Je dois mettre mon organisation luxembourgeoise en conformite à l'article III.1 du CSSF 12/552 (CSSF 12/552). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLa CSSF sanctionné rarement l'absence formelle de cadre de gestion des risques, elle sanctionné son caractère théorique. Le piège : avoir une politique de risque écrite, validée par l'organe de surveillance, mais incapable de produire en temps réel une vue agrégée des expositions, des dépassements de limites et des alertes. Lors des contrôles sur place, la CSSF demande systématiquement la preuve opérationnelle (logs d'alertes, tableaux de suivi des dépassements, traces d'escalade) et non la politique PDF. L'écart entre le déclaratif et l'opérationnel est ce qui déclenche les injonctions et, en cas de récidive, les sanctions administratives pécuniaires sur base de l'article 63 de la loi du 5 avril 1993.Les six défaillances que la CSSF identifié systématiquementCadre non exhaustif : certaines unités opérationnelles (succursales, filiales, activités de marché secondaires) échappent au périmètre de mesure, contrairement au point 1 de la section 1.1.1.Appétit au risque déconnecté des limites opérationnelles : le RAS (Risk Appetite Statement) parlé en pourcentages stratégiques, mais les limites quotidiennes du front-office ne s'y rattachent pas mathématiquement.Dispositif de dépassement sans escalade tracée : les dépassements sont régularisés par email, sans procédure formelle d'escalade vers la direction autorisée ni sanction documentée en cas de récidive.Évaluation externe non challengée : l'établissement s'appuie sur les notations externes ou les évaluations de la maison-mère sans analyse critique propre, en violation du point 5.Risques envers les parties liées non intégrés : les expositions intragroupe ne sont pas remontées dans le système d'information de gestion des risques.Absence de vue consolidée : impossibilité de produire en moins de 48h une vue agrégée des risques par entité juridique, par ligne métier et par catégorie de risque.Le standard de fait attendu par la CSSFLa CSSF aligne ses attentes sur les EBA Guidelines on Internal Governance (EBA/GL/2021/05) et sur les Guidelines on the SREP. Concrètement, le cadre de gestion des risques doit produire à la demande : un registre exhaustif des risques cartographiés, un tableau des limites avec consommation en temps réel, un journal des dépassements horodaté avec traces d'escalade, et un rapport ICAAP/ILAAP qui démontre la cohérence entre l'appétit au risque et la consommation effective de fonds propres et de liquidités.Comment Luxgap automatise ce risqueNotre Luxgap Risk Framework Sentinel transforme votre cadre de gestion des risques déclaratif en preuve opposable consultable par la CSSF en moins de 5 minutes. L'outil se connecte nativement à votre core banking (Olympic, T24, Avaloq, Sopra Banking), à votre système de limites (Murex, Calypso, Finastra), à votre GRC (ServiceNow, MetricStream, Archer) et à votre ERP (Sage BOB 50, SAP) pour reconstituer en continu la chaîne complète appétit au risque → limites opérationnelles → consommation effective → dépassements → escalade...

Cadre européenRGPD NIS 2 DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750CSSF 12/552CSSF 11/504

Article III.1

Chapitre 1 - Principes généraux en matière de mesure et de

Circulaire CSSF 12/552 sur l'administration centrale, la gouvernance interne et la gestion des risques · CSSF 12/552

Chapitre 1. Principes généraux en matière de mesure et de gestion des risques

Sous-chapitre 1.1. Le cadre de gestion des risques à l’échelle de l’établissement

Section 1.1.1. Généralités

1. Les établissements mettent en place un cadre de gestion des risques cohérent et exhaustif, à l’échelle de l’établissement, couvrant l’ensemble des activités et des unités opérationnelles de l’établissement, y compris les fonctions de contrôle interne, et reconnaissant pleinement la substance économique de toutes leurs expositions au risque, permettant à l’organe de direction de garder sous maîtrise l’ensemble des risques auxquels l’établissement est ou pourrait être exposé.

2. Le cadre de gestion des risques doit comprendre un ensemble de politiques et de procédures, de limites, de contrôles et d’alertes qui permettent d’identifier, de mesurer, de gérer ou d’atténuer et de déclarer ces risques au niveau des unités opérationnelles, de l’établissement dans son ensemble, comprenant, s’il y a lieu, les niveaux consolidés et sous-consolidés.

