Revue de marché AFM SREP 2025 : la politique existe, l'exécution pas
L'Autorité néerlandaise des marchés financiers (AFM) a publié sa revue de marché SREP 2025, et la conclusion centrale est inconfortablement familière : la plupart des entreprises supervisées ont les bonnes politiques en place, mais l'exécution quotidienne de ces politiques est là où les choses se désagrègent. Pour les cabinets comptables, les auditeurs et les directeurs financiers conseillant ou gérant des entités réglementées aux Pays-Bas, la revue identifie trois points de pression structurels qui nécessitent une attention immédiate : une exécution faible des contrôles internes, une gestion inadéquate des risques liés aux TIC et une responsabilité floue dans les arrangements externalisés et collaboratifs.
Ce que l'AFM a réellement constaté
Une base de référence positive, un écart problématique
L'AFM reconnaît que les entreprises ont généralement effectué le travail de base. Les cadres de conformité existent. Les obligations réglementaires sont documentées. Les exigences de compétence du personnel sont traitées par écrit. C'est la bonne nouvelle, et c'est un progrès réel par rapport aux cycles de revue précédents.
Le problème se situe entre le cadre écrit et l'environnement réel. L'évaluation de supervision de l'AFM a constaté que les contrôles internes ne sont fréquemment pas exécutés de manière structurée et continue, et lorsqu'ils sont effectués, ils ne sont pas systématiquement enregistrés. Les évaluations de processus qui devraient avoir lieu périodiquement soit ne se produisent pas du tout, soit se produisent sans produire de preuves pouvant résister à un examen lors d'une inspection de supervision.
Le cadre de l'AFM est direct : une politique qui existe sur le papier mais qui ne peut pas être démontrée comme fonctionnant en pratique n'offre aucune protection réelle à l'entreprise, à ses clients ou au marché. L'application quotidienne des contrôles est ce qui crée une véritable résilience.
Risque lié aux TIC : détection sans prévention
La deuxième constatation majeure concerne la gouvernance technologique. Alors que les entreprises du secteur financier néerlandais deviennent de plus en plus dépendantes des infrastructures informatiques pour leurs opérations, y compris les plateformes tierces et les systèmes basés sur le cloud, l'AFM a constaté que l'environnement de contrôle autour de cette infrastructure n'a pas suivi le rythme.
Les faiblesses spécifiques identifiées incluent la détection de vulnérabilités qui n'est pas systématiquement traitée, les tests de sauvegarde qui sont soit absents soit irréguliers, et la préparation à la réponse aux incidents qui reste théorique plutôt que testée. L'AFM a observé un schéma où les entreprises peuvent identifier un problème lorsqu'il se présente, mais n'ont pas investi d'efforts proportionnés pour l'empêcher de se produire en premier lieu.
Critiquement, la revue note que ces lacunes sont plus prononcées lorsque les entreprises dépendent de fournisseurs informatiques externes. Les arrangements avec ces fournisseurs manquent souvent de contrôles contractuels clairs, d'obligations de surveillance ou de protocoles d'escalade. Avec l'environnement réglementaire européen plus large imposant désormais des exigences importantes en matière de résilience des TIC par le biais du règlement sur la résilience opérationnelle numérique (DORA), les entreprises qui n'ont pas encore aligné leurs arrangements informatiques tiers sur une supervision structurée courent un risque de conformité sur deux fronts simultanément. Notre couverture précédente des obligations de déclaration des incidents TIC DORA pour les entreprises de l'UE expose ce que ce cadre exige en pratique.
Lacunes de responsabilité dans les processus clés
Là où la responsabilité reste non réclamée
La troisième préoccupation centrale de l'AFM est l'absence de propriété claire sur les processus critiques. La revue identifie plusieurs domaines où il est véritablement flou, au niveau opérationnel, de savoir qui est responsable d'un contrôle donné, qui assure la supervision et comment la surveillance est réellement effectuée. Les domaines spécifiques que l'AFM souligne incluent la meilleure exécution, les obligations de durabilité et les arrangements de collaboration avec des tiers.
Ce n'est pas simplement un problème de conception organisationnelle. Lorsque la responsabilité est diffuse, les tâches que tout le monde partage nominalement ont tendance à être des tâches que personne ne gère activement. L'AFM note que cette ambiguïté crée également un risque en aval pour les clients, en particulier lorsque des arrangements collaboratifs entre entreprises soulèvent des questions sur quelle entité est responsable de ce que le client vit.
La dimension client
L'AFM relie directement les défaillances de responsabilité aux résultats pour les clients. Lorsque les processus internes ne sont pas clairement possédés et surveillés, le risque n'est pas seulement une constatation réglementaire lors d'une visite de supervision. Le risque est que les clients reçoivent un service incohérent ou inadéquat, ou que les responsabilités dans un arrangement de partenariat ne soient jamais correctement clarifiées avec l'utilisateur final. Placer la responsabilité explicitement et documenter comment chaque propriétaire surveille son domaine est, de l'avis de l'AFM, le mécanisme pratique par lequel les intérêts des clients restent centraux.
Ce que cela signifie pour les entreprises gérant des actifs numériques
Logiciel de comptabilité crypto et environnement de contrôle
Pour les cabinets comptables et les directeurs financiers qui utilisent un logiciel de comptabilité crypto ou un logiciel de comptabilité d'actifs numériques dans le cadre d'un flux de travail réglementé, les conclusions du SREP ont une implication spécifique. Les examens de supervision regardent de plus en plus au-delà de la licence logicielle et du document de politique pour demander si l'outil est réellement utilisé comme prévu, si les résultats sont vérifiés et s'il existe un propriétaire clair pour le processus de rapprochement ou de reporting qu'il soutient.
