Gestion des risques des directions de fonds et des gestionnaires de fortune collective : un aperçu de la communication sur la surveillance 04/2024 de la FINMA

Classement¹

_{¹ Il s'agit d'une présentation très simplifiée qui doit permettre une première classification rapide de la thématique. Chaque établissement devrait déterminer individuellement et concrètement la pertinence et le besoin concret d'agir.}

Mesures possibles dans le domaine de la gestion des risques opérationnels

La nouvelle communication prudentielle s'inspire fortement de la circulaire FINMA 2023/1 "Risques opérationnels et résilience", qui ne s'applique toutefois qu'aux banques et aux entreprises d'investissement. De nombreux principes énoncés dans cette circulaire se retrouvent également dans la nouvelle communication prudentielle, même si c'est sous une forme abrégée et simplifiée. En d'autres termes, les principes établis dans le secteur bancaire en matière de gestion des risques opérationnels doivent également être appliqués sous une forme réduite aux directions de fonds et aux gestionnaires de fortune de fonds collectifs. La FINMA rappelle aux établissements de ces catégories de surveillance qu'ils doivent satisfaire à des exigences appropriées en matière de gestion des risques afin d'éviter les points faibles. L'organe de direction suprême doit définir les principes de gestion de tous les risques importants auxquels l'établissement et les actifs qu'il gère sont exposés. Cela inclut la définition de la tolérance au risque et l'élaboration de directives, de procédures et de processus pour identifier, évaluer, gérer et surveiller les risques. La direction doit mettre en œuvre ces directives, désigner les fonctions appropriées et faire régulièrement rapport. Les deux organes de direction doivent réexaminer périodiquement leurs politiques et processus pour s'assurer de leur adéquation et de leur efficacité, notamment en cas de changement d'activité ou d'organisation.

Les mesures de la communication prudentielle relatives à la gestion des risques opérationnels sont réparties selon les domaines suivants :

• Gestion des risques liés aux TIC (technologies de l'information et de la communication)
• Gestion des risques liés aux données critiques
• Gestion des cyber-risques
• Gestion de la continuité des activités (BCM)
• Gestion des risques liés aux activités de services transfrontalières (cross-border)
• Gestion des risques opérationnels en cas d'externalisation

Attentes de la FINMA sur la base de son activité de surveillance et de la procédure d'autorisation

Dans le cadre de son activité de surveillance et de la procédure d'autorisation, la FINMA a identifié des domaines présentant un potentiel d'amélioration dans de nombreux établissements. Par exemple, chaque établissement devrait tenir un inventaire des principaux composants matériels et logiciels (inventaire TIC) et cet inventaire TIC devrait être régulièrement vérifié quant à son actualité et son exhaustivité. Il convient en outre de prévoir des mesures de gestion des cyber-risques qui garantissent, après une attaque, la reprise en temps utile des activités commerciales régulières ainsi que le respect des obligations de déclaration à la FINMA et, le cas échéant, au Préposé fédéral à la protection des données et à la transparence (voir également notre newsletter Cyber-attaques du 13 juillet 2024) . Les données critiques doivent être identifiées et des mesures de protection et des contrôles appropriés doivent être définis. Lors de la définition des données critiques d'un établissement, il convient d'adopter une approche globale qui englobe non seulement les données personnelles et les données clients, mais aussi toutes les données essentielles pour l'établissement. En outre, le plan de continuité des activités doit être vérifié et testé périodiquement, et des stratégies de communication claires doivent être définies en cas d'urgence. 

En ce qui concerne la gestion des risques juridiques et de conformité dans les opérations transfrontalières, l'établissement doit analyser le cadre juridique du pays concerné et prendre les mesures nécessaires pour réduire les risques. En outre, les domiciles des clients cibles doivent être intégrés dans l'analyse des risques de blanchiment d'argent et les situations juridiques pertinentes dans les pays respectifs doivent être suivies en permanence.

Lorsqu'il externalise la fonction de contrôle des risques, l'établissement devrait mettre l'accent sur les connaissances et l'expérience des prestataires de services en matière de gestion des risques opérationnels. Les activités essentielles devraient être enregistrées correctement et intégralement dans l'inventaire afin d'éviter les lacunes de contrôle.

Applicabilité et importance pour les gestionnaires de fortune et les trustees selon l'art. 17 LEFin

Outre les directions de fonds et les gestionnaires de fortune collective, la communication sur la surveillance ne s'adresse en principe pas aux autres établissements LEFin tels que les gestionnaires de fortune ou les trustees au sens de l'art. 17 LEFin, raison pour laquelle elle n'est pas directement applicable à ces derniers. Néanmoins, la communication prudentielle contient de nombreuses mesures qui, dans une moindre mesure et selon la taille, la complexité, la structure et le profil de risque de l'établissement, sont également utiles pour les établissements moins réglementés. Par exemple, des directives générales sur la gestion des risques opérationnels ou des directives en matière de cross-border et d'externalisation. Les chiffres marginaux relatifs à la gestion des cyber-risques et au BCM ne devraient pas non plus être négligés par les autres établissements LEFin.

Conclusion et perspectives

La communication sur la surveillance de la FINMA 04/2024 souligne une nouvelle fois les principales mesures dans le domaine de la gestion des risques opérationnels chez les directions de fonds et les gestionnaires de fortune collective. L'expérience montre que ces mesures peuvent être mises en œuvre à un coût raisonnable. Les autres établissements LEFin ne sont certes pas directement concernés, mais ils devraient clarifier, en fonction de la taille, de la complexité, de la structure et du profil de risque de leur établissement, dans quelle mesure la communication sur la surveillance est pertinent ou utile pour eux. 

Contacts