6.7.2018   

FR

Journal officiel de l'Union européenne

L 169/1

(1)

Aux fins des exigences de fonds propres pour risque opérationnel, l'article 312, paragraphe 2, premier alinéa, du règlement (UE) no 575/2013 dispose que les autorités compétentes autorisent les établissements à utiliser des approches par mesure avancée (AMA) fondées sur leurs propres systèmes de mesure du risque opérationnel lorsqu'ils remplissent tous les critères quantitatifs et qualitatifs exposés dans ledit article, ce qui suppose qu'ils y satisfassent à tout moment. Par conséquent, l'évaluation de la conformité à ces critères ne porte pas uniquement sur la première demande d'autorisation d'utiliser l'AMA présentée par un établissement, elle s'applique également par la suite.

(2)

Les différents éléments constitutifs du cadre AMA d'un établissement ne devraient pas être considérés isolément, mais être réexaminés et évalués comme un ensemble d'éléments indissociables, de sorte que les autorités compétentes puissent avoir l'assurance que le niveau de conformité avec chaque partie du cadre est adéquat.

(3)

L'évaluation, par les autorités compétentes, de la conformité d'un établissement avec les exigences en matière d'utilisation des approches par mesure avancée visées à l'article 312, paragraphe 4, points a) et b), du règlement (UE) no 575/2013 ne devrait pas être effectuée de manière uniforme. La nature des éléments à évaluer varie en effet selon le type d'évaluation mené, lequel dépend à son tour du type de demande présenté. Les autorités compétentes sont tenues d'évaluer cette conformité lorsqu'un établissement demande pour la première fois à utiliser une AMA ou qu'il demande une extension de l'AMA conformément au plan de mise en œuvre séquentielle approuvé, une extension ou une modification de l'AMA qu'il a été autorisé à utiliser ou le retour à des approches moins sophistiquées conformément à l'article 313 du règlement (UE) no 575/2013. En outre, les autorités compétentes devraient procéder à un réexamen permanent de l'utilisation de l'AMA par les établissements. Elles devraient par conséquent évaluer la conformité d'un établissement avec les exigences d'utilisation des AMA selon la nature des éléments à évaluer correspondant à la méthode d'évaluation pertinente.

(4)

L'article 85, paragraphe 1, de la directive 2013/36/UE du Parlement européen et du Conseil (2) impose aux établissements de préciser ce qui constitue un risque opérationnel aux fins de la mise en œuvre des politiques et processus visant à évaluer et à gérer leur exposition à ce risque. Le règlement (UE) no 575/2013 fournit une définition du «risque opérationnel» qui tient compte à la fois du risque juridique et du risque de modèle. À l'article 3, paragraphe 1, de la directive 2013/36/UE, le risque de modèle fait référence aux pertes potentielles résultant d'erreurs dans la mise au point, la mise en œuvre ou l'utilisation des modèles internes, mais il ne tient pas compte des pertes potentielles dues aux ajustements d'évaluation liés au risque de modèle visées à l'article 105 du règlement (UE) no 575/2013, consacré aux évaluations prudentes, ou dans le règlement délégué (UE) 2016/101 de la Commission (3), ni du risque de modèle lié à l'utilisation d'une méthodologie d'évaluation potentiellement erronée visée à l'article 105, paragraphe 13, du règlement (UE) no 575/2013. De même, le règlement (UE) no 575/2013 n'indique pas de quelle manière les autorités compétentes devraient vérifier le respect de l'obligation de définir tout risque opérationnel lié au risque juridique ou au risque de modèle. Les règles spécifiant la méthode d'évaluation en vertu de laquelle les autorités compétentes autorisent un établissement à utiliser l'AMA devraient donc le préciser.

(5)

Il est également nécessaire d'harmoniser les approches de surveillance en ce qui concerne la définition correcte du risque opérationnel dans les transactions financières, y compris celles liées au risque de marché, sachant que les risques opérationnels de ces transactions sont importants et que leurs sources, de nature généralement très diverse, ne peuvent pas être systématiquement détectées et comptabilisées en tant que telles dans l'ensemble de l'Union.

(6)

Les normes applicables au cadre de gouvernance et de gestion des risques d'un établissement sont définies à l'article 74 de la directive 2013/36/UE et à l'article 321 du règlement (UE) no 575/2013. En conséquence, la méthode d'évaluation de l'AMA devrait imposer aux autorités compétentes l'obligation, lorsqu'elles évaluent si un établissement peut utiliser l'AMA, de vérifier que celui-ci dispose, pour la gouvernance et la gestion du risque opérationnel, d'une structure organisationnelle claire qui assure un partage des responsabilités bien défini, transparent et cohérent tenant compte de la nature, de l'échelle et de la complexité des activités de l'établissement. Il convient de s'assurer notamment que la fonction de gestion du risque opérationnel joue un rôle essentiel dans la détection, la mesure, l'évaluation, le suivi, le contrôle et l'atténuation des risques opérationnels auxquels est exposé l'établissement et, afin de garantir l'indépendance et l'impartialité de son jugement professionnel et de ses recommandations, qu'elle est suffisamment indépendante des unités opérationnelles. Il y a également lieu de vérifier si la direction générale est chargée de l'élaboration et de la mise en œuvre du cadre de gouvernance et de gestion du risque opérationnel qui a été approuvé par l'organe de direction, et si ce cadre est mis en œuvre systématiquement dans toute la structure organisationnelle de l'établissement. Il convient que les autorités compétentes évaluent également si les membres du personnel disposent, à tous les niveaux professionnels, d'outils et d'informations qui leur permettent de comprendre leurs responsabilités en matière de gestion du risque opérationnel.

(7)

Il ne saurait y avoir de bonne gouvernance interne sans systèmes efficaces de communication interne. Les autorités compétentes devraient donc veiller à ce qu'un établissement qui demande l'autorisation d'utiliser l'AMA adopte un système efficace pour la déclaration des risques, non seulement à l'organe de direction et à la direction générale, mais aussi à toutes les fonctions chargées de la gestion des risques opérationnels auxquels l'établissement est ou pourrait être exposé. Ce système de déclaration devrait rendre compte de la situation actuelle en matière de risques opérationnels au sein de l'établissement et tenir compte de tous les aspects importants de la gestion et de la mesure du risque opérationnel.

(8)

Conformément à l'article 321, point a), du règlement (UE) no 575/2013, le système interne de mesure du risque opérationnel d'un établissement doit être étroitement intégré à ses processus de gestion quotidienne des risques. En conséquence, la méthode d'évaluation de l'AMA devrait imposer aux autorités compétentes l'obligation de veiller à ce qu'un établissement sollicitant l'autorisation d'utiliser l'AMA utilise effectivement son système de mesure du risque opérationnel pour ses activités quotidiennes et sa gestion des risques en continu, et pas uniquement pour calculer ses exigences de fonds propres pour risque opérationnel. Les règles relatives à l'évaluation prudentielle de l'AMA devraient donc comprendre des règles sur les objectifs prudentiels que l'établissement sollicitant l'autorisation d'utiliser l'AMA devrait atteindre en ce qui concerne les «critères d'utilisation».

(9)

Pour que les établissements et les autorités compétentes puissent disposer d'éléments prouvant que le système de mesure du risque opérationnel utilisé par un établissement est fiable et robuste et génère des exigences de fonds propres pour risque opérationnel plus crédibles qu'une méthodologie réglementaire plus simple, les autorités compétentes devraient s'assurer que l'établissement a comparé, pendant un laps de temps déterminé, son système d'évaluation du risque opérationnel à l'approche élémentaire ou à l'approche standard pour risque opérationnel visées aux articles 315, 317 et 319 du règlement (UE) no 575/2013. Ce laps de temps devrait être suffisamment long pour permettre à l'autorité compétente de vérifier si l'établissement remplit les critères qualitatifs et quantitatifs en matière d'utilisation de l'AMA prévus par le règlement (UE) no 575/2013.

