Aristotelis Zervos
Aristotelis Zervos, directeur de la rédaction de 2B Advice, allie expertise juridique et journalistique en Protection des données, la conformité informatique et la réglementation de l'IA.
Le 6 août, l'Autorité fédérale allemande de surveillance des services financiers (BaFin) a publié une nouvelle circulaire relative aux exigences minimales en matière de gestion des risques des établissements d'investissement (en abrégé WpI MaRisk) pour la gestion des risques de crédit. Consultation a été publié. Ce nouvel ensemble de règles s'adresse explicitement aux les petites et moyennes institutions d'investissement au sens de l'art. 2, al. 16 et 17 de la loi sur la surveillance des marchés financiers (WpIG) et remplace pour ces derniers les anciennes exigences prudentielles de l'environnement de la loi sur le crédit. Voici un aperçu des principaux points.
WpI MaRisk : contexte et structure
L'objectif est de créer un cadre flexible, fondé sur des principes et proportionné pour la conception de l'organisation commerciale et de la gestion des risques de ces établissements.
La circulaire se compose de deux parties principales :
- Partie générale (AT): Contient des exigences fondamentales pour la direction, les stratégies de risque, la capacité de risque, les mécanismes de contrôle interne, le personnel et les ressources, Documentation etc.
- Partie spéciale (BT): impose des exigences supplémentaires en matière de transactions commerciales, de gestion des risques, d'externalisation, de risques de liquidité et de rapports sur les risques.
Voici les principales nouveautés :
1. principe de proportionnalité avec double échelonnement
Un élément central est le Principe de la double proportionnalité. Les exigences de la WpI MaRisk ne s'adressent pas globalement à tous les établissements, mais sont définies aussi bien en fonction de la Taille de l'institut (petite ou moyenne au sens de l'art. 2, al. 16 et 17 WpIG) qu'en fonction de la la nature, la complexité et l'étendue de leurs activités et la structure de leurs risques échelonné.
Ce double échelonnement signifie
- Premier échelonnement - spécifique à l'institutLes exigences en matière de planification des fonds propres, d'audit interne et de contrôle de l'externalisation varient selon qu'un établissement est considéré comme un petit ou un moyen établissement d'investissement.
- Deuxième barème - axé sur les risquesLes risques potentiels sont également pris en compte au sein des classes de taille. Les établissements ayant une structure commerciale simple et une faible exposition aux risques peuvent simplifier considérablement les processus, tandis que les établissements plus complexes doivent mettre en place des procédures détaillées et des contrôles plus stricts.
L'objectif est d'éviter toute surréglementation tout en garantissant un niveau de protection élevé pour les clients et les acteurs du marché.
2. obligation d'inventaire des risques et prise en compte des risques ESG
Tous les établissements sont tenus de procéder régulièrement à un examen Inventaire des risques de l'entreprise. L'objectif de cet inventaire est d'identifier systématiquement tous les risques potentiels, de les évaluer et de les classer comme "significatifs" ou "non significatifs". L'évaluation est effectuée de manière individuelle pour chaque établissement, en tenant compte des modèles commerciaux et des domaines d'activité respectifs.
Un accent particulier est mis sur l'implication des les risques ESG :c'est-à-dire les risques liés à l'environnement (Environmental), au social (Social) et à la bonne gestion de l'entreprise (Governance). Ceux-ci doivent être explicitement intégrés dans l'analyse des risques, même s'ils n'ont qu'un impact indirect sur l'établissement.
La classification des risques s'oriente sur la Règlement délégué (UE) 2023/1668L'objectif est d'établir des critères contraignants pour l'évaluation et la délimitation de la matérialité. La méthodologie appliquée pour l'évaluation des risques, les hypothèses retenues ainsi que les résultats doivent être documentés, régulièrement contrôlés et, le cas échéant, adaptés.
Les petits établissements peuvent utiliser des procédures simplifiées, mais doivent veiller à ce que l'identification et la gestion des risques importants soient toujours compréhensibles et vérifiables.
3. la capacité à assumer des risques et la planification du capital
Les établissements d'investissement de taille moyenne sont tenus de mettre en place une procédure de Détermination de la capacité à assumer des risques de l'entreprise. Cette procédure doit garantir que tous les risques importants - notamment les risques opérationnels, de marché, de crédit et ESG - sont quantifiés dans leur ampleur potentielle et comparés au capital interne disponible. Elle se fonde sur le profil de risque global de l'établissement.
Sur cette base, les établissements de taille moyenne doivent mettre en place une planification prévisionnelle du capital de l'entreprise. Cela doit se faire dans le cadre de scénarios couvrant à la fois des perspectives normatives et économiques. Y compris scénarios de stress adversesCes mesures simulent des situations de crise inhabituelles mais plausibles. L'objectif est de s'assurer qu'une base de capital suffisante existe même dans des conditions défavorables.
Les petits établissements sont généralement exemptés de l'obligation de planification quantitative des fonds propres. Ils doivent toutefois développer une compréhension qualitative des besoins éventuels en capital et l'intégrer dans leurs réflexions stratégiques. Ici aussi, le principe de la traçabilité et de l'orientation sur les risques doit être respecté.
