Rapport d'activités CSSF 2021

Gestionnaires de Fonds d'Investissement (GFI)

La CSSF a publié son rapport sur les activités et initiatives effectuées durant l’année 2021.

Elle reprend dans ce document les faiblesses identifiées lors de ses contrôles sur les Gestionnaires des Fonds d’Investissement (« GFI »), les textes réglementaires mis en place et les enjeux ciblés pour les années futures.

I - Gouvernance et fonctionnement de la CSSF

La CSSF vise à mettre au service du développement d’une finance durable ses systèmes informatiques à partir de la stratégie dénommée « Stratégie CSSF 4.0 ». Les acteurs financiers doivent intégrer dans leur modèle économique une démarche ESG afin de développer les talents et s’approprier la révolution digitale. Cette stratégie consiste à améliorer l’efficience informatique :

  • En digitalisant les échanges avec l’industrie : plus de standardisation, de rapidité, de transparence et de sécurité ;
  • En automatisant et robotisant les analyses sauf en cas de différences avec la norme ;
  • En agglomérant et analysant la donnée pour la restituer qualitativement aux partenaires.

 

La CSSF n’a pas l’intention de traiter l’innovation financière et la finance durable comme deux ensemble dépourvus de lien. Il faut prendre en considération les impacts et interdépendances des deux ensembles dans l’établissement et la mise en œuvre des règles les entourant. Les bénéfices et risques résultant de l’innovation financière doivent être analysés en considérant les objectifs poursuivis par la finance durable avec un dispositif solide de gouvernance interne pour soutenir un projet impliquant des actifs virtuels prenant en considération des critères de durabilité.

II - Surveillance des systèmes d’informations : résilience informatique

Le règlement européen a proposé le règlement « Digital Operational Resilience Act » (DORA) visant à développer un cadre réglementaire et de supervision unique pour la résilience numérique dans le secteur financier. Les mesures proposées portent sur la gouvernance des technologies de l’information et de la communication (TIC), la gestion des risques TIC, un processus harmonisé de notification des incidents TIC, des tests de résilience opérationnelle numérique (tests d’intrusion avancés, simulations de cyberattaques…), la gestion des risques liés aux prestataires tiers de services TIC et le partage d’informations. L’entrée en vigueur de ce texte est estimée à fin 2022.

Concernant les attentes et pratiques de la CSSF en matière de sous-traitance informatique, la CSSF a publié la circulaire CSSF 22/805 remplaçant l’obligation d’autorisation préalable par une notification préalable en cas de sous-traitance informatique matérielle. La CSSF a également finalisé la circulaire CSSF 22/806, entrée en vigueur le 30 juin 2022 portant sur l’externalisation regroupant les attentes de la CSSF concernant tous les types d’externalisation, y compris ceux informatiques.

III - Surveillance des GFI et des OPC

III.1. Environnement, Social et Gouvernance (ESG)

Le règlement (UE) 2020/852 sur l’établissement d’un cadre visant à favoriser les investissements durables (règlement Taxonomie) est entré en vigueur le 1er janvier 2022 pour les objectifs environnementaux d’atténuation du changement climatique et d’adaptation au changement climatique. Un communiqué de la CSSF a été publié sur la marche à suivre et une procédure facilitant la mise à jour de la documentation précontractuelle des OPCVM et FIA existants.  Les obligations incombant aux fonds d’investissement relatives au règlement Taxonomie pour les autres objectifs environnementaux, à savoir

  • (i) l’utilisation durable et la protection des ressources aquatiques et marines,
  • (ii) la transition vers une économie circulaire,
  • (iii) la prévention et la réduction de la pollution, et
  • (iv) la protection et la restauration de la biodiversité et des écosystèmes, entreront en vigueur le 1er janvier 2023.

 

La mise en conformité de l’activité des GFI et des fonds d’investissement avec les différents niveaux de législation communautaire dans le domaine de la finance durable constitue une priorité de supervision de la CSSF. Les normes techniques adoptées par la Commission Européenne en avril 2022, en cours d’examen par le Conseil et le Parlement européen, devraient en principe entrer en vigueur au 1er janvier 2023.

III.2. Opérationnalisation de la réforme sur le long form report

À la suite de la publication des circulaires CSSF 21/788, CSSF 21/789 et CSSF 21/790 concernant les GFI et les OPC, la CSSF poursuivra en 2022 ses travaux sur la réforme du long form report. Ces travaux concernent plus particulièrement l’intégration des nouveaux rapports introduits par ces circulaires dans les pratiques de la surveillance prudentielle basée sur les risques ainsi que le suivi de la mise en place pratique des nouvelles dispositions avec l’industrie et les REA.

