonté de renforcer la résilience du secteur.

DORA s’insère dans un ensemble de travaux autour du Paquet Finance de l’UE. En effet, la Commission européenne a adopté en 2020 diverses mesures en vue de soutenir la transformation digitale du secteur financier et le développement de nouveaux produits financiers. Ce paquet comprend trois volets législatifs, dont un sur la résilience :

• le règlement sur les marchés de crypto-actifs (MiCA) ;
• le Régime Pilote pour les infrastructures de marché reposant sur la technologie des registres distribués ;
• le règlement DORA.

Après l’adoption du règlement DORA en 2022 par le Parlement européen et le Conseil de l’UE, les autorités européennes de surveillance (AES ou ESA), soit ABE, EIOPA et ESMA, publient des règles ou normes techniques (RTS et ITS). Elles visent à gérer les risques liés aux tiers, dont les TIC, et à classifier les incidents.

💡Ivan Nappo souligne l’importance de toujours avoir en tête le fonctionnement européen. DORA est un règlement et non pas une directive. Ce texte a donc force de loi au niveau de toute l’UE. Chaque État membre peut seulement renforcer les exigences de DORA au niveau national. Cela signifie éventuellement aller plus loin que la réglementation européenne, sans pour autant y déroger ou la diluer. 

Ainsi, les autorités nationales de surveillance (ANS ou NCA) mettent en œuvre DORA dans chaque État, sous la supervision des autorités européennes (AES ou ESA). Elles peuvent l’accentuer avec des devoirs plus contraignants. C’est le phénomène de sur-réglementation ou de gold plating.

Du fait de ce double fonctionnement UE et États membres, la réglementation DORA va encore évoluer en 2026. Les entités financières doivent suivre les exigences existantes et celles à naître. Il peut s’agir de la transmission d’un reporting des incidents à une autorité de surveillance nationale qui l’exige. Quant aux standards définis, ils vont continuer à faire l’objet de clarification, pour les concepts, les définitions et les modalités de mise en œuvre.

💡C’est donc important de réaliser une veille réglementaire en matière d’informations sur la résilience, voire de mettre en place des systèmes de notification sur des mots-clés en recherche réglementaire.

Les objectifs du règlement européen DORA

Le règlement DORA vise à harmoniser la gestion des risques liés aux TIC au sein de l’Union européenne. Il s’applique aux banques, mais aussi à tous les prestataires de services financiers et aux prestataires TIC.

 

DORA ambitionne d’accroître la résilience numérique de ce secteur en leur imposant un cadre réglementaire inspiré des meilleures pratiques existantes. Citons notamment l’impact du NIST Cybersecurity Framework 2.0 publié par le NIST aux États-Unis (National Institute of Standards and Technology).

DORA apporte :

• des exigences de gestion des risques ;
• de classification et de signalisation des incidents ;
• des tests de résilience ;
• davantage de supervision des fournisseurs de services TIC.

Le champ d’application de DORA

Le scope du règlement DORA est très large. En effet, ce sont 22 types d’entités qui sont concernées, dont les fournisseurs de services TIC. Ainsi, l’article 2 relatif au champ d’application les passe en revue : 

• « a) les établissements de crédit ;
• b) les établissements de paiement, y compris les établissements de paiement exemptés en vertu de la directive (UE) 2015/2366 ;
• c) les prestataires de services d’information sur les comptes ;
• d) les établissements de monnaie électronique, y compris les établissements de monnaie électronique exemptés en vertu de la directive 2009/110/CE ;
• e) les entreprises d’investissement ;
• f) les prestataires de services sur crypto-actifs agréés (…) et les émetteurs de jetons se référant à un ou des actifs ;
• g) les dépositaires centraux de titres ;
• h) les contreparties centrales ;
• i) les plateformes de négociation ;
• j) les référentiels centraux ;
• k) les gestionnaires de fonds d’investissement alternatifs ;
• l) les sociétés de gestion ;
• m) les prestataires de services de communication de données ;
• n) les entreprises d’assurance et de réassurance ;
• o) les intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires d’assurance à titre accessoire ;
• p) les institutions de retraite professionnelle ;
• q) les agences de notation de crédit ;
• r) les administrateurs d’indices de référence d’importance critique ;
• s) les prestataires de services de financement participatif ;
• t) les référentiels des titrisations ;
• u) les prestataires tiers de services TIC ».

 

3 – Comparaison de la réglementation DORA avec la Circulaire FINMA 2023/01

Nous avons noté les différences majeures entre le règlement DORA et la circulaire FINMA 23/01. Voici les points majeurs qui ressortent de cette comparaison faite par Ivan Nappo.

Les secteurs économiques visés

Les deux réglementations sont proches sur ce plan, car DORA vise essentiellement le secteur financier dans l’Union européenne. Une subtilité existe toutefois dans ce règlement DORA, car sont également visés, les fournisseurs de prestations de service et de technologies d’information et de communication (TIC). Ce sont donc des tiers, hors services financiers, mais qui travaillent en liaison étroite avec ce secteur.

Par comparaison, en Suisse, la circulaire 23/01 évoque les ressources internes et externes, dont les TIC, mais ces prestataires ne doivent pas appliquer ce texte directement. En revanche, c’est la circulaire 18/03 sur l’outsourcing qui, en Suisse, complète la réglementation. Finalement, l’association des deux circulaires FINMA permet de comparer au cadre fourni par DORA.

Le périmètre de la réglementation

DORA évoque la notion de résilience opérationnelle digitale, soit mise en œuvre par l’établissement financier, soit par son prestataire du type TIC, quand des activités critiques lui sont confiées. Précisons que ceci doit s’appliquer, que le sous-traitant TIC de la banque soit dans l’Union européenne ou non.

Comme le souligne Ivan Nappo, vous voyez immédiatement émerger les impacts éventuels en cas de scénarios d’extraterritorialité, par exemple pour une entreprise TIC suisse qui traite avec des entités financières européennes.

La gouvernance des risques opérationnels

Qu’il s’agisse de la circulaire FINMA sur les risques opérationnels ou du règlement DORA sur la résilience opérationnelle digitale, ce sont les mêmes niveaux de gouvernance qui interviennent : la haute direction ou le conseil d‘administration.

Toutefois, Ivan Nappo précise que DORA oblige à prendre en compte des considérations de groupe en cas d’entités présentes dans d’autres pays hors UE, ainsi que des effets potentiels de contagion groupe.

La gestion des incidents et du risque

DORA se concentre sur la résilience opérationnelle dans le domaine digital. Donc, naturellement, elle vise les risques du type cyberrisques informatiques. En quelque sorte, cela ne constitue qu’un sous-ensemble de ce que traite la circulaire FINMA 23/01 en Suisse.

Le point très intéressant dans la comparaison, c’est que le risque lié aux tiers comprend aussi le risque relatif aux services TIC externalisés. En effet, le règlement DORA les intègre directement avec l’obligation pour la banque de déterminer quels services sous-traités de ce type sont critiques. Ceci signifie qu’il existe des implications fortes pour ces prestataires. Ils ont parfois l’obligation de se conformer à des exigences de l’autorité étatique.

Par exemple, une grande banque européenne dispose d’un service de cloud dont le fournisseur est hors zone UE. Elle pourrait devoir sous 12 mois opter pour un service cloud situé dans un des États membres.

La démarche de test

La circulaire FINMA 23/01 comporte des tests de sécurité et des évaluations de la vulnérabilité de façon régulière. Quant au règlement DORA, il prévoit des tests de résilience complets, y compris des tests de pénétration et des tests basés sur des scénarios.

4 – Pourquoi et quand le règlement DORA impacte-t-il les banques ou prestataires TIC suisses ?

Pour les établissements financiers ou les fournisseurs de services situés en Suisse, ce qui importe avec DORA, ce sont les impacts extraterritoriaux.

La portée extraterritoriale de DORA

Plusieurs dispositions du règlement européen DORA, dont l’article 36, ont une portée en dehors du territoire de l’Union européenne. Dès lors qu’un établissement présente des prestations de service réalisées par des fournisseurs transfrontaliers, l’analyse de DORA est nécessaire.

Ainsi, l’article 36 de DORA énonce les dispositions afin de superviser les sous-traitants établis dans des pays tiers, soit hors de l’UE.

Examen de quelques scénarios transfrontaliers

Le tableau ci-dessous schématise les scénarios cross-border qui peuvent se présenter.

En fonction des cas, les impacts de DORA sont complets ou limités :

• à des ajustements contractuels, comme le Service Level Agreement (SLA) et les Due Diligence (DD) ;
• voire à la nécessité de désignation de prestataires tiers critiques de services TIC dits CTPP (Critical Third Party Provider).

Ainsi, parfois, si une entité financière située dans l’UE estime que les services TIC d’un prestataire suisse sont critiques, cela peut le conduire à devoir s’établir dans l’UE.

Ceci doit inciter les entités suisses à se poser les bonnes questions et à échanger avec les clients ou filiales situés en Europe :

• Comment sont décrits les services rendus ?
• S’agit-il de services importants et essentiels ?
• Est-ce de la compliance ou des activités clés et critiques ?
• Comment anticiper les aspects désignation CTPP, en cas de services critiques en matière de TIC pour un établissement financier européen ?

Pour une entité bancaire suisse qui dispose de filiales pour des activités financières dans un pays de l’UE, là encore, de nombreuses questions se posent. Par exemple :

• Qu’ai-je mis en place en matière de résilience opérationnelle en Suisse et qui entre dans le socle commun avec DORA ?
• Les services TIC fournis à ces établissements européens par le siège suisse de la banque sont-ils critiques ?
• Est-ce que les autorités de surveillance nationales imposent d’autres exigences en plus de DORA en matière de reporting ?

DORA représente une conduite du changement exigeante et d’envergure. C’est une réglementation qui s’inscrit dans la durée, sans aucun retour en arrière possible. La résilience, plus généralement, protège l’établissement financier. Elle fait l’objet d‘une attention soutenue du régulateur. Les clés pour réussir la mise en œuvre de la résilience sont l’homogénéité de l’approche et du référentiel. C’est important d’inclure la dimension coût pour gérer les projets de conformité de façon raisonnable, ceux connus et ceux à venir. Chez easyReg, nous restons à votre écoute, si vous souhaitez approfondir ces aspects de la résilience opérationnelle. N’hésitez pas à nous contacter pour échanger sur vos problématiques réglementaires.

 

👉 Inscrivez-vous à notre Newsletter pour rester informé de l’actualité réglementaire et suivre les annonces de nouvelles règles ou de changements majeurs.

Nous poursuivons avec la thématique résilience opérationnelle. Lors de notre webinaire du 13 mars 2025 sur la Circulaire FINMA 23/01 et DORA, nos intervenants ont traité ce sujet sous de multiples angles. Après avoir repris leurs propos dans un premier article qui définit la résilience opérationnelle dans les banques, voici des conseils pour le déploiement pratique du processus dans les organisations financières suisses.

La résilience opérationnelle, un sujet qui s’inscrit dans toute une liste de webinaires RegTech

En tant que spécialiste RegTech suisse, easyReg vous propose depuis quelques mois des webinaires réguliers accessibles sur LinkedIn ainsi que sur la page spéciale de notre site web. Nous y traitons des sujets d’actualité en matière de réglementation financière :

• En avril, nous avons abordé les risques financiers liés à la nature. 
• En mai, l’intervention a fait découvrir aux participants e-Reg, notre plateforme RegTech. 
• Et le mois de juin se consacre à la gestion des directives internes d’un établissement bancaire.

Pour revenir au webinaire du 12 mars 2025, voici les trois intervenants qui ont traité le sujet de la résilience opérationnelle :

• Jean-Philippe Bernard, cofondateur de la société OPCIS Services et enseignant en risques et contrôles à l’ISFB ;
• Enrico Giacoletto, fondateur de la solution RegTech e-Reg (easyReg) ;
• Ivan Nappo, spécialiste en réglementation financière et project manager chez easyReg.

Le premier article de la thématique donne le cadre de la réglementation et la définition de la résilience opérationnelle. Pour rappel, voici comment la définir de façon synthétique :

c’est la capacité d’une banque à rétablir ses activités et services dont l’arrêt temporaire mettrait en danger sa pérennité ou son rôle sur le marché financier. Elle se mesure dans les limites de la tolérance aux interruptions fixée par la haute direction, cela pour des scénarios graves, mais plausibles.

Ici, nous vous détaillons les conseils pratiques des intervenants, afin de déployer le processus de résilience opérationnelle dans les banques. Ces recommandations font suite aux premières interventions ou audits dans les établissements financiers, ainsi qu’aux premières réactions et questions de la FINMA  

# 1 – Passer en revue les fonctions critiques, processus et ressources sous l’angle résilience opérationnelle

Ce n’est pas un sujet nouveau dans les établissements financiers. Toutefois, il mérite d’être revisité à l’occasion de la réglementation sur la résilience opérationnelle. En général, le nombre de fonctions critiques se situe entre 3 et 5 dans une banque.

