LogoRegulatory Alerts
2025-11-01

Surveillance Framework for Payment Systems and Means

The Bank of the Republic of Burundi has established a comprehensive surveillance framework to rigorously regulate national and international payment systems. Mandated by recent banking and payment laws, the framework defines clear approval criteria, continuous off-site monitoring, targeted on-site inspections, and risk-based assessments for payment system operators and service providers. By aligning operational standards with international guidelines, the central bank aims to mitigate financial, operational, and systemic risks while ensuring payment security, efficiency, and public confidence.

Banque de la Republique du Burundi logo

Burundi

Banque de la Republique du Burundi

Click to view thumbnail

DUBURUNDI CADRE DE SURVEILLANCE DES SYSTEMES ET MOYENS DE PAIEMENT

Cadre de surveillance des systèmes et moyens de paiement 1 CONTENU i. SIGLES ET ABREVIATIONS..........................................................................................................3

  1. ROLE DE LA BANQUE CENTRALE EN MATIERE DE SURVEILLANCE DES 1.1. CONTEXTE...................................................................................................................................2 1.2. ENJEUX ET OBJECTIFS DE LA SURVEILLANCE..................................................................3 1.3. CADRE LEGAL ET REGLEMENTAIRE....................................................................................3

  2. SURVEILLANCE DE LA BANQUE CENTRALE ......................................................................... 2.2. CHAMP D’APPLICATION ..........................................................................................................7 2.3. METHODOLOGIE........................................................................................................................8 2.3.1. AGREMENT...............................................................................................................................8 2.3.2. SURVEILLANCE CONTINUE, HORS SITE OU SUR PIECES..............................................8 2.3.3. SURVEILLANCE SUR PLACE OU SUR SITE .......................................................................9 2.3.3.1. PLANIFICATION..................................................................................................................10 2.3.3.2. COLLECTER LES FAITS ET INFORMATIONS................................................................11 2.3.3.3. PREPARATION DU RAPPORT DE SURVEILLANCE .....................................................11 2.3.3.4. MISE A JOUR DE L'EVALUATION DES « PFMI » FAITE LORS DU CONTROLE HORS SITE...................................................................................................................................................12 2.3.3.5. REUNION DE RESTITUTION.............................................................................................12 2.3.3.6. PRODUCTION DE RAPPORTS...........................................................................................12 2.3.4. INDUIRE LE CHANGEMENT................................................................................................13 2.3.5. EVALUATION PROGRAMMEE............................................................................................13

  3. GESTION DES RISQUES..................................................................................................................

  4. SURVEILLANCE COOPERATIVE.................................................................................................. 4.1. AUTRES AUTORITES NATIONALES DE REGULATION....................................................14 4.2. INSTITUTIONS INTERNATIONALES....................................................................................14

  5. SANCTIONS ..................................................................................................................................16

Cadre de surveillance des systèmes et moyens de paiement 2 Les systèmes de paiement, qu’ils soient nationaux ou internationaux, sont au cœur de l’activité économique moderne. Ils facilitent non seulement les transactions commerciales et financières, mais assurent également la fluidité des échanges entre les agents économiques, qu’il s’agisse des entreprises, des institutions financières ou des consommateurs. Leur bon fonctionnement est un gage de confiance et de stabilité pour l’ensemble du système financier. La surveillance des systèmes de paiement est essentielle pour garantir leur sécurité, leur efficacité et leur résilience, tout en favorisant l'innovation et la concurrence dans un secteur en constante évolution. En effet, les systèmes de paiement jouant un rôle clé dans le bon fonctionnement des économies modernes, leur surveillance contribue à prévenir les risques systémiques pouvant affecter la stabilité financière. Ainsi, la fonction de surveillance confère à la Banque centrale, la mission de veiller à ce que les systèmes de paiement soient sécurisés et efficaces pour protéger les utilisateurs et les institutions financières. En vue de garantir à la fois la protection contre les fraudes, la continuité des services ainsi que la confiance dans le système financier, la Banque de la République du Burundi vient de mettre en place ce cadre de surveillance afin d’assurer une régulation rigoureuse des systèmes de paiement, prévenir les risques systémiques et garantir la conformité avec les normes internationales. Il est donc une politique qui donne un aperçu sur la source légale du pouvoir de surveillance reconnu à la Banque centrale, le scope de la mission de surveillance, le cadre normatif auquel la surveillance se base ainsi que la méthodologie et les outils de surveillance. Edouard Normand BIGENDAKO Gouverneur. – PRESENTATION

Cadre de surveillance des systèmes et moyens de paiement 3 i. SIGLES ET ABREVIATIONS ACH Automated Clearing House/Système de Compensation Automatisée AML/CFT Anti-Money Laundering and Counter-Financing of Terrorism (lutte contre le blanchiment des Capitaux et le Financement du Terrorisme) ARCT Agence de Régulation et de Contrôle des Télécommunications ATS Automated Transfer System/Système de Transfert Automatisé BIS (BRI) Bank for International Settlements (Banque des Règlements Internationaux) BRB Banque de la République du Burundi CPSS (CSPR) Committee on Payment and Settlement Systems (Comité sur les Systèmes de Paiement et de Règlement) CNRF Cellule Nationale de Renseignement Financier CPMI Core Principles for Financial Market Infrastructures (Principes fondamentaux pour les Infrastructures de Marchés Financiers) CSD Central Securities Depository/Dépositaire Central des Titres COMESA Common Market for Eastern and Southern Africa/Marché Commun des Etats de l’Afrique de l’Est et du Sud EAC East African Community/Communauté d’Afrique de l’Est (CAE) EAPS East African Payment System/Système de Paiement de la CAE FSP (PSP) Fournisseur de Services de Paiement (Payment Service Provider) IOSCO (OICV) International Organization of Securities Commissions (Organisation Internationale des Commissions de Valeurs - créée en 1983 et regroupe les régulateurs des principales bourses dans le monde) IMF/FMI Infrastructure de Marchés Financiers/Financial Market Infrastructure IPS/SPI Système de paiement instantané/Insant payment system SO International Standardization Organisation/Organisation Internationale de Normalisation KPI Key Performance Indicators/Indicateurs clés pour mesurer la performance MEFMI Macroeconomic and Financial Management Institute of Eastern and Southern Africa/Institut de macroéconomie et de gestion financière de l’Afrique Orientale et Australe MSP Projet Modernisation des Systèmes de Paiement OSP (PSO) Opérateur de Système de Paiement/Payment System Operator PSP Prestataires de Services de Paiement RIBAT Risk Based Assessment Tool/Outil d’évaluation basée sur les risques RTGS Real Time Gross Settlement System (Système de Règlement de Gros Montants en Temps Réel). i. SIGLES ET ABREVIATIONS

