Instruction No. 78/AMF-UMOA/2023 on the Internal Control and Risk Management Framework of the Central Securities Depository / Settlement Bank (CSD/SB)

AMF-UMOA AUTORITÉ DES MARCHÉS FINANCIERS DE L'UNION MONÉTAIRE OUEST AFRICAINE Le Secrétaire Général

INSTRUCTION N° 78/AMF-UMOA/2023 RELATIVE AU DISPOSITIF DE CONTRÔLE INTERNE ET DE GESTION DES RISQUES DU DÉPOSITAIRE CENTRAL / BANQUE DE RÈGLEMENT (DC/BR)

L'Autorité des Marchés Financiers de l'Union Monétaire Ouest Africaine,

Vu le Traité révisé de l'Union Monétaire Ouest Africaine (UMOA) du 12 juillet 2019, entré en vigueur le 1er octobre 2022, modifiant la dénomination du Conseil Régional de l'Epargne Publique et des Marchés Financiers (CREPMF) en Autorité des Marchés Financiers de l'UMOA (AMF-UMOA) ;

Vu la Convention du 3 juillet 1996 portant création du Conseil Régional de l'Épargne Publique et des Marchés Financiers, notamment son Annexe portant composition, organisation, fonctionnement et attributions du Conseil Régional de l'Épargne Publique et des Marchés Financiers ;

Vu le Règlement Général n°001/97 du 28 novembre 1997 relatif à l'organisation, au fonctionnement et au contrôle du marché financier régional notamment en ses articles 10 et 16 ;

Vu l'Instruction n°3/97 du 29 novembre 1997 relative à l'habilitation du Dépositaire Central/Banque de Règlement ;

Vu la Décision n° 004 du 29/04/2021/CM/UMOA portant nomination du Président du Conseil Régional de l'Épargne Publique et des Marchés Financiers ;

Vu les délibérations de l'AMF-UMOA en sa 50ème session extraordinaire du 24 septembre 2021 tenue par visioconférence ;

Vu les délibérations de l'AMF-UMOA en sa 98ème session ordinaire du 23 décembre 2023, tenue à Cotonou en République du Bénin ;

ARRÊTE :

---

2/24 Instruction n° 78 /2023/AMF-UMOA

TITRE 1. DISPOSITIONS GENERALES

Article 1 Définitions Aux fins de la présente Instruction, on entend par :

a) Audit interne : Activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. L'audit interne doit évaluer les processus de gouvernance, de management des risques et de contrôle, et contribuer à leur amélioration sur la base d'une approche systématique, méthodique et fondée sur une approche par les risques.

b) Appétence pour le risque : Le niveau et le type de risque que le DC/BR est disposé à assumer dans ses expositions et ses activités pour réaliser ses objectifs stratégiques et ses obligations.

c) Chartes d'audit interne et de conformité : Documents qui définissent le positionnement des fonctions d'audit interne et de conformité au sein de la structure agréée et précisent l'organisation, les pouvoirs, les responsabilités et les modalités de fonctionnement desdites fonctions.

d) Cartographie des risques : Représentation synthétique et visuelle des risques du DC/BR. Elle constitue ainsi un outil de mise en évidence des risques à priorité. La cartographie des risques est établie sur la base d'un système d'identification et d'évaluation rigoureuse des risques inhérents au DC/BR à partir des facteurs internes (métiers et activités, modifications organisationnelles, etc.) et externes (conditions économiques, progrès technologiques, changements législatifs et réglementaires, etc.).

e) Comité d'audit : Comité instauré par l'organe délibérant pour l'assister dans l'exercice de ses missions, et en particulier vérifier la fiabilité et la transparence des informations financières, apprécier la pertinence des méthodes comptables ainsi que la qualité du dispositif de contrôle interne et du dispositif de gestion des risques, évaluer la stratégie d'audit et proposer le cas échéant, des pistes d'amélioration.

f) Contrôle Interne : Mesures mises en place par les organes exécutifs et qui ont pour but d'assurer que :

• les objectifs posés par le DC/BR sont réalistes et atteints ;
• les ressources sont utilisées de façon économique et efficiente, les risques sont contrôlés adéquatement ;
• le patrimoine est protégé ;
• l'information financière et l'information de gestion sont complètes et fiables ;
• les lois et réglementations ainsi que les politiques, les plans, les règles et les procédures internes sont respectés.

g) Cycle des contrôles : Intervalle au cours duquel toutes les activités et les entités du DC/BR auront été vérifiées au moins une fois par la fonction d'audit interne.