Identification des activités critiques et processus critiques

La notion de fonction dépend de la méthodologie utilisée pour regrouper les processus. Jean-Philippe Bernard recommande de raisonner en termes de processus, parce que c’est du concret. Il préconise l’approche suivante pour réaliser une revue des fonctions critiques : 

• de façon top-down, afin de disposer des activités, opérations et services critiques ;
• puis en mode bottom-up pour recenser les processus les plus critiques dans ces mêmes activités.

Les ressources internes et externes consommées par les processus critiques

Un processus critique consomme plusieurs catégories de ressources internes, tout comme externes. Il en dépend aussi. Vous devez les passer en revue.

Analyse des ressources internes

Les ressources internes correspondent aux ressources humaines, l’infrastructure immobilière et matérielle ainsi que les TIC (technologies de l’information et de la communication). Pour la majorité, le plan de continuité des activités (BCM) les intègre déjà. Toutefois, Jean-Philippe Bernard recommande pour les ressources immobilières et matérielles de bien prendre en considération désormais la partie climatique et ESG ainsi que ses impacts.

En matière de résilience opérationnelle, passez en revue ces ressources internes sous l’angle du niveau de vulnérabilité face aux menaces. Évaluez aussi les conséquences en termes d’indisponibilité à l’occurrence de ces menaces. 

Pour ce travail sur les ressources internes, basez-vous sur la reprise des BIA (Business Impact Analysis, soit l’analyse d’impact de l’activité) réalisée dans l’approche BCM. Ceci fait appel aux notions de :

• DMIA (durée maximale d’interruption de l’activité) ;
• RTO (objectif de temps de récupération) 
• RPO (objectif de point de récupération), soit le seuil de risque de perte.

💡Jean-Philippe Bernard conseille de toujours disposer de la vision liée aux exigences des métiers, puis celle des gestionnaires de ressources. Cette démarche donne les écarts ou divergences qui peuvent exister.

Analyse des ressources externes

C’est un des points clés traités par la Circulaire FINMA 23/01. C’est de la responsabilité de la banque de réaliser cette analyse des ressources au regard de la résilience opérationnelle. Il faut donc prendre en compte les sous-traitants, qu’il s’agisse d’approches ITO (IT Outsourcing) ou BPO (Business Process Outsourcing). S’y ajoutent aussi des prestataires ponctuels ainsi que des intermédiaires bancaires (contreparties, dépositaires, correspondants, etc.).

Même si la banque a peu de moyens de maîtrise sur les vulnérabilités de ces ressources et de leurs propres processus, comment procéder ?

• Prendre en compte les critères de résilience lors de la sélection de ces intervenants extérieurs.
• Contractualiser avec les entreprises prestataires sur la base de SLA (Service Level Agreement, soit des accords de niveau de service).
• Exiger des certifications et analyser les reconnaissances ISAE 3402 level 2 (rapports) en matière de fonctionnement des processus et du contrôle interne chez un prestataire de service. Ces reconnaissances attestent de l’efficacité opérationnelle des contrôles sur 6 mois minimum, ce qui procure une assurance raisonnable.
• Enfin, réaliser tout simplement des tests périodiques. Ainsi, vous vous assurez de la fiabilité des processus de vos ressources extérieures et du respect des engagements de ces fournisseurs, en cas d’incidents ou d’évènements à risque.

Focus sur les TIC, un sujet majeur en matière de résilience opérationnelle bancaire

Les ressources externes du type TIC constituent un sujet fondamental. Car, dans les scénarios bâtis, les attaques du type cyber, tout comme les pannes informatiques ou d’applications générées par la cybercriminalité, occupent une place de choix.

En s’inspirant des normes ISO 27 000, la banque gère correctement ces aspects, tant pour la conception, le développement ou l’exploitation. Toutes les erreurs potentielles classiques sont évitées. Mais, en matière de résilience, l’établissement financier doit aussi compléter l’approche avec les conséquences possibles de telles cyberattaques.

Concrètement, procédez ainsi afin de mettre à jour en permanence les catalogues de menaces, par exemple MITRE ATT&CK : 

• Analysez les ressources TIC face aux dangers externes (leur vulnérabilité).
• Étudiez les mesures ex ante qui sont en mesure d’alléger cette vulnérabilité des ressources externes TIC, comme des systèmes de protection des infrastructures IT ainsi que des réseaux.
• Mettez en place, en plus, des contrôles de détection au sein du service de contrôle interne (SCI).

Jean-Philippe Bernard souligne que le responsable de la sécurité du système d’information (RSSI) ou le directeur de la sécurité de l’information (CISO) doit entrer dans une approche risque opérationnelle afin de garantir la résilience.

#2 – Retenir une approche homogène pour la résilience opérationnelle

Enrico Giacoletto explique que tous les acteurs doivent adopter une approche homogène, même si le calendrier de déploiement de la résilience opérationnelle en plusieurs étapes peut contrecarrer cette homogénéité pourtant essentielle. 

Ce qui peut aussi complexifier la démarche, c’est l’obligation de s’assurer en permanence que l’établissement reste bien aligné avec les hypothèses et moyens définis dans le plan de continuité des activités (PCA ou BCM).

Cette approche homogène et systémique intègre la gestion de crise, son organisation, ses processus ainsi que les outils pour décider « sous stress » sur des scénarios non prévus au départ. Ce processus garantit des réponses adaptées et dimensionnées correctement, face aux risques et menaces identifiés.  

💡Vous établissez le reporting unique annuel à destination du Board, avec la présentation du concept de résilience. Enrico Giacoletto vous conseille de vous assurer qu’il est homogène, aisément explicable et pensé de façon globale. Si ce n’est pas le cas, il conviendra d’améliorer cette homogénéité l’année suivante.

#3 – Adopter un référentiel unique et commun : nécessité et avantages

Jean-Philippe Bernard l’a expliqué dans l’article précédent sur le cadre de la résilience opérationnelle : la gestion des données, tant pour leur cohérence, leur qualité que leur mise à jour est un vrai défi. C’est illusoire de vouloir y parvenir avec de simples fichiers Excel. Les établissements bancaires doivent se doter d’un référentiel unique. Cela permet de mieux gérer les dépendances entre les objets à risque, les contrôles, process, menaces, ressources, etc.

Les avantages d’un référentiel unique (Enterprise Risk Management Repository)

• Consolider l’approche résilience dans la gestion globale des risques opérationnels.
• Renforcer la sensibilisation et l’implication des premières lignes pour garder une vision proche du business et ainsi simplifier la récolte par l’unité risque de multiples données (car le langage risque sera uniforme).
• Déduire rapidement, dans le cadre d’une gestion de crise, l’impact d’une indisponibilité totale ou partielle des ressources sur les processus critiques.
• Savoir quelles priorités prendre en compte afin de mettre en place les mesures les plus utiles, etc.

La granularité du référentiel unique

Veillez à retenir un niveau de détail adapté pour couvrir tous les sujets, tout en garantissant la cohérence et la possibilité de mise à jour des données.

Les économies induites par un référentiel unique

Jean-Philippe Bernard précise que la création d’un tel référentiel prend du temps et coûte de l’argent. Mais le rapport bénéfices/coûts s’avère très intéressant, vu les économies significatives que permet ce processus pour tous les projets de mise en conformité. En effet, toutes les exigences réglementaires tournent autour des mêmes données de base incluses dans le référentiel unique.

#4 – Retenir une vision globale très tôt et éradiquer les approches du type alibi

Pour la résilience opérationnelle, il convient d’expliquer et de démontrer que l’établissement financier fait ce qu’il a dit qu’il ferait. Il ne s’agit plus ici d’un processus du type « je coche la case » afin de trouver des solutions, au fur et à mesure qu’apparaissent les nouvelles échéances réglementaires.

Nous rappelons que, malgré un calendrier de mise en place de la résilience opérationnelle en plusieurs étapes, l’approche globale et la cohérence s’imposent dès le début du processus.

Comme l’explique Enrico Giacoletto par une métaphore de l’animal hybride, raisonner étape par étape et se comporter toujours en réaction conduisent à résoudre le problème seulement partiellement. Tout comme, si vous dessinez un animal en plusieurs fois, le résultat manque d’homogénéité par rapport à un travail réalisé d’un seul coup.

Toutefois, gardez en tête que le régulateur attend probablement que la banque adapte ce qu’elle a réalisé, avec une montée en puissance du processus de résilience opérationnelle. Aussi, avant la fin du calendrier, les banques disposent de suffisamment de temps pour étudier les travaux déjà accomplis et s’assurer de l’homogénéité de leur approche.

#5 – Un reporting sur la résilience opérationnelle simple et compréhensible de tous

Qui dit exigences réglementaires, dit reporting à la haute direction de l’établissement. Vous devez lui donner les moyens d’analyser de façon éclairée les actions de l’exécutif en vue de garantir la résilience opérationnelle. Mais, le reporting sert aussi à l’exécutif.

Le reporting sur la résilience à l’usage de la haute direction de la banque

Ce reporting découle d’une exigence explicite de la circulaire FINMA 2023/01. 

En effet, la haute direction a l’obligation de :

• recevoir cette information annuelle sur la capacité de résilience de l’organisation ;
• valider les fonctions critiques identifiées ;
• se prononcer sur la tolérance aux interruptions des fonctions critiques.

💡Enrico Giacoletto conseille de réaliser un reporting spécial résilience, même si les informations existent ailleurs dans divers autres documents. Il contient la description des processus et des fonctions critiques, ainsi que la tolérance. Il détaille les étapes retenues lors du raisonnement, donc la méthode.

💡Enrico Giacoletto explique aussi le besoin de vulgarisation, afin d’aider la haute direction à donner son avis sur la capacité de résilience de la banque. Le reporting doit décrire les scénarios, hypothèses et mesures de façon simple et compréhensible par des non-experts.

Le reporting pour l’exécutif

L’exécutif a la charge de gérer dans les faits les risques opérationnels. Il propose des mesures correctives pour les ramener dans la tolérance retenue. L’accès à un reporting détaillé lui donne la faculté d’approfondir ses analyses et recommandations.

Vous disposez désormais de conseils pratiques pour avancer dans le déploiement de la résilience opérationnelle, en conformité avec la circulaire FINMA 2023/01. Notre article suivant se concentre sur le règlement européen DORA, pour la résilience opérationnelle numérique dans le secteur financier. Il traite des considérations relatives aux activités transfrontalières. Nous évoquons aussi les effets de contagion groupe notamment. Vous souhaitez échanger sur vos problématiques en matière de résilience opérationnelle ? Chez easyReg, nous restons à l’écoute. Vous pouvez nous contacter ou programmer une demo de notre solution RegTech.

 

👉 Inscrivez-vous à notre Newsletter pour rester informé de l’actualité réglementaire et suivre les annonces de nouvelles règles ou de changements majeurs.

Le 12 mars 2025, easyReg a organisé un webinaire sur le thème de la résilience opérationnelle : Circulaire FINMA 23/01 et DORA, des réglementations d’actualité en Suisse en 2025. Cet article est le premier d’un triptyque sur le sujet. Il reprend les échanges sur la définition de la résilience opérationnelle. Il détaille les sources réglementaires applicables aux établissements financiers ainsi que le calendrier. Deux autres articles suivront. L’un apportera des conseils pour implémenter les exigences réglementaires en matière de résilience opérationnelle. Le dernier réalisera une analyse de DORA, le règlement européen qui donne un cadre pour gérer les risques liés aux TIC (technologies de l’information et de la communication).

1. Un webinaire très suivi et organisé par des acteurs experts de la réglementation financière

Chez easyReg, nous organisons des webinaires accessibles via LinkedIn sur des sujets d’actualité dans le domaine de la réglementation bancaire. La page de notre site, dédiée à cette thématique, vous donne les informations sur les prochains évènements à mettre dans votre agenda. Par exemple, le 9 avril, nous abordons les risques financiers liés à la nature.

Ce 12 mars 2025, de nombreux participants ont suivi les échanges nourris autour de la résilience opérationnelle entre les trois intervenants :

• Jean-Philippe Bernard, cofondateur de la société OPCIS Services et enseignant en risques et contrôles à l’ISFB ;
• Enrico Giacoletto, fondateur de la solution RegTech e-Reg (easyReg) ;
• Ivan Nappo, spécialiste en réglementation financière et project manager chez easyReg.

2. Résilience et résilience opérationnelle : définition(s) pour comprendre les exigences réglementaires

Résilience vient du latin « resilire », un mot qui veut dire « rebond ». Pour Jean-Philippe Bernard, le mot essentiel est en effet rebond. Plus précisément, nous devons analyser la manière et la vitesse dont on rebondit. Notre intervenant évoque aussi l’importance de la notion d‘apprentissage, comme pour apprendre à jouer avec un ballon.

Que signifie la résilience ?

Wolfgang Kröger, directeur exécutif de l’ETH Risk Center de Zurich, donne cette définition : « la résilience est la capacité d’un système à résister à un effet négatif initial qui résulte d’un évènement nuisible ou d’une force perturbatrice interne ou externe (facteur de stress) et la vitesse à laquelle il peut revenir à une opérabilité ou un équilibre approprié ».

Définition de la résilience opérationnelle pour un organisme

Laissons le Docteur José Lamas-Valverde, CEO de gestRisk donner cette définition. Selon lui, un tel organisme adopte une orientation stratégique à long terme. Il planifie en forme détaillée les perturbations prévues ainsi que la gestion de crise et les ressources pour faire face aux imprévus. Il dispose de processus d’apprentissage et de prédiction.