Cadre de surveillance des systèmes et moyens de paiement 4

  1. Infrastructure des marchés financiers : une infrastructure de marchés financiers désigne un système multilatéral qui réunit les établissements participants, y compris l’opérateur du système, utilisée aux fins de la compensation, du règlement ou de l’enregistrement des paiements, titres, dérivés ou autres transactions financières. Les infrastructures de marchés financiers (IMF) instaurent généralement un ensemble de règles et de procédures communes à l’intention de tous les participants, une infrastructure technique et un cadre spécialisé de gestion des risques adapté aux risques encourus1 . . Il existe plusieurs types d’infrastructures des marchés financiers :
  • les systèmes de paiement : un système de paiement est un système constitué d’un ensemble d’instruments, de procédures bancaires et de systèmes interbancaires de transfert de fonds, destiné à assurer la circulation de la monnaie2. Il assure le règlement interbancaire des paiements de détail de la clientèle des banques (ACH, Switch national) et des paiements de montant élevé entre institutions financières, traitant notamment des flux liés à la politique monétaire (RTGS) ;
  • les Systèmes de Règlement des Titres (SRT/CSD) : Un Système de Règlement des Titres (SRT) permet de transférer et de régler des titres par passation d’écritures comptables selon un ensemble de règles multilatérales prédéfinies. Il permet les transferts des titres franco de paiement ou contre paiement. Quand le transfert se fait contre paiement, de nombreux systèmes assurent la livraison contre paiement, la livraison d’un titre ne s’effectuant que si et seulement si le paiement est effectué (DVP). Un SRT peut être organisé pour offrir des fonctions supplémentaires de compensation et de règlement des titres, comme la confirmation de la transaction et des instructions de règlement3 .
  • les Contreparties Centrales (CC) : les Contreparties Centrales occupent une place importante au sein des systèmes de règlement des titres. Elles s’interposent entre les contreparties aux transactions financières, devenant ainsi acheteurs vis-à-vis des vendeurs et vice-versa. Bien conçues et dotées de mécanismes adéquats de gestion des risques, elles réduisent les expositions de leurs participants et contribuent à l’objectif de stabilité financière. Les Contreparties Centrales sont depuis longtemps utilisées par les marchés organisés pour leurs transactions sur instruments dérivés et, dans certains cas, sur titres4 . .
  • les référentiels (registres) centraux de données ou Trade Repositories (TR): les référentiels centraux de données (Trade Repositories en anglais, ou TR) sont des infrastructures des marchés financiers exploitées par des personnes morales, chargées de l’enregistrement de données relatives à des transactions financières. Ces transactions peuvent porter par exemple sur des produits dérivés, sur des opérations de prêt et / ou emprunt de titres, de pension livrée ou encore sur des opérations de change5 .

1 Principes pour les infrastructures de marchés financiers, BIS, avril 2012, page 64. 2 Orientations générales pour le développement d’un système, BIS, janvier 2006 3 Principes pour les infrastructures de marchés financiers, BIS, avril 2012, page 15. 4 Recommandations pour les contreparties centrales, BIS, novembre 2004. 5 http://www.bis.org/ cpmi/publ/d101a.pdf (version originale) ou http://www.bis.org/ cpmi/publ/d101_fr.pdf (traduction française), cf. chapitre 18. ii. DEFINITION

Cadre de surveillance des systèmes et moyens de paiement 2 2. La Surveillance des Systèmes de Paiement : Fonction, exercée par la Banque Centrale, visant essentiellement à promouvoir la sécurité et l’efficience des systèmes de paiement et de règlement par un suivi et une évaluation des systèmes en exploitation et en projet, donnant lieu, en cas de besoin, à des modifications.

Cadre de surveillance des systèmes et moyens de paiement 1 Au sein d’une économie de marché, le développement économique repose de façon cruciale sur l’infrastructure qui rend les interconnexions efficientes, stables et fiables entre les acteurs. L’infrastructure de marché financier est constituée par l’ensemble des systèmes techniques, institutions, règles et procédures définissant le champ d’action au sein duquel les acteurs négocient et opèrent des transactions commerciales et financières. Les systèmes de paiement et de règlement ont, au Burundi comme ailleurs, une fonction commune de transfert de fonds ou de titres. Leur bon fonctionnement permet un dénouement sûr et accéléré des transactions. Il contribue ainsi de façon importante aux performances économiques. Ces systèmes peuvent présenter des risques importants dans la mesure où une défaillance au sein de l’un d’entre eux peut entraîner de graves répercussions d’ordre systémique sur d’autres secteurs de l’économie ou du système financier. La promotion de l’efficience et de la sécurité des systèmes est aujourd’hui une nouvelle et importante fonction des Banques Centrales que la BRB implémente dans la droite ligne des diverses mesures et pratiques ainsi que des standards élaborés et mis en place par les organisations internationales en vue de prévenir ou limiter toute défaillance de ces systèmes. La mission de surveillance des systèmes de paiement est reconnue à la BRB par ses Statuts ainsi que d’autres textes légaux et règlementaires en vigueur au Burundi. La fonction de surveillance procède à la description des systèmes soumis à la surveillance, des caractéristiques générales de la surveillance, des risques auxquels les systèmes sont exposés ainsi que des mesures préconisées pour les mitiger. La mission de surveillance s’appuie sur les relations avec toutes les parties prenantes tant au niveau national (autres autorités de régulation, les opérateurs des systèmes, les fournisseurs de solutions, etc.) qu’international (Organismes Internationaux, Banques Centrales, les fournisseurs de solutions, etc.). La fonction de surveillance s’appuie enfin sur un cadre légal et réglementaire applicable en matière de surveillance des systèmes de paiement et de règlement qui doit être visité et compris par tout surveillant, et sur une méthodologie et des outils appropriés. Le présent Cadre de surveillance des systèmes de paiement et de règlement est élaboré pour servir de référence dans l’accomplissement de la mission de surveillance dévolue à la Banque de la République du Burundi. Il est composé de deux parties. La première retraçant le contexte, la source du pouvoir qu’a la Banque de la République du Burundi pour exercer cette mission de surveillance des systèmes de paiement ainsi que les objectifs poursuivis. La deuxième partie présente le volet pratique de la surveillance des systèmes de paiement et inventorie les critères servant de base pour désigner les systèmes devant être soumis à la surveillance, la méthodologie ainsi que les activités proprement dites de surveillance. iii. INTRODUCTION