---

3/24 Instruction n° 78 /2023/AMF-UMOA

h) Dépositaire Central / Banque de Règlement ou DC/BR : La société autorisée, par agrément de l'AMF-UMOA à exercer, sur l'ensemble du territoire des États de l'Union, les activités ci-après : la conservation et la circulation scripturale des titres, la gestion du cycle des règlements-livraisons, le règlement des soldes des compensations relatives aux transactions boursières.

i) Dispositif de Contrôle Interne (DCI) : Ensemble des règles, méthodes et mesures de contrôle régissant la structure organisationnelle et opérationnelle du DC/BR. Il comprend les processus de reporting et les fonctions de contrôle.

j) Fonctions de contrôle : Les fonctions indépendantes de la gestion opérationnelle, dont le rôle est de fournir des évaluations objectives quant à la qualité et à l'efficacité du DCI, des dispositifs de gouvernance, de gestion des risques de non-conformité, en vue de faciliter la maîtrise des activités et des risques encourus. Elles comprennent notamment la fonction d'audit interne, la fonction de gestion des risques et la fonction de conformité.

k) Gestion des risques : L'ensemble des stratégies, politiques et procédures mises en place afin que tout risque significatif et toute concentration de risques associée soient détectés, mesurés, limités, maîtrisés et atténués, et qu'il en soit rendu compte, de façon précoce et exhaustive.

l) Normes en vigueur : L'ensemble des règles régissant l'exercice des activités du DC/BR, notamment :

• les dispositions légales et réglementaires ;
• les codes de conduite et de déontologie internes ;
• les principes pour les Infrastructures de Marché édictés par le Comité de Bâle et l'Organisation Internationale des Commissions de Valeurs (OICV).

m) Organe délibérant : Le Conseil d'Administration dans les sociétés anonymes ou l'organe collégial dans les sociétés constituées sous une autre forme. Il est investi de tous les pouvoirs pour agir en toutes circonstances au nom du DC/BR, dans la limite de l'objet social et des compétences réservées à l'Assemblée Générale.

n) Organe exécutif : Tout comité ou structure qui concourt à la gestion courante du DC/BR et assure l'application effective de l'orientation de l'activité définie par l'organe délibérant.

o) Piste d'audit : Ensemble de procédures internes permanentes permettant d'assurer la traçabilité des opérations, de justifier toute information par une pièce d'origine à partir de laquelle il doit être possible de remonter, par un cheminement ininterrompu, au document de synthèse et réciproquement et d'expliquer l'évolution des soldes d'un arrêté comptable à l'autre, grâce à la conservation des mouvements ayant affecté les postes comptables.

p) Risque de non-conformité : le risque de sanction judiciaire, administrative ou disciplinaire, de perte financière, d'atteinte à la réputation, que le DC/BR peut subir en raison de l'inobservation des normes en vigueur régissant l'exercice de ses activités.

---

4/24 Instruction n° 78 /2023/AMF-UMOA

q) Risque opérationnel : le risque de pertes résultant de carences ou de défaillances attribuables à des processus, des personnes, des systèmes internes ou à des événements externes. Cette notion inclut le risque juridique mais exclut les risques stratégiques et de réputation.

r) Risque stratégique : le risque que les stratégies d'affaires du DC/BR soient inefficaces, ne soient pas bien mises en œuvre ou adaptées aux changements touchant le contexte commercial.

Article 2 Objet La présente Instruction fixe les règles en matière de dispositif de contrôle interne applicables au DC/BR dont l'objectif est de :

• vérifier que les opérations réalisées, l'organisation et les procédures internes sont conformes aux dispositions législatives et réglementaires en vigueur, aux normes et usages professionnels et déontologiques ainsi qu'aux orientations des organes délibérant et exécutif ;
• s'assurer que les orientations, les instructions et les limites fixées par l'organe délibérant en matière de risques sont strictement respectées ;
• veiller à la fiabilité de l'information comptable et financière, en particulier aux conditions de collecte, d'évaluation, d'enregistrement, de conservation et de disponibilité de cette information.

Elle fixe également les règles en matière de gestion des risques applicables au DC/BR, telle que définie à l'article 1 de ladite Instruction.

Article 3 Périmètre de contrôle La gouvernance d'entreprise du DC/BR intègre un DCI sur lequel doit reposer la gestion saine et prudente de l'entité. Ce dispositif comporte :

• la surveillance de la fiabilité et l'intégrité des informations financières et opérationnelles et les moyens utilisés pour identifier, évaluer, classer et rapporter ces informations ;
• la vérification de la conformité des opérations réalisées et de l'organisation avec les dispositions législatives, réglementaires et prudentielles en vigueur, les normes et usages professionnels et déontologiques, les orientations et décisions des organes délibérants et exécutifs, notamment en matière de risques, de pouvoirs et de signature ainsi que les procédures internes ;
• le suivi et l'évaluation de l'efficacité du dispositif de gestion des risques de l'entité.