(10)

Conformément à l'article 321, point g), du règlement (UE) no 575/2013, les procédures et flux de données d'un établissement associés au système de mesure de l'AMA doivent être transparents et accessibles. Les données relatives au risque opérationnel ne sont pas immédiatement disponibles, car elles doivent d'abord être extraites des livres et archives de l'établissement, puis être correctement recueillies et conservées. En outre, le système de mesure est généralement très sophistiqué et prévoit plusieurs étapes logiques et plusieurs étapes de calcul pour générer les exigences de fonds propres de l'AMA. La méthode d'évaluation de l'AMA devrait donc permettre de vérifier si les systèmes de qualité des données et les systèmes informatiques sont conçus et mis en œuvre dans un établissement de telle manière qu'ils puissent atteindre l'objectif pour lequel ils ont été créés.

(11)

Le cadre AMA d'un établissement est soumis à des contrôles d'audit et de validation interne conformément à l'article 321, points e) et f), du règlement (UE) no 575/2013. Bien que l'organisation structurelle des fonctions de validation interne et d'audit puisse varier selon la nature, la complexité et l'activité d'un établissement, il convient de veiller à ce que la méthode d'évaluation, aux fins de l'AMA, des contrôles qu'elles effectuent repose sur des critères communs quant aux conditions et à la portée de ces contrôles.

(12)

La modélisation du risque opérationnel est une discipline relativement nouvelle et en constante évolution. En conséquence, l'article 322 du règlement (UE) no 575/2013 laisse aux établissements une grande souplesse dans l'élaboration du système de mesure du risque opérationnel pour le calcul des exigences de fonds propres de l'AMA. Cette souplesse ne devrait toutefois pas se traduire par des différences importantes entre les établissements en ce qui concerne les éléments clés du système de mesure, notamment l'utilisation de données internes ou externes, d'analyses de scénarios et de facteurs reflétant l'environnement économique et les systèmes de contrôle interne (dénommés les «quatre éléments»), les hypothèses centrales de modélisation qui permettent la prise en compte d'événements graves situés aux extrêmes de la courbe et les sources de risque connexes (constitution de l'ensemble des données de calcul, granularité, définition des distributions de pertes et détermination des distributions de pertes agrégées et des mesures du risque) ou les pertes anticipées, la corrélation et les critères d'allocation du capital qui devraient garantir la cohérence interne du système de mesure. Par conséquent, afin que le système de mesure du risque repose sur une assise méthodologique solide, soit comparable entre les établissements, permette de rendre compte du risque opérationnel réel et potentiel des établissements et présente toute la fiabilité et la solidité voulues lors du calcul des exigences réglementaires de fonds propres selon l'AMA, la méthode d'évaluation de l'AMA devrait prévoir que les autorités compétentes appliquent les mêmes critères et exigences dans l'ensemble de l'Union. Il convient que la méthode d'évaluation de l'AMA prenne également en considération les éléments idiosyncratiques du risque opérationnel qui sont liés aux différences de taille, de nature et de complexité des établissements.

(13)

En ce qui concerne en particulier les données internes, il convient de tenir compte du fait que, même si une perte pour risque opérationnel ne peut résulter que d'un événement de risque opérationnel, sa survenance peut être révélée par différents éléments, dont les charges directes, les dépenses, les provisions et les recettes non perçues. Si certains événements de risque opérationnel ont une incidence quantifiable et sont pris en compte dans les états financiers de l'établissement, d'autres ne sont pas quantifiables et n'apparaissent pas dans les états financiers de l'établissement; ils peuvent donc être détectés à partir d'autres sources, notamment les archives de gestion et l'ensemble des données d'incidents. Par conséquent, les règles établissant la méthode d'évaluation sur laquelle doivent s'appuyer les autorités compétentes pour autoriser les établissements à utiliser l'AMA devraient préciser ce qui constitue une perte pour risque opérationnel ainsi que le montant à enregistrer aux fins de l'AMA et, plus généralement, tous les éléments potentiels susceptibles de révéler la survenance d'événements de risque opérationnel.

(14)

Parfois, les établissements sont en mesure de recouvrer rapidement de nouvelles pertes pour risque opérationnel. Les pertes rapidement recouvrées ne devraient pas être prises en considération pour le calcul des exigences de fonds propres de l'AMA, même si elles peuvent s'avérer utiles à des fins de gestion. Étant donné la pluralité des critères utilisés par les établissements pour classer une perte dans la catégorie des pertes rapidement recouvrées, les règles relatives à la méthode d'évaluation de l'AMA devraient comprendre des règles définissant les critères appropriés pour classer les pertes dans cette catégorie.

(15)

Les autorités compétentes peuvent reconnaître les techniques d'atténuation du risque dans le cadre de l'AMA si certaines conditions sont remplies, conformément à l'article 323 du règlement (UE) no 575/2013. Pour que les règles relatives à ces techniques d'atténuation soient effectivement appliquées, les autorités compétentes devraient suivre des normes spécifiques lorsqu'elles évaluent leur application par un établissement. En particulier, lorsque ces techniques d'atténuation prennent la forme d'une assurance, il est nécessaire de veiller à ce que celle-ci soit fournie par des entreprises d'assurance agréées dans l'Union ou dans des territoires qui appliquent, pour les entreprises d'assurance, des normes équivalentes à celles applicables dans l'Union.

(16)

Lorsque les techniques d'atténuation du risque prennent la forme de mécanismes de transfert des risques autres qu'une assurance, les autorités compétentes devraient veiller à ce que ces mécanismes transfèrent réellement le risque et ne soient pas utilisés pour contourner les exigences de fonds propres de l'AMA. Cette condition est fondamentale au regard des particularités du risque opérationnel, pour lequel il n'existe aucun actif de référence sous-jacent clair et les pertes imprévues jouent un rôle plus important que dans d'autres types de risques. Cela est d'autant plus le cas qu'il n'existe pas de marché efficient, liquide et structuré pour les instruments de couverture contre le risque opérationnel, telles que les obligations catastrophe et les dérivés climatiques, qui se négocient pour le moment en dehors du secteur bancaire. Enfin, il est souvent très difficile d'évaluer le risque juridique inhérent à ces mécanismes, même lorsque leurs conditions contractuelles sont clairement et soigneusement rédigées.

(17)

Afin d'assurer une transition sans heurt aux établissements qui ont déjà obtenu l'autorisation d'utiliser l'AMA ou qui l'ont sollicitée avant l'entrée en vigueur du présent règlement, il convient de prévoir que les autorités compétentes ne fondent leur évaluation de l'AMA de ces établissements sur les dispositions du présent règlement qu'après une période de transition donnée. L'examen périodique de l'AMA visé à l'article 101, paragraphe 1, de la directive 2013/36/UE étant habituellement réalisé à un rythme annuel, cette période de transition devrait être d'un an à compter de la date d'entrée en vigueur du présent règlement.

(18)

Les établissements qui utilisent des distributions gaussiennes ou quasi-normales pour la reconnaissance d'une corrélation au sein de tout ou partie de leur AMA devraient cesser de le faire, étant donné que ces hypothèses supposeraient une indépendance de queue entre les catégories de risques opérationnels, excluant dès lors la possibilité que de fortes pertes de types différents se produisent simultanément, une hypothèse qui n'est ni prudente, ni réaliste. Il convient par conséquent d'accorder un délai suffisant à ces établissements pour leur permettre de passer sans heurt à un nouveau régime dans lequel des hypothèses plus prudentes, supposant une dépendance de queue positive, sont introduites dans le système de mesure du risque opérationnel. Étant donné que la mise en œuvre de ces hypothèses pourrait exiger la modification de certains éléments clés et des procédures connexes du cadre AMA, il serait opportun de prévoir une période de transition de deux ans.

(19)

Le présent règlement se fonde sur les projets de normes techniques de réglementation soumis à la Commission par l'Autorité bancaire européenne.

