Quelles sont les contraintes spécifiques d’un établissement de crédit régulé dans le cadre d’une prestation de service essentielle externalisée (PSEE) ?

En tant que prestataire de services d’investissement (PSI), GDF SUEZ Trading doit répondre aux exigences de conformité du règlement Comité de réglementation bancaire et financière (CRBF) n° 97-02, notamment son article 37-02 qui précise la nature des relations contractuelles avec le délégataire (responsabilité du délégant, contrôle des prestations externalisées, respect de l’agrément délivré par les autorités de supervision, réversibilité du contrat, contrôle du délégataire par les autorités de supervision).

Ce sont des exigences fortes et précises qui nécessitent des procédures spécifiques, que ce soit en termes d’auditabilité, de transfert de responsabilités, de conformité, de qualité de service, etc.

Quelles sont les responsabilités respectives du délégant et du délégataire en matière de PSEE ?

La responsabilité finale face aux exigences de conformité demeure clairement chez le délégant. D’où la nécessité d’un dispositif de contrôle interne efficace et robuste quant au respect des obligations du délégataire. Il s’agit d’une obligation réglementaire pour le délégataire que d’avertir systématiquement le déléguant de l’intervention de sous-traitants tiers sur le périmètre de prestation essentielle externalisée qui lui a été confié. L’identification exhaustive des sous-traitants et la cartographie des acteurs sont clés afin de valider la répartition des responsabilités, notamment sur certaines zones frontières qui font intervenir plusieurs parties tiers.

Quelles activités jugeriez-vous « non externalisables » compte tenu de leur caractère stratégique ?

Tout ce qui concerne notre cœur de métier ! Autrement dit nos activités de trading et tout ce qui touche à la relation directe avec la clientèle et les marchés ou la gestion du risque dans le domaine de l’énergie. Les activités commerciales et de trading engagent directement GDF SUEZ Trading, et ses métiers, notamment le front office, sont en relation directe avec notre clientèle. Les activités potentiellement externalisables ne portent que sur certaines parties des activités des fonctions support.

Comment s’organise la relation avec le délégataire de prestations

La clé de voûte est le contrat. Ce dernier doit non seulement comporter les clauses juridiques permettant de répondre aux exigences de conformité réglementaire, aux attentes des différents métiers en termes de niveau de services souscrits, mais aussi en termes de gouvernance et d’indicateurs de pilotage de la relation. Ce type de contrat précise toujours qui fait quoi. Si vous prenez le cas des systèmes d’information (SI), nous avons toujours un responsable de la sécurité des systèmes d’information (RSSI) qui intervient en tant que correspondant privilégié afin de s’assurer de la robustesse du dispositif mis en place par le prestataire. Cela passe par une cartographie régulière des différents acteurs ou intervenants, une présence au comité de pilotage du prestataire, l’identification des zones de risques, l’accès à des indicateurs de suivi de performance et de qualité de service, etc. Certaines évolutions ou obligations de place, comme celles liées aux transferts interbancaires Swift par exemple, s’imposent au délégataire.

Quel dispositif mettez-vous en place pour assurer un pilotage efficace des PSEE ?

Nous nous nous appuyons sur un triptyque associant les aspects juridiques, la conformité et la compliance, et les responsables métiers. Cela passe par un certain nombre de procédures de contrôle et de supervision comme la présence de correspondants réguliers, notamment issus des directions métiers, auprès du délégataire. Ce dernier est également tenu de nous faire remonter régulièrement un certain nombre d’informations précises, y compris en cas de sous-traitance à des tiers. Nous devons alors en être systématiquement avisés, et connaître la manière dont le délégataire supervise ces éventuels sous-traitants.

En tant que directrice de l’Audit interne, quels sont les principaux points de contrôle de vos missions sur ces questions ?

Le rôle de l’Audit interne consiste à apporter un niveau de confort suffisant au Comité d’Audit et au management en réalisant une évaluation indépendante des processus externalisés et du dispositif de contrôle interne permettant d’encadrer les risques. En termes de méthodologie d’audit, nous nous conformons aux règles du guide de l’audit de l’Institut français des auditeurs et contrôleurs internes (IFACI), notamment à ses exigences concernant le niveau de qualité, les procédures suivies, la confidentialité, l’accès à l’information et l’assurance de la chaîne de responsabilités (en cas de prestataires ou de sous-traitants en cascade).

Qu’attendez-vous d’un éventuel recours à des cabinets de conseil extérieurs ?

Qu’ils apportent justement un regard « extérieur » et nous éclairent par rapport aux bonnes pratiques de place afin d’être force de proposition dans les axes d’amélioration possibles. Il est toujours intéressant de pouvoir se comparer à d’autres établissements soumis au même cadre régulé, tout en faisant bénéficier nos équipes d’une sorte de transfert de connaissances.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s