Cadre de surveillance des systèmes et moyens de paiement 2 1.1. CONTEXTE La Banque de la République du Burundi (BRB) a lancé, depuis les années 2010, un vaste chantier de modernisation des systèmes et moyens de paiement par la mise en place du « Projet Modernisation des Systèmes de Paiement » (MSP), au niveau national. Ce projet d’envergure poursuivait les objectifs suivants :  Renforcer la sécurité des paiements ;  Réduire les coûts de gestion des paiements ;  Se conformer aux normes internationales en matière de gestion des risques de paiement et de réduction des délais de règlement ;  Rationaliser et moderniser les systèmes de transfert ainsi que les procédures et les mécanismes de recouvrement des chèques et d’autres titres de paiement ;  Réduire l’utilisation de la monnaie fiduciaire dans les paiements ;  Accroître l’interbancaire et le taux de bancarisation ainsi que l’utilisation de moyens de paiement électroniques. Le « Projet Modernisation des Systèmes de Paiement » a abouti à la mise en place de trois livrables suivants :  La mise en place d’un système de paiement national constitué de quatre infrastructures de marchés financiers c’est-à-dire : o Le règlement brut en temps réel des transactions de montants élevés notamment les virements de trésorerie, les transferts et les opérations du marché monétaire ; o La télé compensation de tous les moyens de paiement de masse et de faibles montants afin de faciliter les échanges d’opérations de petits montants et d’abaisser le coût des transactions ; o L’interbancarité et l’interopérabilité des paiements par cartes, par Internet et par téléphone mobile ; o La gestion automatisée des Titres via un Dépositaire Central des Titres.  La définition d’un cadre légal et réglementaire adéquat garantissant notamment le bon fonctionnement et la sécurité du système national de paiement ;  La définition d’un cadre de surveillance de cet écosystème des infrastructures de marchés financiers. Cette nouvelle fonction de surveillance des systèmes de paiement et de règlement vient pour assurer la conformité des infrastructures mises en place au Cadre légal et réglementaire ainsi qu’aux normes et bonnes pratiques reconnues internationalement.

  1. ROLE DE LA BANQUE CENTRALE EN MATIERE DE SURVEILLANCE DES SYSTEMES DE PAIEMENT ET DE REGLEMENT

Cadre de surveillance des systèmes et moyens de paiement 3 1.2. ENJEUX ET OBJECTIFS DE LA SURVEILLANCE Les infrastructures des marchés financiers sont au cœur des systèmes financiers et participent à son bon fonctionnement. De par leur situation centrale au sein de l’écosystème financier, les infrastructures des marchés financiers regroupent un certain nombre de risques, notamment :  Le risque de règlement (ou financier), qui est composé de deux éléments : o le risque de crédit est le risque qu’une contrepartie soit incapable de remplir ses obligations à la date prévue ou dans le futur ; o le risque de liquidité est le risque qu'un participant à une infrastructure ne dispose pas suffisamment de fonds ou de titres (collatéraux) pour s'acquitter partiellement ou en totalité d'une obligation à la date prévue, même si celui-ci n’est pas insolvable;  Le risque opérationnel : c’est le risque de subir un préjudice en raison d’une inadéquation ou d’une défaillance attribuable à des procédures, des personnes, des systèmes ou des événements extérieurs ;  Le risque juridique : c’est le risque d’une perte qui résulte de l’application imprévisible ou ambigüe d’une loi, d’une règlementation ou de l’impossibilité d’exécuter un contrat ;  Le risque systémique : c'est le risque qu’un événement particulier affectant l’infrastructure, résultant notamment d’un risque financier ou opérationnel, entraîne, par réaction en chaîne, d’importantes perturbations sur l’ensemble des marchés de capitaux, susceptibles d’affecter gravement l’ensemble de l’économie. La mission de surveillance vise ainsi la promotion de la sécurité et de l’efficience des systèmes et moyens de paiement en conformité avec les standards internationaux et les bonnes pratiques en la matière. Elle est donc essentielle au fonctionnement des marchés, à la stabilité du système financier, à la sauvegarde des chaînes de transmission de la politique monétaire ainsi qu’au maintien de la confiance des utilisateurs des systèmes de paiement et de règlement, des moyens de paiement et, en fin de compte, au maintien de la confiance du public. 1.3. CADRE LEGAL ET REGLEMENTAIRE Au niveau légal, la fonction de surveillance des systèmes de paiement est l’une des missions reconnues à la Banque de la République du Burundi par les dispositions de la loi n°1/34 du 02 décembre 2008 portant Statuts de la BRB. En effet, l’article 7, point 7 de cette loi assigne à la BRB la mission de : « Promouvoir un système de paiement national fiable, efficient et solide » et l’article 24 de la même loi prévoit que : « La Banque Centrale promeut la stabilité, la sécurité et l’efficience du système de paiement du Burundi. A cet effet, elle peut agréer, réglementer et superviser des systèmes de paiement, de compensation et de règlement-titres, ainsi que l’émission de la monnaie

