Document de référence et rapport fi nancier annuel 2016 - BNP PARIBAS372

5 RISQUES ET ADÉQUATION DES FONDS PROPRES PILIER 3

5

Risques opérationnel, de non-conformité et de réputation

ORGANISATION ET DISPOSITIF DE SURVEILLANCE [Audité]

ACTEURS ET GOUVERNANCE Pour gérer les risques opérationnels, de non-conformité et de réputation le Groupe BNP Paribas s appuie sur son dispositif général de contrôle interne dans sa double dimension de contrôle périodique et de contrôle permanent.

En 2015, le Groupe a conduit l intégration verticale des fonctions Conformité et Juridique, afin de garantir leur indépendance et leur autonomie de moyens. Les fonctions Conformité, Juridique, Risque et Inspection Générale constituent ainsi les quatre fonctions de supervision et de contrôle du Groupe, avec un principe de rattachement hiérarchique de la totalité de leurs équipes dans le monde.

La gouvernance du dispositif de contrôle interne du Groupe est présentée dans la partie Contrôle interne du chapitre 2 Gouvernement d entreprise.

La définition et la supervision du dispositif de gestion du risque opérationnel est assurée par une fonction de second niveau. En 2016, Risk a lancé un large projet au sein du Groupe pour identifi er les principales évolutions nécessaires au dispositif de gestion du risque opérationnel afin de l améliorer et de l optimiser en clarifiant notamment les responsabilités entre 1re et 2e ligne de défense dans le Groupe. Dans ce contexte, les équipes Operational Risk and Control (ORC) sont désormais la seconde ligne de défense au sein de la fonction Risque.

La mise en œuvre de ce nouveau modèle se fera progressivement de septembre 2016 à juin 2017 au sein de tous les métiers et des entités opérationnelles.

En conséquence, le dispositif de gestion et de maîtrise du risque opérationnel pour le Groupe dans son ensemble s organise autour de deux niveaux d intervenants :

■ au premier niveau de défense, les opérationnels et notamment les responsables des entités opérationnelles, des métiers et des fonctions, premiers responsables et acteurs dans la gestion des risques et la mise en place des dispositifs de maîtrise de ces risques ;

■ au second niveau de défense, des équipes spécialisées déconcentrées (domaines d activité, pôles, entités opérationnelles, métiers, fonctions et régions) coordonnées en central par l équipe ORC Groupe participant à la fonction de gestion des risques du Groupe.

Ces équipes doivent plus particulièrement :

■ coordonner, sur leur périmètre de responsabilité, la défi nition et la déclinaison du dispositif de contrôle permanent, et d identifi cation et de gestion du risque opérationnel, de ses normes et méthodologies, des reportings et des outils liés ;

■ fournir un second regard, indépendant des responsables des entités opérationnelles, sur les risques opérationnels, et le fonctionnement du dispositif de risque opérationnel et de contrôle permanent et servir d alerte le cas échéant.

Les effectifs en charge de cette activité de supervision représentent plus de 500 personnes en équivalent temps plein.

Les sujets liés au risque opérationnel, au contrôle permanent et au plan d urgence visant la poursuite d activité dans des situations défi nies selon les standards réglementaires sont présentés régulièrement au Comité Exécutif du Groupe. Les entités opérationnelles du Groupe, ainsi que les

fi liales, déclinent sur leur périmètre cette structure de gouvernance qui associe l encadrement exécutif.

La Conformité, pour sa part, est en charge de la supervision du dispositif de maîtrise des risques de non-conformité et d atteinte à la réputation (voir section 5.3).

OBJECTIFS ET PRINCIPES Afi n d atteindre ce double objectif de gestion et de maîtrise du risque opérationnel, BNP Paribas met en œuvre un dispositif de contrôle opérationnel permanent, processus itératif et reposant sur les éléments suivants :

■ l identifi cation et l évaluation des risques opérationnels ;

■ la formalisation, la mise en œuvre et le suivi du dispositif de réduction des risques (procédures, vérifi cations et tous éléments d organisation concourant à la maîtrise des risques : ségrégation des tâches, gestion des droits d accès, etc.) ;

■ la production des mesures de risque avérés ou potentiels et le calcul des exigences de fonds propres associé au risque opérationnel ;

■ le reporting et l analyse des informations de gestion relatives au risque opérationnel et au dispositif de contrôle permanent ;

■ le pilotage des risques et du dispositif, via une gouvernance impliquant le management et débouchant sur la détermination et le suivi de plans d actions.

Ce dispositif comporte deux grands piliers :

■ l identifi cation et l évaluation des risques et du dispositif de contrôle en s appuyant sur des bibliothèques de risques et de contrôles défi nis par les métiers et les fonctions Groupe. Chaque entité doit les considérer et si besoin les enrichir, quand elle élabore son évaluation des risques intrinsèques et résiduels, et lors de la mise en place de grilles de cotation normalisées au niveau du Groupe ;

■ le dispositif de maîtrise des risques s appuie sur des procédures, des normes et des plans de contrôles génériques cohérents avec la bibliothèque de risques susmentionnés. Chaque entité doit les appliquer (sauf dérogation), et les enrichir en fonction de ses spécifi cités propres.

CHAMP ET NATURE DES SYSTÈMES DE DÉCLARATION ET DE MESURE DES RISQUES Les Comités Exécutifs du Groupe et ceux des entités opérationnelles (métiers, fonctions et fi liales) ont notamment pour mission de piloter la gestion des risques opérationnels et de non-conformité et des contrôles permanents sur leur périmètre de responsabilité, dans le cadre de l infrastructure mise en place au niveau du Groupe. Ils valident la qualité et la cohérence des données de gestion, examinent leur profi l de risque par rapport aux seuils de tolérance qu ils se sont fi xés, en cohérence avec le Risk Appetite Statement défi ni au niveau Groupe, et évaluent la qualité de leur dispositif de contrôle, à l aune de leurs objectifs et des risques qu ils encourent. Ils suivent la mise en œuvre des actions de réduction des risques.