Sous-chapitre 3.2 Externalisation intragroupe

11. L’externalisation intragroupe n’est pas nécessairement moins risquée que l’externalisation à une entité extérieure au groupe. De ce fait, l’externalisation intragroupe est soumise au même cadre et aux mêmes conditions réglementaires que l’externalisation à des prestataires de services extérieurs au groupe. Lorsque des Entités concernées ont l’intention d’externaliser à des entités appartenant au même groupe, elles doivent également s’assurer que la

raison pour laquelle elles sélectionnent une entité du groupe est objective. En particulier, l’entité du groupe doit être apte à exercer la fonction en question et le dispositif d’externalisation ne doit pas exposer les Entités concernées à un conflit d’intérêts indu.

12. Lors d’une externalisation dans le même groupe, les Entités concernées peuvent avoir un degré de contrôle et d’informations plus élevé par rapport à la fonction externalisée et au prestataire de services, qu’elles pourraient prendre en compte dans leur évaluation des risques. Cependant, les Entités concernées ne doivent pas s’appuyer exclusivement sur leurs entités du groupe pour la gestion de l’externalisation et doivent concevoir des procédures de suivi et de supervision appropriés au niveau de l’Entité concernée elle-même afin d’être conformes avec les exigences énoncées dans la présente circulaire.

13. Sous réserve des principes généraux énoncés au sous-chapitre 3.1, les Entités concernées qui ont recours à des dispositifs de gouvernance centralisés doivent de ce fait se conformer à ce qui suit :

a. lorsque les Entités concernées ont conclu des accords d’externalisation avec des prestataires de services au sein du groupe, l’organe de direction de l’Entité concernée conserve, pour ces accords d’externalisation également, l’entière responsabilité de veiller au respect de toutes les exigences réglementaires et de l’application effective de la présente circulaire ;

b. lorsque les Entités concernées ont des dispositifs d’externalisation avec un prestataire de services au sein du groupe, l’Entité concernée doit s’assurer que ces dispositifs d’externalisation, y compris les tâches opérationnelles externalisées, sont effectivement exécutées. Les Entités concernées doivent effectuer un suivi et un audit appropriés des dispositifs d’externalisation, y compris via la réception de rapports appropriés, conformément à la section 4.3.3 et à la section 4.2.6 et la sous-section 4.3.2.3, respectivement.

14. Outre le point 13 ci-dessus, les Entités concernées au sein d’un groupe doivent prendre en compte ce qui suit :

a. lorsque le suivi opérationnel de l’externalisation est centralisé (p. ex. dans le cadre d’un accord-cadre pour le suivi des dispositifs d’externalisation), les Entités concernées doivent veiller à ce qu’un suivi indépendant du prestataire de services et une surveillance appropriée par chaque Entité concernée soient possibles, y compris en recevant, au moins annuellement et sur demande, de la fonction de suivi centralisé, des rapports comprenant au moins un résumé de l’évaluation des risques et du suivi des performances et en remettant en question ces rapports. En outre, les Entités concernées doivent recevoir de la fonction de suivi centralisé un résumé des rapports d’audit pertinents relatifs à l’externalisation et, sur demande, le rapport d’audit complet.

L’organe de direction des Entités concernées doit déterminer si l’étendue et le contenu de ces rapports sont cohérents et appropriés et doivent prendre des mesures si ces rapports ne lui permettent pas d’être en conformité avec les exigences en matière de gouvernance interne et de gestion des risques telles que prévues dans d’autres circulaires CSSF ;

b. les Entités concernées doivent veiller à ce que leur organe de direction soit dûment informé des changements prévus pertinents concernant les prestataires de services qui font l’objet d’un suivi centralisé et de l’incidence potentielle de ces changements sur les fonctions critiques ou importantes assurées, y compris par l’intermédiaire d’un résumé de l’analyse des risques comprenant les risques juridiques, le respect des exigences réglementaires et l’incidence sur les niveaux de service, afin que les organes de direction puissent évaluer l’incidence de ces changements et les accepter ou prendre des mesures appropriées ;

c. lorsque les Entités concernées au sein du groupe s’appuient sur une évaluation centrale des dispositifs d’externalisation préalable à l’externalisation, chaque Entité concernée doit recevoir un résumé de cette évaluation et veiller à ce que, dans cette évaluation, sa structure et ses risques spécifiques soient pris en compte dans le processus décisionnel et l’accepter ou prendre des mesures appropriées ;

d. pour les Entités concernées au sein d’un groupe, le registre tel que prévu à la section 4.2.7 peut être tenu de manière centralisée. Lorsque le registre de tous les dispositifs d’externalisation existants, est établi et tenu à jour de manière centralisée au sein d’un groupe, les autorités compétentes et toutes les Entités concernées doivent pouvoir obtenir le registre individuel sans délai indu. Ce registre doit inclure tous les accords d’externalisation, y compris les accords d’externalisation conclus avec des prestataires de services au sein de ce groupe. Les Entités concernées doivent s’assurer que le registre est conforme aux dispositions de la section 4.2.7, relative aux exigences en matière de documentation ;

e. en ce qui concerne leurs stratégies de sortie, pour une fonction critique ou importante, lorsque les Entités concernées s’appuient sur un plan de sortie qui a été établi au niveau du groupe, toutes les Entités concernées doivent recevoir un résumé du plan et s’assurer que celui-ci peut être effectivement exécuté, conformément aux dispositions prévues à la section 4.3.4, relative aux Plans de sortie ;

f. les Entités concernées faisant partie d’un groupe peuvent s’appuyer sur des plans de poursuite de l’activité établis de manière centralisée concernant leurs fonctions externalisées. Les Entités concernées doivent recevoir un résumé du plan et s’assurer que le plan est conforme aux dispositions de la section 4.2.5, relative aux Plans de poursuite de l’activité.

Chapitre 4. Gouvernance des dispositifs d’externalisation

Sous-chapitre 4.1 Évaluation des dispositifs d’externalisation