(20)

L'Autorité bancaire européenne a procédé à des consultations publiques sur ces projets de normes techniques de réglementation, analysé les coûts et avantages potentiels connexes et sollicité l'avis du groupe des parties intéressées au secteur bancaire institué par l'article 37 du règlement (UE) no 1093/2010 du Parlement européen et du Conseil (4),

a)

que les conditions des articles 3 à 6 sont remplies;

b)

que les conditions des chapitres 2 et 3 sont remplies;

c)

que les conditions du chapitre 4 sont remplies lorsque l'établissement a adopté l'assurance et d'autres mécanismes de transfert des risques visés audit chapitre.

a)

une évaluation du caractère significatif des extensions et modifications de l'AMA utilisée par un établissement;

b)

une évaluation du plan de mise en œuvre séquentielle de l'AMA utilisée par un établissement;

c)

une évaluation du retour à des approches moins sophistiquées décidé par un établissement conformément à l'article 313 du règlement (UE) no 575/2013;

d)

des réexamens de l'AMA utilisée par un établissement.

a)

l'établissement identifie clairement et classe parmi les risques opérationnels les pertes ou autres dépenses résultant d'événements qui donnent lieu à une procédure judiciaire, et notamment des éléments suivants:

b)

l'établissement identifie clairement et classe parmi les risques opérationnels les pertes ou autres dépenses résultant de mesures volontaires destinées à prévenir ou à atténuer les risques juridiques découlant d'événements de risque opérationnel, et notamment de remboursements ou de remises sur de futurs services offerts volontairement à des clients lorsque ces remboursements ne font pas à la suite des réclamations de clients;

c)

l'établissement identifie clairement et classe parmi les risques opérationnels les pertes résultant d'erreurs ou d'omissions dans des documents contractuels et autres;

d)

l'établissement ne classe pas parmi les risques opérationnels les éléments suivants:

a)

toute exigence découlant de dispositions législatives ou réglementaires nationales ou internationales;

b)

toute exigence découlant de dispositions contractuelles, de règlements intérieurs et de codes de conduite établis conformément à des normes et pratiques nationales ou internationales;

c)

les règles déontologiques.

a)

que, au minimum, les événements suivants imputables à des modèles utilisés pour la prise de décision, et les pertes qui en résultent, sont classés parmi les risques opérationnels:

b)

que les événements imputables à la sous-estimation des exigences de fonds propres par les modèles internes agréés par les autorités compétentes ne sont pas pris en compte dans l'identification, la collecte et le traitement des données relatives aux événements de risque opérationnel et aux pertes pour risque opérationnel liés au risque de modèle.

a)

les événements imputables à des erreurs opérationnelles ou à des erreurs de saisie, notamment:

b)

les événements imputables à une défaillance des contrôles internes, notamment:

c)

les événements imputables à une mauvaise qualité des données et à l'indisponibilité de l'environnement informatique, notamment l'impossibilité technique d'accéder au marché lorsqu'elle empêche la conclusion de contrats.

a)

que les documents sont approuvés au niveau hiérarchique approprié de l'établissement;

b)

que l'établissement a mis en place des politiques qui définissent des normes destinées à assurer la haute qualité des documents internes, notamment une obligation spécifique de rendre compte visant à garantir que les documents conservés sont complets, cohérents, exacts, mis à jour, approuvés et sûrs;

c)

que, sur les documents établis dans le cadre des politiques visées au point b), figurent au minimum:

d)

l'établissement consigne scrupuleusement par écrit ses politiques, procédures et méthodes.

a)

que les documents offrent un degré de détail et de précision suffisant pour permettre l'examen de l'AMA par des tiers, notamment en ce qui concerne:

a)

que l'organe de direction de l'établissement examine et approuve la gouvernance du risque opérationnel, la procédure de gestion du risque opérationnel et le système de mesure du risque opérationnel;

b)

que l'organe de direction de l'établissement définit et établit clairement, au moins une fois par an:

c)

que l'organe de direction de l'établissement contrôle en permanence la conformité de celui-ci avec la déclaration de tolérance au risque opérationnel visée au point b) ii);

d)

que l'établissement applique une procédure de gestion du risque opérationnel continue afin de détecter, d'évaluer, de mesurer, de contrôler et de déclarer le risque opérationnel, notamment les cas d'inconduite, et est à même d'identifier les membres du personnel responsables de la gestion de cette procédure;

e)

que les informations découlant de la procédure visée au point d) sont transmises aux comités compétents et aux organes exécutifs de l'établissement, et que les décisions prises par ces comités sont communiquées aux responsables chargés, au sein de l'établissement, de collecter, contrôler, surveiller et gérer le risque opérationnel et aux responsables chargés de gérer les activités qui génèrent le risque opérationnel;

f)

que l'établissement évalue l'efficacité de sa gouvernance du risque opérationnel, de sa procédure de gestion du risque opérationnel et de son système de mesure du risque opérationnel au moins une fois par an;

g)

que l'établissement communique au moins une fois par an, à l'autorité compétente concernée, les conclusions de l'évaluation visée au point f).

a)

le niveau de connaissance qu'a le personnel de l'établissement des politiques et procédures en matière de risque opérationnel;

b)

le processus interne mis en place par l'établissement pour mettre à l'épreuve la conception et l'efficacité du cadre de l'AMA.

a)

que la fonction de gestion du risque opérationnel accomplit les tâches suivantes séparément des unités opérationnelles de l'établissement:

b)

que la fonction de gestion du risque opérationnel reçoit un appui approprié de la part de l'organe de direction et de la direction générale et dispose, au sein de l'organisation, d'un statut suffisant pour remplir sa mission;

c)

que la fonction de gestion du risque opérationnel n'est pas responsable également de la fonction d'audit interne;

d)

que le chef de la fonction de gestion du risque opérationnel satisfait au moins aux exigences suivantes:

a)

que la direction générale est responsable de la mise en œuvre du cadre de gouvernance et de gestion du risque opérationnel approuvé par l'organe de direction;

b)

que la direction générale a été habilitée par l'organe de direction à élaborer des politiques, processus et procédures de gestion du risque opérationnel;

c)

que la direction générale met en œuvre les politiques, processus et procédures de gestion du risque opérationnel visés au point b).

a)

que les problèmes liés aux systèmes de déclaration et aux contrôles internes de l'établissement sont détectés promptement et précisément;

b)

que les rapports de risque opérationnel de l'établissement sont communiqués aux niveaux hiérarchiques appropriés et aux secteurs de l'établissement qu'ils signalent comme problématiques;

c)

que la direction générale de l'établissement reçoit, au moins tous les trois mois, un rapport sur le profil de risque opérationnel le plus récent de l'établissement et l'utilise dans le processus décisionnel;

d)

que les rapports de risque opérationnel de l'établissement contiennent des informations pertinentes en termes de gestion et, au minimum, une synthèse générale des principaux risques opérationnels de l'établissement ainsi que des filiales et unités opérationnelles concernées;

e)

que l'établissement élabore des rapports ad hoc en cas de carences particulières dans les politiques, processus et procédures de gestion du risque opérationnel, afin de détecter et traiter promptement ces carences et, par conséquent, de réduire considérablement la fréquence et la gravité potentielles d'un événement de perte.

a)

que le système de mesure du risque opérationnel de l'établissement est utilisé pour gérer les risques opérationnels dans plusieurs lignes d'activité, unités opérationnelles ou entités juridiques de la structure organisationnelle;

b)

que le système de mesure du risque opérationnel est intégré au sein des différentes entités du groupe et, lorsqu'il est utilisé à un niveau consolidé, que le cadre de l'AMA de l'établissement mère est étendu aux filiales, et que le risque opérationnel ainsi que les facteurs relatifs à l'environnement économique et au contrôle interne de ces filiales (BEICF) visés à l'article 322, paragraphes 1 et 6, du règlement (UE) no 575/2013 sont pris en compte dans les calculs de l'AMA à l'échelle du groupe;

c)

que le système de mesure du risque opérationnel est également utilisé aux fins du processus d'évaluation de l'adéquation du capital interne de l'établissement visé à l'article 73 de la directive 2013/36/UE.