Définition de la courbe de résilience

La courbe de résilience caractérise le concept de résilience opérationnelle pour une entreprise ou une organisation. Tout d’abord, le seuil de robustesse correspond au seuil au-dessous duquel il devient impossible de se rétablir. Deux types de mitigation (action d’atténuer ou de réduire la vulnérabilité) complètent la définition de la résilience opérationnelle. Il s’agit de :

• La mitigation ex ante, donc basée sur les expériences du passé, afin de ne pas descendre sous le seuil de robustesse. Elle sert à diminuer le nombre de menaces.

La mitigation ex post, donc la vérification a posteriori des faits comparés aux prévisions ex ante. Elle aide à se rétablir avec des systèmes de type workaround (solution de rechange ou palliatif) ou BCP (Business Continuity Plan).

Définition de la résilience opérationnelle selon la Circulaire FINMA 2023/01

Selon la FINMA, la résilience opérationnelle correspond à la capacité d’une banque à rétablir ses fonctions critiques en cas d’interruptions, cela dans les limites de la tolérance aux interruptions. C’est donc la faculté à la fois à identifier les menaces et les défaillances et à prendre les mesures de protection en réaction aux risques.

La Circulaire FINMA 2023/01 « Risques et résilience opérationnels – banques » spécifie aussi ce que comprennent les fonctions critiques. Ainsi, elle évoque :

• Les opérations, processus, services et ressources pour lesquels une interruption prolongée comporterait un risque de continuité des activités de l’établissement sur le marché financier ;
• Les fonctions d’importance systémique telles que définies par l’article 8 de la LB.

La notion de tolérance aux interruptions

Il s’agit ici de prévoir des scénarios extrêmes afin que la banque puisse survivre, par exemple, un ou deux jours en mode dégradé, grâce à des méthodes de contournement. Ces scénarios sont dits critiques.

La résilience, un concept plus large qu’opérationnel

La Circulaire FINMA 2023/01 se concentre sur la résilience opérationnelle dans les institutions financières. Toutefois, plus largement, la résilience touche tous les domaines, notamment le secteur financier.

Des scénarios sont à bâtir par rapport au contexte géopolitique, à l’influence des marchés financiers sur les résultats ou aux intermédiaires bancaires, par exemple. Dans ces cas, la gestion des risques présente un caractère mixte, à la fois opérationnel et financier.

Quant aux risques qui proviennent de ressources externes, comme la disponibilité de la supply chain, les fournisseurs ou les sous-traitants, ils demandent une gestion opérationnelle dans les entreprises en général, comme dans le secteur bancaire.

Pour conclure sur la définition de la résilience, elle suppose une triple gestion :

• des risques ;
• de crise ;
• de la continuité.

Différence entre résilience et BCM (Business Continuity Management)

La résilience comporte d’autres risques, évènements ou facteurs de stress, en plus de ce que prévoit un processus BCM (plan de continuité des activités).

Elle ajoute la couverture des risques liés à des changements progressifs. C’est par exemple la perte de production électronique ou d’approvisionnements en électricité et qui s’opère progressivement, en fonction d’un contexte géopolitique.

3. Rappels réglementaires sur la résilience opérationnelle et calendrier progressif en Suisse

Le concept de résilience apparaît en mars 2021 quand le Comité de Bâle publie un document intitulé « principes pour la résilience opérationnelle ».

Les origines de la résilience dans la réglementation

C’est la crise financière de 2007-2009 qui a conduit le BCBS à renforcer la capacité des établissements bancaires à affronter les risques opérationnels liés à des pandémies, des évènements climatiques, des cyber-incidents, etc. Cette crise majeure mondiale a montré que les banques présentaient des difficultés en matière de fonds propres et de liquidité.

Mais, elle a aussi mis en évidence le fait que ces établissements ne disposaient pas de la capacité suffisante à s’adapter aux circonstances afin de relever ces défis. C’est alors que les régulateurs ont souhaité ajouter des exigences en matière de résilience opérationnelle, et notamment pour toutes les banques d’importance systémique.

Les dispositions de la FINMA pour la mise en conformité des banques de catégorie 4 et 5

La liste de ces exigences constitue la manière la plus simple de comprendre le travail à mener dans chaque banque. Pour les autres établissements, de catégorie 3, comme pour ceux soumis au régime des petites banques, des ajustements existent par rapport à cette liste.

Voici les principales dispositions de la Circulaire 2023/01 pour les banques de catégories 4 et 5, hors régime des petites banques :

• Cm 101 : identification des fonctions critiques et des tolérances aux interruptions, avec leur approbation annuelle par le Conseil d’Administration.
• Cm 102 : préparation de mesures qui visent à garantir la résilience opérationnelle (avec prise en considération des scénarios graves, mais plausibles).
• Cm 105 : envoi des rapports sur la résilience opérationnelle à la Direction et au Conseil d’Administration au moins une fois dans l’année.
• Cm 106 : gestion des menaces internes et externes ainsi que des risques opérationnels induits par les fonctions critiques.
• Cm 107 : révision annuelle au minimum de l’inventaire des fonctions critiques.
• Cm 108 : pour les fonctions critiques, recensement des risques opérationnels importants et des contrôles clés.
• Cm 109 : établissement de BCP des fonctions et processus critiques ainsi que des ressources nécessaires.

💡Concernant les scénarios graves, mais plausibles, Jean-Philippe Bernard souligne la nécessité de les réviser périodiquement. Il suggère, par exemple, tous les 5 ans. En effet, certains scénarios ont une durée de vie limitée, notamment au niveau géopolitique mondial.

💡Enrico Giacoletto conseille aussi d’évoquer les scénarios dès le début de la démarche, même si cela fait partie des dernières mesures à déployer. C’est une manière de rendre le sujet de la résilience opérationnelle plus accessible pour le Conseil d’Administration.

Les échéances réglementaires en matière de résilience opérationnelle

Ces dispositions principales citées préalablement peuvent s’implémenter en plusieurs phases. Toutefois, malgré un agenda réglementaire sur 3 ans, Enrico Giacoletto recommande de s’assurer que l’ensemble des processus déployés sur le plan de la résilience fait sens et reste cohérent.

Pour les banques de catégories 4 et 5

Voici les points clés à connaître au niveau du calendrier :

• Applicable dès janvier 2024 : Cm 101 et Cm 105. C’est l’identification des fonctions critiques, des tolérances aux interruptions, ainsi que la mise en place du rapport aux organes de direction.
• Avant le 1er janvier 2025 : Cm 106 à Cm 109. Ceci comprend l’identification des menaces, l’évaluation du risque opérationnel, l’inventaire, les connexions et dépendances, les contrôles clés, la documentation des fonctions critiques ainsi que leur couverture par le BCP.
• Avant le 1er janvier 2026 : Cm 102. Ce sont les mesures de garantie de la résilience opérationnelle, avec l’intégration des scénarios graves, mais plausibles.

La notion de scénarios graves, mais plausibles qui entrent en vigueur en janvier 2026

Nous recommandons d’inclure dès à présent les organes de direction dans le travail d’identification et de choix des différents scénarios graves, mais plausibles. Notez que la FINMA donne des exemples et envisage que l’intervention de l’État puisse être induite par certains scénarios.

Les connexions et dépendances entre processus critiques et ressources

Jean-Philippe Bernard pense que ce point reste essentiel et induit souvent une certaine complexité difficilement gérable par de simples outils Excel. Vu la quantité de dépendances, chaque établissement devrait utiliser une base de données relationnelle intégrée dans un référentiel unique qui couvre les risques et les contrôles. Ce mode de fonctionnement aide à identifier rapidement les processus clés ou critiques qui dysfonctionnent en cas de survenance d’une menace.

Enrico Giacoletto ajoute l’importance de bien analyser ce qui est réellement critique, afin de déterminer ce qui doit vraiment entrer dans la gestion de la résilience opérationnelle.

Avec cet article, easyReg vous brosse le cadre réglementaire de la résilience opérationnelle pour les banques suisses. C’est la première étape pour mettre en place vos obligations liées à la Circulaire 2023/01. Le second article détaille les conseils prodigués lors du webinaire, en collaboration avec Jean-Philippe Bernard de la société OPCIS, afin de déployer la résilience opérationnelle dans vos organisations. Enfin, le troisième et dernier article traite du règlement européen DORA sur la résilience opérationnelle numérique dans le secteur financier. En tant que spécialistes de la réglementation financière, nous vous proposons notre solution RegTech, la plateforme e-Reg, par exemple pour de la veille réglementaire. Nous vous apportons aussi toute une offre de services sur mesure.

 

👉 Inscrivez-vous à notre Newsletter pour rester informé de l’actualité réglementaire et suivre les annonces de nouvelles règles ou de changements majeurs.

Au fil des années, les régulateurs ont renforcé les dispositifs de surveillance de la solvabilité des banques, en Suisse comme dans le monde entier. De nombreux ratios et acronymes viennent encadrer les exigences en matière de liquidité, notamment. LCR, NSFR, voilà deux ratios de liquidité incontournables. Mais ce ne sont pas les seuls paramètres à maîtriser sur le plan de la solidité bancaire. Cet article fait le point sur les ratios de liquidité en banque, leurs définitions et différences, mais aussi les autres indicateurs et reportings statistiques obligatoires (formulaire AU208 et LMT).

1 – Des ratios de liquidité bancaires bien distincts de ceux de l’entreprise

Évacuons tout de suite les ratios de liquidité pour les entreprises. Ils leur sont propres. Mais, ils peuvent se comparer à ceux utilisés dans le secteur bancaire. Pour la lecture du bilan d’une société, notamment par un banquier, ce ratio de liquidité sert à estimer la capacité d’une structure à faire face à ses dettes à court terme. Le terme de liquidité immédiate se rencontre également.

Cet indicateur est un pourcentage qui s’obtient par un calcul simple basé sur des données issues de la comptabilité. Vous divisez les créances (clients essentiellement) et les disponibilités bancaires, par les dettes à court terme (fournisseurs, organismes sociaux, salariés, etc.). Vous pouvez aussi adopter une formule qui part de l’actif circulant, duquel vous déduisez les stocks, avant de rapporter le solde à l’endettement court terme qui figure au passif.

2 – Les principaux ratios de liquidité en banque à connaître

Les banques suisses doivent respecter des ratios de liquidité spécifiques afin de démontrer leur capacité à rester financièrement stables et à honorer leurs engagements. Tout ceci s’opère en ligne directe avec les exigences du Comité de Bâle ainsi que l’ordonnance sur les liquidités des banques et des maisons de titres (Oliq).

Le ratio de couverture de liquidité à court terme (LCR)

Le ratio LCR ou Liquidity Coverage Ratio en anglais est apparu en Suisse après la crise financière de 2008.

Définition du ratio de liquidité LCR 

Comme nous l’avons expliqué dans la page du glossaire, le ratio de liquidité LCR sert à vérifier la capacité permanente d’une banque à honorer ses obligations de paiement. C’est également le cas si l’établissement se trouve en situation de crise.

Plus précisément, cet indicateur financier mesure la capacité à supporter une sortie nette de trésorerie sur 30 jours en situation de crise.

Calcul du LCR

Pour l’obtenir, procédez ainsi :

• numérateur du ratio LCR (A) = montant des actifs liquides de haute qualité, soit les HQLA (High Quality Liquid Assets) ;
• dénominateur du ratio LCR (B) = montant des sorties nettes de trésorerie prévisionnelles sur les 30 jours ;
• ratio LCR = (A/B), sachant que les règles prudentielles exigent un pourcentage supérieur ou égal à 100.

Le ratio de financement stable net (NSFR)

Cet autre ratio de liquidité signifie en anglais Net Stable Funding Ratio. Nous avions expliqué, dans notre article sur les principaux ratios réglementaires, que le NSFR est un ratio structurel de liquidité long terme. C’est donc cet horizon qui le distingue fondamentalement du ratio de liquidité LCR.

Définition du NSFR

Parfois appelé aussi ratio de financement, il mesure la capacité des établissements financiers à se financer sur le long terme. L’objectif est de limiter le risque de défaillance des banques grâce à une stabilité au niveau de la composition des actifs et des activités hors bilan. Ainsi, avec des ressources de financement suffisamment stables, les banques peuvent couvrir les besoins de leurs activités sur le long terme.

Notez que les dispositions de Bâle III final en Suisse n’ont pas modifié la réglementation sur le ratio NSFR (Oliq et circulaire FINMA 15/02).

Calcul du ratio de liquidité NSFR

Ce ratio s’obtient comme suit, conformément à l’article 17 g de l’Oliq : 

• numérateur (A) = financement stable disponible ou Available Stable Funding (ASF) ;
• dénominateur (B) = financement stable exigé ou Required Stable Funding (RSF) ;
• ratio NSFR = (A)/(B), sachant que les autorités prudentielles imposent au moins un ratio de 1.

3 – L’exigence relative à la garantie des dépôts

D’autres dispositions réglementaires s’ajoutent aux obligations que doivent respecter les établissements bancaires suisses en matière de liquidité. C’est le cas de la garantie des dépôts.