Cadre de surveillance des systèmes et moyens de paiement 4 électronique. La Banque Centrale est habilitée à organiser et à gérer ces systèmes et à accorder des facilités en vue d’en promouvoir la stabilité, la sécurité et l’efficience ». Par ailleurs, la loi n°1/17 du 22 août 2017 régissant les activités bancaires quant à lui, définit les établissements assujettis soumis à l’autorité et au contrôle de la Banque Centrale, inventorie les activités autorisées pour les établissements de paiement et préconise d’autres activités pouvant être exercées par lesdits établissements respectivement en ses articles 3, 9 et 10. En outre, l’article 2 de la loi n°1/17 du 11 mai 2018 portant Système national de paiement, dispose que : « La présente loi détermine les règles de base relatives à la règlementation et à la surveillance, par la Banque Centrale, des Systèmes, de l’émission et de l'utilisation des moyens de paiement, à la protection des Systèmes et aux contrats de garanties financières ». De surcroît, l’article 9 de la même loi confère à la Banque Centrale un pouvoir de réglementation et de surveillance en ces termes : « La Banque Centrale surveille les Systèmes, l’émission et l'utilisation des moyens de paiement, conformément à ses statuts. La Banque Centrale peut édicter des règlements relatifs à la mise en place, au fonctionnement et à la surveillance des Systèmes en vue de promouvoir leur solidité, sûreté et efficacité. Elle peut en outre, dans la poursuite de cet objectif, édicter des règlements relatifs à l’émission et à l'utilisation des moyens de paiement, conformément et dans le respect des lois en vigueur. La Banque Centrale peut également donner des instructions aux Systèmes, aux opérateurs, aux émetteurs de moyens de paiement et aux participants afin d’agir ou de s’abstenir d’agir de la manière qu’elle prescrit ». Enfin, l’article 28 de la loi précitée inventorie les sanctions contre toute entrave à l’activité de surveillance des systèmes par la Banque Centrale. Au niveau règlementaire, le Règlement n° 002/2024 portant révision du Règlement n°001/2017 relatif aux services de paiement et aux activités des établissements de paiement, prévoit en ses différents articles que :

  • L’article 1 : « le présent Règlement établit les conditions et modalités d’accès et d’exercice des activités des établissements de paiement ainsi qu’au contrôle de leurs activités par la Banque Centrale. Il établit également les conditions d’obtention d’une non-objection pour toute entité qui désire offrir des services de paiement innovant, utilisant la monnaie électronique à acceptation restreinte ».

  • L’article 3 : « Nul ne peut exercer les activités de fourniture de services de paiement sans avoir été préalablement agréé à cet effet par la Banque Centrale, conformément au présent Règlement ».

  • Les articles 6 et 21 précisent respectivement que c’est la Banque Centrale qui fixe le montant minimum du capital social d’un établissement de paiement et agrée les dirigeants de ce dernier.

  • L’article 79 en rapport avec le dispositif de lutte contre le blanchiment de capitaux et le financement du terrorisme stipule, en son alinéa 1er , que : « Tout établissement de paiement doit se conformer aux obligations en matière de lutte contre le blanchiment des capitaux et le financement

Cadre de surveillance des systèmes et moyens de paiement 5 du terrorisme telles que définies dans la loi en vigueur portant lutte contre le blanchiment de capitaux et le financement du terrorisme et ses textes d’application ». Enfin, le Règlement n°003/2024 relatif aux agents commerciaux en opération de banque et service de paiement précise en son article 5 les critères de choix desdits agents.

Cadre de surveillance des systèmes et moyens de paiement 6 Dans sa mission de surveillance, la BRB reconnaît la définition de la Banque des Règlements Internationaux qui stipule que : « Un système de paiement est un ensemble d’instruments, de procédures et de règles pour le transfert de fonds entre participants ; il inclut les participants et l’entité opérationnelle. Un système de paiement repose généralement sur un accord entre les participants et l’opérateur, le transfert de fonds étant effectué au moyen d’une infrastructure opérationnelle convenue. Il correspond généralement à un système de paiement de petit montant ou à un système de paiement de gros montant. Le premier est un dispositif de transfert de fonds qui, le plus souvent, gère un important volume de paiements de valeur relativement faible sous forme de chèques, virements, prélèvements automatiques, et cartes de paiement. Il peut être géré par le secteur privé ou le secteur public à l’aide d’un mécanisme de règlement net différé ou d’un système à règlement brut en temps réel. Le second est un système de transfert de fonds qui, en principe, gère des paiements hautement prioritaires de gros montant. Contrairement au premier, il est géré par les Banques Centrales à l’aide d’un mécanisme de règlement brut en temps réel ou un mécanisme équivalent» 6 . De part cette définition, le « système de paiement » comprend cinq éléments importants et distincts à savoir :

  • L’opérateur ;
  • Les participants ;
  • Les agents techniques fournisseurs de services aux opérateurs ;
  • Les règles internes, les conventions de participation et les contrats divers ;
  • L’environnement légal et réglementaire. Afin d’éviter toute confusion des fonctions en matière de systèmes de paiement, une séparation interne a été instaurée à la Banque de République du Burundi entre l’Unité en charge de la surveillance et celle chargée du volet opérationnel des systèmes de paiement. Cette séparation permet de garantir l’indépendance nécessaire à l’exécution de la surveillance des systèmes de paiement et de règlement. En effet, le principe de la neutralité exige d’imposer la même rigueur aux systèmes opérés par la Banque de la République du Burundi et ceux opérés par des entités extérieures.

6 Pour les autres définitions des Infrastructures de marchés financiers, se référer au Rapport du Comité sur les systèmes de paiement et de règlement et du Comité technique de l’Organisation internationale des Commissions de valeurs (CPSS-IOSCO) « Principes pour les infrastructures de marchés financiers » Avril 2012. 2. SURVEILLANCE DE LA BANQUE CENTRALE

Cadre de surveillance des systèmes et moyens de paiement 7 La BRB s'acquitte de ses responsabilités en s’efforçant d’aligner sa politique de surveillance aux normes, standards et meilleures pratiques énoncés notamment dans les documents suivants : a. Principes pour les infrastructures des marchés financiers, CPSS-IOSCO, avril 2012 ; b. An Approach to implement effective Oversight of Payment, Settlement and Securities Systems in the MEFMI member Countries By Kennedy Komba, 2007; c. The EAC Regional Oversight Framework & Policy, March 2019; d. Central Bank Oversight of Payment and Settlement System, BIS, may 2005; e. Assessment methodology for the principles for FMIs and the responsibilities of authorities, BIS-(CPSS-IOSCO), april 2012; f. Disclosure framework and Assessment methodology, BIS, December 2012; g. Recovery of financial market infrastructures, BIS, October 2014; h. Cyber resilience in financial market infrastructures, BIS, November 2014 ; i.Assessment methodology for the oversight expectations applicable to critical service providers, BIS, December 2014; j.Application of the Principles for financial market infrastructures to central bank FMIs, BIS, August 2015 ; k. Guidance on cyber resilience for financial market infrastructures, BIS, June 2016 ; l.Recovery of financial market infrastructures, BIS, Revised July 2017. 2.2. CHAMP D’APPLICATION La fonction de surveillance de la BRB s’intéresse aux systèmes susceptibles de présenter une importance systémique c’est à-dire susceptible de remplir au moins une des conditions suivantes :  Etre le seul ou principal système de paiement au Burundi pour un certain nombre d’instruments de paiement ;  Etre un système de paiement au Burundi qui traite un nombre significatif de transactions ;  Traiter essentiellement des paiements de montant élevée ;  Etre utilisé pour le règlement d'autres systèmes de paiement ;  Etre utilisé pour la connexion des systèmes de paiement, de règlement et/ou de gestion des Titres avec les systèmes régionaux ou internationaux. Selon ces critères, les systèmes visés sont :

