Document d enregistrement universel et rapport financier annuel 2021 - BNP PARIBAS358

5 risques et adéquation des fonds ProPres Pilier 3

5

Gestion des risques [Audité]

■ le Comité des débiteurs de Direction Générale (CDDG) est le plus haut Comité décisionnaire en matière de décision de provisionnement spécifique et de passage en perte relatifs aux expositions clients du Groupe ;

■ le Financial Markets Risk Committee (FMRC) est l instance qui gouverne le profil de risque du Groupe dans ses activités de marché de capitaux. Entre autres fonctions, ce Comité analyse les risques de marché et de contrepartie et fixe les limites des activités de marché de capitaux ;

■ les Comités enveloppe pays déterminent le Risk Appetite du Groupe BNP Paribas en fixant les limites pour les pays à risque moyen à élevé compte tenu du risque pays, des conditions de marché, des stratégies commerciales et des aspects de risque et de conformité ;

■ les Risk & Development Policy Committees (RDPC) ont pour double objectif de définir la politique de risque appropriée sur un sujet donné qui peut être une activité, un produit, une géographie (région, pays), un segment de clientèle ou un secteur économique et d examiner les opportunités de développement relatives au sujet présenté ;

■ le Group IT Committee Risk (GITRC) définit et pilote le profil de risque IT du Groupe BNP Paribas. Il s agit de la plus haute instance en matière de gestion des risques technologiques et cyber.

MESURES D ADAPTATION SPÉCIFIQUES À LA CRISE SANITAIRE Le contexte sanitaire a donné lieu à la mise en place de comités de crise réguliers à tous les niveaux du Groupe pour un suivi rapproché des impacts sur les risques de crédit, de marché, de liquidité, ainsi que du risque opérationnel et ICT (risque d Information, Communication et Technologie), permettant une prise de décision rapide et adaptée au contexte évolutif.

Sur le risque de crédit, ce suivi rapproché a notamment conduit à la mise en place, au sein des pôles et des métiers, d un suivi régulier des portefeuilles et des clients les plus exposés aux conséquences de la crise sanitaire, ainsi que des mesures prises par les États. Ces mesures sont désormais intégrées dans l activité habituelle.

En ce qui concerne la résilience opérationnelle du Groupe et des entités, une revue des exceptions temporaires (waivers) accordées en 2020 a été réalisée en vue de stabiliser les processus opérationnels : certains waivers ont été désactivés (retour aux procédures opérationnelles d avant la crise sanitaire) ou pérennisés (adoption d un nouveau mode de fonctionnement incluant les contrôles associés), tandis que ceux toujours en place continuent de faire l objet d un suivi rapproché.

ORGANISATION DU CONTRÔLE DES RISQUES

PLACE DES FONCTIONS DE CONTRÔLE La gestion des risques est inhérente à l activité bancaire et constitue l un des fondements du fonctionnement du Groupe BNP Paribas. BNP Paribas est doté d un dispositif de contrôle interne couvrant tous les types de risques auxquels le Groupe peut être exposé, organisé autour de trois lignes de défense (voir section 2.4 Le contrôle interne du chapitre 2 Gouvernement d entreprise et contrôle interne) :

■ en première ligne de défense, le contrôle interne est l affaire de chaque collaborateur, et les responsables d activités opérationnelles ont la responsabilité de mettre en place et de faire fonctionner un dispositif d identification, d évaluation et de gestion des risques selon les standards définis par les fonctions exerçant un contrôle indépendant au titre de la deuxième ligne de défense ;

■ les principales fonctions de contrôle au sein de BNP Paribas assurant cette deuxième ligne de défense sont les fonctions Conformité, RISK et LEGAL. Leurs responsables sont directement rattachés au Directeur Général et rendent compte de l exercice de leurs missions au Conseil d administration notamment au travers de ses comités spécialisés ;

■ l Inspection Générale assure une troisième ligne de défense en charge du contrôle périodique.

RESPONSABILITÉS GÉNÉRALES DES FONCTIONS RISK ET CONFORMITÉ La responsabilité première de la gestion des risques demeure celle des pôles et métiers qui sont à l origine. RISK exerce en continu un contrôle de deuxième niveau sur les risques de crédit et de contrepartie, de marché, de taux et de change sur le portefeuille bancaire, de liquidité, d assurance, sur le risque opérationnel y compris les risques technologiques et cyber, sur le risque lié à la protection des données, sur le risque de modèles et les facteurs de risques environnementaux et sociaux, ainsi que les risques

de gouvernance associés. Il lui revient, dans le cadre de cette mission, de s assurer de la solidité et de la pérennité des projets de développement commercial et de leur conformité dans leur ensemble à l objectif d appétit pour le risque du Groupe. Ainsi, les missions permanentes de RISK consistent notamment à formuler des recommandations en matière de politiques de risques, à analyser le portefeuille de risques avec une vision prospective, à approuver les crédits aux entreprises et les limites des activités de marché, à garantir la qualité et l efficacité des procédures de suivi et à définir ou valider les méthodes de mesure des risques. Il lui revient également de vérifier que toutes les conséquences en termes de risques du lancement d activités ou produits nouveaux ont été évaluées de façon adéquate.

La Conformité intervient de façon identique pour ce qui concerne les risques de non-conformité et de réputation et joue un rôle tout particulier de surveillance de l activité de validation des nouveaux produits, des nouvelles activités et des transactions exceptionnelles.

ORGANISATION DES FONCTIONS RISK ET CONFORMITÉ

Approche

L organisation de RISK est alignée pleinement sur les principes d indépendance, d intégration verticale et de déconcentration que la Direction du Groupe a édictés pour les principales fonctions de contrôle du Groupe (Conformité, RISK, LEGAL et en troisième ligne de défense l Inspection Générale). Ainsi au sein de RISK :

■ toutes les équipes en charge des risques, y compris celles des entités opérationnelles sont intégrées à la fonction avec la mise en place de liens hiérarchiques vers le Directeur des Risques de ces entités ;

■ les Directeurs des Risques des entités rapportent à RISK.