III.3. Faiblesses constatées au sein des fonctions de contrôle interne

La CSSF a constaté des manquements concernant les fonctions de contrôle interne avec une prépondérance pour la fonction de gestion des risques. Des déficiences additionnelles ont été constatées en 2021 en matière de simulation de situation de crise.

La CSSF a également relevé que certains GFI ne s’impliquent pas suffisamment dans l’évaluation des portefeuilles-titres des fonds sous gestion et spécifiquement lorsque ces derniers contiennent des titres pour lesquels il n’existe pas de prix de marché disponible. À cet égard, la CSSF rappelle que tous les GFI doivent pouvoir démontrer que les portefeuilles des fonds gérés ont été évalués avec précision.

La CSSF a par ailleurs noté que le plan de contrôle de la fonction Compliance de certains GFI ne permet pas d’avoir une vue d’ensemble correcte des activités effectivement contrôlées et du risque évalué pour chaque activité.

III.4. Manquements relatifs à la supervision des activités déléguées

Dans le cadre des contrôles sur place dédiés à la gouvernance des GFI, la CSSF a constaté des déficiences en matière de supervision des délégataires, et notamment lors de la surveillance des intermédiaires en charge de la commercialisation. Ainsi, plusieurs GFI n’avaient pas mis en place un mécanisme de supervision adapté et proportionné à la taille de leur réseau de distribution.

La CSSF a également relevé des lacunes concernant l’exhaustivité et l’exactitude des politiques et des procédures au sein de plusieurs GFI. Certains GFI n’actualisent pas leurs politiques et procédures afin de tenir compte de l’évolution de leurs activités. À ce titre, la CSSF rappelle que le plus grand soin doit être apporté à la rédaction et la mise à jour du manuel de procédures qui est un élément essentiel permettant d’assurer le bon fonctionnement du GFI.

III.5. Faiblesses constatées lors des contrôles « Corporate Governance »

Les faiblesses les plus importantes au niveau des conseils d’administration et de leurs comités spécialisés concernent des déficiences relatives à la définition et à la mise en œuvre des principes directeurs régissant la nomination, l’évaluation initiale et continue et la succession des membres de l’organe de surveillance, à la gestion des conflits d’intérêts avérés et potentiels et, plus globalement, aux responsabilités qui incombent à l’organe de surveillance.

Des lacunes sur le fonctionnement et les responsabilités attribuées à la direction autorisée et aux comités de gestion ont également été constatées, notamment autour de la formalisation et la communication des décisions de gestion ou du dispositif de gouvernance interne, ainsi que l’implémentation des recommandations émises. Des conflits potentiels et avérés ont également été relevés par la CSSF dans l’allocation des responsabilités des directeurs autorisés et ne sont pas systématiquement centralisé par la fonction Compliance.

Des faiblesses relatives à la définition, l’approbation et l’implémentation de la politique de rémunération ou des stratégies commerciales des entités inspectées ont également été relevées. En 2022, la CSSF a prévu d’évaluer les écarts salariaux entre les hommes et les femmes au sein des organes de direction des entités surveillées.

Il a également été constaté que certaines chartes et politiques de compliance étaient incomplètes au niveau des rôles et responsabilités vis-à-vis des organes de gestion et de leurs succursales. Dans certains cas, les programmes de contrôle de la fonction Compliance étaient également incomplets ou ne prenaient pas en compte l’évaluation des risques compliance. Des manquements et des retards dans l’exécution des plans, du suivi des faiblesses ou dans le contenu des rapports ont été observés. De plus, un relevé de normes et réglementations n’a pas été systématiquement établi rendant la couverture de l’ensemble des risques compliance incomplète.

D’autres lacunes ont été observées dans la définition et complétude des indicateurs de limites et d’appétence aux risques, ainsi que des lacunes relatives à l’indépendance et l’objectivité de certains membres de la fonction d’audit interne ainsi que des déficiences dans le suivi des mesures correctrices par la fonction d’audit interne. Certains plans d’audit interne sont incomplets ou élaborés sans tenir compte d’une approche basée sur les risques. Enfin, des problématiques sur l’étendue des travaux réalisés, l’exhaustivité des faiblesses détectées ou la transmission d’informations correctes et pertinentes aux instances de gouvernance.

III.6. Faiblesses constatées lors des contrôles « Business Model & Profitability Assessment »

Les faiblesses constatées ont porté sur l’absence d’analyse de risque dans le cadre du lancement de nouveaux produits et activités ou une dépendance aux analyses du groupe sans considérer le contexte local.

Des écarts entre le plan d’affaires et la stratégie de l’institution ont été observés, avec dans certains cas un écart par rapport aux stratégies du groupe ou une trop grande dépendance à celles-ci. Plus globalement, une absence de documentation sur la définition de la stratégie a engendré des faiblesses dans l’implication de certaines fonctions, une absence de description du rôle de la direction ou l’absence d’indicateurs cibles.