  • Le système de Règlement de Gros Montants en Temps réel (RTGS) ;

  • Le système de compensation automatisée (ACH), à cause du déversement différé de ses opérations compensées pour leur règlement dans le RTGS, et des interdépendances existant entre ces deux systèmes ; 2.1. CADRE NORMATIF DE REFERENCE

Cadre de surveillance des systèmes et moyens de paiement 8

  • Le système de gestion automatisée des titres (CSD) qui contribue entre autres dans la régulation de la liquidité entre dans le champ de surveillance des Infrastructures de Marchés Financiers. Ces trois systèmes sont gérés par la BRB ;
  • Le Switch national et le Système de paiement instantané ;
  • Les systèmes monétiques gérés par les Banques commerciales, la Régie Nationale des Postes et les Institutions de Microfinance ;
  • Les plateformes de monnaie électronique gérées par les Etablissements autorisés (établissements de paiement, Banques commerciales et Institutions de Microfinance);
  • Les plateformes gérées par les établissements de transfert d'argent à l’international ;
  • Les diverses plateformes gérées par les établissements fournisseurs de technologie (agrégateurs, etc.). 2.3. METHODOLOGIE Les étapes de surveillance des systèmes de paiement et de règlement sont les suivantes : 2.3.1. AGREMENT La première étape de la surveillance consiste à agréer puis enregistrer les infrastructures qui se présentent pour devenir des systèmes de paiement selon les exigences prévues aux articles 4, 5, 6 et 8 de la loi n°01/07 du 11 mai 2018, portant Système National de Paiement. Lors de l'examen des documents de demande d’agrément, on doit vérifier si la sécurité et l'efficacité du système de paiement sont assurées. 2.3.2. SURVEILLANCE CONTINUE, HORS SITE OU SUR PIECES Grâce au pouvoir de réglementation et de surveillance conféré à la BRB par la loi, la surveillance continue permet de :
  • Collecter et analyser les données transmises périodiquement par les systèmes sous surveillance ;
  • Produire des notes analytiques trimestrielles et des analyses ad hoc;
  • Bien comprendre le fonctionnement et l'interaction des systèmes interbancaires et l'évolution de l'utilisation des instruments de paiement ;
  • Adresser des recommandations ou des instructions spécifiques aux banques, aux établissements de paiement ou aux opérateurs de système si nécessaire. Les types de données et d’informations à collecter auprès des prestataires de services de paiement par le biais des déclarations et des rapports, pour le contrôle sur pièces des systèmes de paiement, sont les suivants :

  1. Les statistiques couvrant les volumes, la valeur des paiements, le solde quotidien et/ ou hebdomadaire et/ou mensuel des comptes critiques ;

  2. Les renseignements réglementaires qui couvrent notamment les cas suivants :

Cadre de surveillance des systèmes et moyens de paiement 9 a. Tout changement de personnalité morale, de dirigeants ou de structure de l’entreprise (le cas échéant); b. Les soldes quotidiens des « trust account » ou compte de fiducie ou comptes de couverture (pour l’émetteur et le fiduciaire de monnaie électronique) ; c. Les opérations suspectes pour la lutte contre le blanchiment des capitaux et le financement du terrorisme (AML/CFT), le cas échéant ; d. Toute interruption du système, erreur matérielle ou logicielle fatale ; e. Les fraudes de paiement (cartes, versements, etc.) rencontrées dans le système de paiement; f. Les incidents de fraude ou de vol. 3. Les statistiques mensuelles sur l’inclusion financière et agents des fournisseurs de services de paiement pour inclure périodiquement notamment les informations suivantes : a. Nombre de comptes/clients d’argent mobile par PSP ; b. Nombre de transactions de paiement d’argent mobile par volume et valeur par PSP ; c. Ventilation des volumes totaux de transactions et des valeurs transactionnelles des paiements d’argent mobile par type de transaction de services financiers mobiles, paiement de factures, retrait d’espèces, etc. ; d. Ventilation du volume total des transactions et de la valeur des transactions par code de localisation des agents, etc. ; e. Nombre de paiements de transfert avec ventilation par entrée/sortie, devise étrangère, pays transfrontaliers, dates, etc. ; f. Nombre d’agents par emplacement, avec leur solde de monnaie électronique, le nombre d’employés et le nombre de transactions traitées ; g. Soldes de la monnaie électronique et des obligations en cours des FSP. Les incidents survenus et les réclamations des participants ; 4. L’état semestriel d’avancement des plans d’actions établis suite aux missions d’évaluation sur site menée par l’équipe de surveillance ; 5. Les procès-verbaux du conseil d’administration, des assemblées générales et des autres comités spécifiques et les plans d’actions qui en découlent ; 6. Les rapports d’audit interne et externe et les rapports des tests des plateformes de secours ; 7. Les autres documents dès leur mise à jour (ex : l’organisation, les règles de fonctionnement, la politique de sécurité et de continuité d’activité, etc.). 2.3.3. SURVEILLANCE SUR PLACE OU SUR SITE Un programme de contrôle sur site est établi annuellement, sur base de plusieurs paramètres afférents notamment aux risques encourus, aux règles d’antériorité, ainsi qu’aux recommandations émanant des instances internationales, le cas échéant.

