Les entreprises assujetties se dotent des moyens adaptés à la maîtrise des risques opérationnels, y compris juridiques.

Elles mettent en place des systèmes de surveillance et de maîtrise des risques, notamment de crédit et de contrepartie, résiduel, de concentration, de marché, de taux d'intérêt global, de base, d'intermédiation, de règlement-livraison, de liquidité, de titrisation, de levier excessif, ainsi que des risques systémiques, des risques liés au modèle, du risque opérationnel ou, le cas échéant, des risques pour les clients, pour le marché et pour l'entreprise au sens du règlement (UE) n° 2019/2033 précité, faisant apparaître des limites internes ainsi que les conditions dans lesquelles ces limites sont respectées.

Les entreprises assujetties ainsi que les compagnies financières holding, les entreprises mères de société de financement mentionnées à l'article L. 517-1 du code monétaire et financier et les compagnies financières holding mixtes mentionnées à l'article L. 517-4 du même code et les compagnies holding d'investissement mentionnées à l'article L. 517-4-3 du même code disposent en outre de systèmes de surveillance et de maîtrise des risques de crédit et de contrepartie, résiduel, de concentration, de marché, de taux d'intérêt global, de base, d'intermédiation, de règlement-livraison, de liquidité, de titrisation, de levier excessif, ainsi que des risques systémiques, des risques liés au modèle, de risque opérationnel ou, le cas échéant, des risques pour les clients, pour le marché et pour l'entreprise au sens du règlement (UE) n° 2019/2033 précité leur permettant d'appréhender ces risques sur une base consolidée ou, le cas échéant, sous-consolidée dans les conditions prévues à l'article 95.

Les entreprises assujetties procèdent à un réexamen régulier des systèmes de mesure des risques et de détermination des limites, afin d'en vérifier la pertinence au regard de l'évolution de l'activité, de l'environnement des marchés, de l'environnement économique en fonction du cycle d'activité ou des techniques d'analyse.

Les entreprises assujetties définissent des politiques d'approbation des nouveaux produits et changements significatifs recouvrant :

a) Les nouveaux produits et services ;

b) Les changements significatifs, pour cette entreprise ou pour le marché, à un produit, service ou processus existant et leurs systèmes associés ;

c) Les opérations de croissance interne et externe ;

d) Les transactions exceptionnelles.

Les entreprises assujetties mettent en place des systèmes et procédures assurant une analyse à la fois en amont et prospective des risques encourus lorsqu'elles décident de réaliser des opérations relatives à des nouveaux produits ou des changements significatifs listées au premier alinéa.

La fonction de gestion des risques produit, le cas échéant, une évaluation des risques selon des scénarios appropriés au regard de la significativité des risques induits par ces opérations.

Le dispositif de contrôle permanent permet de s'assurer :
a) Que l'analyse spécifique des risques a été conduite de manière rigoureuse et préalable ;
b) Que les procédures de mesure, de limite et de contrôle des risques encourus sont adéquates ;
c) Que, le cas échéant, les adaptations nécessaires des procédures en place ont été engagées ;
d) Qu'un suivi des risques, accompagné de moyens suffisants pour sa mise en œuvre, est mis en place.

Les systèmes de surveillance et de maîtrise des risques de crédit et de contrepartie, résiduel, de concentration, de marché, de taux d'intérêt global, de base, d'intermédiation, de règlement-livraison, de liquidité, de titrisation, de levier excessif, ainsi que des risques systémiques, des risques liés au modèle, du risque opérationnel ou, le cas échéant, des risques pour les clients, pour le marché et pour l'entreprise au sens du règlement (UE) n° 2019/2033 précité, comportent un dispositif de limites globales.

Pour les activités de marché, les limites globales sont définies par type de risque encouru.

Pour le risque d'intermédiation, les limites globales sont définies par entité juridique.

L'appétit pour le risque ainsi que les limites globales de risques qui en résultent sont fixées et revues, autant que nécessaire et au moins une fois par an, par les dirigeants effectifs et approuvées par l'organe de surveillance qui consulte, le cas échéant, le comité des risques, en tenant compte notamment des fonds propres de l'entreprise et, le cas échéant, des fonds propres consolidés ou sous-consolidés et de leur répartition au sein du groupe adaptée aux risques encourus.

Les limites opérationnelles, qui peuvent être fixées au niveau de différentes entités d'organisation interne, sont établies de manière cohérente avec les limites globales et l'appétit pour le risque mentionnés à l'article 224.

La détermination des différentes limites, globales et opérationnelles, est effectuée de façon homogène par rapport aux systèmes de mesure des risques.