Qu’est-ce que la garantie des dépôts ?

Ce système réglementaire dans le secteur bancaire contribue à protéger les déposants et à prévenir la faillite d’un établissement financier. La garantie des dépôts est un processus qui intervient en cas de défaillance de la banque, car il couvre la perte de dépôts de clients jusqu’à la somme de CHF 100 000 (en date du 9 avril 2025).

Le ratio de 125 % des dépôts privilégiés

Pour assurer cette protection des dépôts clients, les autorités prudentielles exigent que chaque banque détienne au moins 125 % du montant des dépôts privilégiés en créances couvertes en Suisse. Ceci doit se maintenir en permanence et fait l’objet d’un contrôle, au travers du rapport mensuel AU208 à destination de la BNS (Banque Nationale Suisse).

Notez que la révision de la loi sur les banques et de l’ordonnance sur les banques début 2023 a modifié le calcul et la définition des dépôts privilégiés (cf. Art. 37a de la LB).

4 – Reporting sur les paramètres d’observation (LMT)

Toujours dans le souci des liquidités, les banques suisses doivent produire d’autres données statistiques périodiques, en plus des ratios précédents.

Quelles sont les obligations relatives au Liquidity Monitoring Tool (LMT) ?

En français, ce terme LMT se traduit par reporting sur les paramètres d’observation. Les banques suisses, ainsi que les succursales de banques étrangères notamment, ont l’obligation d’adresser régulièrement ces statistiques à la Banque Nationale Suisse. Ce reporting permet à la BNS de mieux appréhender leurs expositions.

Que comprennent les statistiques LMT obligatoires dans les banques suisses ?

Ce reporting LMT couvre essentiellement les trois domaines qui suivent : 

• analyse des échéances par maturité et par devise ;
• concentration du financement ;
• actifs non grevés disponibles par devise.

La FINMA a publié le 4 avril 2019 des instructions de traitement pour la collecte des données relatives aux paramètres d’observation supplémentaires.

La finance d’entreprise exige une gestion rigoureuse, quelle que soit l’activité, des ratios de liquidité, calculés sur les actifs circulants et les dettes à court terme. Toutes les banques doivent procéder au même type de surveillance, tant pour le court terme, que pour le long terme. Elles se conforment ainsi aux exigences issues de la réglementation financière. Chaque ratio de liquidité prévu par les textes et chaque reporting statistique constituent autant d’outils pour exercer une surveillance et limiter les risques de défaillance. C’est un sujet capital pour le secteur des services financiers. EasyReg apporte sa pierre à l’édifice en vous offrant une solution RegTech qui vous simplifie la tâche autour de la réglementation.

 

👉 Inscrivez-vous à notre Newsletter pour rester informé de l’actualité réglementaire et suivre les annonces de nouvelles règles ou de changements majeurs.

La réglementation financière suisse c’est notre spécialité chez easyReg. Elle évolue régulièrement au gré des changements qui interviennent tant dans notre pays que dans le monde entier, notamment à l’initiative de la FINMA ou du Comité de Bâle. Parmi les changements majeurs que nous vivons actuellement, Bâle III final apporte de nombreuses exigences nouvelles que le secteur des services financiers se doit d’intégrer. Cette page a pour objectif de synthétiser les changements clés de Bâle III final.

Tableau récapitulatif des changements clés de Bâle III final

Ce tableau fait l’objet de mises à jour régulières. N’hésitez pas à enregistrer la page dans vos favoris,. Vous conservez ainsi une source synthétique d’informations sur les changements clés relatifs à cette réforme de Bâle III, Bâle III final ou Bâle IV.

---

Pour compléter ce sujet, nous vous recommandons aussi de prendre connaissance du détail du déploiement de Bâle III et Bâle III final en Suisse.

easyReg, le spécialiste qui vous simplifie la réglementation financière en suisse

Notre société EasyReg est spécialisée dans les outils RegTech avec un objectif majeur, simplifier la réglementation financière. Nous avons construit une solution en ligne, e-Reg, pour aider dans cette démarche les différentes typologies de clients confrontées à la réglementation bancaire. Sa mise en œuvre s’opère simplement, grâce à une aide personnalisée de nos experts. C’est l’assurance d’une prise en main rapide.

Les fonctionnalités RegTech proposées par notre application e-Reg comprennent notamment :

• la recherche dans la réglementation financière, en multi-langue et selon plusieurs méthodes, dont la recherche sémantique, le tout avec le contexte réglementaire systématique ;
• l’ajout de commentaire et la possibilité de partage de l’information pour un travail collaboratif ;
• la gestion du savoir réglementaire, dans un but documentaire, d’amélioration des compétences autour de la conformité et de la maîtrise des risques ;
• la mise en place de bibliothèques réglementaires, y compris pour les procédures et directives internes aux banques ;
• la gestion des changements réglementaires, avec un tableau de bord, pour un pilotage collaboratif du projet facilité.

Nous proposons en complément de cette solution RegTech clé en main, des services sur mesure. Ils conviennent pour les besoins spécifiques des banques ou institutions financières ainsi que des cabinets de conseil qui les accompagnent. Pour découvrir le champ des possibles dans ce domaine, consultez notre page services RegTech.

Quel que soit le domaine d’activité, une entreprise ou un établissement financier est confronté à la conformité réglementaire. Dans toute organisation, le pilotage des risques suppose de respecter diverses réglementations, textes de loi, ordonnances, décrets. Dans ce contexte, la veille réglementaire doit prendre sa place et faire l’objet d’une structuration optimale.

Le secteur des services financiers est particulièrement exposé à ce besoin de curation. Nous vous donnons notre vision d’une bonne veille réglementaire, avec ses enjeux, les mauvaises pratiques à éviter et les meilleures à mettre en place. Vous découvrirez aussi comment la RegTech vient conforter les processus grâce à des outils de veille réglementaire efficaces.

1 – Qu’est-ce que la veille réglementaire ?

Le concept de veille parfois appelé aussi curation se retrouve dans de très nombreux domaines d’activité. La veille réglementaire concerne tous les acteurs économiques dès lors qu’ils doivent respecter un texte légal, une ordonnance, un règlement, une norme, un référentiel, etc.

1.1 – Définition de la veille réglementaire

La veille de la réglementation signifie la mise en place d’un processus structuré pour rechercher, identifier et analyser les nouveaux textes qui concernent une entreprise, une banque ou une organisation. Il s’agit aussi de comprendre les impacts sur la structure, afin de déployer les changements réglementaires nécessaires pour la mise en conformité.

Une activité de veille juridique et réglementaire comporte un volet de suivi, mais aussi d’anticipation. En effet, la réglementation nationale comme internationale peut potentiellement avoir des conséquences sur la stratégie d’une entité économique. “Mieux vaut prévenir que guérir”.

1.2 – Les domaines qui exigent le plus de veille réglementaire en matière de conformité

La réglementation existe dans de nombreux secteurs. C’est aussi le cas des activités de veille. En tant que RegTech, c’est la réglementation financière qui nous intéresse. Elle fait partie par essence de l’activité des :

• banques et établissements financiers, y compris les fintechs suisses au sens de l’art.1b LB ;
• sociétés de conseil en réglementation financière ;
• cabinets d’audit ;
• cabinets d’avocats.

En dehors du domaine bancaire, la notion de veille réglementaire prend tout son sens également pour :

• le secteur HSE (hygiène, sécurité et environnement) ;
• les activités de normalisation du type ISO ;
• la santé ;
• le droit du travail.

2 – Quels sont les enjeux d’une bonne veille réglementaire pour le secteur financier ?

La mise en place d’une veille réglementaire n’est pas vraiment une option. Au vu des enjeux et des risques de non-conformité pour le domaine bancaire, la démarche vaut le coup de s’y pencher sérieusement.

2.1 – Maîtriser la quantité de sources réglementaires applicables et les évolutions de la réglementation

La réglementation financière est une matière en perpétuelle évolution. En Suisse, la gestion de la réglementation financière suppose de consulter et analyser des milliers de pages en provenance de sources variées. Ce domaine ne cesse de grossir et d’évoluer, par exemple avec les dispositions de Bâle III et Bâle III final.

Tout sauf figée, la réglementation bancaire exige de l’adaptation permanente de la part des acteurs des services financiers afin de s’y conformer, autant que possible de façon proactive. C’est tout l’enjeu de la veille : identifier et comprendre les modifications réglementaires déjà adoptées ou à venir, à l’intérieur de cette masse d’informations conséquente et mouvante. 

2.2 – Éviter les conséquences négatives d’un respect insuffisant des exigences réglementaires

La veille réglementaire suppose d’agir de façon anticipée. Dans le cas contraire, un établissement bancaire risque d’ignorer l’existence d’un nouveau texte auquel il doit pourtant se conformer. Cette méconnaissance des dispositions à appliquer fait courir des risques à l’établissement financier. Citons les coûts de la non-conformité, ainsi que les risques de réputation que cela engendre. Mais, elle peut aussi entraîner des conséquences externes négatives comme des pratiques de greenwashing dans le domaine de la finance durable et des investissements ISR.

2.3 – Gagner du temps dans sa veille réglementaire grâce à la mise en place d’outils de curation pertinents

La veille réglementaire suppose de travailler de façon proactive et de devancer l’évolution des exigences réglementaires afin de disposer de temps et de sérénité.

Prenons l’exemple des normes ESG dans le monde et de leur impact pour la Suisse. L’ensemble des réglementations sur le plan international ne cesse d’évoluer et de croître. Une convergence vers des normes mondiales pourrait même se dessiner. C’est impératif pour les banques suisses de rester en veille constante sur le sujet.

Pour parvenir à gagner le match de la réglementation, les acteurs de la veille doivent se préoccuper d’identifier les outils de curation adaptés à cette tâche permanente. Les personnes chargées de la veille peuvent concevoir un système de gestion réglementaire imbriqué dans les processus et l’activité de l’établissement. Elles disposent alors d’outils pour piloter aussi le changement, une fois le besoin d‘évolution identifié et quantifié.

2.4 – La gestion du changement réglementaire, une obligation pour conserver sa licence

Le dernier enjeu essentiel de la veille réglementaire concerne la détention d’autorisations ou de licences octroyées par la FINMA. Citons par exemple le cas des fintechs suisses qui doivent obtenir l’autorisation prévue à l’art.1b LB. Les entités qui en bénéficient doivent rester en veille afin de les conserver.

De nombreuses catégories d’autorisation délivrées par la FINMA existent. Elles impliquent toutes la nécessité de maintenir une veille réglementaire, tant pour un gestionnaire de fortune que pour une banque ou un organisme d’autorégulation.

3 – Quelles sont les contraintes des changements réglementaires pour les acteurs de la réglementation ?

Les évolutions des textes réglementaires présentent de nombreuses difficultés pratiques dans les organisations. Sans structuration du processus, elles peuvent devenir un réel fardeau au quotidien.

3.1 – Un travail de grande ampleur pour mener à bien le changement réglementaire

Plus les modifications des textes réglementaires dans l’environnement d’un établissement financier s’empilent, plus la tâche pour implémenter le changement augmente. Lorsque les acteurs de la réglementation ont peu de recul sur les nouveautés, ils se retrouvent à gérer le travail dans l’urgence.

3.2 – Une difficulté d’analyse des textes réglementaires en vigueur ainsi que des évolutions à venir

Les personnes en charge de la gestion réglementaire dans les établissements financiers peuvent éprouver des difficultés pour identifier et interpréter les projets de changement. Sans tout le contexte d’un texte aisément accessible ainsi que l’environnement réglementaire international sur le sujet, ces professionnels perdent du temps dans leurs travaux.

3.3 – La possibilité de devoir se conformer à plusieurs juridictions

La complexité de la gestion des changements réglementaires décrite précédemment peut survenir au sein d‘une même juridiction. Elle peut aussi s’expliquer par le fait qu’un établissement est soumis à plusieurs juridictions : 

• de manière active, parce qu’il y exerce effectivement une activité ;
• de manière passive, du fait de l’augmentation des aspects extraterritoriaux de certaines lois.

3.4 – La multitude des échéances ou des impacts induits par un changement réglementaire

Les dispositions ou exigences qui génèrent des conséquences multiples compliquent le pilotage des changements de réglementation au sein des banques. Lorsque le nouveau texte ajoute de multiples changements et à des dates différentes, la conduite du changement s’alourdit. Mieux vaut une veille réglementaire structurée afin d’anticiper et d’effectuer une évaluation des conséquences au plus tôt.

3.5 – La complexité du suivi d’un projet réglementaire sans outil dédié

La gestion des risques émergents consiste à rester en veille au niveau de réglementations parfois encore en construction. En revanche, pour la gestion effective d’un changement acté dans les textes, la veille s’effectue de façon coordonnée et rapprochée avec les actions de mise en œuvre concrètes. En opérant ainsi, avec une solution informatique de gestion du projet, toute l’organisation gagne en efficacité. Devoir piloter un changement réglementaire sans outil nous semble bien hasardeux pour le respect de la conformité.

4 – Les pratiques et outils de veille réglementaire à bannir

Avant d’aborder les méthodes et organisations vertueuses d’une bonne surveillance des données réglementaires, voici les mauvaises pratiques à éviter absolument.