Section 1.1.2. Politiques spécifiques (de risque, de fonds propres et de liquidités) 3. La politique de risque, qui met en œuvre la stratégie définie par l’organe de surveillance en matière de risques, comprend :

• la détermination de l’appétit au risque de l’établissement ;

16/647, 17/655, 20/750, 20/759, 21/785, 22/807 ET 24/860

• la définition d’un système complet et cohérent de limites internes qui est adapté à la structure organisationnelle et opérationnelle, aux stratégies et aux politiques de l’établissement et qui limite la prise de risques conformément à l’appétit au risque défini par l’établissement. Ce système inclut les politiques d’acceptation de risques qui définissent quels risques peuvent être pris et quels sont les critères et conditions qui s’appliquent en la matière ; • les mesures visant à promouvoir une saine culture du risque ; • les mesures à mettre en œuvre en vue de garantir une prise et une gestion des risques conformes aux politiques et limites établies. Ces mesures incluent en particulier l’existence d’une fonction de gestion des risques, de seuils d’alerte et d’un dispositif de gestion des dépassements de limites, comprenant une procédure de régularisation des dépassements, de suivi de la régularisation ainsi que d’escalade et de sanction en cas de dépassement persistant ; • la définition d’un système d’information de gestion en matière de risques ; • les mesures à prendre en cas de matérialisation de risques (dispositif de gestion de crises et de gestion de continuité des activités).

La politique de risque explique comment les différents risques sont identifiés, mesurés, gérés, contrôlés et déclarés. Elle fixe le processus d’approbation spécifique qui règle la prise de risques (et la mise en œuvre de mesures d’atténuation éventuelles) ainsi que les processus de mesure et de déclaration qui garantissent que l’établissement dispose en permanence d’une vue exhaustive sur l’ensemble de ses risques.

Conformément aux dispositions du chapitre 2, la politique de risques tient dûment compte des risques de concentration.

4. La politique en matière de fonds propres et de liquidités, qui met en œuvre la stratégie de l’organe de surveillance en matière de fonds propres et de liquidités réglementaires et internes, comprend en particulier :

• la définition de normes internes en matière de gestion, d’ampleur et de qualité des fonds propres et des liquidités réglementaires et internes. Ces normes internes doivent permettre à l’établissement de couvrir les risques encourus et de disposer de marges de sécurité raisonnables en cas de survenance de pertes financières ou d’impasses de liquidités significatives par référence notamment à la circulaire CSSF 11/506 ; • la mise en œuvre de processus intègres et efficaces pour planifier, suivre, rapporter et modifier le montant, le type et la répartition des fonds propres et des réserves de liquidité réglementaires et internes, en particulier par rapport aux besoins de fonds propres et de liquidités internes au titre de couverture des risques. Ces processus permettent à la direction autorisée et au personnel exécutant de disposer d’une information de gestion intègre, fiable et exhaustive en matière des risques et de leur couverture ;

16/647, 17/655, 20/750, 20/759, 21/785, 22/807 ET 24/860

• les mesures mises en œuvre en vue de garantir une adéquation permanente des fonds propres et des (réserves de) liquidités réglementaires et internes ; • les mesures prises en vue de gérer efficacement des situations de crise (inadéquation des fonds propres ou impasse de liquidités réglementaires ou internes) ; • la désignation de fonctions responsables pour la gestion, le fonctionnement et l’amélioration des processus, systèmes de limites, procédures et contrôles internes mentionnés aux tirets précédents.

Section 1.1.3. Détection, gestion, mesure et déclaration des risques 5. L’appréciation des risques inhérents et résiduels se fait sur base d’une analyse objective et critique, propre à l’établissement. Elle ne peut pas reposer uniquement sur des évaluations externes.

6. L’établissement doit explicitement refléter l’ensemble de ses différents risques dans son dispositif de gouvernance interne comprenant en particulier les stratégies et politiques en matière de risques et de fonds propres et de réserves de liquidité.

7. La gestion des risques envers des parties liées est intégrée dans tous les éléments du dispositif de gouvernance interne.

8. Le dispositif de mesure et de déclaration des risques permet à l’établissement d’obtenir les vues agrégées nécessaires en vue de gérer et de contrôler l’ensemble des risques de l’établissement et des entités (structures) juridiques qui le composent.

9. Les décisions en matière de prise de risques et de stratégies et politiques de risques tiennent compte des limites théoriques et pratiques inhérentes aux modèles, méthodes et mesures quantitatives de risque ainsi que de l’environnement économique dans lequel ces risques s’inscrivent.

10. En règle générale, les techniques de mesure de risques mises en œuvre par un établissement reposent sur des choix, des hypothèses et des approximations. Il n’existe pas de mesure absolue.