a)

que le système de mesure du risque opérationnel est mis à jour régulièrement et continue d'être développé à mesure que la gestion et la quantification du risque opérationnel gagnent en expérience et en sophistication;

b)

que la nature et l'équilibre des données d'entrée du système de mesure du risque opérationnel sont pertinents et reflètent à tout instant la nature de l'activité, de la stratégie, de l'organisation et de l'exposition au risque opérationnel de l'établissement.

a)

que le système de mesure du risque opérationnel est effectivement utilisé pour déclarer régulièrement et promptement des informations cohérentes reflétant précisément la nature de l'activité et du profil de risque opérationnel de l'établissement;

b)

que l'établissement prend des mesures correctrices afin d'améliorer les processus internes à la réception d'informations sur des constatations provenant du système de mesure du risque opérationnel.

a)

que la définition de la tolérance au risque opérationnel de l'établissement ainsi que ses objectifs et activités associés en matière de gestion du risque opérationnel font l'objet d'une communication claire au sein de l'établissement;

b)

que la relation entre la stratégie commerciale et la gestion du risque opérationnel de l'établissement, notamment en ce qui concerne l'approbation des nouveaux produits, systèmes et processus, fait l'objet d'une communication claire au sein de l'établissement;

c)

que le système de mesure du risque opérationnel accroît la transparence, la connaissance des risques et l'expertise en matière de gestion du risque opérationnel, et incite à améliorer la gestion du risque opérationnel dans l'ensemble de l'établissement;

d)

que les données d'entrée et les résultats du système d'évaluation du risque opérationnel sont utilisés dans les décisions et plans pertinents, notamment dans les plans d'action, les plans de continuité de l'activité, les programmes de travail en matière d'audit interne, les décisions d'affectation du capital, les plans d'assurance et les décisions budgétaires de l'établissement.

a)

que, avant d'être autorisé à utiliser l'AMA à des fins réglementaires, l'établissement a calculé ses exigences de fonds propres pour risque opérationnel en vertu de l'AMA et de l'approche moins sophistiquée qui lui était précédemment applicable, et a effectué ce calcul:

b)

que l'établissement satisfait au moins aux exigences suivantes:

a)

que la fonction de validation interne fournit au moins une fois par an un avis motivé et éclairé sur le point de savoir si le système de mesure du risque opérationnel fonctionne comme prévu, et si les résultats du modèle sont adaptés à ses différentes finalités internes et prudentielles;

b)

que la fonction d'audit vérifie au moins une fois par an l'intégrité des politiques, processus et procédures en matière de risque opérationnel, en déterminant si ceux-ci satisfont aux exigences réglementaires ainsi qu'aux contrôles mis en place, et, en particulier, qu'elle évalue la qualité des sources et données utilisées à des fins de gestion et de mesure du risque opérationnel;

c)

que les fonctions d'audit et de validation interne ont mis en place un programme de réexamen qui porte sur les aspects de l'AMA relevant du présent règlement et qui fait l'objet de mises à jour régulières en ce qui concerne:

d)

que la validation interne est effectuée par des ressources qualifiées, indépendantes des unités validées;

e)

dans le cas où les activités d'audit sont effectuées par des fonctions d'audit internes ou externes ou par des parties externes qualifiées, que celles-ci sont indépendantes du processus ou système en cours de réexamen et, lorsque ces activités sont externalisées, que l'organe de direction et la direction générale de l'établissement restent tenues de veiller à ce que les fonctions externalisées soient effectuées conformément au plan d'audit approuvé de l'établissement;

f)

que les réexamens en matière d'audit et de validation interne du cadre AMA sont dûment consignés par écrit et que leurs résultats sont transmis aux personnes concernées au sein des établissements, dont, le cas échéant, les comités des risques, la fonction de gestion du risque opérationnel, la direction des unités opérationnelles et les autres membres concernés du personnel;

g)

que les résultats des réexamens en matière d'audit et de validation interne sont résumés et communiqués pour approbation, au moins une fois par an, à l'organe de direction de l'établissement ou à un comité par lui désigné;

h)

que l'efficacité du cadre AMA de l'établissement est réexaminée et approuvée au moins une fois par an.

a)

que les programmes d'audit destinés à réexaminer le cadre AMA couvrent toutes les activités significatives qui pourraient exposer l'établissement à un risque opérationnel significatif, y compris les activités externalisées;

b)

que les techniques de validation interne sont proportionnées à l'évolution des conditions de marché et d'exploitation, et que leurs résultats sont soumis à un audit.

a)

des données permettant de constituer et de suivre son historique de risques opérationnels, comprenant des données internes et externes, une analyse de scénarios et des facteurs reflétant l'environnement économique et les systèmes de contrôle interne;

b)

des données complémentaires, notamment les paramètres et résultats du modèle ainsi que les rapports.

a)

la diversité, la profondeur et l'étendue des données sont suffisantes au regard de la mission à accomplir;

b)

les données répondent aux besoins actuels et potentiels des utilisateurs;

c)

les données sont mises à jour rapidement;

d)

les données sont adaptées et conviennent à l'ampleur de l'usage qui en est fait;

e)

les données donnent une image fidèle du phénomène qu'elles sont censées représenter;

f)

les données n'enfreignent aucune règle interne et sont conservées dans une base de données qui doit être gérée de manière statique et dynamique.

a)

une carte mondiale des bases de données intervenant dans le système de mesure du risque opérationnel, et leur description;

b)

une politique en matière de données et une déclaration de responsabilité;

c)

la description des flux de travaux et des procédures concernant la collecte et le stockage des données;

d)

un relevé de toutes les faiblesses constatées dans les bases de données sur les processus de validation et de contrôle et une déclaration indiquant la manière dont l'établissement entend corriger ou réduire ces faiblesses.

a)

que les systèmes et l'infrastructure informatiques utilisés par l'établissement aux fins de l'AMA sont solides et résistants et qu'ils peuvent conserver durablement ces caractéristiques;

b)

que le SDLC défini pour l'AMA est solide et adapté en termes de:

c)

que l'infrastructure informatique déployée par l'établissement aux fins de l'AMA est soumise à des procédures de gestion des configurations, des changements et des versions;

d)

que le SDLC et les plans d'urgence mis en place pour l'AMA sont approuvés par l'organe de direction ou la direction générale de l'établissement et que cet organe de direction et cette direction générale sont régulièrement informés des performances de l'infrastructure informatique mise en place pour l'AMA.

a)

que l'établissement dispose de documents internes détaillant la manière dont les quatre éléments sont regroupés, combinés et/ou pondérés et comportant une description du processus de modélisation qui illustre les modalités d'utilisation et de combinaison des quatre éléments et justifie les choix de modélisation;

b)

que l'établissement a une notion claire de l'influence de chacun des quatre éléments sur les exigences de fonds propres de l'AMA;

c)

que la combinaison des quatre éléments utilisée par l'établissement s'appuie sur une méthode statistique solide, suffisante pour permettre l'estimation des centiles supérieurs;

d)

que l'établissement applique au moins les critères suivants lors de la collecte, de la production et du traitement des quatre éléments:

a)

que l'établissement rassemble, au sein du groupe, tous les éléments suivants, d'une manière claire et cohérente:

b)

que l'établissement est en mesure de distinguer, à la suite d'un événement de risque opérationnel, le montant de perte brute, le montant du recouvrement via les assurances et autres mécanismes de transfert du risque (AMTR) et le montant du recouvrement hors assurance et AMTR, à l'exception des pertes dont le montant est partiellement ou intégralement recouvré dans les cinq jours ouvrables;

c)

que l'établissement applique un système de définition et de justification de seuils appropriés pour la collecte de données, basés sur le montant de perte brute;

d)

que la catégorie de risque opérationnel est raisonnable et n'omet pas de données sur les pertes qui seraient importantes pour une bonne mesure du risque opérationnel et une bonne gestion des risques;

e)

que, pour chaque perte individuelle, l'établissement est en mesure d'identifier et d'enregistrer au moins les éléments suivants dans sa base de données interne:

a)

les charges directes portées au compte de résultat, dépréciations et frais de règlement compris, et les réductions de valeur dues à l'événement de risque opérationnel;

b)

les coûts occasionnés par l'événement de risque opérationnel, notamment:

c)

les provisions ou réserves inscrites au compte de résultat pour pertes probables liées à des risques opérationnels, y compris à des cas d'inconduite;

d)

les pertes latentes, à savoir les pertes dues à un événement de risque opérationnel qui sont temporairement inscrites dans des comptes transitoires ou d'attente et ne sont donc pas encore portées au compte de résultat et qu'il est prévu d'inclure dans un délai correspondant à la taille et à l'âge du poste en suspens;

e)

les recettes non perçues d'un montant significatif liées à des obligations contractuelles envers des tiers, y compris à la décision, consécutive à l'événement de risque opérationnel, d'indemniser un client non par remboursement ou paiement direct, mais par un ajustement des recettes consistant à ne pas appliquer, ou à réduire, des frais contractuels sur une certaine période à venir;

f)

les pertes temporaires, lorsqu'elles couvrent plus d'un exercice financier et s'accompagnent d'un risque juridique.