4.1 – Réaliser sa veille réglementaire sur des outils gratuits comme des tableurs

La complexité actuelle de la réglementation financière suisse, européenne comme internationale exige de s’équiper sérieusement. Ainsi, penser que la réglementation financière peut se suivre en utilisant un tableur Excel nous semble utopique. Ce genre d’action présente aussi peu d’efficacité que de procéder avec des CTRL+F dans des PDF. À l’heure où les nouvelles technologies améliorent la recherche sémantique ou vectorielle, mieux vaut oublier les outils de veille gratuits pour attaquer vraiment chaque référentiel réglementaire.

4.2 – Réaliser une curation de la réglementation sans l’exploiter réellement

Une autre pratique consiste parfois à surveiller les évolutions réglementaires, sans toutefois en tirer suffisamment les enseignements. L’établissement qui ne consacre pas assez de ressources ou de budget à l’analyse des données issues de la veille rate des opportunités. Il se coupe d’échanges avec les bons acteurs. Il se prive de réflexions stratégiques au profit du développement des affaires. C’est aussi le cas quand il s’agit d’adopter une ligne de défense face à l’évaluation d’un risque ou d’une menace.

4.3 – Fonctionner en mode pompier pour la gestion du changement réglementaire, sans anticipation active

L’autre erreur classique consiste à reléguer la veille réglementaire au dernier moment. Ce n’est d’ailleurs pas une gestion de la veille dans un tel cas. Ce sont de simples actions de mise en place de changements réglementaires subis et pilotés dans l’urgence. Le risque encouru c’est aussi de devoir affronter des surprises et gérer des crises. S’ensuivent alors des surcoûts financiers, notamment du fait de la rareté des ressources disponibles. Ce mode contraint ou de crise dessert les objectifs fixés.

4.4 – Penser réaliser des économies en ignorant le processus de veille réglementaire

Enfin, les établissements qui regardent leurs coûts et s’abstiennent de structurer la veille réglementaire se pénalisent. Une bonne veille avec suffisamment d’anticipation permet une approche avec un spectre plus large. Ce processus réduit le risque de non-conformité par méconnaissance des textes. Il diminue la gestion de crise et donc les surcoûts qu’elle comporte.

5 – Comment structurer correctement sa veille réglementaire ?

Alors, quelles sont les bonnes pratiques à adopter ? Quels outils de veille réglementaire choisir pour optimiser le processus ? Comment éviter le mode réactif et urgence ? Nous pensons que les méthodes utilisées en management du changement s’imposent, tout comme le fait de faire appel à un service RegTech.

5.1 – Piloter la veille réglementaire sur le mode de la gestion du changement

Chez easyReg, nous sommes convaincus que la gestion du changement réglementaire doit suivre la philosophie adoptée par les entreprises en matière de management du changement. Ou plutôt, la conduite du changement doit intégrer nativement toutes les évolutions externes et environnementales, dont celles de la réglementation.

Avec un tel processus structuré, une organisation ou entreprise parvient étape par étape à :

• identifier correctement bien en amont des échéances la nature et les impacts du changement à opérer ;
• définir les adaptations nécessaires, ainsi que les ressources adéquates et à moindre coût ;
• concevoir avec suffisamment d’adaptation un rétroplanning, processus classique pour les projets réglementaires (s’organiser pour respecter une deadline imposée par les textes) ;
• confirmer les impacts et évaluer leurs magnitudes sur la structure (H/M/L).

Ainsi l’établissement financier peut mener les réflexions stratégiques en conséquence :

• de la simple adaptation des métiers, des outils ou des documents relatifs tant au business model qu’aux opérations ou aux politiques internes ;
• jusqu’à des évolutions stratégiques fortes, voire un changement juridictionnel.

5.2 – Sensibiliser les sachants en amont des changements réglementaires

Ce processus de management du changement autour de la réglementation demande de la communication, de l’information et de la sensibilisation en amont. Les collaborateurs chargés de la veille réglementaire s’attachent à mobiliser les ressources qui comptent dans l’organisation : les SME (Subject Matter Expert), soit les sachants. 

5.3 – S’équiper d’outils de veille réglementaire adaptés au secteur de la finance

Cette conduite du changement demande à se doter d’outils de veille adéquats. L’objectif est bien de maximiser l’efficacité des acteurs chargés de cette curation ainsi que de la gestion des changements réglementaires qui en découle. La quantité et la complexité des sources d’information empêchent de traiter cette tâche de veille manuellement ou avec la bureautique.

5. 4 – e-Reg, une plateforme RegTech ou outil de veille réglementaire dans le secteur bancaire

Acteurs de la gestion réglementaire, nous avons développé une plateforme RegTech : e-Reg. Cette solution en ligne se destine à simplifier la réglementation et à la digitaliser. Elle comporte toutes les fonctionnalités nécessaires autour de la réglementation : 

• la recherche d’informations dans les textes actuels ou en projet, avec l’intégralité du contexte ;
• des outils d’analyse, d’annotation des textes et de notification des équipes ;
• un dashboard pour piloter les changements réglementaires et les projets de façon collaborative ;
• le pilotage du savoir et des connaissances ;
• la gestion des bibliothèques réglementaires, tant pour les données externes à l’établissement que pour ses propres politiques et procédures internes.

La veille réglementaire constitue un processus à déployer en amont du management des changements réglementaires et du suivi de la conformité. Pierre angulaire de la gestion des risques pour les établissements financiers, cette activité de veille exige de s’équiper. Les outils RegTech comme e-Reg allient les technologies à la connaissance de la problématique métier. Aussi, nous vous proposons d’approfondir la découverte de notre plateforme et des fonctionnalités mises à disposition de nos utilisateurs.

Dès l’année 2018, la Suisse s’est dotée d’un dispositif légal et innovant pour le secteur des sociétés FinTechs. Le Conseil fédéral a ainsi adopté les mesures qui régissent l’autorisation FinTech avec son insertion dans la loi sur les banques. Nous vous proposons un panorama complet sur le fonctionnement et les enjeux de ce type de FinTech suisse avec licence. Vous découvrirez aussi comment la RegTech ou Regulatory Technology peut devenir un allié naturel de la FinTech, afin de respecter la réglementation imposée à une licence FinTech.

1 – Qu’est-ce que la licence FinTech en Suisse ?

La notion d’autorisation octroyée aux FinTechs suisses par la FINMA s’inscrit dans un processus afin de promouvoir l’innovation dans le secteur de la finance. L’objectif est de tendre vers une place financière suisse toujours plus compétitive.

1.1 – Finance Technology ou FinTech : définition

Le mot FinTech est la contraction de l’expression Finance Technology. Ce terme désigne une société qui exploite de nouvelles technologies (digital, algorithmes, intelligence artificielle, etc.), afin de rendre plus optimal un service offert dans le secteur de la finance. Ces entreprises visent à simplifier la vie d’autres professionnels ou de particuliers, grâce à des solutions abordables et attractives. Généralement en mode start-up, la FinTech met l’innovation au cœur de ses processus.

1.2 – Licence ou autorisation FinTech : définition

L’autorisation FinTech, appelée aussi licence bancaire FinTech, est la troisième mesure suisse en faveur de l’innovation dans le domaine financier. Elle intervient en 2018 après : 

• la création par le Conseil fédéral en 2017 d’un espace d’innovation non soumis à autorisation (sandbox) ;
• la prolongation d’un délai de garde pour les comptes d’exécution (art. 5 al. 3 let. c OB ; Cm 16 à 16.2 de la Circ.-FINMA 08/3).

Cette FinTech license permet à ces start-ups de la Tech de réaliser certaines opérations financières, bien que l’activité principale se situe en dehors du champ bancaire. Ainsi, l’autorisation FinTech donne la possibilité d’accepter des dépôts du public, dans la limite de 100 millions de francs suisses ou sous forme de cryptomonnaies. Pour autant, la FinTech n’est pas une banque. Aussi, cette licence n’accorde pas la possibilité de rémunérer ces sommes ni de les investir.

1.3 – Mise en œuvre de ce concept de licence FinTech : le contexte

L’origine de cette réglementation des licences FinTech remonte à la consultation réalisée en 2017 en Suisse sur un projet relatif au domaine des FinTechs. La Suisse a adapté les exigences réglementaires pour les sociétés qui proposent des prestations sans faire partie du secteur bancaire. Elle a pris en compte le potentiel de risque.

Tant la loi sur les banques (LB) que l’ordonnance sur les banques (OB) ont fait l’objet de révisions. L’objectif consistait à faciliter l’accès de ces structures au marché et à les inciter à encore plus innover. Parmi les mesures principales, on relève celle qui est au cœur de cet article : les licences FinTechs. C’est une manière plus souple que les licences bancaires classiques de recevoir une autorisation d’exploiter, notamment sur trois aspects : 

• l’établissement des comptes ;
• l’audit ;
• la garantie des dépôts.

2 – Les sources réglementaires en matière d’autorisation FinTech en Suisse

Les textes qui régissent ces licences octroyées aux FinTechs en Suisse sont de deux ordres.

2.1 – La loi sur les banques : art.1b LB

Cet article a été inséré dans la loi sur les banques fin 2018. Il a trait à la “promotion de l’innovation”. Il évoque les “personnes qui sont principalement actives dans le secteur financier”, à savoir les FinTechs suisses. Il reprend les mesures expliquées précédemment en matière de dépôts réalisés par le public.

2.2 – Le guide pratique Autorisation FinTech 

Même si ces sociétés doivent respecter une réglementation financière, le niveau des exigences reste moindre que celui qui s’impose aux établissements bancaires. Le guide pratique édité par la FINMA donne les consignes à suivre pour réaliser une demande d’autorisation FinTech.

Qui peut déposer une demande d’autorisation auprès de la FINMA ? L’activité commerciale de la FinTech doit s’opérer sur le territoire suisse. La structure candidate doit être une société :

• en commandite par actions ;
• ou anonyme ;
• ou à responsabilité limitée.

Le processus d’octroi de la licence prévoit la possibilité de déposer un projet auprès de la FINMA, préalablement à l’envoi du dossier officiel. Lors de son étude, la FINMA peut exiger l’établissement d’un rapport d’audit avant d’accorder ou pas la licence FinTech.

3 – Quels sont les enjeux pour les sociétés FinTechs suisses qui possèdent la licence 1b LB ?

Ce dispositif implique que les FinTechs qui détiennent cette licence se soucient en permanence de respecter la réglementation qui leur est applicable. Le recours à une solution RegTech comme e-Reg facilite grandement la chose.

3.1 – Une maîtrise nécessaire par les FinTechs suisses des exigences réglementaires qui les concernent

Une FinTech suisse qui obtient la licence auprès de la FINMA doit respecter un sous-ensemble des exigences de lla réglementation bancaire. Seul un sous-ensemble des exigences réglementaires s’applique. C’est donc capital de savoir parfaitement identifier ce qui est pertinent. Par ailleurs, disposer d’une vue complète des textes et du contexte semble préférable.  

3.2 – Un besoin des fonctionnalités RegTech pour gérer les exigences de la licence Fintech

Ces entreprises qui détiennent l’autorisation FinTech ont tout à gagner à s’équiper d’une solution SaaS du type RegTech pour gérer la réglementation financière. C’est exactement ce que la plateforme e-Reg apporte à ces professionnels de la finance et de la technologie. Voici un tour d’horizon des tendances et fonctionnalités RegTech les plus appropriées pour ces FinTechs.

a – Recherche réglementaire et gestion documentaire des travaux

Nous l’avons détaillé dans un article spécial : la recherche réglementaire et la RegTech constituent un réel combo gagnant en Suisse. L’emploi de ce type d’outil simplifie la complexité de la réglementation bancaire pour les licences FinTechs. Avec e-Reg, les collaborateurs de ces structures de la Tech peuvent :

• identifier et accéder à la réglementation applicable, notamment grâce à l’étude du contexte systématiquement proposé par l’outil ;
• analyser et ajouter des commentaires dans l’application, et donc documenter leurs travaux ;
• suivre les analyses, commentaires et actions dans un dashboard interne, voire exporter les données sur Excel.

b – Documentation des procédures internes de la FinTech en matière d’exigences réglementaires

Toute entité RegTech régulée doit se soumettre aux audits et requêtes de l’autorité prudentielle. C’est donc capital de savoir expliquer comment elle s’organise pour répondre à toutes les exigences réglementaires. C’est le type de fonctionnalités proposées par e-Reg :

• Piloter la formation en réglementation bancaire, gérer les données, les connaissances et le savoir, notamment au travers de bibliothèques numériques.
• Y agréger la réglementation interne propre à la FinTech (politiques, directives, procédures, etc.).
• Personnaliser les réglementations selon les besoins de la FinTech (module de réglementation interne à la start-up disponible en option).

c – Un outil pour la documentation et les études en matière réglementaire au sein de la FinTech

La RegTech avec e-Reg, c’est aussi un outil pour documenter les analyses effectuées afin d’identifier ce qui doit se mettre en œuvre ou pas dans la FinTech. La fonctionnalité de gestion de projets réglementaires facilite le suivi des actions à réaliser. D’ailleurs, notre solution en ligne aide aussi dans le cadre de consultations réglementaires ou d‘analyse d’impact.

