Chapitre 1 - L’administration centrale

Chapitre 1. L’administration centrale

1. Les établissements disposent au Luxembourg d’une solide administration centrale, comportant leur « centre de prise de décision » et leur « centre administratif ». L’administration centrale, qui englobe au sens large, les fonctions de direction et de gestion, d'exécution et de contrôle, permet à l’établissement d’avoir la maîtrise de l’ensemble de ses activités.

2. Le centre de prise de décision comprend la direction autorisée ainsi que les responsables des fonctions commerciales, des fonctions de support et de contrôle et des différentes unités opérationnelles existant à l'intérieur de l'établissement.

3. Le centre administratif comprend l’organisation administrative, comptable et informatique qui assure en permanence la bonne administration des valeurs et des biens, l'exécution adéquate des opérations, l'enregistrement correct et exhaustif des opérations et la production d'une information de gestion correcte, complète, pertinente, compréhensible et disponible sans délai.

4. Lorsque l’établissement est tête de groupe, l’administration centrale permet à l’établissement de concentrer en son siège à Luxembourg toute l’information de gestion nécessaire pour gérer, suivre et contrôler de façon continue les activités du groupe. De même, l’administration centrale permet à l’établissement d’atteindre toutes les entités juridiques et succursales qui composent le groupe afin de leur fournir toute l’information de gestion nécessaire. La notion d’information de gestion s’entend au sens le plus large, incluant l’information financière et le reporting légal.

16/647, 17/655, 20/750, 20/759, 21/785, 22/807 ET 24/860

Chapitre 2. Le dispositif de gouvernance interne

5. La gouvernance interne est une composante cruciale de la gouvernance d’entreprise, se concentrant sur la structure interne et l’organisation d’un établissement. La gouvernance d’entreprise est un concept plus vaste qui peut être décrit comme étant l’ensemble des relations entre un établissement, son organe de surveillance, sa direction autorisée, ses actionnaires et les autres parties prenantes.

6. La gouvernance interne doit assurer la gestion saine et prudente des activités, y compris des risques qui leur sont inhérents. Le dispositif de gouvernance interne comprend notamment :

• une structure organisationnelle et opérationnelle claire et cohérente comportant des pouvoirs de décision, des liens hiérarchiques et fonctionnels et un partage des responsabilités clairement définis, transparents, cohérents, complets et exempts de conflits d’intérêts ; • des mécanismes adéquats de contrôle interne qui répondent aux dispositions du chapitre 6 de cette partie. Ces mécanismes comprennent des procédures administratives, comptables et informatiques saines et des politiques et pratiques de rémunération permettant et promouvant une gestion saine et efficace des risques, en ligne avec la stratégie de l’établissement en matière de risques, ainsi que des mécanismes de contrôle et de sécurité des systèmes d’information de gestion. La notion de système d’information de gestion comprend les systèmes informatiques ; • un processus clair de prise de risques comprenant un appétit au risque formellement et précisément arrêté dans tous les domaines d’activité, un processus décisionnel rigoureux, des analyses de qualité et des limites ; • des processus de détection, de mesure, de déclaration, de gestion, d’atténuation et de contrôle des risques auxquels les établissements sont ou pourraient être exposés ; • un système d’information de gestion, y compris en matière de risques, ainsi qu’un dispositif de communication interne comprenant un dispositif interne d’alerte et de signalement des infractions (« whistleblowing »), qui permet au personnel de l’établissement d’attirer l'attention des responsables sur toutes leurs préoccupations importantes et légitimes liées à la gouvernance interne de l’établissement, au respect des politiques et procédures internes, du cadre réglementaire national et du droit de l’Union (conformément à la directive 2019/1937 sur la protection des personnes qui signalent des violations du droit de l’Union); • une procédure formelle d’escalade, de règlement et de sanction des problèmes, déficiences et irrégularités relevés par le biais des mécanismes de contrôle et d’alerte internes ;

16/647, 17/655, 20/750, 20/759, 21/785, 22/807 ET 24/860

• un dispositif de gestion de continuité des activités visant à limiter les risques de perturbation grave des activités et à assurer le maintien des opérations clés telles que définies par l’organe de surveillance sur proposition de la direction autorisée. Ce dispositif comprend un plan de continuité qui décrit les actions à mettre en œuvre afin de poursuivre les activités en cas d’incident ou sinistre ; • un dispositif de gestion de crises qui assure une capacité de réaction appropriée en cas de crise, y compris un plan de redressement conforme aux exigences du chapitre 2 de la partie IV de la LSF.

7. Tout établissement promeut une culture interne du risque et de la conformité qui vise à assurer que tout le personnel de l’établissement participe activement au contrôle interne ainsi qu’à la détection, à la déclaration et au contrôle des risques encourus par l’établissement et adopte une attitude positive à l’égard du contrôle interne.

Cette culture généralisée des risques et de la conformité, forte et omniprésente, doit également se refléter dans les stratégies, politiques et procédures de l’établissement, les formations proposées et les messages véhiculés aux membres du personnel en ce qui concerne la prise et la gestion des risques au sein de l’établissement. Une telle culture se caractérise par l’exemple donné par l’organe de direction (« tone from the top ») et implique la responsabilisation de tous les membres du personnel pour leurs actes et comportements, un dialogue ouvert et critique et l’absence d’incitation à une prise de risque inappropriée.