a)

un incident (near miss), à savoir un événement de risque opérationnel qui n'entraîne pas de perte, tel qu'un problème informatique survenant dans la salle des marchés juste en dehors des heures de négociation;

b)

un gain résultant d'un événement de risque opérationnel;

c)

les coûts d'opportunité prenant la forme de surcoûts ou de pertes de recettes dus à des événements de risque opérationnel et qui empêchent l'exercice d'activités futures indéterminées, tels que frais de personnel, manques à gagner et coûts de projet liés à l'amélioration de processus;

d)

les coûts internes, dont le paiement d'heures supplémentaires ou de primes.

a)

le coût des contrats généraux de maintenance des immobilisations corporelles;

b)

les dépenses internes ou externes destinées à renforcer l'activité après un événement de risque opérationnel, notamment les mises à niveau, les améliorations et l'adoption de mesures d'évaluation des risques ou le renforcement de celles-ci;

c)

les primes d'assurance.

a)

que c'est le montant total des pertes ou des dépenses supportées, incluant les provisions, frais de règlement, montants versés à titre de dommages, pénalités, intérêts de retard et frais juridiques, qui est considéré comme le montant de perte enregistré, aussi bien aux fins de la gestion du risque opérationnel que du calcul des exigences de fonds propres selon l'AMA, sauf indication contraire;

b)

que, lorsque l'événement de risque opérationnel est lié au risque de marché, l'établissement inclut le coût du dénouement des positions sur le marché dans le montant de perte enregistré pour les facteurs de risque opérationnel, et que, lorsque la position est intentionnellement maintenue ouverte après comptabilisation de l'événement de risque opérationnel, le montant de perte enregistré au titre des facteurs de risque opérationnel n'inclut pas les pertes dues à une détérioration des conditions de marché postérieurement à la décision de maintenir la position ouverte;

c)

que, lorsque des impôts sont acquittés en relation avec des défaillances, ou des processus inadéquats, de l'établissement, celui-ci inclut, dans le montant de perte enregistré au titre des facteurs de risque opérationnel, les dépenses liées à l'événement de risque opérationnel, y compris les pénalités, intérêts, pénalités de retard et frais de justice, à l'exclusion du montant de l'impôt initialement dû;

d)

que, lorsque des pertes temporaires surviennent et que l'événement de risque opérationnel affecte directement des tiers, notamment des clients, des fournisseurs et des salariés de l'établissement, celui-ci inclut aussi la correction de l'état financier dans le montant de perte enregistré pour ce facteur de risque opérationnel.

a)

les fraudes commises par un client de l'établissement pour son propre compte, dans le cadre d'un produit de crédit ou du processus d'octroi d'un crédit au tout début d'une relation de crédit, notamment l'incitation à prendre une décision de prêt sur la base de documents contrefaits ou d'états financiers inexacts, par exemple sur la base de fausses fiches de paie ou de garanties inexistantes ou surestimées;

b)

les fraudes commises en utilisant à son insu l'identité d'une autre personne, telles que l'introduction d'une demande de prêt basée sur une fraude aux systèmes d'identification électronique, via l'utilisation de données de clients ou d'une identité fictive, ou l'utilisation frauduleuse de cartes de crédit de clients.

a)

ajuster le seuil de collecte de données pour les événements de perte décrits au paragraphe 1 en le portant à des niveaux comparables à ceux des autres catégories de risque opérationnel du cadre régissant l'AMA, le cas échéant;

b)

inclure dans la perte brute liée aux événements décrits au paragraphe 1 le montant total restant dû au moment où est détectée la fraude, ou par la suite, ainsi que toutes les autres dépenses annexes, intérêts de retard et frais de justice compris.

a)

que lorsque l'établissement participe à des initiatives consortiales pour la collecte d'événements de risque opérationnel et de pertes sur risque opérationnel, il est en mesure de fournir des données de la même qualité, en termes de portée, d'intégrité et d'exhaustivité, que les données internes conformes aux critères des articles 21, 22, 23 et 24 et qu'il le fait en cohérence avec le type de données exigé par les normes d'information financière du consortium;

b)

que l'établissement a mis en place un processus de filtrage des données qui permet de sélectionner des données externes pertinentes à l'aide de critères précis et que les données externes utilisées sont pertinentes et cohérentes avec le profil de risque de l'établissement;

c)

que pour éviter les biais d'estimation des paramètres, le processus de filtrage débouche sur une sélection de données cohérente quel que soit le montant de la perte et que si l'établissement admet des exceptions à ce processus de sélection, il applique une politique prévoyant le respect de critères pour ces exceptions et une documentation justifiant ces dernières;

d)

que, lorsque l'établissement adopte un processus de mise à l'échelle des données comportant l'ajustement des montants de perte fournis dans les données externes, ou des distributions connexes, afin de les ajuster aux activités de l'établissement, à sa nature et à son profil de risque, ce processus de mise à l'échelle est systématique, qu'il s'appuie sur des statistiques et qu'il produit des résultats correspondant au profil de risque de l'établissement;

e)

que le processus de mise à l'échelle de l'établissement est cohérent dans le temps et que sa validité et son efficacité sont régulièrement réexaminées.

a)

que l'établissement a mis en place un cadre de gouvernance solide pour le processus d'élaboration de scénarios, qui assure la production d'estimations crédibles et fiables, indépendamment du fait que le scénario serve à évaluer des événements très graves ou l'ensemble des expositions au risque opérationnel;

b)

que le processus d'élaboration des scénarios est clairement défini, bien documenté, reproductible et conçu pour réduire autant que possible la subjectivité et les biais, notamment:

c)

que des facilitateurs qualifiés et expérimentés veillent à la cohérence du processus;

d)

que les hypothèses utilisées dans le processus s'appuient, dans toute la mesure du possible, sur des données internes et externes pertinentes issues d'une procédure de sélection objective et non biaisée;

e)

que le nombre de scénarios choisis, le niveau auquel ils sont étudiés, ou les services dans lesquels ils sont étudiés, sont réalistes et dûment expliqués, et que les estimations des scénarios tiennent compte des changements pertinents, survenus dans l'environnement interne et externe, qui peuvent affecter l'exposition au risque opérationnel de l'établissement;

f)

qu'il est tenu compte, dans la production des estimations des scénarios, des événements de risque opérationnel potentiels ou probables qui ne se sont pas encore matérialisés, ni entièrement ni en partie, par une perte sur risque opérationnel;

g)

que le processus d'élaboration des scénarios et leurs estimations font l'objet de mises à l'épreuve et d'une supervision rigoureuses et indépendantes.

a)

que les BEICF de l'établissement sont de nature prospective et tiennent compte des sources potentielles de risque opérationnel, telles qu'une croissance rapide, l'introduction de nouveaux produits, la rotation du personnel et l'indisponibilité des systèmes;

b)

que l'établissement a défini des orientations claires qui limitent l'ampleur de réductions des exigences de fonds propres selon l'AMA consécutives à des ajustements des BEICF;

c)

que les ajustements des BEICF visés au point b) sont justifiés et que la pertinence de leur niveau est confirmée par une comparaison, sur la durée, avec la direction et l'ampleur des données internes relatives aux pertes effectives, les conditions au niveau de l'environnement économique et les changements en termes d'efficacité validée des contrôles.