16/647, 17/655, 20/750, 20/759, 21/785, 22/807 ET 24/860

Par conséquent, les établissements doivent éviter l'excès de confiance placé dans une méthodologie ou un modèle spécifique. Les techniques de mesure de risques employées doivent toujours faire l’objet d’une validation interne, indépendante, objective et critique, et les mesures de risques qui sont issues de ces techniques sont à apprécier de manière critique et à utiliser avec discernement et prudence par tout le personnel, la direction autorisée et l’organe de surveillance de l’établissement. Il y a lieu de compléter les évaluations de risque quantitatives par des approches qualitatives, y compris des jugements d'experts (indépendants), basés sur des analyses structurées et documentées.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

La CSSF sanctionné rarement l'absence formelle de cadre de gestion des risques, elle sanctionné son caractère théorique. Le piège : avoir une politique de risque écrite, validée par l'organe de surveillance, mais incapable de produire en temps réel une vue agrégée des expositions, des dépassements de limites et des alertes. Lors des contrôles sur place, la CSSF demande systématiquement la preuve opérationnelle (logs d'alertes, tableaux de suivi des dépassements, traces d'escalade) et non la politique PDF. L'écart entre le déclaratif et l'opérationnel est ce qui déclenche les injonctions et, en cas de récidive, les sanctions administratives pécuniaires sur base de l'article 63 de la loi du 5 avril 1993.

Les six défaillances que la CSSF identifié systématiquement

Cadre non exhaustif : certaines unités opérationnelles (succursales, filiales, activités de marché secondaires) échappent au périmètre de mesure, contrairement au point 1 de la section 1.1.1.
Appétit au risque déconnecté des limites opérationnelles : le RAS (Risk Appetite Statement) parlé en pourcentages stratégiques, mais les limites quotidiennes du front-office ne s'y rattachent pas mathématiquement.
Dispositif de dépassement sans escalade tracée : les dépassements sont régularisés par email, sans procédure formelle d'escalade vers la direction autorisée ni sanction documentée en cas de récidive.
Évaluation externe non challengée : l'établissement s'appuie sur les notations externes ou les évaluations de la maison-mère sans analyse critique propre, en violation du point 5.
Risques envers les parties liées non intégrés : les expositions intragroupe ne sont pas remontées dans le système d'information de gestion des risques.
Absence de vue consolidée : impossibilité de produire en moins de 48h une vue agrégée des risques par entité juridique, par ligne métier et par catégorie de risque.

Le standard de fait attendu par la CSSF

La CSSF aligne ses attentes sur les EBA Guidelines on Internal Governance (EBA/GL/2021/05) et sur les Guidelines on the SREP. Concrètement, le cadre de gestion des risques doit produire à la demande : un registre exhaustif des risques cartographiés, un tableau des limites avec consommation en temps réel, un journal des dépassements horodaté avec traces d'escalade, et un rapport ICAAP/ILAAP qui démontre la cohérence entre l'appétit au risque et la consommation effective de fonds propres et de liquidités.

Comment Luxgap automatise ce risque

Notre Luxgap Risk Framework Sentinel transforme votre cadre de gestion des risques déclaratif en preuve opposable consultable par la CSSF en moins de 5 minutes. L'outil se connecte nativement à votre core banking (Olympic, T24, Avaloq, Sopra Banking), à votre système de limites (Murex, Calypso, Finastra), à votre GRC (ServiceNow, MetricStream, Archer) et à votre ERP (Sage BOB 50, SAP) pour reconstituer en continu la chaîne complète appétit au risque → limites opérationnelles → consommation effective → dépassements → escalade, sans demander au CRO de remplir un seul tableur.

Cartographie automatiquement chaque risque identifié dans le SI et le rattache à une limite formelle de la politique de risque, en signalant tout risque orphelin non couvert par le cadre.
Détecte en temps réel chaque dépassement de limite via connecteur API sur les systèmes de trading et de crédit, déclenche l'escalade Teams ou email vers la direction autorisée selon la matrice définie, et horodate cryptographiquement chaque étape.
Calcule en continu la cohérence entre l'appétit au risque validé par l'organe de surveillance et la consommation réelle, avec alerte automatique si le ratio dépasse les seuils internes.
Produit le rapport ICAAP/ILAAP annuel préformaté selon les attentes CSSF, avec génération automatique des annexes quantitatives à partir des données extraites.
Génère un dossier d'audit horodaté et signé, opposable lors d'un contrôle CSSF sur place, démontrant que le cadre de gestion des risques est opérationnel et non théorique.
Intègre les expositions envers parties liées via connexion au registre des bénéficiaires effectifs RCS et aux contrats intragroupe stockés dans Odoo ou SharePoint.

Disponible en complément d'un mandat CISO ou Risk Advisor Luxgap ou en brique SaaS dédiée selon votre périmètre réglementaire. Demandez un devis personnalisé et nos équipes préparent une démonstration sur vos systèmes réels, avec un audit blanc gratuit sous 48h pour mesurer l'écart entre votre politique de risque déclarée et votre exposition opérationnelle effective avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Chapitre 1 - Principes généraux en matière de mesure et de

Ils nous font confiance

Avant de discuter