Document de référence et rapport fi nancier annuel 2018 - BNP PARIBAS428
5 RISQUES ET ADÉQUATION DES FONDS PROPRES PILIER 3
5
Risque opérationnel
5.9 Risque opérationnel
Le risque opérationnel est le risque de perte résultant de processus internes défaillants ou inadéquats ou d événements externes, qu ils soient de nature délibérée, accidentelle ou naturelle. Sa gestion repose sur l analyse de l enchaînement cause événement effet.
Les processus internes sont notamment ceux impliquant le personnel et les systèmes informatiques. Les inondations, les incendies, les tremblements de terre, les attaques terroristes sont des exemples d événements externes. Les événements de crédit ou de marché comme les défauts ou les changements de valeur n entrent pas dans le champ d analyse du risque opérationnel.
Le risque opérationnel recouvre la fraude, les risques en lien avec les ressources humaines, les risques juridiques, les risques de non-conformité, les risques fiscaux, les risques liés aux systèmes d information, la fourniture de services financiers inappropriés (conduct risk), les risques de défaillance des processus opérationnels y compris les processus de crédit, ou l utilisation d un modèle (risque de modèle), ainsi que les conséquences pécuniaires éventuelles liées à la gestion du risque de réputation.
CADRE RÉGLEMENTAIRE
Les risques opérationnels et de non-conformité s inscrivent dans un cadre réglementaire formel :
■ la Directive 36/2013/UE (CRD 4) et le Règlement (UE) n° 575/2013 (CRR) qui encadrent la surveillance prudentielle et les modalités de calcul des exigences de fonds propres au titre du risque opérationnel ;
■ l arrêté du ministre français des Finances en date du 3 novembre 2014 qui défi nit les rôles et responsabilités de la fonction de gestion des risques (couvrant tous les types de risque) et un système de contrôle interne assurant l effi cacité et la qualité du fonctionnement interne de la Banque, la fi abilité de l information interne et externe, la sécurité des opérations, ainsi que la conformité aux lois, aux règlements et aux politiques internes.
Les incidents opérationnels causant des pertes tels que défi nis par la réglementation bancaire, recouvrent sept catégories : (i) fraude interne,
(ii) fraude externe, (iii) pratiques en matière d emploi et sécurité au travail (telles qu une anomalie résultant de la gestion d un recrutement), (iv) clients, produits et pratiques commerciales (défaut dans un produit, vente inappropriée, manquement à une obligation professionnelle, etc. ), (v) dommages occasionnés aux actifs matériels, (vi) interruption de l activité et dysfonctionnement des systèmes, (vii) exécution, livraison et gestion des processus (erreur de saisie, erreur dans la documentation, etc .).
La maîtrise du risque de non-conformité vise au respect des lois, réglementations, règles déontologiques et instructions, à la protection de la réputation du Groupe, de ses investisseurs et de ses clients, à l éthique dans les comportements professionnels, à la prévention des confl its d intérêts, à la protection de l intérêt des clients et de l intégrité des marchés, à la lutte contre le blanchiment d argent, la corruption et le fi nancement du terrorisme ainsi qu au respect des embargos fi nanciers.
ORGANISATION ET DISPOSITIF DE SURVEILLANCE [Audité]
ACTEURS ET GOUVERNANCE Pour gérer les risques opérationnels, de non-conformité et de réputation le Groupe BNP Paribas s appuie sur son dispositif général de contrôle interne dans sa double dimension de contrôle périodique et de contrôle permanent.
Les fonctions Conformité, LEGAL , RISK et Inspection Générale constituent les quatre fonctions de supervision et de contrôle du Groupe, avec un principe de rattachement hiérarchique de la totalité de leurs équipes dans le monde, garantissant leur indépendance et leur autonomie de moyens.
La gouvernance du dispositif de contrôle interne du Groupe est présentée dans la section Le contrôle interne du chapitre 2 Gouvernement d entreprise et contrôle interne.
La définition et la supervision du dispositif de gestion du risque opérationnel sont assurées par une fonction de second niveau de contrôle. En 2016 RISK a lancé un large projet qui consistait à identifi er les principales évolutions nécessaires au dispositif de gestion du risque opérationnel au sein du Groupe, afi n de l améliorer et de l optimiser en clarifi ant notamment les responsabilités entre 1re et 2e lignes de défense dans le Groupe ainsi que les articulations entre les différentes f onctions de contrôle. Dans ce contexte, les équipes RISK Operational Risk and Control (RISK ORC) sont désormais la seconde ligne de défense au sein de la fonction RISK. Par ailleurs, une équipe dédiée (RISK ORC Information and Communication Technology), rattachée au responsable de la fonction RISK, est désormais en charge de la seconde ligne de défense sur les risques technologiques et de protection de l information (cybersécurité).