a)

que l'établissement élabore, met en œuvre et gère un système de mesure du risque opérationnel qui soit méthodologiquement solide, qui permette de cerner effectivement les risques opérationnels réels et potentiels de l'établissement et qui fasse preuve de fiabilité et de robustesse lors du calcul d'exigences de fonds propres selon l'AMA;

b)

que l'établissement applique des politiques appropriées en ce qui concerne la constitution de l'ensemble des données de calcul, conformément à l'article 29;

c)

que l'établissement applique le niveau de granularité approprié dans son modèle, conformément à l'article 30;

d)

que l'établissement a mis en place un processus approprié de définition des distributions des pertes, conformément à l'article 31;

e)

que l'établissement détermine de manière appropriée les distributions des pertes agrégées et les mesures de risques, conformément à l'article 32.

a)

que l'établissement a défini des critères et des exemples précis pour la classification et le traitement des événements de risque opérationnel et des pertes sur risque opérationnel dans l'ensemble des données de calcul, et que ces critères et exemples débouchent sur un traitement cohérent, dans tout l'établissement, des données relatives aux pertes;

b)

que l'établissement n'utilise pas, dans l'ensemble des données de calcul, de pertes nettes des recouvrements par assurances et AMTR;

c)

que l'établissement a adopté, pour les catégories de risque opérationnel à faible fréquence d'événements, une période d'observation plus longue que le minimum prévu à l'article 322, paragraphe 3, point a), du règlement (UE) no 575/2013;

d)

que l'établissement, lorsqu'il construit l'ensemble des données de calcul aux fins de l'estimation des distributions de fréquences et de gravités, n'utilise que la date de détection ou la date de comptabilisation, et utilise une date qui n'est pas postérieure à la date de comptabilisation pour l'inclusion, dans l'ensemble des données de calcul, de pertes ou de provisions liées au risque juridique;

e)

que le seuil de modélisation minimal choisi par l'établissement n'a pas d'incidence sur l'exactitude des mesures de risque opérationnel et que l'utilisation de seuils de modélisation minimaux nettement supérieurs aux seuils de collecte de données est limitée et, le cas échéant, dûment justifiée par une analyse de sensibilité de différents seuils, effectuée par l'établissement;

f)

que l'établissement inclut dans l'ensemble des données de calcul toutes les pertes opérationnelles supérieures au seuil de modélisation minimal choisi et qu'il les utilise, quel que soit leur niveau, pour calculer les exigences de fonds propres selon l'AMA;

g)

que l'établissement applique aux données des taux d'ajustement appropriés en cas d'effets inflationnistes ou déflationnistes significatifs;

h)

que les pertes causées par un événement source, consistant en un événement de risque opérationnel commun, ou par des événements multiples liés à un événement de risque opérationnel initial engendrant des événements ou des pertes, sont regroupées et introduites comme une seule et même perte de l'établissement dans l'ensemble des données de calcul;

i)

que les éventuelles exceptions au traitement prévu au point h) sont dûment consignées par écrit et justifiées, de manière à prévenir toute réduction indue des exigences de fonds propres selon l'AMA;

j)

que l'établissement n'écarte pas de l'ensemble des données de calcul pour l'AMA les ajustements significatifs apportés au montant de pertes pour risque opérationnel dues à un événement unique ou à des événements liés, lorsque la date de référence de ces ajustements s'inscrit dans la période d'observation et que la date de référence de l'événement unique initial ou de l'événement source visé au point h) se situe en dehors de cette période;

k)

que l'établissement est en mesure, pour chaque année de référence incluse dans la période d'observation, de distinguer les montants de perte liés aux événements constatés ou comptabilisés cette année-là à des montants de perte liés aux ajustements ou regroupements d'événements constatés ou comptabilisés les années précédentes.

a)

que l'établissement tient compte de la nature, de la complexité et des particularités de ses activités et des risques opérationnels auxquels il est exposé, lorsqu'il regroupe des risques ayant des facteurs communs et qu'il définit les catégories de risque opérationnel d'une AMA;

b)

que l'établissement justifie sur un plan qualitatif et quantitatif le niveau de granularité choisi pour ses catégories de risque opérationnel, et qu'il classe ces catégories en s'appuyant sur des données homogènes, indépendantes et stationnaires;

c)

que le niveau de granularité choisi par l'établissement pour ses catégories de risque opérationnel est réaliste et n'a pas d'incidence négative sur la prudence des résultats du modèle ou de ses parties;

d)

que l'établissement réexamine régulièrement le niveau de granularité choisi pour ses catégories de risque opérationnel, afin de veiller à ce qu'il reste approprié.

a)

que l'établissement applique un processus bien précis, consigné par écrit et traçable, pour la sélection, la mise à jour et le réexamen des distributions de pertes et l'estimation de leurs paramètres;

b)

que le processus de sélection des distributions de pertes débouche sur des choix clairs et cohérents de l'établissement, qu'il rend bien compte du profil de risque en queue de distribution et qu'il comprend au moins les éléments suivants:

c)

que l'établissement, lorsqu'il choisit une distribution des pertes, accorde une attention particulière à l'asymétrie positive et à la leptokurticité des données;

d)

que, lorsque les données sont très dispersées dans la queue, l'établissement n'utilise pas de courbes empiriques pour estimer la région de l'extrémité, mais des distributions sous-exponentielles dont la queue décroît plus lentement que celle des distributions exponentielles, sauf si des motifs exceptionnels justifient l'application à d'autres fonctions, qui sont dans tous les cas prises en compte de manière rigoureuse et dûment justifiées, afin d'éviter de réduire sans motif valable l'exigence de fonds propres selon l'AMA;

e)

que, lorsque des distributions de pertes distinctes sont utilisées pour le corps et la queue, l'établissement accorde une attention particulière au choix du seuil de la modélisation corps-queue;

f)

que le choix du seuil de la modélisation corps-queue est étayé par une documentation statistique, complétée le cas échéant par des éléments qualitatifs;

g)

que l'établissement, lorsqu'il estime les paramètres de la distribution, soit tient compte, dans le modèle, du caractère incomplet de l'ensemble des données dû à la présence de seuils minimaux de modélisation, soit justifie l'utilisation d'un ensemble de données de calcul incomplet en montrant qu'elle n'a pas d'incidence négative sur l'exactitude des paramètres estimatifs et sur les exigences de fonds propres selon l'AMA;

h)

que l'établissement dispose de méthodes pour réduire la variabilité des estimations de paramètres et fournit des mesures de l'erreur entourant ces estimations, telles que des intervalles de confiance et des valeurs-p;

i)

que, lorsque l'établissement adopte des estimateurs solides, sous forme de généralisations d'estimateurs classiques présentant de bonnes propriétés statistiques, en faisant preuve notamment d'une grande efficacité et d'un faible biais pour tout un voisinage de la distribution sous-jacente inconnue, il peut démontrer que leur utilisation ne sous-estime pas le risque en queue de distribution des pertes;

j)

que l'établissement s'assure du bon ajustement des données et de la distribution sélectionnée, à l'aide d'outils de diagnostic tant graphiques que quantitatifs, qui sont plus sensibles à la queue qu'au corps des données, surtout si les données sont très dispersées en queue de distribution;

k)

qu'au besoin, notamment lorsque les outils de diagnostic ne débouchent pas sur un choix clair en ce qui concerne la distribution la mieux ajustée, ou pour atténuer l'influence de la taille de l'échantillon et du nombre de paramètres estimatifs sur les tests d'ajustement, l'établissement utilise des méthodes d'évaluation qui comparent les performances relatives des distributions de pertes, tels que le ratio de probabilité, le critère d'information d'Akaike et le critère d'information bayésien de Schwarz;

l)

que l'établissement vérifie à intervalles réguliers les hypothèses sous-tendant les distributions de pertes choisies et que, si des hypothèses sont invalidées, notamment si elles génèrent des valeurs en dehors des fourchettes fixées, l'établissement a testé d'autres méthodes et qu'il a correctement classé les éventuelles modifications apportées aux hypothèses, conformément au règlement délégué (UE) no 529/2014 de la Commission (5).