Une entreprise qui peut montrer qu'elle effectue des examens périodiques structurés des résultats de son logiciel de comptabilité crypto, documente les exceptions et a un propriétaire interne nommé pour le processus est dans une position matériellement meilleure qu'une entreprise où le logiciel fonctionne en arrière-plan et les résultats sont considérés comme intrinsèquement fiables. L'accent mis par l'AFM sur l'exécution démontrable s'applique aussi directement aux processus de conformité assistés par la technologie qu'aux processus manuels.
Les attentes de l'AFM concernant les arrangements avec des tiers sont également pertinentes ici. Les fournisseurs de logiciels de comptabilité d'actifs numériques sont des tiers. Les entreprises qui n'ont pas formalisé ce qu'elles attendent de ces fournisseurs en termes d'intégrité des données, de notification des incidents et de continuité des activités présentent exactement le type de lacune que la revue SREP signale. Les orientations antérieures de l'AFM aux prestataires de services crypto sur les exigences de commercialisation à distance et d'interface en ligne soulignent l'appétit du régulateur pour une conformité concrète et documentée plutôt que des engagements de principe.
Trois actions que les équipes de conformité devraient entreprendre maintenant
Tests de contrôle structurés avec preuves
Les contrôles internes doivent être testés selon un calendrier défini et ces tests doivent produire des enregistrements. Si un examen de supervision arrivait demain, l'entreprise devrait pouvoir montrer non seulement qu'un contrôle existe, mais aussi quand il a été testé pour la dernière fois, quel était le résultat, qui l'a examiné et ce qui s'est passé si quelque chose a été trouvé. Cette piste documentaire est ce que l'AFM recherche et ce que de nombreuses entreprises ne peuvent actuellement pas fournir.
Examens des fournisseurs TIC
Chaque fournisseur informatique important, y compris toute plateforme utilisée pour la comptabilité crypto ou le reporting d'actifs numériques, devrait être soumis à un examen documenté qui aborde : ce que le fournisseur est contractuellement tenu de livrer en termes de résilience et de sécurité, comment l'entreprise surveille cette livraison, et quel est le plan de réponse de l'entreprise elle-même si le fournisseur subit un incident. Lorsque ces réponses n'existent pas par écrit, l'entreprise a une lacune que le cadre SREP classerait comme une faiblesse de contrôle.
Attribution explicite de la responsabilité
Pour chaque processus significatif, en particulier ceux touchant la meilleure exécution, le reporting de durabilité ou toute fonction externalisée, un propriétaire nommé devrait être documenté avec une fréquence de surveillance définie. Lorsque plusieurs entreprises partagent un processus via un partenariat, les responsabilités de chaque partie envers le client devraient être écrites et examinées au moins une fois par an. L'ambiguïté n'est pas un état neutre. De l'avis de l'AFM, c'est un risque.
Questions fréquemment posées
Qu'est-ce que la revue de marché SREP de l'AFM ?
La revue de marché du processus de surveillance et d'évaluation (SREP) est publiée par l'AFM pour partager les constatations globales de sa supervision des entreprises financières néerlandaises. L'édition 2025 a identifié des lacunes d'exécution dans les contrôles internes et la gestion des risques liés aux TIC comme des domaines prioritaires d'amélioration dans l'ensemble du secteur.
La revue SREP s'applique-t-elle aux entreprises offrant des services de crypto-actifs aux Pays-Bas ?
Le cadre SREP s'applique aux entités supervisées par l'AFM. Les entreprises fournissant des services de crypto-actifs en vertu de MiCA ou fonctionnant sous des obligations d'enregistrement néerlandaises entrent dans le périmètre de supervision de l'AFM. Les attentes en matière de contrôle décrites dans la revue 2025 s'appliquent à ces entreprises de la même manière qu'aux fournisseurs de services financiers traditionnels.
Qu'attend exactement l'AFM en matière de risque TIC ?
L'AFM attend des entreprises qu'elles aillent au-delà de la détection des vulnérabilités TIC et qu'elles intègrent la prévention dans leurs processus standard. Cela inclut des tests de sauvegarde réguliers, des procédures documentées de réponse aux incidents et des arrangements contractuels clairs avec les fournisseurs informatiques externes couvrant la résilience, la surveillance et l'escalade. Ces attentes sont alignées sur les exigences DORA désormais en vigueur dans toute l'UE.
Comment les entreprises devraient-elles documenter la responsabilité selon les attentes SREP ?
Chaque processus important devrait avoir un propriétaire nommé, une fréquence d'examen définie et un enregistrement de l'activité de surveillance récente. Lorsque des tiers sont impliqués, la répartition des responsabilités devrait être documentée et accessible. La préoccupation de l'AFM n'est pas l'existence d'une structure de gouvernance sur le papier, mais si cette structure peut être démontrée comme fonctionnant en pratique.
Quelle est la conséquence de la non-conformité aux attentes SREP ?
La revue SREP est un signal de supervision plutôt qu'une règle contraignante, mais les conclusions des revues de marché informent les priorités de supervision basées sur les risques de l'AFM. Les entreprises qui ne réagissent pas aux faiblesses identifiées publiquement sont plus susceptibles de faire l'objet d'un engagement de supervision ciblé, d'exigences formelles ou de mesures d'exécution si les mêmes lacunes sont constatées lors d'un examen individuel.
Source : AFM SREP Marktbeeld 2025