L'organisation du contrôle interne doit s'appuyer sur l'environnement de contrôle, l'évaluation des risques, les activités de contrôle, l'information et la communication et le pilotage.

---

5/24 Instruction n° 78 /2023/AMF-UMOA

Article 4 Environnement de contrôle L'organe délibérant doit veiller à la mise en place d'un environnement de contrôle adéquat, lequel constitue le cadre et la structure nécessaires à la réalisation des objectifs du dispositif de contrôle interne.

Un environnement de contrôle adéquat implique :

• l'engagement des organes de gouvernance en faveur de la promotion de l'intégrité et des valeurs éthiques au sein du DC/BR ;
• l'instauration d'une culture qui met en évidence, à tous les niveaux de l'organisation, l'importance du contrôle interne ;
• une implication effective de l'organe délibérant dans le suivi des composantes du dispositif de contrôle interne ;
• une définition claire et cohérente des missions, fonctions et responsabilités, y compris des délégations de pouvoirs explicites en matière de limites ;
• l'existence d'un personnel compétent et d'un dispositif de gestion des ressources humaines permettant au DC/BR d'attirer, de développer et de maintenir des compétences en lien avec ses objectifs ;
• une forte adhésion du personnel aux exigences de contrôle qui lui sont assignées ainsi qu'au devoir de rendre compte de ses responsabilités en la matière ;
• les supervisions par chaque responsable hiérarchique de l'application effective des procédures de contrôle interne par ses collaborateurs ;
• la définition de critères qualitatifs par les organes délibérants et exécutifs du DC/BR afin de mesurer et d'évaluer l'efficacité du Dispositif de Contrôle Interne.

Article 5 Les lignes de défense du DCI Le DCI est organisé de façon à fournir des appréciations objectives de la situation du DC/BR, la maîtrise des risques et la conformité de son fonctionnement aux règles et procédures en vigueur. Il comprend :

• un contrôle permanent de premier niveau qui correspond, à l'ensemble des contrôles réalisés par les unités opérationnelles et leur hiérarchie dans le cadre du traitement des opérations quotidiennes, ce qui constitue la première ligne de défense ;
• un contrôle permanent de deuxième niveau qui correspond, aux contrôles exécutés par les fonctions supports indépendantes des unités opérationnelles, qui forment la deuxième ligne de défense représentée par les fonctions de conformité et de gestion des risques ;
• un contrôle périodique qui correspond aux contrôles a posteriori réalisés dans le cadre d'un plan d'audit élaboré à partir d'une cartographie des risques, ce qui constitue la dernière ligne de défense représentée par la fonction d'audit interne. Le plan d'audit élaboré par l'approche par les risques doit être réaliste et flexible afin de permettre le

---

6/24 Instruction n° 78 /2023/AMF-UMOA

respect du cycle de contrôle et la prise en charge des activités imprévues. Il doit régulièrement faire l'objet de mise à jour en vue de répondre aux changements de l'environnement interne et externe du DC/BR.

Article 6 Responsabilité de l'organe délibérant L'organe délibérant est responsable en dernier ressort de l'existence d'un dispositif de contrôle interne au sein du DC/BR ainsi que de la bonne application du DCI à l'ensemble de l'organisation de la structure agréée. Il est tenu de :

• définir et valider, selon une périodicité adaptée, le niveau de risque acceptable auquel le DC/BR est exposé, notamment par la fixation de limites acceptables de risques de contrepartie, de liquidité et de marché ainsi que par la mise en place de dispositifs appropriés pour encadrer les risques opérationnels et de non-conformité ;
• veiller à la mise en place et à la mise à jour d'une organisation, des politiques et procédures écrites de contrôle interne, pour une saine et prudente gestion des activités du DC/BR ;
• veiller à la séparation des tâches incompatibles, notamment les fonctions de décision, de détention des valeurs, d'enregistrement et de contrôle ;
• s'assurer que les fonctions de contrôle disposent de moyens appropriés pour exécuter ses missions en toute indépendance.