4 – FinTech et RegTech, deux alliés naturels qui exploitent la technologie

Le fonctionnement de la RegTech entre par définition dans le business model des entreprises FinTechs. Ces deux catégories de sociétés sont issues de la même école. Elles exploitent toutes les deux la technologie et l’innovation pour la croissance de leurs activités et la proposition de produits ou services. Elles interviennent dans le même domaine d’activité, la finance. Elles présentent donc une similarité et une complémentarité qui doivent les conduire à collaborer naturellement.

Une solution RegTech comme e-Reg constitue un outil numérique qui facilite la gestion de la réglementation pour une licence FinTech. Elle s’inscrit exactement dans l’esprit du secteur FinTech, qui justement exploite aussi l’IA, le machine learning, etc. Envie d’échanger avec Enrico Giacoletto, le CEO d’EasyReg et fondateur d’e-Reg ? Organisez directement votre rendez-vous de 30 minutes sur son Calendly.

 

Les investisseurs cherchent à identifier des entreprises ou produits financiers durables ou responsables. Mais comment mesurer la durabilité ? Comment s’assurer d’orienter ses investissements dans des actions en faveur de l’environnement ou qui limitent les risques financiers liés à la nature ?

C’est tout l’enjeu des publications de données non financières. Elles visent à informer l’investisseur. Ces sujets d’actualité progressent en permanence grâce aux travaux d’organismes internationaux et à l’émission de standards ou de normes. Nous vous proposons dans cet article un panorama des normes ESG en vigueur et des instances à connaître. Nous évoquons aussi les positions de la Suisse et les évolutions probables de la réglementation.

1 – Normes ESG : de quoi parle-t-on ?

L’acronyme ESG signifie environnemental, social et gouvernance. Ce terme se rencontre désormais partout dans les entreprises ainsi que dans le secteur de la finance et de la banque. Ce sont les critères non financiers que revêtent des activités économiques ou des investissements et qui impactent l’environnement ou l’ensemble de la société.

1.1 – Définition des critères ESG

Les trois dimensions ESG servent à évaluer la durabilité (sustainabilty ou soutenabilité), soit la démarche RSE (responsabilité sociétale des entreprises). Ce sont donc des indicateurs pour suivre les effets des activités économiques d’une entité sur l’environnement et sur l’ensemble de la société.

1.1.1 – Axe environnemental

Ces critères ESG concernent les impacts sur le changement climatique, l’utilisation des ressources sur la terre et les émissions de gaz à effet de serre (GES). Ils mesurent aussi des aspects comme la pollution ou le traitement des déchets.

1.1.2 – Axe social ou sociétal

D’autres indicateurs ESG évaluent les impacts d’une activité économique sur les hommes, qu’il s’agisse des salariés, des clients ou des fournisseurs :

• conditions de travail, sécurité et santé dans les entreprises ;
• droits de l’homme ;
• communication, relations entre les salariés, implication dans la communauté, etc.

1.1.3 – Axe de la gouvernance

Ce troisième axe des critères ESG s’intéresse à la manière dont une entreprise est gérée et administrée : 

• les relations avec les actionnaires, les organes de direction et le conseil d’administration ;
• les échelles de rémunération et la transparence en la matière ;
• la politique anti-corruption ;
• l’éthique fiscale, etc. 

1.2 – Les normes ESG, une manière de poser un cadre pour mesurer la finance durable et responsable

L’ensemble des critères ESG aide l’investisseur dans ses choix financiers, grâce à l’intégration de données non financières afin d’évaluer la performance globale. Le fait d’adopter une stratégie d’investissement responsable doit générer plus de valeur pour la société à long terme.

Comment mesurer ces facteurs ESG ? Comment éviter le greenwashing ou écoblanchiment ? Ce sont des problématiques auxquelles sont confrontés notamment les acteurs de la finance verte. C’est pourquoi des normes ESG ont surgi au niveau international afin de fournir un cadre formel au reporting de données non financières.

2 – Quels sont les standards internationaux et non européens de publication d’informations non financières ?

Les services de l’entreprise chargés de la gestion des reportings doivent s’intéresser régulièrement à l’évolution de la réglementation en matière de publication et de normes ESG. Certaines sociétés doivent appliquer des dispositions légales. D’autres adoptent ces standards de façon facultative, afin de mettre en avant leur politique RSE. Les normes facilitent l’apport d’information utile aux fonds communs de placement, sociétés de courtage et banques qui proposent des produits de finance durable. Citons par exemple les besoins d’indicateurs pour les ISR (investissements socialement responsables).

2.1 – Le Global Reporting Initiative (GRI)

Le GRI est une organisation internationale indépendante qui existe depuis 1997. Elle vise à accompagner et aider les acteurs économiques, institutions et gouvernements dans l’information relative à la gestion durable et responsable. Aussi, le GRI a émis des standards ESG :

• les normes universelles applicables à toutes les entités dans le monde ;
• les normes sectorielles pour certains secteurs d’activité spécifiques, avec la prise en compte d’un contexte donné ;
• les normes thématiques qui s’intéressent à un impact particulier, comme les droits de l’homme ou les émissions carbone.  

2.2 – Le sustainability accounting standards board (SASB)

Le SASB est un autre système de référence utile pour les reportings de données non financières de type ESG. Il apporte des solutions pratiques pour 77 industries spécifiques. Il facilite la comparaison entre les sociétés d’un même secteur d’activité.

Désormais, les SASB Standards font partie d’IFRS Foundation, comme mentionné sous leur logo sur leur site web. Ainsi, l’International Sustainability Standards Board (ISSB) de l’International Financial Reporting Standards (IFRS) Foundation encourage les acteurs économiques à continuer d’utiliser les standards SASB. La fondation IFRS travaille en parallèle à la préparation de ses propres futures normes Sustainability Disclosure Standards.

2.3 – La Task Force on Climate-related Financial Disclosures (TCFD), un organisme dissous depuis fin 2023

Le Conseil de stabilité financière (Financial Stability Board ou FSB) a créé la TCFD afin d’émettre des recommandations en matière de reporting relatif au changement climatique. Les informations visent à estimer comment le climat peut affecter les performances et à réaliser l’analyse et l’évaluation des risques induits.

La TCFD a publié son rapport d’étape en octobre 2023. Aussi, l’organisation a rempli ses objectifs et est désormais dissoute. Le FSB a confié à la fondation IFRS le suivi et l’évolution de ces critères ESG liés au climat. Le site web du TCFD reste accessible en termes de ressources documentaires.

2.4 – IFRS : un projet de normes ESG

Comme évoqué, la fondation IFRS ambitionne d’établir ses propres standards et normes ESG appelés Sustainability Disclosure Standards. D’ailleurs, en juin 2023, l’ISSB a déjà publié les deux premières normes IFRS liées à la durabilité : 

• IFRS S1 – Exigences générales relatives aux informations à fournir sur le développement durable ;
• IFRS S2 – Informations à fournir sur le climat.

3 – Normes ESG de l’Union européenne

L’Union européenne n’est pas en reste en matière d’obligations et de directives du type ESG. Voici un zoom utile sur les normes européennes pour deux raisons :

• les standards RSE européens impactent directement certaines entreprises suisses ;
• la Suisse est en train d’adapter certaines de ces mesures.

3.1 – La publication d’informations non financières du type NFRD

La directive 2014/95/EU date de 2014. Elle est entrée en vigueur en 2018. C’est la première obligation de publication d’informations non financières qui s’impose à des entreprises de l’Union européenne. NFRD signifie Non Financial Reporting Directive. Elle constitue la première norme ESG. Elle pose un cadre aux entreprises afin de communiquer sur les critères non financiers, mais aussi environnementaux, sociaux et de gouvernance.

Cette étape dans l’information durable a concerné environ 11 000 structures dans l’UE. Mais, cette directive a montré ses limites. C’est pourquoi la réglementation CSRD la remplace depuis peu.

3.2 – La directive CSRD de 2022

La directive européenne 2022/2464/EU Corporate Sustainability Reporting Directive (CSRD) se substitue à la directive précédente NFRD. Elle apporte de nouvelles normes pour l’information extra-financière. Elle doit aider les entreprises à se doter des moyens afin d‘atteindre les objectifs fixés par l’UE en matière de réduction des émissions carbone (Green Deal).

La nouvelle directive doit aider à mieux identifier les entreprises qui œuvrent pour le développement durable à partir de critères ESG. L’entrée en vigueur s’effectue progressivement, notamment en fonction de la taille des sociétés, y compris pour les petites et moyennes entreprises cotées en bourse.

La nouvelle directive CSRD conduit pour la première fois à une double matérialité, par rapport à la réglementation antérieure. Ainsi, elle oblige à mesurer  :

• la matérialité financière, soit les opportunités ou risques qu’un environnement économique, environnemental ou social peut générer pour la performance d’une entreprise ;
• la matérialité socio-environnementale, soit les impacts positifs comme négatifs d’une entreprise, tant sur l’environnement que sur la société. 

3.3 – L’European Sustainability Reporting Standards (ESRS) : des normes d’information en matière de durabilité

Le 31 juillet 2023, c’est au tour de la Commission européenne d’adopter ses normes pour mesurer la durabilité des entreprises : les ESRS. Ces normes ESG servent à mettre concrètement en application la directive CSRD.

C’est une pierre supplémentaire à l’édifice normatif européen en termes de finance durable. Des échanges avec l’ISSB et le GRI ont précédé l’émission de ces normes. L’objectif consiste à :

• atteindre un bon niveau d’interopérabilité entre ces normes régionales (UE) et internationales ;
• éviter des déclarations ou informations en double pour les entreprises.

3.4 – ESRS : une évolution vers des normes mondiales ou pas ?

Ces dernières années, plusieurs publications évoquent une volonté d’accélérer la normalisation des rapports financiers. Elles montrent des convergences entre les normes ESG internationales des différents organismes. C’est le cas entre le GRI, la fondation IFRS, le SASB et les ESRS, comme nous l’avons expliqué. En outre, les ESRS apportent une normalisation applicable dans une grande zone géographique du monde. L’avenir dira si ce schéma européen s’imposera ou pas comme le cadre de référence pour tous les acteurs économiques mondiaux.

4 – Quelles sources d’inspirations internationales existent en matière de risques financiers liés à la nature ?

Plus particulièrement, attachons-nous maintenant à identifier les organismes qui agissent en matière de finance verte et de risques financiers liés à la nature. C’est un sujet qui prend de plus en plus d’ampleur du fait du changement climatique et de la mise en danger de la biodiversité.

4.1 – Le Network of Central Banks and Supervisors for Greening the Financial System (NGFS)

Cette organisation signifie en français “réseau pour le verdissement du système financier”. Elle comprend des banques centrales et des superviseurs financiers. Le NGFS émet des recommandations aux établissements financiers concernant leur rôle sur le plan du changement climatique.

Dans son rapport d’étape daté de 2018, le NGFS écrit que «les risques liés au climat sont une source de risques financiers». Il ajoute qu’il «appartient par conséquent aux banques centrales et aux superviseurs, dans le cadre de leur mandat, de veiller à la

résilience du système financier face à ces risques».

4.2 – Des sources d’inspiration et d’information en matière de risques financiers liés à la nature

Voici quelques organismes cités par la FINMA dans son rapport explicatif relatif au projet de circulaire sur les risques financiers liés à la nature.

4.2.1 – L’IPBES (Intergovernmental platform on biodiversity and ecosystem service)

Cette organisation existe depuis 2012. Plusieurs États membres de l’Organisation des Nations unies (ONU) se sont réunis autour des enjeux ESG afin :

• de réaliser des évaluations par thématique, domaine ou zone dans le monde ; 
• d’identifier des outils et méthodes pour déployer des politiques ESG ;
• de renforcer les connaissances et les capacités des États membres ;
• de sensibiliser et informer sur les travaux réalisés par l’IPBES.

4.2.2 – Intergovernmental panel on climate change (IPCC) ou GIEC en français

Cet organisme constitue le groupe intergouvernemental d’experts sur l’évolution du climat (GIEC). C’est donc un organe des Nations Unies chargé de réaliser les évaluations de données scientifiques concernant le changement climatique.

4.2.3 – International Sustainability Standards Board (ISSB) de l’International Financial Reporting Standards (IFRS) Foundation

Nous avons déjà évoqué cet organisme ISSB que l’on peut traduire en français par Conseil international des normes de durabilité. Sa création émane de la fondation IFRS. C’est une annonce réalisée en 2021 lors de la 26e Conférence des Nations Unies sur les changements climatiques, la COP 26. L’objectif de l’ISSB consiste à construire des normes relatives à l’information en matière de développement durable. Ces standards ESG démarrent par le signe IFRS-S, le S signifiant sustainability.

4.2.4 – Task Force on Climate-related Financial Disclosures (TCFD)

Nous avons déjà évoqué le TCFD dans une partie précédente de l’article. La dissolution de cet organisme est prononcée fin 2023, une fois émises les recommandations en matière de reporting sur le changement climatique. C’est la fondation IFRS qui reprend le suivi de ces travaux.

