BNP - Document enregistrement universel et rapport financier annuel 2021

Document d enregistrement universel et rapport financier annuel 2021 - BNP PARIBAS 499

5risques et adéquation des fonds ProPres Pilier 3

Risque opérationnel

ORGANISATION ET DISPOSITIF DE SURVEILLANCE

ACTEURS ET GOUVERNANCE Pour gérer les risques opérationnels, de non-conformité et de réputation, le Groupe BNP Paribas s appuie sur son dispositif général de contrôle interne dans sa double dimension de contrôle périodique et de contrôle permanent.

Les fonctions de contrôle intégrées au sein de BNP Paribas assurant la deuxième ligne de défense sont les fonctions Conformité, RISK et LEGAL. L Inspection Générale assure quant à elle un troisième niveau de défense en charge du contrôle périodique. Ces quatre fonctions de supervision et de contrôle du Groupe sont organisées avec un principe de rattachement hiérarchique de la totalité de leurs équipes dans le monde, garantissant leur indépendance et leur autonomie de moyens.

La gouvernance du dispositif de contrôle interne du Groupe est présentée dans la section Le contrôle interne du chapitre 2 Gouvernement d entreprise et contrôle interne.

Au sein de la fonction RISK, la deuxième ligne de défense en matière de risques opérationnels, technologiques et de protection de l information (cybersécurité) est assurée par les Operational Risk Officers des entités opérationnelles conformément au dispositif de gestion des risques opérationnels défini et supervisé par RISK Operational Risk Management (RISK ORM).

Le dispositif de gestion et de maîtrise du risque opérationnel pour le Groupe dans son ensemble s organise autour de deux niveaux d intervenants :

■ au premier niveau de défense, les opérationnels et notamment les responsables des entités opérationnelles, des métiers et des fonctions, premiers responsables et acteurs dans la gestion des risques et la mise en place des dispositifs de maîtrise de ces risques ;

■ au second niveau de défense, les fonctions exerçant un contrôle de deuxième niveau qui sont responsables de l organisation et du bon fonctionnement du dispositif de maîtrise des risques et de sa conformité aux lois et règlementations pour leur domaine d expertise tel que défini dans leur Charte de responsabilité. Ces équipes doivent plus particulièrement :

■ coordonner, sur leur périmètre de responsabilité, la définition et la déclinaison du dispositif de contrôle permanent, et d identification et de gestion du risque opérationnel, de ses normes et méthodologies, des reportings et des outils liés,

■ fournir un second regard, indépendant des responsables des entités opérationnelles, sur les risques opérationnels, et le fonctionnement du dispositif de risque opérationnel et de contrôle permanent et servir d alerte le cas échéant.

Les sujets liés au risque opérationnel, au contrôle permanent et au plan d urgence visant la poursuite d activité dans des situations définies selon les standards règlementaires sont présentés régulièrement au Comité Exécutif du Groupe. Les entités opérationnelles du Groupe, ainsi que les filiales, déclinent sur leur périmètre cette structure de gouvernance qui associe l encadrement exécutif.

La Conformité, pour sa part, est en charge de la supervision du dispositif de maîtrise des risques de non-conformité et d atteinte à la réputation (voir section 5.3).

OBJECTIFS ET PRINCIPES Afin d atteindre ce double objectif de gestion et de maîtrise du risque opérationnel, BNP Paribas met en œuvre un dispositif de contrôle opérationnel permanent, processus itératif et reposant sur les éléments suivants :

■ l identification et l évaluation des risques opérationnels ;

■ la formalisation, la mise en œuvre et le suivi du dispositif de réduction des risques (procédures, vérifications et tous éléments d organisation concourant à la maîtrise des risques : ségrégation des tâches, gestion des droits d accès, etc.) ;

■ la production des mesures de risques avérés ou potentiels et le calcul des exigences de fonds propres associées au risque opérationnel ;

■ le reporting et l analyse des informations de gestion relatives au risque opérationnel et au dispositif de contrôle permanent ;

■ le pilotage des risques et du dispositif, via une gouvernance impliquant le management et débouchant sur la détermination et le suivi de plans d actions.

Ce dispositif comporte deux grands piliers :

■ l identification et l évaluation des risques et du dispositif de contrôle en s appuyant sur des bibliothèques de risques et de contrôles définis par les métiers et les fonctions Groupe. Chaque entité doit les considérer et si besoin les enrichir, quand elle élabore son évaluation des risques intrinsèques et résiduels, et lors de la mise en place de grilles de cotation normalisées au niveau du Groupe ;

■ le dispositif de maîtrise des risques s appuie sur des procédures, des normes et des plans de contrôles génériques cohérents avec la bibliothèque de risques susmentionnés. Chaque entité doit les appliquer (sauf dérogation), et les enrichir en fonction de ses spécificités propres.

CHAMP ET NATURE DES SYSTÈMES DE DÉCLARATION ET DE MESURE DES RISQUES Les Comités Exécutifs du Groupe et ceux des entités opérationnelles (métiers, fonctions et filiales) ont notamment pour mission de piloter la gestion des risques opérationnels et de non-conformité et des contrôles permanents sur leur périmètre de responsabilité, dans le cadre de l infrastructure mise en place au niveau du Groupe. Ils valident la qualité et la cohérence des données de gestion, examinent leur profil de risque par rapport aux seuils de tolérance qu ils se sont fixés, en cohérence avec le Risk Appetite Statement défini au niveau Groupe, et évaluent la qualité de leur dispositif de contrôle, en fonction de leurs objectifs et des risques qu ils encourent. Ils suivent la mise en œuvre des actions de réduction des risques.

La mesure des risques opérationnels s appuie sur un dispositif de collecte des incidents avérés ou potentiels, selon une démarche structurée par processus et unités organisationnelles (activité dans un pays et une entité juridique) et suivant une logique « cause, événement, effet ». Ces informations fournissent une base à des actions de correction et de prévention des risques.

Les informations les plus significatives sont portées à la connaissance des divers niveaux de l organisation, jusqu aux dirigeants effectifs et organes de surveillance, selon un processus d escalade préalablement défini.