Les entreprises assujetties se dotent de dispositifs permettant, selon des procédures formalisées :
a) De s'assurer en permanence du respect des procédures et des limites fixées ;
b) De procéder à l'analyse des causes du non-respect éventuel des procédures et des limites ;
c) D'informer les entités ou les personnes qui sont désignées à cet effet de l'ampleur de ces dépassements et des actions correctrices qui sont proposées ou entreprises.

Lorsque les limites sont réparties entre entités d'organisation interne ou entre entreprises incluses dans le champ de la consolidation ou, le cas échéant, de la sous-consolidation, et qu'elles sont susceptibles d'être atteintes, les entités concernées en réfèrent au niveau approprié de l'organisation dans le cadre de procédures formalisées.

Lorsque le suivi du respect des limites est contrôlé par un comité ad hoc, celui-ci est composé de responsables des unités opérationnelles, de représentants des dirigeants effectifs et de personnes choisies en raison de leur compétence dans le domaine du contrôle des risques et indépendantes des unités opérationnelles.

Les entreprises assujetties définissent des procédures d'information, à tout le moins trimestrielle, des dirigeants effectifs et, le cas échéant, du comité ad hoc mentionné à l'article 228, sur le respect des limites de risque, notamment lorsque les limites globales sont susceptibles d'être atteintes.
L'organe de surveillance des entreprises assujetties détermine les modalités de communication et de périodicité selon lesquelles les informations mentionnées au premier alinéa lui sont communiquées, ainsi que, le cas échéant, au comité des risques.

Les entreprises assujetties élaborent des états de synthèses adaptés pour la surveillance de leurs opérations, et notamment pour les informations destinées aux dirigeants effectifs, au comité ad hoc mentionné à l'article 228, à l'organe de surveillance et, le cas échéant, au comité des risques.
Ces états comportent des informations quantitatives et qualitatives, ces dernières permettant notamment d'expliciter la portée de mesures utilisées pour évaluer le niveau des risques encourus et fixer les limites.

Les entreprises assujetties s'assurent que toute prestation qui concourt de façon substantielle à la décision engageant l'entreprise vis-à-vis de sa clientèle à conclure une opération mentionnée aux trois premiers tirets du r de l'article 10 n'est externalisée qu'auprès de personnes agréées ou habilitées selon les normes de leur pays à exercer de telles activités.

Les entreprises assujetties informent l'Autorité de contrôle prudentiel et de résolution en cas de conclusion d'un contrat d'externalisation portant sur des prestations de services ou d'autres tâches opérationnelles essentielles ou importantes ou lorsqu'une activité externalisée est devenue une prestation de service ou une tâche opérationnelle essentielle ou importante en lui adressant, une fois par an, une extraction du registre mentionné à l'article 238.

Les établissements de paiement, les prestataires de services d'information sur les comptes et les établissements de monnaie électronique qui entendent externaliser des fonctions opérationnelles de services de paiement ou d'émission et de gestion de monnaie électronique en informent préalablement l'Autorité de contrôle prudentiel et de résolution.

Les entreprises assujetties qui recourent à des agents, dans les conditions du I de l'article L. 523-1 du code monétaire et financier, ou à des personnes en vue de distribuer, pour leur compte, de la monnaie électronique dans les conditions posées aux articles L. 525-8 et suivants du code monétaire et financier, s'assurent du respect des dispositions des articles 234 à 239, à l'exception du a et du c de l'article 239.

Les entreprises assujetties :
a) S'assurent que leur système de contrôle au sens de l'article 11 inclut leurs activités externalisées ;
b) Se dotent de dispositifs de contrôle, au sens de l'article 12, de leurs activités externalisées.

Lorsque l'entreprise assujettie recourt à un prestataire externe, auquel sont appliquées les dispositions du a de l'article 6, les dispositions prévues à l'article 234 sont intégrées dans le dispositif de contrôle interne sur base consolidée.
Ce dispositif peut prendre en compte la mesure dans laquelle l'entreprise assujettie contrôle le prestataire de services ou peut exercer une influence sur ses actions.

Lorsque l'entreprise assujettie recourt à un prestataire également assujetti au présent arrêté, son dispositif prend en compte les mesures effectivement prises, le cas échéant de concert, par les deux entreprises assujetties pour se conformer aux dispositions du présent arrêté et lui permettre de s'assurer ainsi du respect de ses propres obligations sur le fondement de ces mesures.