Cadre de surveillance des systèmes et moyens de paiement 10 La méthodologie d’évaluation adoptée s’inspire de celle édictée par le Comité CPIM/OICV « Assessment methodology for the principles for FMIs and the responsibilities of authorities », publiée en décembre 2012. Cette méthodologie préconise cinq étapes pour mener l’évaluation de la conformité de chaque IMF aux principes qui lui sont applicables à savoir :

  1. Planification des inspections sur site (définir le périmètre d’évaluation) ;
  2. Collecter les faits et informations sur chaque aspect clé applicable avec une liste de contrôle des éléments à évaluer (en utilisant les principes pour les infrastructures de marchés financiers) ;
  3. Préparation du rapport de contrôle (développer des conclusions clé pour chaque principe) ;
  4. Assigner une notation à chaque principe (afin de mettre à jour la surveillance hors site) ;
  5. Réunion de restitution. La notation de chaque principe est réalisée conformément à l’échelle d’évaluation ci-dessous :

  • Observé : tous les aspects clés sont remplis ;

  • Globalement observé : quelques insuffisances mineures sont relevées n’ayant pas d’impact significatif sur l’efficience et la sécurité du système ;

  • Partiellement observé : des insuffisances majeures sont relevées ayant un impact significatif sur l’efficience et la sécurité du système. Toutefois, le gestionnaire prévoit des plans d’actions pour pallier à ces insuffisances ;

  • Non observé : des insuffisances majeures sont relevées ayant un impact significatif sur l’efficience et la sécurité du système. Toutefois, le gestionnaire ne prévoit pas de plan d’actions pour pallier à ces insuffisances.

  • Non applicable : le principe ne s'applique pas à l’infrastructure évaluée en raison de ses caractéristiques légales, institutionnelles, organisationnelles ou autres particularités. 2.3.3.1. PLANIFICATION La Banque Centrale prépare un plan annuel des visites de surveillance sur place ou sur site pour les Prestataires de Services de Paiement (PSP) ciblés, avant le début de l'exercice budgétaire. Chaque PSP agréé doit faire objet d’une inspection sur site, au moins une fois tous les deux ans. En cas d'urgence ou de situation ad hoc, la Banque Centrale peut effectuer autant de contrôles sur site que nécessaires, à des fins spécifiques auprès des PSP concernés. Avant chaque visite, l'équipe de surveillance doit préparer un plan de contrôle sur site, qui doit inclure les éléments suivants : • des objectifs clairs ; • une liste de contrôle ;

Cadre de surveillance des systèmes et moyens de paiement 11 • les normes de référence pour appuyer la surveillance notamment la norme de sécurité des systèmes d'information ISO27001 ; les principes pour les infrastructures de marchés financiers (CPSS￾OICV PFMI) ; • tout événement ad hoc qui doit être discuté, ou faire objet d’enquête au cours de l'activité de contrôle sur site. Ces événements ponctuels peuvent découler d'un manquement constaté au niveau de la conformité ou d'un risque d'erreur du système identifié par l'équipe de surveillance hors site ou d'autres départements ou régulateurs concernés. 2.3.3.2. COLLECTER LES FAITS ET INFORMATIONS L’activité d’inspection sur site doit comprendre les parties et les éléments suivants:

  1. Vérification des renseignements soumis par l’opérateur de système qui incluent les volumes et valeurs des transactions ainsi que les rapports mensuels sur les cas de défaillance, les incidents opérationnels, etc. ;

  2. Vérification du fonctionnement du système à travers l’analyse des Règles et Procédures de fonctionnement ;

  3. Contrôle du système surtout sur le volet lié à la sécurité physique et à la sécurité de son système d'information ;

  4. Inspection de l'arrangement lié aux mesures mises en place pour assurer la sauvegarde de secours en vue de la continuité des activités du système de paiement ;

  5. Evaluation du système de paiement par rapport aux « PFMI » qui nécessitent une inspection sur site (après que l'équipe de surveillance ait effectué l'évaluation de surveillance hors site) ;

  6. Enquête sur les problèmes et/ou questions ad hoc survenus ou sur les plaintes déposées auprès de la Banque Centrale concernant le système ou ses Participants ;

  7. Tout autre contrôle, s’il a été défini au stade de la planification annuelle de l'inspection sur place, notamment la suite réservée aux améliorations demandées dans le dernier rapport d'inspection sur place. 2.3.3.3. PREPARATION DU RAPPORT DE SURVEILLANCE Les missions de contrôle sur site donnent lieu à un rapport de mission et à une lettre de transmission, comprenant la formulation de recommandations liées aux insuffisances constatées. La Banque Centrale suit la mise en œuvre de ces recommandations par le gestionnaire de l’IMF et contrôle, sur une fréquence régulière, le plan d’action ainsi que l’état d’avancement de sa réalisation. Lorsque toutes les actions de la liste de contrôle sont effectuées et que les résultats sont analysés, l'équipe de surveillance doit préparer un rapport de surveillance sur place ou sur site. Le rapport de surveillance sur place doit contenir entre autres les éléments suivants :

Cadre de surveillance des systèmes et moyens de paiement 12  L’objectif de contrôle ;  La portée de contrôle ;  Le résumé exécutif ;  Les activités réalisées lors du contrôle ;  Les découvertes majeures ;  L’évaluation de la notation composite ;  La mise à jour de l'évaluation effectuée sur la conformité aux « PFMI » lors du contrôle hors site ;  Les recommandations ;  Le compte rendu de la réunion de restitution ;  La conclusion faisant un bref aperçu sur les résultats de la mission (tout en rassurant sur l’atteinte ou pas des objectifs) ;  Les annexes contenant les résultats de la liste de contrôle. 2.3.3.4. MISE A JOUR DE L'EVALUATION DES « PFMI » FAITE LORS DU CONTROLE HORS SITE Les résultats de la surveillance sur place ou sur site permettent de confirmer ou de nuancer les conclusions de l'évaluation faite du système de paiement lors du contrôle hors site, par rapport aux « PFMI » (la méthodologie et les standards internationaux émis par la Banque des Règlements Internationaux). Après l'achèvement de la surveillance sur place ou sur site, les notes d'évaluation doivent être ajustées si nécessaire. 2.3.3.5. REUNION DE RESTITUTION Enfin de mission de contrôle sur site, l’équipe en mission organise une réunion avec l’équipe dirigeante du système de paiement sous contrôle, pour échanger sur les points d’attention relevés dans le draft de rapport de contrôle sur site. Le rapport d'inspection sur site doit définir une liste d'actions recommandées par l'équipe de surveillance que l’opérateur de système ou son participant contrôlé doit adopter pour développer des changements dans le système de paiement afin d'améliorer les indicateurs clés de performance (KPI) et le respect des « PFMI ». 2.3.3.6. PRODUCTION DE RAPPORTS Par souci de transparence, la Banque Centrale adopte une politique de publication de toutes les informations pertinentes sur les résultats de missions de contrôle. Pour ce faire, un rapport unique comprenant les conclusions du contrôle sur pièces et ceux du contrôle sur site est élaboré et les résultats agrégés de la surveillance des Infrastructures des marchés financiers pourront être publiés. La périodicité des rapports, leur format ainsi que leur contenu doivent être fixés. Le contenu des