Article 7 Comité d'audit Les prérogatives minimales du Comité d'audit consistent à :

• examiner l'efficacité du DCI mis en place pour identifier, évaluer, gérer et contrôler les risques financiers et non financiers ;
• évaluer la politique d'audit interne et le cycle des contrôles, y compris la politique d'escalade lors de la matérialisation de risques importants ;
• participer à la sélection des Commissaires aux Comptes et à l'examen des conclusions de leurs travaux, conformément aux dispositions légales et réglementaires ;
• analyser la conformité du respect des principes déontologiques et comptables appliqués avec les normes et usages professionnels en vigueur ;
• examiner de manière approfondie les états de synthèse annuels avant leur présentation aux organes délibérants ;
• donner aux organes de gouvernance une assurance raisonnable quant à la qualité et à l'efficacité du dispositif de contrôle interne, des dispositifs de gouvernance et de gestion des risques en vue de faciliter leur maîtrise des activités du DC/BR et des risques encourus.

---

7/24 Instruction n° 78 /2023/AMF-UMOA

Il fait également des propositions auxdits organes pour renforcer l'efficacité de ces systèmes et dispositifs.

Article 8 Responsabilités de l'organe exécutif L'organe exécutif est tenu de mettre en place un DCI conforme aux bonnes pratiques et de surveiller son adéquation et son efficacité. Le DCI doit être adapté au profil de risque du DC/BR.

L'organe exécutif veille à ce que les politiques et procédures soient développées et appliquées efficacement par les personnes qui disposent de la compétence en la matière et que toutes les personnes concernées comprennent et assument leurs responsabilités à cet égard. Il définit les critères d'escalade en réponse à la matérialisation des risques et s'assure de la mise en œuvre des mesures appropriées.

Il doit notamment :

• s'assurer, du bon fonctionnement des dispositifs de contrôle interne et de gestion des risques et prendre des mesures nécessaires pour remédier, en temps opportun, à toute carence ou insuffisance relevée ;
• informer les fonctions de contrôle, à temps, de tous nouveaux développements, initiatives, projets, produits et changements opérationnels ainsi que des risques y relatifs ;
• s'assurer que des mesures appropriées sont prises dans les délais fixés pour mettre en œuvre toutes les actions correctrices découlant des recommandations de l'audit interne, des Commissaires aux Comptes ou de l'AMF-UMOA ;
• promouvoir l'indépendance des fonctions de contrôle et mettre à leur disposition les ressources nécessaires pour mener à bien leurs missions ;
• rendre compte régulièrement à l'organe délibérant de l'efficacité du dispositif de contrôle interne.

Article 9 Obligations du personnel Chaque membre du personnel du DC/BR doit :

• effectuer avec diligence l'ensemble des activités de contrôle qui lui sont attribuées ;
• disposer de toutes les informations nécessaires pour notamment établir, faire fonctionner et surveiller le dispositif de contrôle interne.

---

8/24 Instruction n° 78 /2023/AMF-UMOA

TITRE 2. GESTION DE LA CONFORMITE

Article 10 Caractéristiques de la politique de conformité Le DC/BR doit se doter d'une politique de conformité qui, notamment :

• assure le respect des principes fondamentaux fixés par l'organe délibérant ;
• instaure la fonction conformité au sein du DC/BR ;
• prescrit l'élaboration d'une charte de conformité ;
• précise les aspects fondamentaux du risque de non-conformité ;
• établit les responsabilités des organes de gouvernance dans la mise en œuvre du cadre de gestion du risque de non-conformité ;
• institue un programme de formation continue à l'intention des employés et de tous ceux qui sont chargés de la mise en œuvre et de la surveillance de la politique de conformité.

Article 11 Charte de conformité La charte de conformité doit notamment :

• exposer les objectifs de la fonction conformité, établir son indépendance et définir ses responsabilités ainsi que ses compétences ;
• décrire clairement les relations de la fonction conformité avec les autres fonctions de contrôle et les services du DC/BR qui exécutent des tâches liées à ses responsabilités ;
• accorder à la fonction conformité le droit de communiquer avec tout membre du personnel et d'accéder à tout dossier physique ou électronique nécessaire à l'exercice de ses responsabilités ;
• conférer à la fonction conformité le pouvoir de diligenter des investigations ;
• formaliser les tâches et les obligations de la fonction conformité qui peuvent être déléguées à d'autres services et fonctions du DC/BR ou externalisées auprès de prestataires externes ;
• définir les conditions dans lesquelles la fonction conformité peut recourir, en cas de besoin, à des experts externes.

La charte de conformité doit refléter les évolutions enregistrées dans les normes en vigueur. Le DC/BR est tenu de la mettre à jour dans les meilleurs délais pour tenir compte de ces changements.

Tout projet d'externalisation de la fonction conformité doit être approuvé par l'organe délibérant et soumis à l'autorisation de l'AMF-UMOA avant sa mise en œuvre.