a)

que les techniques élaborées par l'établissement à cette fin garantissent des niveaux appropriés de précision et de stabilité des mesures de risques;

b)

que les mesures de risques sont complétées par des informations sur leur niveau d'exactitude;

c)

que, quelles que soient les techniques employées pour agréger les distributions de pertes par fréquence et par gravité, dont la méthode de simulation de Monte-Carlo, les méthodes de transformation de type Fourier, l'algorithme de Panjer et les approximations de type Single Loss Approximation (SLA), l'établissement adopte des critères pour atténuer les erreurs numériques et d'échantillonnage et fournit une mesure de l'ampleur de ces erreurs;

d)

que, lorsque des simulations de type Monte-Carlo sont utilisées, le nombre d'étapes correspond à la forme des distributions et au niveau de confiance à atteindre;

e)

que, lorsque la distribution des pertes présente une queue épaisse et est mesurée avec un haut niveau de confiance, le nombre d'étapes est suffisant pour ramener la variabilité de l'échantillonnage à un niveau acceptable;

f)

que, lorsque la transformation de Fourier ou d'autres méthodes numériques sont utilisées, une attention particulière est accordée aux questions de stabilité de l'algorithme et de propagation des erreurs;

g)

que la mesure du risque de l'établissement fournie par le système de mesure du risque opérationnel respecte le principe de monotonie du risque, qui se traduit par des exigences de fonds propres d'autant plus élevées que le profil de risque sous-jacent augmente, et inversement;

h)

que la mesure du risque de l'établissement fournie par le système de mesure du risque opérationnel est réaliste en termes de gestion et en termes économiques, et que l'établissement applique des techniques appropriées pour éviter de plafonner la perte individuelle maximale, à moins qu'il ne justifie de façon claire et objective l'existence d'une limite supérieure, et pour éviter d'impliquer l'inexistence d'un premier moment statistique dans la distribution;

i)

que l'établissement évalue explicitement la robustesse des résultats du système de mesure du risque opérationnel en effectuant une analyse de sensibilité appropriée sur les données d'entrée ou sur ses paramètres.

a)

la méthode utilisée par l'établissement pour l'estimation des pertes anticipées est cohérente avec le système de mesure du risque opérationnel utilisé pour l'estimation d'exigences de fonds propres selon l'AMA englobant à la fois les pertes anticipées et les pertes non anticipées, et que le processus d'estimation des pertes anticipées s'applique par catégorie de risque opérationnel et est cohérent dans la durée;

b)

l'établissement définit les pertes anticipées à l'aide de statistiques qui sont moins influencées par les pertes extrêmes, notamment la moyenne médiane et tronquée, en particulier quand les données présentent une queue moyenne ou épaisse;

c)

la compensation maximale pour pertes anticipées appliquée par l'établissement se limite au montant total de perte anticipée, et la compensation maximale pour pertes anticipées dans chaque catégorie de risque opérationnel se limite au montant des pertes anticipées concernées, calculé en appliquant à cette catégorie le système de mesure du risque opérationnel de l'établissement;

d)

les compensations pour pertes anticipées prévues par l'établissement dans chaque catégorie sont des substituts de fonds propres ou sont autrement disponibles pour couvrir les pertes anticipées avec un degré élevé de certitude, sur une période d'un an;

e)

lorsque la compensation n'est pas constituée de provisions, l'établissement en limite la disponibilité aux opérations entraînant des pertes habituelles, constantes et très prévisibles;

f)

l'établissement n'utilise pas de réserves spécifiques constituées pour des événements de risque opérationnel exceptionnels déjà survenus en tant que compensations des pertes anticipées;

g)

l'établissement consigne clairement par écrit la manière dont ses pertes anticipées sont mesurées et prises en compte, en précisant notamment comment leurs éventuelles compensations satisfont aux conditions des points a) à f).

a)

pour toutes les données, qu'il s'agisse du corps ou de la queue, l'établissement accorde une attention particulière à toute forme de dépendance linéaire ou non linéaire entre deux catégories de risque opérationnel ou plus ou à l'intérieur d'une même catégorie de risque opérationnel;

b)

dans toute la mesure possible, l'établissement étaie ses hypothèses de corrélation par une combinaison appropriée d'analyses de données empiriques et de jugements d'experts;

c)

les pertes au sein de chaque catégorie de risque opérationnel sont indépendantes les unes des autres;

d)

si la condition du point c) n'est pas remplie, les pertes dépendantes sont agrégées;

e)

s'il n'est possible de respecter ni la condition du point c), ni celle du point d), et uniquement dans ce cas, la dépendance au sein de la catégorie de risque opérationnel est dûment modélisée;

f)

l'établissement est particulièrement attentif à toute dépendance entre des événements situés en queue de distribution;

g)

l'établissement ne fonde pas la structure de dépendance sur des distributions gaussiennes ou quasi normales;

h)

toutes les hypothèses de dépendance utilisées par l'établissement sont prudentes et tiennent compte des incertitudes liées à la modélisation des dépendances en matière de risque opérationnel, et le degré de prudence de l'établissement est inversement proportionnel à la rigueur des hypothèses de dépendance et à la fiabilité des exigences de fonds propres qui en résultent;

i)

l'établissement justifie les hypothèses de dépendance qu'il utilise et procède régulièrement à des analyses de sensibilité en vue d'évaluer l'effet de ces hypothèses sur ses exigences de fonds propres selon l'AMA.

(a)

que le mécanisme d'allocation des fonds propres de l'établissement est cohérent avec son profil de risque et avec la conception générale du système de mesure du risque opérationnel;

b)

que l'allocation des exigences de fonds propres selon l'AMA tient compte d'éventuelles disparités internes, en termes de risques et de qualité de la gestion du risque opérationnel et du contrôle interne, entre les parties du groupe auxquelles sont allouées ces exigences;

c)

qu'il n'existe, en droit ou en fait, aucun obstacle significatif, actuel ou prévu, au transfert rapide de fonds propres ou au remboursement rapide de passifs;

d)

que l'allocation des exigences de fonds propres selon l'AMA en partant du niveau consolidé du groupe et en descendant vers les parties du groupe qui participent au système de mesure du risque opérationnel s'appuie sur des méthodes solides et, dans toute la mesure du possible, sensibles au risque.

a)

que le fournisseur d'assurance respecte les exigences en matière d'agrément visées à l'article 323, paragraphe 2, du règlement (UE) no 575/2013, conformément à l'article 37;

b)

que l'assurance est fournie par une entité tierce, comme prévu par l'article 323, paragraphe 3, point e), du règlement (UE) no 575/2013, conformément à l'article 38;

c)

que l'établissement évite le comptage multiple des techniques d'atténuation du risque, comme prévu par l'article 322, paragraphe 2, point e), du règlement (UE) no 575/2013, conformément à l'article 39;

d)

que le calcul des effets de l'atténuation du risque tient compte de la couverture d'assurance, comme prévu à l'article 323, paragraphe 3, point d), du règlement (UE) no 575/2013, et que le dispositif de prise en compte de l'assurance est dûment justifié et consigné par écrit, comme prévu à l'article 323, paragraphe 3, point f), de ce même règlement, et notamment:

e)

que la méthode de prise en compte de l'assurance suivie par l'établissement intègre tous les éléments pertinents, par l'application de réductions ou de décotes au montant pris en compte au titre de l'assurance, comme prévu à l'article 323, paragraphe 3, points a) et b), et à l'article 323, paragraphe 4, du règlement (UE) no 575/2013, conformément à l'article 43;

f)

que l'établissement apporte la preuve que l'introduction d'AMTR a un effet notable d'atténuation des risques, comme prévu à l'article 323, paragraphe 1, deuxième phrase, du règlement (UE) no 575/2013, conformément à l'article 44.