Cadre de surveillance des systèmes et moyens de paiement 13 rapports de surveillance constitue également un article du Rapport annuel de la BRB qui sera publié sur son site web. 2.3.4. INDUIRE LE CHANGEMENT Induire le changement commence par la persuasion morale, lors des discussions avec les opérateurs des systèmes ou leurs participants. Si la persuasion n’est pas effective, on passe par d’autres voies d’autorité, se basant sur le cadre légal et réglementaire, les standards, les normes et les bonnes pratiques internationalement acceptées. 2.3.5. EVALUATION PROGRAMMEE Il s’agit d’évaluer les systèmes pertinents, du point de vue systémique, pour déterminer s'ils sont conformes aux normes internationales. L’évaluation sera basée sur la méthodologie et les standards internationaux émis par la Banque des Règlements Internationaux (les PFMI) ainsi que les autres normes, standards et bonnes pratiques. Outre cette évaluation, la Banque Centrale peut demander des audits externes spécifiques pour un système précis. Les Infrastructures des Marchés Financiers concentrent, comme énoncé ci-haut, un certain nombre de risques. Pour rappel, il s’agit du risque de règlement (risque de crédit, risque de liquidité), du risque opérationnel, du risque juridique ainsi que du risque systémique. Afin de maitriser ces risques et d’assurer un suivi de la conformité des IMFs aux exigences en vigueur, la Banque Centrale doit procéder à l’amélioration de ses méthodes de suivi des risques inhérents aux IMFs à travers la mise en place d’un outil d’aide à la notation de ces infrastructures, destiné à améliorer la prévention de ces risques. Cet outil permet ainsi une surveillance fondée sur les risques en fournissant les éléments d’appréciation de la situation de résilience des IMFs et par là, de dimensionner la surveillance selon le niveau de risque associé à chaque IMF. Il constitue ainsi un pilier fondamental de l’approche de contrôle proactive et permet d’accroître les synergies entre le contrôle sur site et le contrôle permanent (hors site) afin de mieux orienter les contrôles sur les zones de vulnérabilité. La notation d’une IMF s’effectue, sur une échelle de notes, généralement allant de 1 à 5. La notation s’effectue à travers l’évaluation de la conformité de l’IMF aux vingt-quatre (24) principes édictés par la BRI et qui sont organisés en cinq domaines principaux à savoir :

  • L’organisation : principes 1 à 3 ;
  • La gestion des risques : principes 4 à 7, 14 à 16 ainsi que les principes 19 et 20 ;

  1. GESTION DES RISQUES

Cadre de surveillance des systèmes et moyens de paiement 14

  • L’accès et la transparence : principes 18, 21 à 24 ;
  • Le risque opérationnel : principe 17 ;
  • Le règlement : principes 8 à 13.

Conformément à la responsabilité édictée par le CPMI portant sur les exigences d’une coopération entre les autorités compétentes en matière de surveillance des IMFs, le comité de coordination et de surveillance des risques systémiques offre un cadre d’échange approprié entre la Banque et les autres partenaires en matière de surveillance des IMFs dans l’objectif de favoriser une approche globale de la régulation, du contrôle et de la surveillance des IMFs et de fournir un mécanisme permettant aux différentes autorités de s’acquitter de leurs responsabilités de manière efficiente et efficace. La surveillance coopérative poursuit les objectifs suivants : ● éviter les chevauchements entre les exigences et activités des différents régulateurs ; ● permettre à chaque autorité de mettre en œuvre ses propres compétences ; ● promouvoir l'efficacité des contrôles grâce à une approche homogène. La surveillance coopérative fait intervenir, d’une part, les autorités nationales impliquées dans la régulation et, d’autre part, les Institutions internationales. 4.1. AUTRES AUTORITES NATIONALES DE REGULATION Il s’agit actuellement, au Burundi, des autorités suivantes : ● Autorité de Régulation du Marché des Capitaux (ARMC)7 ; ● Agence de Régulation et de Contrôle des Télécommunications (ARCT) ; ● Cellule Nationale de Renseignement Financier (CNRF). 4.2. INSTITUTIONS INTERNATIONALES Il s’agit essentiellement des Institutions suivantes :

  • Les Banques Centrales de la Communauté Est Africaine (EAC) ;
  • Le Marché Commun des Etats de l’Afrique de l’Est et du Sud (COMESA).

7 En cours d’être mise en place dans le pays 4. SURVEILLANCE COOPERATIVE

Cadre de surveillance des systèmes et moyens de paiement 15 Les intervenants dans la surveillance conjointe sont de deux catégories suivantes :

  • Le Surveillant principal ;

  • Le (s) Co-Surveillant (s).

Cadre de surveillance des systèmes et moyens de paiement 16 Conformément au cadre harmonisé de surveillance des systèmes de paiement de la Communauté Est Africaine, les outils de surveillances sont les suivants :

  • La liste de contrôle utilisée lors de la surveillance sur place ou sur site ;
  • Le modèle de rapport après la mission de surveillance sur place ou sur site ;
  • La matrice d’évaluation basée sur les risques lors de la surveillance sur pièces ou hors site;
  • Le modèle de rapport de l’évaluation sur base des PFMI, lors de la surveillance sur pièces ou hors site.

  1. SANCTIONS La Banque Centrale peut exercer des sanctions pécuniaires et/ou disciplinaires à l'encontre d'un prestataire de services de paiement ou d’un opérateur de système de paiement ou de son participant, lorsqu’il ne se conforme pas aux exigences légales et/ou réglementaires en matière de surveillance. La Banque Centrale peut, en vertu de la loi portant Système National de paiement, aller jusqu’à révoquer une licence accordée à un prestataire de services de paiement ou à un opérateur de système de paiement. Le fournisseur de service ou l'opérateur de système concerné peut faire appel devant le tribunal, contre cette révocation, s’il le juge injuste.