4.2.5 – Task Force on Nature-related Financial Disclosures (TNFD)

Ce groupe de travail comprend 40 membres issus d’institutions financières mondiales ou d’organismes gouvernementaux. La TNFD élabore des recommandations autour des risques liés à la nature, tant pour leur gestion, leur évaluation que pour l’établissement de reportings. La TNFD ne se concentre pas uniquement sur le changement climatique, contrairement à la TCFD.

5 – Comment la Suisse fait-elle évoluer sa réglementation sur le plan des normes et standards ESG ?

Par rapport à l’ensemble de ces standards et normes internationales en matière d’ESG, comment la Suisse agit-elle ? Quel est le niveau d’intégration des processus environnementaux, sociaux et de gouvernance dans les travaux de normalisation ? Quelles réglementations s’appliquent déjà ? Existe-t-il des projets d’évolution pour les entreprises et aussi pour le secteur bancaire ? Voici un tour d’horizon.

5.1 – Position du Conseil fédéral et plans d’action RSE

La Confédération évoque la responsabilité sociétale des entreprises et affirme qu’elle “attend des sociétés établies ou actives en Suisse qu’elles assument leur responsabilité, en Suisse comme à l’étranger, conformément aux normes et directives RSE internationalement reconnues”. Plusieurs plans d’action RSE du Conseil fédéral se sont succédé depuis 2015. Le dernier en date couvre la période 2020-2023.

5.2 – Obligation d’informations non financières en Suisse

Le code des obligations impose aux entreprises de communiquer :

• Sur les sujets environnementaux et de travail, la lutte contre la corruption ainsi que les droits de l’homme, cela en ligne avec la directive européenne 2014/95/UE, soit les dispositions NFRD.
• Et de faire diligence, concernant les minerais de conflit et le travail des enfants liés à l’importation de produits ou services.

L’ordonnance relative au rapport sur les questions climatiques précise les modalités à respecter pour construire ce document destiné à rendre compte de cette thématique climat.

5.3 – Des exigences réglementaires qui émanent de la FINMA

La FINMA aussi avance en matière de normalisation pour la finance durable, la finance verte, la lutte contre l’écoblanchiment ainsi que les risques financiers liés à la nature. Voici quelques textes réglementaires adoptés ou en cours d’élaboration. La communication du 4 décembre 2023 “la FINMA met en œuvre les recommandations du NGFS” fournit également une vue d’ensemble.

5.3.1 – Future circulaire FINMA relative aux risques financiers liés à la nature

Les risques financiers liés à la nature font l’objet d’une audition publique qui s’étend jusqu’au 31 mars 2024. La FINMA aligne sa définition de ces risques sur celle émise par le NGFS. Anciennement risque émergent, ce sujet en sort donc, du fait de la création en cours d’une réglementation spécifique.

5.3.2 – Obligations de transparence en matière de risques climatiques

La FINMA a révisé plusieurs circulaires en vue de rendre obligatoire l’information du public par les banques et assurances sur les risques en matière de climat. Ainsi, les publications suivantes sont impactées à compter du 1er juillet 2021 :

• Publication – banques ;
• Publication – assureurs.

Notez que les textes prévoient une proportionnalité de la réglementation, car seules les entités des catégories de surveillance 1 et 2 sont concernées dans un premier temps.

5.4 – Une évolution naturelle vers les normes ESG européennes ?

Comme évoqué, le Conseil fédéral souhaite avancer dans le domaine de la RSE en s’appuyant sur les normes internationalement reconnues. Le Code des obligations comporte désormais des exigences d’informations non financières qui rejoignent la directive NFRD de l’Union européenne. Même si pour le moment, aucune disposition réglementaire suisse n’implique de suivre la directive CSRD, les impacts sur les entreprises suisses existent déjà pour deux raisons. Le processus est en marche, voici pourquoi.

5.4.1 – Pourquoi les normes ESG européennes s’appliquent-elles obligatoirement à certaines entreprises suisses ?

Les textes européens s’imposent parfois à certaines structures non européennes, donc suisses notamment. C’est le cas :

• si elles vendent plus de 150 millions d’euros avec des pays de l’UE ;
• ou si elles détiennent une succursale ou une filiale, dans le cas de dépassement des seuils prévus par la loi.

5.4.2 – Pourquoi la directive CSRD concerne-t-elle bien plus d’entreprises suisses ?

Même sans obligation légale, les dispositions CSRD vont entraîner des conséquences significatives en Suisse. Les entreprises situées dans l’Union européenne qui y sont soumises exigent de leurs fournisseurs suisses la production de critères ESG, comme la fourniture d’un bilan carbone. Vu les volumes d’échanges entre la Suisse et ces pays, les normes ESG selon le format européen vont peu à peu entrer dans la stratégie des entreprises helvétiques.

Les normes ESG : une tendance mondiale à la convergence qui s’accroît

La finance durable exige de respecter des normes et standards reconnus, voire imposés par la réglementation, afin de communiquer les informations non financières pertinentes aux investisseurs. Les banques se situent en première ligne en termes d’ISR (investissement socialement responsable). Les financial services ont tout intérêt à soigner leur veille et leur recherche réglementaire en Suisse, comme auprès des instances internationales. Chez EasyReg, nous leur offrons avec notre solution RegTech, de nombreuses fonctionnalités qui leur facilitent cette tâche.

Les enjeux du changement climatique et de ses impacts sur la biodiversité ont conduit à créer un concept nouveau, celui de la finance verte. D’autres termes comme la finance durable existent, mais la distinction s’impose. L’apparition des investissements verts a entraîné des ajustements afin de lutter contre le greenwashing, une technique de stratégie verte qui n’en porte que le nom. Des normes et réglementations ont surgi dans le secteur bancaire mondial, européen ou suisse. Et ce n’est pas fini ! Nous vous proposons dans cet article un panorama complet sur la finance verte, sa naissance et son évolution.

1 – Qu’est-ce que la finance verte ?

La finance verte (green finance) ne doit pas être confondue avec la finance durable (sustainable finance). Elle constitue en réalité un des trois axes d’une stratégie basée sur la durabilité.

1.1 – Définition de la finance verte

Ce concept recouvre toutes les actions financières ou opérations d’investissement et de financement qui aident à la transition écologique et énergétique. Elles participent à la lutte contre le réchauffement climatique. Entrent par exemple dans cette catégorie les obligations vertes pour le financement de projets à but écologique ou le marché au carbone, afin d’échanger des droits à polluer.

L’organisation internationale de normalisation (ISO) écrit ainsi que la finance verte “désigne des activités liées aux interactions réciproques entre l’environnement d’une part, la finance et l’investissement d’autre part”.

1.2 – La finance verte s’insère dans la finance durable

La finance verte constitue un des axes de la finance durable. Le terme français de durable provient de l’expression anglaise “sustainable” que nous pouvons traduire aussi par “soutenable”.

Ainsi la finance durable recouvre les pratiques financières et d’investissement susceptibles de concilier la performance économique et des impacts positifs sur le plan environnemental, social et de la gouvernance.

Voici les trois axes de la finance durable :

1. La finance verte concerne des projets qui répondent à des enjeux énergétiques ou climatiques.
2. La finance solidaire correspond à des projets d’utilité sociale comme le microcrédit ou des actions de réinsertion. La rentabilité ne constitue pas la priorité.
3. La finance responsable (ou socialement responsable) englobe des projets qui favorisent les investissements socialement responsables (ISR). Ils doivent respecter les critères environnementaux, sociaux et de gouvernance (ESG).

L’objectif de la finance durable consiste à contribuer à bâtir une planète plus durable ou pérenne. Les financeurs sont supposés orienter les financements vers des actions à l’impact positif sur le long terme.

2 – Quelles sont les origines des notions de finance verte et de finance durable ?

Qu’est-ce qui a conduit le monde de la finance à concevoir ces nouveaux concepts ? Des prémices existaient depuis des siècles. Puis, plusieurs événements mondiaux ont contribué à renforcer le concept de durabilité et aussi à rendre la finance plus green.

2.1 – Les fondements de la finance durable mondiale

Les origines de la finance durable remontent à la création du prêt à gage destiné à apporter une aide financière aux personnes démunies. C’était le rôle du Mont-de-piété, organisme créé à Paris en 1637.

La crise financière mondiale de 2008 a aussi contribué à accroître le besoin de transparence sur le plan des montages financiers. La volonté des acteurs de la finance est alors de rendre les opérations plus transparentes, notamment en matière de communication.

2.2 – Le rôle de l’ONU dans la construction des objectifs de développement durable mondiaux

L’organisation des Nations Unies fixe en 2015 une liste de 17 objectifs de développement durable (ODD) pour atteindre un monde plus pérenne. Ils comportent des volets pour :

• lutter contre les dérèglements du climat, la dégradation de l’environnement et la mise en danger de la biodiversité ;
• réduire les inégalités et la pauvreté ;
• améliorer la prospérité ;
• développer la paix et la justice.

Ainsi, le chapitre 6 des ODD concerne l’eau propre et l’assainissement. Le 7e traite de l’énergie propre à un coût abordable. Quant au 13e, il présente les mesures relatives à la lutte contre les changements climatiques. Enfin, les chapitres 14 et 15 portent sur les dispositions en faveur de la vie aquatique et terrestre, afin de préserver les ressources et la biodiversité.

2.3 – Création du NGFS en 2017

En 2017, le réseau mondial des banques centrales et des superviseurs chargé du verdissement du système financier voit le jour. Il porte le nom de NGFS ou Network for Greening the Financial System. Nous aurons l’occasion de détailler son rôle dans un prochain article sur les normes environnementales et de finance verte.

3 – Les enjeux de la finance verte mondiale

Les pratiques humaines et industrielles ont engendré des conséquences néfastes sur l’environnement. Les émissions de gaz à effet de serre au niveau mondial mettent en péril la stabilité climatique ainsi que la biodiversité. Il devient urgent d’agir, comme acté par les ODD en 2015.

3.1 – Le réchauffement climatique et le changement climatique

Les énergies consommées dans le monde représentent 73 % des émissions mondiales de gaz à effet de serre (GES). C’est le principal facteur du changement climatique. Le réchauffement mondial expliqué par l’activité humaine est estimé en 2017 à +1 degré par rapport à la période pré-industrielle. Quant au niveau de la mer, en moyenne, il s’est élevé de 20 cm depuis 1880. Les gaz à effet de serre ont doublé de 1990 à 2017.

De nombreux phénomènes climatiques comme des tsunamis, ouragans, inondations et séismes créent des dommages humains et matériels considérables sur la planète. Ainsi, plus de 1,3 million de personnes ont péri entre 1998 et 2017 pour des motifs de catastrophes naturelles.

Globalement, les mesures de l’ODD visent à contenir la hausse des températures mondiales en moyenne à 1,5 degré Celsius par rapport au niveau enregistré avant l’ère industrielle. Cet effort suppose de réduire les émissions de gaz à effet de serre presque de 50 % d’ici 2030, grâce à une économie bas-carbone.

Notons aussi que les 55 pays qui ont signé l’Accord de Paris entré en vigueur le 5 octobre 2016 poursuivent désormais un objectif de neutralité carbone pour 2050. La Suisse a ratifié ce texte en 2017 et s‘est engagée également à diminuer ses GES de 50 % d’ici 2030 (par rapport au niveau d’émission de 1990).

3.2 – Les risques sur la biodiversité

Les chapitres 14 et 15 des ODD mettent en avant l’importance de la biodiversité marine comme terrestre pour l’avenir et la survie de l’humanité. Les modes de gestion des espèces animales et végétales doivent être revus afin de compenser les effets observés du changement climatique. Les objectifs comprennent notamment d’ici 2020 ou 2030 : 

• la réduction de la pollution marine et la protection des écosystèmes marins ;
• l’abaissement de l’acidification des océans ;
• la réduction de la surpêche et la réglementation de la pêche ;
• la préservation et la restauration des écosystèmes terrestres et d’eau douce ;
• le développement d’une gestion durable des forêts ;
• la diminution de l’appauvrissement de la biodiversité.

3.3 – Le concept de finance verte pour appuyer la transition écologique

L’axe environnemental de la finance durable, donc la finance verte, a pris de l’importance ces dernières décennies, face au dérèglement climatique mondial et aux menaces sur la biodiversité. Il vise donc à soutenir des investissements en faveur de l’environnement. C’est une stratégie en ligne directe avec les objectifs mondiaux en vue de la transition écologique (ODD de l’ONU et Accord de Paris notamment).

4 – Des évolutions réglementaires autour de la finance verte en Suisse

Le développement d’offres de produits et services financiers dans le cadre de la finance verte a entraîné des dérives du type greenwashing. Les gouvernements et les régulateurs des pays ont dû intervenir pour encadrer progressivement la notion de finance verte. Et les évolutions ne sont pas terminées, en Suisse, dans l’Union européenne comme dans le monde entier.

4.1 – Finance durable : une volonté aussi d’accroître la transparence sur la communication des entreprises

Comme évoqué, la crise financière de 2008 a eu des effets sur la finance durable avec la volonté d’améliorer la transparence. En outre, les modes de consommation évoluent. Le consommateur recherche plus d’informations sur les produits financiers qu’il souscrit, placements ou crédits. Ce processus peut être rapproché des demandes d’étiquetage des produits en général sur le plan environnemental.