Les entreprises assujetties qui externalisent des prestations de services ou d'autres tâches opérationnelles essentielles ou importantes, au sens du q et du r de l'article 10, demeurent pleinement responsables du respect de toutes les obligations qui leur incombent.
Elles se conforment en particulier aux conditions suivantes :
a) L'externalisation n'entraîne aucune délégation de la responsabilité des dirigeants effectifs ;
b) Les relations de l'entreprise assujettie avec ses clients et ses obligations envers ceux-ci n'en sont pas modifiées ;
c) Les conditions que l'entreprise assujettie est tenue de remplir pour obtenir puis conserver son agrément ne sont pas altérées ;
d) Aucune des autres conditions auxquelles l'agrément de l'entreprise assujettie a été subordonné n'est supprimée ou modifiée ;
e) L'entreprise assujettie, qui conserve l'expertise nécessaire pour contrôler effectivement les prestations ou les tâches externalisées et gérer les risques associés à l'externalisation, contrôle ces prestations ou ces tâches et gère ces risques.

L'externalisation d'activité :

a) Donne lieu à une évaluation du risque encouru préalablement à la signature du contrat ;

b) Donne lieu à un contrat écrit entre le prestataire externe et l'entreprise assujettie ;

c) S'inscrit dans le cadre d'une politique formalisée de contrôle des prestataires externes définie par l'entreprise assujettie. Des mesures appropriées sont prises s'il apparaît que le prestataire de services risque de ne pas s'acquitter de ses tâches de manière efficace ou conforme aux obligations législatives ou réglementaires ;

d) Peut, si nécessaire, être interrompue sans que cela nuise à la continuité ou à la qualité des prestations de services aux clients.

Les entreprises assujetties tiennent et mettent à jour un registre des dispositifs d'externalisation en vigueur en distinguant les dispositifs d'externalisation portant sur des prestations de services ou des tâches opérationnelles essentielles ou importantes et les dispositifs d'externalisation d'autres activités.

Les entreprises assujetties s'assurent, dans leurs relations avec leurs prestataires externes, que ces derniers :
a) S'engagent sur un niveau de qualité répondant à un fonctionnement normal du service et, en cas d'incident, conduisant à recourir aux mécanismes de secours mentionnés au c ;
b) Assurent la protection des informations confidentielles ayant trait à l'entreprise assujettie et à ses clients ;
c) Mettent en œuvre des mécanismes de secours en cas de difficulté grave affectant la continuité du service. A défaut, les entreprises assujetties s'assurent que leur plan d'urgence et de poursuite d'activité tient compte de l'impossibilité pour le prestataire externe d'assurer sa prestation ;
d) Ne peuvent imposer une modification substantielle de la prestation qu'ils assurent sans l'accord préalable de l'entreprise assujettie ;
e) Se conforment aux procédures définies par l'entreprise assujettie concernant l'organisation et la mise en œuvre du contrôle des services qu'ils fournissent ;
f) Leur permettent, chaque fois que cela est nécessaire, l'accès, le cas échéant, sur place, à toute information sur les services mis à leur disposition, dans le respect des réglementations relatives à la communication d'informations ;
g) Les informent de tout événement susceptible d'avoir un impact sensible sur leur capacité à exercer les tâches externalisées de manière efficace et conforme à la législation en vigueur et aux exigences réglementaires ;
h) Acceptent que l'Autorité de contrôle prudentiel et de résolution ou toute autre autorité étrangère équivalente au sens des articles L. 632-7, L. 632-12 et L. 632-13 du code monétaire et financier ait accès aux informations sur les activités externalisées nécessaires à l'exercice de sa mission, y compris sur place.

Lorsqu'une entreprise assujettie, prestataire de services d'investissement, a recours, pour l'exercice de ses activités externalisées portant sur la gestion de portefeuille fournie à des clients non professionnels, à un prestataire externe situé dans un Etat non membre de l'Union européenne ou non partie à l'accord sur l'Espace économique européen, elle veille à ce que les conditions suivantes soient remplies :

- le prestataire de services est agréé ou enregistré dans son pays d'origine aux fins d'exercer le service de gestion de portefeuille pour le compte de tiers et fait l'objet d'une surveillance prudentielle ;
- un accord de coopération approprié entre l'Autorité de contrôle prudentiel et de résolution ou l'Autorité des marchés financiers et l'autorité compétente du prestataire de services existe.

Si l'une ou les deux conditions mentionnées aux deuxième et troisième alinéas ne sont pas remplies, le prestataire de services d'investissement ne peut externaliser le service de gestion de portefeuille en le confiant à un prestataire de services situé dans un Etat non partie à l'accord sur l'Espace économique européen qu'après avoir notifié le contrat d'externalisation à l'Autorité de contrôle prudentiel et de résolution. A défaut d'observations de la part de l'Autorité dans un délai de deux mois à compter de la notification, l'externalisation envisagée par le prestataire de services d'investissement peut être mise en œuvre.