III.7. Faiblesses constatées lors des contrôles « Risque Informatique »

Des lacunes ont été relevées concernant la sécurité informatique, notamment la gestion des systèmes d’informations obsolètes et leurs configurations afin de les protéger d’évènements malveillants, le contrôle des accès privilégiés, la gestion et remédiation des vulnérabilités critiques et la surveillance des évènements liés à la sécurité informatique.

D’autres lacunes observées concernent l’inventaire des actifs informatiques et la gestion des incidents informatiques, des non-conformités relatives à la PSD2, une faible/absence de couverture des risques informatiques, la continuité de l’activité dans son ensemble, des stratégies informatiques incomplètes ou incohérentes et le volet contractuel, ainsi que le suivi opérationnel de la sous-traitance informatique.

IV - Faiblesses et règlementations LBC/FT

IV.1. Faiblesses constatées

Une absence de contrôles visant à s’assurer de l’efficacité des outils de name matching utilisés par les professionnels a été constatée. Cette problématique aurait permis d’identifier certaines lacunes telles que des retards dans la mise à jour des listes officielles ou une « name matching ».

De plus, des faiblesses concernant les dispositifs mis en place permettant d’identifier la présence de clients parmi les articles de presse à caractère négatif, telles que OpenLux, FinCen Leaks ou encore Pandora Papers en 2021 ont été relevées.

Une absence de l’application de mesures de vigilance renforcées à des clients ou des intermédiaires présentant des facteurs de risque ont été relevés, des retards dans la revue périodique régulière des clients des manquements concernant l’obligation de déclaration à la CRF tout soupçon de BC/FT ont été relevés.

Au niveau du secteur de la gestion collective, d’autres faiblesses concernant l’évaluation des risques, des travaux effectués par le responsable du contrôle, des KPI permettant aux GFI d’effectuer le suivi continu des activités déléguées à des agents de registre et de transfert ou encore des manquements dans le suivi et le contrôle des risques fiscaux à l’activité de prêts de titres ont été relevées.

IV.2. Modifications du dispositif réglementaire LBC/FT

La Commission Européenne a publié le 20 juillet 2021 quatre propositions de réforme pour renforcer la LBC/F. Ces propositions concernent :

  • la création d’une nouvelle autorité européenne de LBC/FT (AMLA) avec des missions et pouvoirs spécifiques ;
  • un projet de directive visant à transposer dans le droit national des règles relatives aux autorités nationales de surveillance et aux CRF ;
  • un projet de règlement contenant des règles LBC/FT directement applicables au sein des états membres concernant la vigilance à l’égard de la clientèle et des bénéficiaires effectifs
  • une révision du règlement UE 2015/847 sur les transferts de fonds afin d’étendre le champ d’application aux transferts de crypto-actifs.

 

En plus de ces propositions, l’EBA a publié son “Opinion on the risks of money laundering and terrorist financing affecting the European Union’s financial sector” analysant les risques liés aux monnaies virtuelles, aux services fournis par des FinTech, sur les faiblesses dans les systèmes et contrôles LBC/FT, aux crimes fiscaux, ou encore à la pandémie COVID-19…

Au niveau du cadre luxembourgeois, quelques adoptions mineures ont été apportées via la loi du 25 février 2021 modifiant la loi du 12 novembre 2004 relative à la LBC/FT, à la loi du 25 mars 2020 instituant un registre des comptes de paiement et bancaires identifiés par un numéro IBAN et à la loi du 10 juillet 2020 instituant un registre des trusts et fiducies.

Plusieurs circulaires CSSF ont été adoptés :

  • La circulaire CSSF 21/788 apportant des lignes de conduite pour le secteur des placements collectifs sur l’exigence d’un rapport LBC/FT à établir par un réviseur d’entreprises agréé.
  • La circulaire CSSF 21/782 sur les orientations révisées par l’EBA des facteurs de risque BC/FT

 

La CSSF a également mis à jour les documents suivants :

  • le guide de bonne conduite du ministère des Finances concernant la mise en œuvre des sanctions financières et ses Questions/Réponses y relatives ;
  • les Questions/Réponses de la CSSF en matière de LBC/FT à l’attention des particuliers / investisseurs ;
  • les Questions / Réponses de la CSSF concernant les personnes impliquées dans la LBC/FT pour un fonds d’investissement ou un gestionnaire de fonds d’investissement luxembourgeois surveillé par la CSSF aux fins de la LBC/FT ;
  • les Questions / Réponses de la CSSF relatives à la complétion du formulaire « AML/CFT Market Entry Form » (pour les fonds d’investissement et les GFI) dans eDesk.

Découvrez nos autres publications :