  2. OUTILS DE SURVEILLANCE

Cadre de surveillance des systèmes et moyens de paiement 17 En application de la surveillance basée sur les risques, un programme de surveillance sur place est établi annuellement, sur la base de plusieurs paramètres afférents notamment aux risques encourus, aux règles d’antériorité, mais également des ressources disponibles. Selon les urgences, des contrôles ponctuels ou thématiques peuvent également être organisés. Une mission de surveillance sur place comporte essentiellement trois (3) étapes : 1.1 Planification de la mission : il faut bien déterminer l’objectif de la mission et spécifier notamment : a. Le plan de travail et la durée ; b. Les points de contrôle visés (scope) ; c. La mise à jour des informations disponibles pour identifier les principaux risques encourus issus des données du contrôle permanent, des rapports des contrôles antérieurs, les rapports des auditeurs externes, etc ; … d. Les personnes à rencontrer ; e. La méthodologie à utiliser (collecte des informations, interviews, …). 1.2 Réalisation de la mission : a. Réunion de prise de contact (« inception meeting ») avec les Dirigeants, et s’informer sur les principaux changements dans le management et le système de paiement exploité ; b. Demander les informations portant sur les points de contrôle ; c. Procéder au contrôle proprement dit. 1.3 Elaboration du rapport de la mission : a. Exploiter les informations reçues, mettre en exergue les principaux constats et surtout les risques, tout en formulant des recommandations ; ANNEXE : GUIDE POUR UNE MISSION DE CONTROLE SUR PLACE 1.METHODOLOGIE

Cadre de surveillance des systèmes et moyens de paiement 18 b. Réunion de clôture, « exit meeting » : présenter les principaux constats et recommandations aux hauts Responsables de l’entité, recueillir leurs observations et ajuster le rapport si nécessaire ; c. L’équipe de mission finalise le rapport et le transmet à la hiérarchie (Chef de Service, Directeur et Direction de la Banque), en vue de recueillir des observations et procéder aux ajustements, si nécessaire ; d. Lettre de suite : la BRB transmet officiellement le rapport final à l’entité ayant fait objet de contrôle avec en annexe le Rapport de la mission de contrôle dur place. 2.1. Organisation générale : a. le cadre de gouvernance ; b. les réunions des organes, et ; c. les procès-verbaux y relatifs, etc… 2.2. Système de contrôle interne : a. la sécurité de la plateforme ; b. la sécurité des équipements ; c. le respect des procédures en vigueur. 2.3. Analyse de l’activité : la situation financière et la rentabilité ; 2.4. Analyse des soldes et statistiques (afin de les comparer à ceux déjà fournis à la BRB) : a. la liste et le solde de monnaie électronique des différents partenaires (Supers Agents, agents, marchants, …) ; b. le solde de monnaie électronique des clients ; c. les soldes des comptes d’opération (compte de fonctionnement) et les comparer à la monnaie électronique ; d. la liste d’institutions financières détenant les comptes d’opération (Compte de fonctionnement) ; e. la liste des institutions financières détenant les autres comptes (couverture des frais généraux, placements, …) . 2.5. Respect de la réglementation. 3.METHODOLOGIE3.SPECTS A EVALUER POUR LES ETABLISSEMENTS DE PAIEMENT

Cadre de surveillance des systèmes et moyens de paiement 19 4.1 Vérification du respect des rapports périodiques réglementaires 4.1.1 Vérifier que les rapports fournis à la Banque de la République du Burundi sont corrects et fiables Points de verification Vérifié Observations a. Vérification des soldes et montants des statistiques fournis à la BRB en consultant les historiques dans la plateforme b. Vérification des soldes de monnaie électronique et des comptes d’opération/de couverture (trust account) 4.1.2 Vérification des erreurs et incidents déjà notifiés à la BRB par le PSP Points de verification Verifié Observations a. Examinez le journal des opérations pour vérifier si les éventuels temps d’arrêt du système, des défaillances matérielles / logicielles critiques ; l’accès non autorisé, etc., ont été signalés à la BRB ; b. Examiner les registres des transactions, les preuves des incidents signalés et les mesures de suivi prises par la suite par le PSP. 4.1.3 Vérification des règles et procédures opérationnelles Points de verification Verifié Observations a. Vérification du calendrier et des règles de fonctionnement du système pour s’assurer de la conformité des procédures en vigueur. b. S’assurer du respect des mesures AML/CFT pour les opérations journalières. 4. ASPECTS A EVALUER POUR LES INFRASTRUCTURES DE MARCHE FINANCIERES (switch, ATS/ACH & RTGS, IPS, etc.)

Cadre de surveillance des systèmes et moyens de paiement 20 Points de verification Verifié Observations c. Vérifier si la tenue des registres des transactions est effectuée conformément aux règles et procédures en vigueur. d. Revoir les procédures d’approbation des autorités de surveillance. Points de verification Verifié Observations Sécurité physique

  1. Tous les serveurs utilisés pour l’exploitation de la plateforme de paiement sont logés dans un data center sécurisé et conforme aux normes.
  2. L’accès au Data Center:
  • exige des mots de passe et/ou empreintes digitales/ reconnaissance faciale
  • dispose d’un dispositif de surveillance par camera.

  1. Le data center est doté d’un dispositif anti-incendie et de contrôle de l’humidité et de la température.

  2. Les serveurs sont enfermés dans un rack.

  3. Le data center est aménagé de manière surélevée pour se protéger contre les inondations. 4.2 Vérification de la sécurité physique des systèmes d’informations et du matériel informatique, en référence à la norme ISO 27001

Cadre de surveillance des systèmes et moyens de paiement 21 Points de verification Verifié Observations Sécurité réseau 6. Le réseau est configuré avec des pare-feu selon les règles appropriées pour n’autoriser que les connexions légitimes. 7. Il y a des mesures pour prévenir ou atténuer les attaques par déni de service. 8. Le PSP/GA utilise-t-il des systèmes de détection et de prévention des intrusions pour signaler et prévenir les attaques identifiées par une analyse heuristique ou par un modèle prédéfini connu ? 9. Le PSP/GA utilise-t-il des canaux de communication inviolables et des méthodes d’authentification sécurisées (comme le VPN) pour gérer les serveurs ? 10. Le PSP/GA a-t-il activé le chiffrement de session complète ? 11. Le PSP/GA a-t-il mis en place un processus efficace de gestion des correctifs qui garantit que les systèmes sont à un niveau de correctif suffisamment tardif ? 12. Tous les systèmes critiques disposent-ils, le cas échéant, des correctifs logiciels appropriés les plus récents pour se protéger contre l’exploitation et la compromission des données sensibles par des personnes et des logiciels malveillants ?

Share