Document d enregistrement universel et rapport financier annuel 2019 - BNP PARIBAS 431

5risques et adéquation des fonds ProPres Pilier 3

5

Risque opérationnel

ORGANISATION ET DISPOSITIF DE SURVEILLANCE

ACTEURS ET GOUVERNANCE Pour gérer les risques opérationnels, de non-conformité et de réputation le Groupe BNP Paribas s appuie sur son dispositif général de contrôle interne dans sa double dimension de contrôle périodique et de contrôle permanent.

Les fonctions Conformité, LEGAL, RISK et Inspection Générale constituent les quatre fonctions de supervision et de contrôle du Groupe, avec un principe de rattachement hiérarchique de la totalité de leurs équipes dans le monde, garantissant leur indépendance et leur autonomie de moyens..

La gouvernance du dispositif de contrôle interne du Groupe est présentée dans la section Le contrôle interne du chapitre 2 Gouvernement d entreprise et contrôle interne.

La définition et la supervision du dispositif de gestion du risque opérationnel sont assurées par une fonction de second niveau de contrôle. Dans ce contexte, les équipes RISK Operational Risk and Control (RISK ORC) sont désormais la seconde ligne de défense au sein de la fonction RISK. Par ailleurs, une équipe dédiée (RISK ORC Information and Communication Technology), rattachée au responsable de la fonction RISK, est en charge de la seconde ligne de défense sur les risques technologiques et de protection de l information (cybersécurité).

Le dispositif de gestion et de maîtrise du risque opérationnel pour le Groupe dans son ensemble s organise autour de deux niveaux d intervenants :

■ au premier niveau de défense, les opérationnels et notamment les responsables des entités opérationnelles, des métiers et des fonctions, premiers responsables et acteurs dans la gestion des risques et la mise en place des dispositifs de maîtrise de ces risques ;

■ au second niveau de défense, des équipes spécialisées décentralisées (domaines d activité, pôles, entités opérationnelles, métiers, fonctions et régions) coordonnées en central par l équipe RISK ORC Groupe participant à la fonction de gestion des risques du Groupe.

Ces équipes doivent plus particulièrement :

■ coordonner, sur leur périmètre de responsabilité, la définition et la déclinaison du dispositif de contrôle permanent, et d identification et de gestion du risque opérationnel, de ses normes et méthodologies, des reportings et des outils liés ;

■ fournir un second regard, indépendant des responsables des entités opérationnelles, sur les risques opérationnels, et le fonctionnement du dispositif de risque opérationnel et de contrôle permanent et servir d alerte le cas échéant.

Les sujets liés au risque opérationnel, au contrôle permanent et au plan d urgence visant la poursuite d activité dans des situations définies selon les standards règlementaires sont présentés régulièrement au Comité Exécutif du Groupe. Les entités opérationnelles du Groupe, ainsi que les filiales, déclinent sur leur périmètre cette structure de gouvernance qui associe l encadrement exécutif.

La Conformité, pour sa part, est en charge de la supervision du dispositif de maîtrise des risques de non-conformité et d atteinte à la réputation (voir section 5.3).

OBJECTIFS ET PRINCIPES Afin d atteindre ce double objectif de gestion et de maîtrise du risque opérationnel, BNP Paribas met en œuvre un dispositif de contrôle opérationnel permanent, processus itératif et reposant sur les éléments suivants :

■ l identification et l évaluation des risques opérationnels ;

■ la formalisation, la mise en œuvre et le suivi du dispositif de réduction des risques (procédures, vérifications et tous éléments d organisation concourant à la maîtrise des risques : ségrégation des tâches, gestion des droits d accès, etc.) ;

■ la production des mesures de risques avérés ou potentiels et le calcul des exigences de fonds propres associées au risque opérationnel ;

■ le reporting et l analyse des informations de gestion relatives au risque opérationnel et au dispositif de contrôle permanent ;

■ le pilotage des risques et du dispositif, via une gouvernance impliquant le management et débouchant sur la détermination et le suivi de plans d actions.

Ce dispositif comporte deux grands piliers :

■ l identification et l évaluation des risques et du dispositif de contrôle en s appuyant sur des bibliothèques de risques et de contrôles définis par les métiers et les fonctions Groupe. Chaque entité doit les considérer et si besoin les enrichir, quand elle élabore son évaluation des risques intrinsèques et résiduels, et lors de la mise en place de grilles de cotation normalisées au niveau du Groupe ;

■ le dispositif de maîtrise des risques s appuie sur des procédures, des normes et des plans de contrôles génériques cohérents avec la bibliothèque de risques susmentionnés. Chaque entité doit les appliquer (sauf dérogation), et les enrichir en fonction de ses spécificités propres.

CHAMP ET NATURE DES SYSTÈMES DE DÉCLARATION ET DE MESURE DES RISQUES Les Comités Exécutifs du Groupe et ceux des entités opérationnelles (métiers, fonctions et filiales) ont notamment pour mission de piloter la gestion des risques opérationnels et de non-conformité et des contrôles permanents sur leur périmètre de responsabilité, dans le cadre de l infrastructure mise en place au niveau du Groupe. Ils valident la qualité et la cohérence des données de gestion, examinent leur profil de risque par rapport aux seuils de tolérance qu ils se sont fixés, en cohérence avec le Risk Appetite Statement défini au niveau Groupe, et évaluent la qualité de leur dispositif de contrôle, en fonction de leurs objectifs et des risques qu ils encourent. Ils suivent la mise en œuvre des actions de réduction des risques.

La mesure des risques opérationnels s appuie sur un dispositif de collecte des incidents avérés ou potentiels, selon une démarche structurée par processus et unités organisationnelles (activité dans un pays et une entité juridique) et suivant une logique « cause, événement, effet ». Ces informations fournissent une base à des actions de correction et de prévention des risques.

Les informations les plus significatives sont portées à la connaissance des divers niveaux de l organisation, jusqu aux dirigeants effectifs et organes de surveillance, selon un processus d escalade préalablement défini.