Document d enregistrement universel et rapport financier annuel 2019 - BNP PARIBAS 317

5risques et adéquation des fonds ProPres Pilier 3

5

Gestion des risques [Audité]

Les principales autres instances de niveau Groupe ont les rôles suivants :

■ le Comité de Crédit de Direction Générale (CCDG) est l instance la plus élevée dans le Groupe concernant le risque de crédit et de contrepartie. Ce Comité décide de la prise de risque et procède à la revue annuelle des autorisations sur des clients ou groupes au-delà de certains seuils d autorisations en fonction de leurs notations ou des activités de la Banque. Des transactions de nature particulière peuvent également être présentées en CCDG. Enfin, un représentant de la Conformité peut intervenir en CCDG lorsqu une opinion sur un sujet de sécurité financière le nécessite ;

■ le Comité des Débiteurs de Direction Générale (CDDG) est le plus haut Comité décisionnaire en matière de décision de provisionnement spécifique et de passage en perte relatifs aux expositions clients du Groupe ;

■ le Capital Markets Risk Committee (CMRC) est l instance qui gouverne le profil de risque du Groupe dans ses activités de marché de capitaux. Entre autres fonctions, ce Comité analyse les risques de marché et de contrepartie et fixe les limites des activités de marché de capitaux ;

■ les Comités Enveloppe pays déterminent le Risk Appetite du Groupe BNP Paribas en fixant les limites pour les pays à risque moyen à élevé compte tenu du risque pays, des conditions de marché, des stratégies commerciales et des aspects de risque et de conformité ;

■ les Risk & Development Policy Committee (RDPC) ont pour double objectif de définir la politique de risque appropriée sur un sujet donné qui peut être une activité, un produit, une géographie (région, pays), un segment de clientèle ou un secteur économique et d examiner les opportunités de développement relatives au sujet présenté ;

■ le Group IT Committee Risk (GITRC) définit et pilote le profil de risque IT du Groupe BNP Paribas. Il s agit de la plus haute instance en matière de gestion des risques technologiques et cyber.

ORGANISATION DU CONTRÔLE DES RISQUES

PLACE DES FONCTIONS DE CONTRÔLE La gestion des risques est inhérente à l activité bancaire et constitue l un des fondements du fonctionnement du Groupe BNP Paribas. BNP Paribas est doté d un dispositif de contrôle interne couvrant tous les types de risques auxquels le Groupe peut être exposé, organisé autour de trois lignes de défense (voir section Le contrôle interne du chapitre 2 Gouvernement d entreprise et contrôle interne) :

■ en première ligne de défense, le contrôle interne est l affaire de chaque collaborateur, et les responsables d activités opérationnelles ont la responsabilité de mettre en place et de faire fonctionner un dispositif d identification, d évaluation et de gestion des risques selon les standards définis par les fonctions exerçant un contrôle indépendant au titre d un deuxième niveau de contrôle ;

■ les principales fonctions de contrôle au sein de BNP Paribas assurant la deuxième ligne de défense sont les fonctions Conformité, RISK et LEGAL. Leurs responsables sont directement rattachés au Directeur Général et rendent compte de l exercice de leurs missions au Conseil d administration à travers notamment ses comités spécialisés ;

■ l Inspection Générale assure un troisième niveau de défense en charge du contrôle périodique.

RESPONSABILITÉS GÉNÉRALES DES FONCTIONS RISK ET CONFORMITÉ La responsabilité première de la gestion des risques demeure celle des pôles et métiers qui les proposent. RISK exerce en continu un contrôle de deuxième niveau sur les risques de crédit, de marché, de taux sur le portefeuille bancaire, de liquidité, sur le risque opérationnel y compris les risques technologiques et cyber, sur le risque lié à la protection des données, les risques liés la responsabilité sociale et environnementale et les risques d assurance. Il lui revient, dans le cadre de cette mission, de s assurer de la solidité et de la pérennité des projets de développement et de leur conformité dans leur ensemble à l objectif d appétit pour le risque du Groupe. Ainsi, les missions permanentes de RISK consistent notamment à formuler des recommandations en matière de politiques de

risques, à analyser le portefeuille de risques avec une vision prospective, à approuver les crédits aux entreprises et les limites des activités de marché, à garantir la qualité et l efficacité des procédures de suivi et à définir ou valider les méthodes de mesure des risques. Il lui revient également de vérifier que toutes les conséquences en termes de risques du lancement d activités ou produits nouveaux ont été évaluées de façon adéquate.

La Conformité intervient de façon identique pour ce qui concerne les risques de non-conformité et de réputation et joue un rôle tout particulier de surveillance de l activité de validation des nouveaux produits, des nouvelles activités et des transactions exceptionnelles.

ORGANISATION DES FONCTIONS RISK ET CONFORMITÉ

Approche

L organisation de RISK est alignée pleinement sur les principes d indépendance, d intégration verticale et de déconcentration que la Direction du Groupe a édictés pour les principales fonctions de contrôle du Groupe (Conformité, RISK, LEGAL et en troisième ligne de défense l Inspection Générale). Ainsi au sein de RISK :

■ toutes les équipes en charge des risques, y compris celles des entités opérationnelles sont intégrées à la fonction avec la mise en place de liens hiérarchiques vers le Directeur des Risques de ces entités ;

■ les Directeurs des Risques des entités rapportent à RISK.

Par ailleurs, cette organisation a permis de renforcer la gouvernance des activités de gestion des risques, notamment dans le domaine de la gestion du risque de modèle au travers de l équipe RISK Independent Review and Control (« RISK IRC »), rapportant directement au Directeur des Risques du Groupe, qui rassemble en une seule entité les équipes en charge de la revue indépendante des modèles et des méthodologies de risque ainsi que dans le domaine du risque opérationnel avec l organisation décrite en section 5.9 Risque opérationnel.