4) Mécanismes de contrôle interne et fonctions spéciales
Les WpI MaRisk prescrivent la mise en place et l'efficacité durable de trois fonctions de contrôle centrales :
- Fonction de gestion des risques
- Fonction de conformité
- Audit interne (avec des dérogations spécifiques pour les micro-établissements)
Ces fonctions doivent en principe indépendant c'est-à-dire qu'elles ne doivent pas entrer en conflit d'intérêts avec d'autres activités opérationnelles. La séparation organisationnelle des fonctions est obligatoirement prévue, à moins que l'établissement ne puisse justifier de manière appropriée leur regroupement tout en préservant son indépendance.
Pour les petits établissements la BaFin autorise, sous certaines conditions, une Union personnellePar exemple, lorsque certaines fonctions sont assumées par des membres de la direction. La condition préalable est toutefois toujours que le bon fonctionnement du contrôle ainsi que l'exercice objectif des tâches restent garantis.
Le site Audit interne peut être totalement supprimée dans le cas des micro-établissements, si une approche alternative appropriée de la surveillance est mise en œuvre (par exemple, des audits externes réguliers).
La responsabilité de la mise en place, du pilotage et de la surveillance de ces fonctions incombe toujours en dernier ressort à la direction, qui doit évaluer régulièrement leur efficacité.
5. exigences en matière d'externalisation
L'externalisation fait partie des processus particulièrement soumis à surveillance dans la gestion des risques des établissements d'investissement. Toute forme d'externalisation, qu'elle soit totale, partielle, vers des sociétés affiliées ou externes, doit faire l'objet d'une évaluation. Troisième - doit être considéré comme potentiellement risqué et nécessite une évaluation indépendante.
Les WpI MaRisk prévoient notamment les mesures suivantes :
- Examen des risques avant chaque externalisation : Les établissements doivent analyser en amont de l'externalisation les risques qui en découlent pour la continuité de l'activité, la capacité de contrôle, la protection des données et la sécurité des données. Sécurité informatique naissent.
- Exigences contractuelles minimales : Des dispositions contractuelles claires sont nécessaires, notamment en ce qui concerne les droits d'instruction, les droits d'audit et de contrôle, les exigences en matière de protection des données, la sous-traitance et les stratégies de sortie.
- Registre des sorties de stock : Toutes les relations d'externalisation existantes doivent être documentées dans un registre mis à jour en permanence, y compris les informations sur le prestataire de services, le contenu des prestations, l'analyse des risques, les droits de contrôle et les responsabilités.
- Responsable central de l'externalisation : Pour la coordination, le contrôle et la communication en rapport avec les externalisations, il faut un service central ou responsable personne à désigner.
- Particularités en cas de délocalisation à l'étranger / Cloud: En cas d'externalisation dans des pays tiers ou d'utilisation de services en nuage, des exigences accrues s'appliquent en matière d'accès, de transparence des données, de possibilité de récupération et d'accès de contrôle prudentiel.
- Petits instituts : Celles-ci peuvent appliquer des procédures simplifiées en cas d'externalisation non essentielle, mais doivent démontrer en cas de doute que le contrôle et la gestion sont garantis même si les ressources sont limitées.
Wpl MaRisk : conséquences pratiques pour les établissements
Petites institutions d'investissement
- Exigences simplifiées pour les processus stratégiques, les tests de résistance et l'audit interne
- Le contrôle qualitatif de l'importance relative est suffisant
- Possibilité d'union personnelle en cas de Conformité et la gestion des risques
Établissements de valeurs mobilières de taille moyenne
- Obligations détaillées en matière de planification du capital et de tests de résistance
- Obligation d'établir un rapport écrit sur les risques importants
- Obligation de prendre en compte le risque de règlement désordonné
Conseil de lien : General-Purpose AI Code of Practice : l'UE présente un nouveau code de l'IA
Conclusion et recommandation d'action concernant Wpl MaRisk
La nouvelle circulaire de la BaFin constitue une étape importante vers un cadre de surveillance autonome et proportionnel pour les établissements d'investissement. Les établissements devraient
- VérifierLes sociétés de gestion doivent indiquer dans quelle catégorie de taille elles se situent conformément à l'article 2 de la loi sur la surveillance des marchés financiers (WpIG).
- Évaluer les systèmes de gestion des risques et les structures de gouvernance.
- Responsabilités et DocumentationLe Conseil d'administration a décidé de réviser sa politique de gestion des risques, notamment en ce qui concerne les risques ESG, les simulations de crise et la sous-traitance.
- Ressources techniques et organisationnelles optimiser en fonction des nouvelles exigences.
Les petits établissements en particulier ont la possibilité d'agir en conformité avec le droit de la surveillance grâce à des structures légères. A condition que les processus soient documentés de manière compréhensible et qu'ils soient orientés vers les risques.
La BaFin accepte les commentaires sur sa circulaire jusqu'au 19 septembre 2025 par e-mail à Konsultation-15-25@bafin.deavec l'objet "Consultation 15/2025".
Conseil de lien : Circulaire BaFin - Exigences minimales pour la gestion des risques des établissements d'investissement ("WpI MaRisk")
Aristotelis Zervos est directeur éditorial chez 2B Advice, juriste et journaliste avec un savoir-faire approfondi en matière de protection des données, RGPD, la conformité IT et la gouvernance de l'IA. Il publie régulièrement des articles approfondis sur la réglementation de l'IA, la conformité au RGPD et la gestion des risques. Pour en savoir plus sur lui, consultez son Page du profil de l'auteur.
German 
English 
Italian 
French