---

9/24 Instruction n° 78 /2023/AMF-UMOA

Article 12 Indépendance La fonction conformité doit être indépendante des unités qu'elle contrôle. Pour assurer l'indépendance de cette fonction, l'organe exécutif doit veiller à mettre en place un dispositif organisationnel exempt de conflits de tâches et de fonctions. En outre, les ressources y dédiées ne doivent pas être en situation de conflits d'intérêts.

La fonction conformité doit avoir accès aux organes délibérant et exécutif, afin de signaler toute irrégularité constatée ou manquement éventuel.

Article 13 Ressources La fonction conformité doit disposer des ressources humaines nécessaires à la réalisation de ses missions. Elle doit être adaptée à la taille du DC/BR, la nature et la complexité de ses activités ainsi qu'à son profil de risque.

Le DC/BR doit désigner un responsable de la fonction en charge de la coordination à l'échelle de l'organisation de la gestion du risque de non-conformité ainsi que de la supervision des activités de la fonction. Le responsable de la fonction conformité doit être doté d'une expérience avérée en matière d'audit et de conformité.

Article 14 Compétence Les ressources humaines affectées à la fonction conformité doivent posséder un niveau élevé de connaissance des activités du DC/BR et des normes qui lui sont applicables.

Le DC/BR doit prendre les dispositions pour que ces ressources humaines maintiennent à jour leurs connaissances desdites normes.

Article 15 Responsabilités générales La fonction conformité est chargée d'aider l'organe exécutif à identifier et à gérer avec diligence tout risque d'inobservation, par le DC/BR, des obligations que lui imposent les normes en vigueur régissant l'exercice de ses activités.

Article 16 Responsabilités spécifiques Les responsabilités spécifiques de la fonction conformité consistent notamment à :

• recenser et à communiquer à l'ensemble du personnel concerné, les normes en vigueur régissant l'exercice des activités du DC/BR ;
• identifier, évaluer et gérer, de manière proactive, les risques de non-conformité, y compris lors du développement de nouveaux produits ou marchés, activités ou relations émetteurs et adhérents aux services du DC/BR.

En outre, si le DC/BR dispose d'un Comité de nouveaux produits ou marchés, la fonction conformité doit y être représentée.

---

10/24 Instruction n° 78 /2023/AMF-UMOA

La fonction conformité doit également :

• centraliser et analyser tous les manquements aux normes en vigueur et à la politique de conformité ;
• recommander des mesures correctrices pour remédier aux manquements et insuffisances relevées ;
• effectuer le suivi de la mise en œuvre de toutes ses recommandations ;

• évaluer l'adéquation de la politique de conformité, au regard des évolutions enregistrées dans les activités du DC/BR, les normes en vigueur et sur la base des insuffisances relevées. Elle doit, le cas échéant, formuler des propositions d'amendements ;
• veiller à une mise en œuvre diligente de la politique de conformité. La fonction conformité doit s'assurer que les règles édictées dans la politique de conformité sont déclinées dans des procédures, des manuels de conformité et des contrôles internes pour les domaines relevant directement de la fonction conformité. Les domaines d'intervention relevant directement de la fonction conformité concernent notamment la lutte contre le blanchiment de capitaux et le financement du terrorisme ainsi que la protection des intérêts des émetteurs et des investisseurs.

En outre, d'autres prérogatives compatibles avec ses missions peuvent lui être confiées, notamment assurer la liaison avec les organismes externes de réglementation et de normalisation.

La fonction conformité doit être impliquée et consultée préalablement à la mise en place de procédures de contrôle interne.

Elle doit s'assurer en permanence que la politique de conformité du DC/BR est respectée à tous les niveaux de l'organisation, notamment :

• Sensibiliser et former le personnel : La fonction conformité doit initier des actions visant à sensibiliser et former le personnel sur l'importance de l'appropriation des normes en vigueur et du respect de la politique conformité. Elle établit et met en œuvre, à cet effet, un programme de formation destiné au personnel.
• Documenter ses travaux : La fonction conformité est tenue de documenter l'ensemble de ses travaux en vue de garantir une traçabilité de ses interventions et de ses conclusions.

Article 17 Détection d'anomalies de conformité Toutes anomalies et déficiences significatives de conformité qui constitueraient un manquement aux dispositions réglementaires de l'AMF-UMOA doivent faire l'objet d'une documentation et d'un rapport circonstancié spécifique adressé à l'organe délibérant du DC/BR et à l'AMF-UMOA.

Les rapports de la fonction conformité contenant des constats mettant en cause les dirigeants ne peuvent être modifiés par ces derniers.

---

10/24 Instruction n° 78 /2023/AMF-UMOA

Toutefois, les personnes mises en cause peuvent formuler des observations sur les constats dressés. Les observations form