a)

estimer la probabilité d'un recouvrement par voie d'assurance et le délai possible de réception des paiements d'assureurs, y compris la probabilité de contestation en justice d'une créance d'assurance, la durée de la procédure et les taux et conditions actuels de règlement, en se fondant sur l'expérience de son équipe de gestion des risques d'assurance, complétée au besoin par une expertise externe appropriée, telle que celle de conseillers en assurance, de courtiers et d'assureurs;

b)

utiliser les estimations résultant du point a) pour évaluer l'intervention de l'assurance en cas de perte sur risque opérationnel et concevoir ce processus de manière à pouvoir évaluer la réponse de l'assurance pour toutes les données pertinentes relatives aux pertes et aux scénarios qui sont entrées dans le système de mesure du risque opérationnel;

c)

mettre en correspondance les contrats d'assurance, en fonction de l'évaluation de ces derniers prévue au point b), avec les propres risques opérationnels de l'établissement, à un niveau de détail maximal, en utilisant toutes les sources d'informations disponibles, dont les données internes, les données externes et les estimations de scénarios;

d)

recourir à l'expertise appropriée et effectuer cette mise en correspondance de manière transparente et cohérente;

e)

attribuer la pondération appropriée aux résultats passés et anticipés de l'assurance, au moyen d'une évaluation des composantes du contrat d'assurance;

f)

obtenir l'approbation formelle de l'organe ou du comité approprié compétent en matière de risques;

g)

réexaminer périodiquement le processus de mise en correspondance des assurances.

a)

elle est cohérente avec le système de mesure du risque opérationnel adopté pour quantifier les pertes brutes avant assurance;

b)

elle est transparente quant à sa relation avec la probabilité et l'impact réels des pertes servant au calcul général, par l'établissement, de ses exigences de fonds propres selon l'AMA, et elle est également cohérente avec cette relation.

a)

que l'établissement a réexaminé l'utilisation qu'il fait de l'assurance et qu'il a, le cas échéant, recalculé ses exigences de fonds propres selon l'AMA, lorsque la nature de l'assurance a changé de manière significative ou lorsque le profil de risque opérationnel de l'établissement connaît un changement majeur;

b)

qu'en cas de pertes significatives affectant la couverture d'assurance, l'établissement recalcule ses exigences de fonds propres selon l'AMA avec une marge de prudence supplémentaire;

c)

qu'en cas de cessation ou de réduction imprévue de la couverture d'assurance, l'établissement est prêt à remplacer immédiatement le contrat d'assurance, à des conditions et avec une couverture équivalentes ou meilleures, ou à relever ses exigences de fonds propres selon AMA à un niveau brut avant intervention des assurances;

d)

que l'établissement calcule les fonds propres avant et après intervention des assurances et à un niveau de granularité tel que toute érosion du montant d'assurance disponible, y compris par suite de l'indemnisation d'une perte significative, ou modification de la couverture d'assurance, puisse être immédiatement prise en compte du point de vue de ses effets sur les exigences de fonds propres selon l'AMA.

a)

que l'établissement examine les différents facteurs qui font que le fournisseur d'assurance risque de ne pas effectuer les versements prévus et qui réduisent ainsi l'efficacité du transfert de risque, notamment la capacité de l'assureur à procéder rapidement aux versements et la capacité de l'établissement à constater, analyser et déclarer rapidement le sinistre;

b)

que l'établissement examine comment les différents facteurs visés au point a) ont par le passé affecté l'effet modérateur de l'assurance sur le profil de risque opérationnel et pourraient l'affecter à l'avenir;

c)

que l'établissement tient compte des incertitudes visées au point a) dans ses exigences de fonds propres selon l'AMA, en appliquant des décotes suffisamment prudentes;

d)

que l'établissement tient dûment compte des caractéristiques des contrats d'assurance, notamment de la question de savoir s'ils ne couvrent que les pertes déclarées ou notifiées à l'assureur pendant la durée du contrat, de sorte que les pertes constatées après expiration de celui-ci ne sont pas couvertes, ou s'ils couvrent les pertes survenues pendant la durée du contrat, même si leur constatation et leur déclaration n'ont lieu qu'après l'expiration du contrat, ou la question de savoir si les pertes sont des dommages directs subis par l'assuré ou engagent la responsabilité civile d'un tiers;

e)

que l'établissement examine et consigne intégralement, dans ses bases de données sur les pertes, les données relatives aux prestations d'assurance, par type de pertes, et qu'il fixe des décotes en conséquence;

f)

que l'établissement a mis en place des procédures pour l'identification, l'analyse et la déclaration des pertes, en vue de vérifier la couverture que lui fournit effectivement l'assureur ou sa propre capacité de percevoir les indemnités dans un délai raisonnable;

g)

que l'établissement quantifie explicitement et modélise séparément les décotes pour chacune des incertitudes pertinentes qu'il a constatées, au lieu d'appliquer une seule décote lors du calcul incluant toutes les incertitudes, ou une décote a posteriori;

h)

que l'établissement tient compte au maximum du risque lié à la capacité de règlement des sinistres de l'assureur, en intégrant des décotes appropriées dans sa méthode de modélisation des assurances;

i)

que l'établissement veille à ce que le risque lié à la capacité de règlement des sinistres en cas de défaillance de la contrepartie soit évalué sur la base de la qualité de crédit de l'entreprise d'assurance responsable en vertu du contrat d'assurance concerné, indépendamment du fait que l'établissement mère de l'entreprise d'assurance soit mieux noté ou que le risque soit transféré à un tiers;

j)

que l'établissement fasse des hypothèses prudentes quant à un renouvellement des contrats d'assurance à des conditions et avec une couverture équivalentes à celles des contrats initiaux ou en vigueur;

k)

que l'établissement a mis en place des procédures pour garantir que la méthode de prise en compte des assurances dans l'AMA tient dûment compte de l'éventualité d'un épuisement des garanties du contrat d'assurance, du prix et de la possibilité d'une reconstitution de ces garanties et des cas où la couverture du contrat ne correspond pas au profil de risque opérationnel de l'établissement.

a)

si l'établissement peut démontrer l'existence sur au moins 365 jours d'une couverture ininterrompue, à des conditions et avec une couverture équivalentes ou meilleures;

b)

si l'établissement a conclu un contrat que l'assureur ne peut résilier pour d'autres motifs que le non-paiement de primes, ou dont le préavis de résiliation est supérieur à un an.

a)

elles s'assurent que l'établissement a une expérience de l'utilisation d'instruments de type AMTR et de leurs caractéristiques, notamment en termes de probabilité de couverture et de délais de paiement, en tant que condition préalable à la prise en compte de ces instruments dans son système de mesure du risque opérationnel;

b)

elles refusent comme instruments éligibles d'atténuation des risques aux fins des exigences de fonds propres selon l'AMA les AMTR détenus ou utilisés à des fins de négociation, et non à des fins de gestion des risques;

c)

elles vérifient l'éligibilité du vendeur de la protection, notamment s'il s'agit d'une entité réglementée ou non, ainsi que la nature et les caractéristiques de la protection fournie, notamment s'il s'agit d'une protection financée, d'une titrisation, d'un mécanisme de garantie ou de dérivés;

d)

elles s'assurent que les activités externalisées ne sont pas considérées comme faisant partie des AMTR;

e)

elles s'assurent que l'établissement calcule ses exigences de fonds propres selon l'AMA avant et après intervention des AMTR, pour chaque calcul de fonds propres, à un niveau de granularité tel que toute érosion du montant de protection disponible puisse être immédiatement prise en compte du point de vue de ses effets sur les exigences de fonds propres;

f)

elles s'assurent qu'en cas de pertes significatives affectant la couverture fournie par les AMTR, ou si une modification des contrats d'AMTR crée des incertitudes majeures quant à leur couverture, l'établissement recalcule ses exigences de fonds propres selon l'AMA en appliquant une marge de prudence supplémentaire.

a)

le présent règlement entre en application un an après son entrée en vigueur;

b)

l'article 34, point g), entre en application deux ans après son entrée en vigueur.