4.2 – Le greenwashing, une conséquence du développement de la finance durable

Notons toutefois que les offres bancaires ont parfois dû faire l’objet de recadrages. En effet, dans l’optique de suivre la demande des investisseurs et des entreprises en produits du type green, certains établissements ont pratiqué du greenwashing ou de l’écoblanchiment. Ce concept signifie que des acteurs (une banque ou un fonds d’investissement par exemple) cherchent à paraître plus respectueux de l’environnement qu’ils ne le sont réellement. La pratique peut comporter des informations mensongères ou des fausses promesses.

4.3 – Création de normes anti-greenwashing

Ces actions conduisent peu à peu à renforcer les exigences réglementaires pour l’ensemble du secteur bancaire. Toutes ces interventions des autorités prudentielles mondiales comme nationales contribuent à accroître la complexité de la réglementation financière.

Ainsi, la Suisse a mis en place des normes pour combattre l’écoblanchiment. La FINMA a publié une communication en mai 2021 relative à la surveillance en vue de prévenir et de lutter contre le greenwashing. Cette communication précise les attentes de la FINMA et le niveau de la pratique concernant les placements collectifs qui font mention de la durabilité des fonds et des établissements. Elle alerte aussi les prestataires de services financiers sur les risques de l’écoblanchiment dans leurs activités de conseil comme sur les points de vente.

Le Conseil fédéral annonce fin 2022 sa volonté d’organiser de nouvelles étapes dans la lutte contre l’écoblanchiment. Il souhaite qu’un produit dit durable présente systématiquement “un objectif de placement durable en plus d’un objectif purement financier”. L’accroissement des exigences réglementaires dans ce domaine fait finalement sortir le risque lié au greenwashing des risques émergents.

3.4 – Finance durable et réglementation bancaire : que dit la Suisse ?

Le concept de finance durable a conduit l’État à construire un cadre réglementaire. Ainsi, le 16 décembre 2022, le Conseil Fédéral a adopté le rapport sur la durabilité de la place financière. 15 mesures sont à déployer de 2022 à 2025. L’objectif affiché est de rester leader sur le plan mondial en matière de finance durable.

3.5 – Les risques financiers liés à la nature : un nouveau concept qui va accroître les normes dans les banques

Le dérèglement du climat et la mise en danger de la biodiversité comportent des nouveaux risques appelés risques financiers liés à la nature. Ces risques émergents ont également des conséquences pour les établissements bancaires. C’est la raison pour laquelle de nouvelles dispositions réglementaires sont en cours d’élaboration. Ainsi, la FINMA prépare une circulaire sur ce thème. Elle fait l’objet actuellement, début 2024, d’une audition publique.

Nous consacrerons un prochain article à l’ensemble des organismes et normes internationaux qui régissent la finance durable et en particulier la finance verte. Ces thématiques n’ont pas fini de faire parler d’elles. Le greenwashing, la catégorisation des investissements financiers, les risques liés à la nature, la publication d’informations non financières du type ESG, etc. voilà des sujets qui vont engendrer de nouvelles obligations réglementaires. Chez easyReg, nous nous faisons fort de vous accompagner dans cette transition en matière de gestion réglementaire, grâce à notre solution RegTech.

La prise de risque mesurée est au cœur de l’activité bancaire. Elle demande une rédaction des processus et une approbation par le conseil d’administration une fois par année. Cette formalisation écrite de l’appétit au risque repose sur les objectifs stratégiques de chaque banque. Elle permet de mesurer l’efficacité des actions menées pour les atteindre. Nous vous détaillons ce que revêt cette notion appelée plutôt “tolérance au risque” par les établissements bancaires suisses. Nous vous procurons les sources réglementaires qui la régissent ou l’évoquent. Enfin, nous apportons quelques conseils afin de préparer votre déclaration d’appétit pour le risque.

1 – Appétit et tolérance au risque : définitions et différences

Au niveau international, appétit et tolérance ne revêtent pas exactement la même signification.

1.1 – Risk appetite ou appétit au risque : définition

L’appétit au risque est la traduction littérale de l’expression anglaise “risk appetite”. Cette notion correspond au niveau de risque qu’une entité ou un groupe accepte de courir, selon les objectifs stratégiques retenus.

1.2 – Définition de l’appétit au risque selon le COSO 2 : une vision stratégique

Le COSO est le Committee of Sponsoring Organizations of the Treadway Commission. Cette structure qui fait référence mondialement en contrôle interne a défini la notion de risk appetite dans son document de juin 2017 intitulé “Enterprise Risk Management – Integration with Strategy and Performance”. Ainsi, le COSO considère que l’appétit au risque correspond au type et au niveau de risque qu’une organisation accepte de prendre, tout en créant de la valeur.

1.3 – Définition de la tolérance au risque : une mesure de la performance des objectifs stratégiques

À l’échelon mondial, la tolérance au risque est souvent distinguée de l’appétit au risque. Elle suppose de mesurer le niveau de risque qu’une entité accepte d’assumer. Par exemple, pour un investisseur, c’est le montant ou taux de pertes qu’il peut supporter, face à la volatilité des marchés financiers. Ce concept s’attache donc à fixer des indicateurs, métriques et barèmes pour évaluer l’atteinte des objectifs définis sur le plan stratégique par une entreprise, donc l’appétit au risque.

1.4 – Terminologie utilisée dans la réglementation financière suisse : la tolérance au risque

La réglementation suisse parle plutôt de tolérance au risque quand il s’agit d’évoquer le risk appetite. En quelque sorte, ce concept représente une manière de traduire la stratégie de l’établissement bancaire : quelle activité déployer et pour quel secteur, avec quel niveau de risque tolérable ? Ces éléments s’intègrent dans une déclaration d’appétit pour le risque, avec une délimitation claire tant sur le plan qualitatif que quantitatif de chaque activité ou service.

2 – Appétence au risque : exigences réglementaires en Suisse

Que dit la réglementation suisse sur le plan de l’appétence au risque ? Passons en revue la documentation qui traite du sujet ainsi que les textes réglementaires qui y font référence.

2.1 – Les textes qui régissent la notion d’appétit au risque

De nombreuses sources réglementaires évoquent ce concept et l’encadrent.

Que dit l’OB ?

L’Ordonnance sur les banques (OB) comporte un article 12 intitulé “séparation des fonctions et gestion des risques” qui fait référence à l’art. 3 al. 2 let. a, 3f et 3g de la loi sur les banques (LB). Ce texte explique que chaque établissement doit définir et documenter sa tolérance au risque.  

Que dit la circulaire FINMA 17/01 ?

La circulaire FINMA 17/01 précise que “la tolérance au risque inclut des considérations tant quantitatives que qualitatives concernant les principaux risques que l’établissement est prêt à assumer pour atteindre ses objectifs commerciaux stratégiques, compte tenu de sa planification des fonds propres et des liquidités”. Cette circulaire spécifie ensuite que la tolérance fait l’objet d’une fixation pour chaque catégorie de risques ainsi que pour l’ensemble de l’établissement si c’est pertinent.

Le cm 71 ajoute que “le contrôle des risques surveille le profil de risque de l’établissement, notamment à l’aune de la tolérance au risque et des limites posées en matière de risques définies par la politique de risque et les principes de gestion des risques à l’échelle de l’établissement.”

Que dit l’Oliq par exemple ?

L’appétit au risque doit couvrir tous les aspects de la stratégie de l’établissement financier ainsi que tous les risques pour lesquels la réglementation l’exige explicitement. C’est le cas par exemple du risque de liquidité.

En effet, l’ordonnance sur les liquidités des banques et des maisons de titres spécifie à l’article 6 les fonctions de direction, de contrôle et de pilotage. Voici les deux premiers alinéas :

• “une fois que les banques ont défini dans quelle mesure elles sont disposées à prendre des risques de liquidité (tolérance au risque de liquidité) ;
• elles définissent leurs stratégies de pilotage du risque de liquidité en conformité avec leur tolérance au risque de liquidité”.

La suite de l’article 6 spécifie que chaque banque doit tenir compte de ses coûts et de ses risques, pour chaque activité, lors de la fixation des prix ou le calcul des rendements de nouveaux produits.

Que dit la circulaire FINMA 15/02 relative au risque de liquidité ?

Cette circulaire a trait aux exigences qualitatives en matière de gestion du risque de liquidité et quantitatives en matière de détention des liquidités. La tolérance au risque de liquidité constitue le point de départ pour rendre les stratégies internes d’une banque opérationnelles : 

• gestion du risque de liquidité ;
• ensemble de directives relatives aux liquidités ;
• processus de surveillance et de pilotage des risques.

Que dit la circulaire FINMA 23/01 en matière de risque opérationnel ?

La circulaire précise que la gestion des risques opérationnels entre dans la gestion globale des risques d’une banque. Elle définit le rôle de l’organe responsable de la haute direction en termes de risques opérationnels. Ainsi, il doit approuver annuellement au minimum la tolérance aux différents types de risques opérationnels. Elle donne leur périmètre, soit notamment : 

• les risques du type cyber ;
• les risques TIC ;
• les risques qui surgissent tant lors de la conception que le déploiement du BCM ;
• les risques relatifs aux services transfrontaliers.

Que dit la communication FINMA sur la surveillance 05/2023 ?

Ce document relatif à l’analyse des risques de blanchiment et d’argent cite aussi le cm 53 de la circ.-FINMA 17/07 et rappelle l’importance que chaque établissement définisse correctement la tolérance au risque. Il souligne que ce concept doit également inclure les risques de blanchiment d’argent.

2.2 – Les textes de la réglementation qui prévoient une tolérance au risque

Vous souhaitez retrouver d’un coup d’un seul l’ensemble des textes réglementaires qui abordent cette notion de risk appetite ? Avec notre solution RegTech, e-Reg, rien de plus simple ! 

Utilisez la fonctionnalité de recherche réglementaire en saisissant dans le moteur le mot-clé “tolérance au risque”. Vous obtenez immédiatement tous les extraits de la réglementation qui y font référence :

3 – Rédaction de l’appétit au risque dans les banques suisses

Comment s’organiser pour rédiger l’appétit au risque d’un établissement ? Mieux vaut maîtriser l’ensemble du cadre réglementaire qui évoque ce concept et connaître tous les textes qui comportent des dispositions à mettre en place. C’est là que la solution RegTech peut grandement aider, notamment avec sa fonctionnalité de recherche réglementaire. 

3.1 – Les principes à analyser dans une banque afin de rédiger l’appétit au risque

Un établissement ou un groupe bancaire doit mettre en œuvre son appétence au risque en décrivant sa vision stratégique du métier, du business model et de sa cible de clients, dans un environnement de marché donné.

La déclaration d’appétit pour le risque s’élabore autour de principes comme :

• la description de l’organisation mise en place par la banque, services, métiers et produits et en fonction de la couverture géographique internationale, suisse ou cantonale ;
• la liste des activités et des marchés qui ne font pas partie de la stratégie ;
• la répartition des ressources en fonction de l’importance stratégique des activités (par exemple les limites pour les différents types de crédit) ;
• l’explication de l’organisation physique et virtuelle de la banque ;
• les fondements de la stratégie de croissance retenue ;
• la politique RSE et de finance verte ;
• l’implication dans la transformation technologique.

3.2 – Rédaction de l’appétit au risque en fonction des domaines

L’ensemble des risques sont à décrire et à délimiter, comme le risque  : 

• de crédit, en pensant aux effets de concentration (quelles politiques de crédit et de collatéral avec quels niveaux de risques) ;
• de contrepartie ;
• de marché ;
• de taux d’intérêt et de change ;
• opérationnel (il inclut la non-conformité ainsi que le risque de réputation) ;
• de liquidité ;
• de financement ;
• etc.

3.3 – Exemples de choix stratégiques d’une banque privée en matière de crédit hypothécaire

Une banque privée fait le choix stratégique de ne pas proposer de crédit hypothécaire. Elle dispose donc d’un appétit au risque nul pour les crédits hypothécaires. 

Inversement, une banque retail régionale choisit une autre stratégie. Elle offre uniquement des crédits hypothécaires aux clients de la région X et pour des crédits hypothécaires “normaux”. Par exemple, elle limite l’hypothèque à la valeur totale du crédit. Elle exclut les biens de “luxe” ou de rendement et elle agit seulement sur le taux d’avance maximal.

Une stratégie commerciale se traduit donc en différentes limites pour chaque typologie de risque. Ces limites permettent d’évaluer le respect de la stratégie de l’établissement. Elles rendent possible une analyse précise :

• du profil du risque pris (c’est-à-dire le niveau de risque actuel) ;
• et de sa conformité avec l’appétit au risque (le niveau de risque maximal visé).

Un dispositif d’appétit au risque suppose notamment pour les banques de maîtriser la réglementation qui s’applique. Quels que soient le scénario stratégique et les indicateurs retenus pour mesurer la résistance au risque, les services financiers trouvent dans notre plateforme RegTech, des outils adaptés à la rédaction de leur documentation en la matière. Pour mieux visualiser comment vous servir d’e-Reg pour un tel processus, inscrivez-vous pour une démonstration personnalisée de l’outil.