6.3 Dispositif de gestion des risques
6.3.1 Adéquation des dispositifs de gestion des risques
Le Comité des Risques et de la Conformité Groupe, présidé par le président du directoire, s’est réuni à cinq reprises en 2022 ; il a notamment examiné l’adéquation des dispositifs d’encadrement des risques et validé la révision annuelle des politiques de risques. Ces dispositifs couvrent l’ensemble des risques, tels que décrits dans l’arrêté du 3 novembre 2014 relatif au contrôle interne modifié par l’arrêté du 25 février 2021.
La couverture des risques est jugée adéquate, en cohérence avec le dispositif d’appétit au risque validé par le directoire et le conseil de surveillance de BPCE et en lien étroit avec la stratégie et le pilotage budgétaire du groupe.
6.3.2 Appétit au risque
L’ensemble des risques est couvert par des dispositifs (en central et au niveau des établissements) permettant, en lien avec l’appétit au risque et la stratégie du groupe, d’avoir une gestion des risques adaptée.
Le conseil de surveillance du Groupe BPCE a approuvé à l’unanimité le dispositif d’appétit au risque du groupe : indicateurs quantitatifs, seuil de résilience pour chaque indicateur et gouvernance associée. Le conseil de surveillance a revu, à l’occasion de sa révision annuelle, l’appétit au risque du groupe en décembre 2022, la délibération a été approuvée à l’unanimité.
Groupe coopératif décentralisé et solidaire, le Groupe BPCE organise son activité autour d’un capital logé majoritairement dans les établissements régionaux et d’un refinancement de marché centralisé, optimisant les ressources apportées aux entités.
de par sa nature mutualiste, se considère engagé auprès de ses sociétaires et de ses investisseurs à dégager un résultat récurrent et résilient en offrant le meilleur service à ses clients ;
doit préserver la solvabilité, la liquidité et la réputation de chacune des entités du groupe, mission dont l’organe central est en charge à travers un pilotage des risques consolidés, une politique des risques et des outils communs ;
est constitué de banques régionales, détenant la propriété du groupe et de ses filiales. Au-delà de la gestion normale, en cas de crise, des mécanismes de solidarité entre les entités du groupe assurent la circulation du capital et permettent d’éviter le défaut d’une entité ou de l’organe central ;
se focalise sur les risques structurants de son modèle d’affaires de banque universelle avec une composante prépondérante de banque de détail en France, tout en intégrant d’autres métiers nécessaires au service de l’ensemble des clientèles ;
diversifie ses expositions en développant certaines activités en ligne avec son plan stratégique :
développement international (majoritairement Banque de Grande Clientèle et Gestion d’actifs et de manière plus ciblée sur la banque de détail).
L’appétit au risque du Groupe BPCE correspond au niveau de risque qu’il est prêt à accepter dans le but d’accroître sa rentabilité tout en préservant sa solvabilité. Celui-ci doit être cohérent avec l’environnement opérationnel de l’établissement, sa stratégie et son modèle d’affaires, tout en privilégiant les intérêts de ses clients. L’appétit au risque du groupe est déterminé en évitant des poches de concentration majeures et en allouant de manière optimisée les fonds propres.
En termes de profil de risques, le Groupe BPCE assume des risques intrinsèquement liés à ses métiers de banque de détail et à ses activités de Banque de Grande Clientèle. L’évolution du modèle d’affaires étend l’exposition du groupe à certaines natures de risques, notamment des risques liés à la gestion d’actifs et aux activités à l’international.
Le groupe s’interdit d’exercer des activités qu’il ne maîtrise pas suffisamment ou des activités de trading pour compte propre. Les activités aux profils de risque et rentabilité élevés sont strictement encadrées.
Quelles que soient les activités, entités ou géographies, le groupe a vocation à fonctionner au plus haut niveau d’éthique, de bonne conduite et selon les meilleurs standards d’exécution et de sécurité des opérations.
Le cadre général de l’appétit au risque repose sur un document faîtier présentant de manière qualitative et quantitative les risques que le groupe accepte de prendre et décrit les principes de gouvernance et de fonctionnement en vigueur.
La mise en œuvre de l’appétit au risque s’articule autour de quatre composantes essentielles : (i) la définition de référentiels communs, (ii) l’existence d’un jeu de limites en adéquation avec celles définies par la réglementation, (iii) la répartition des expertises et responsabilités entre les entités et l’organe central et (iv) le fonctionnement de la gouvernance au sein du groupe et des différentes entités, permettant une application efficace et résiliente du dispositif dédié à l’appétit au risque.
Le dispositif d’appétit au risque du groupe est mis à jour régulièrement (a minima annuellement) et s’articule autour de seuils successifs associés à des niveaux de délégation respectifs distincts, à savoir :
un seuil d’observation ou seuil de tolérance, dont le dépassement conduit les membres du directoire de BPCE à décider, soit d’un retour en dessous du seuil de cette limite, soit la gestion d’une exception ;
une limite RAF (risk appetite framework) ou seuil de résilience dont le dépassement ferait peser un risque potentiel sur la continuité et/ou la stabilité de l’activité. Tout dépassement de ce seuil nécessite une communication auprès du conseil de surveillance de BPCE et un plan d’action validé par celui-ci ;
le seuil extrême en lien avec le dispositif du groupe dédié au plan de résolution et de redressement, mettant en jeu la survie du groupe. Ce seuil extrême concerne certains des indicateurs retenus dans le cadre de l’appétit au risque du groupe.
Un tableau de bord trimestriel est réalisé par la direction des Risques du Groupe, permettant ainsi un suivi régulier et détaillé de l’ensemble de ces indicateurs et un reporting à l’organe de surveillance et/ou tout comité en émanant.
La DRG donne annuellement un avis de conformité aux établissements dans leur proposition de version annuelle permettant une grande cohérence entre les appétits au risque mis en œuvre localement et celui du groupe.
en termes de solvabilité le groupe est en capacité d’absorber, le cas échéant, la manifestation d’un risque au niveau des entités ou du groupe ;
en termes de liquidité, le groupe dispose d’une réserve significative composée de cash et de titres permettant de faire face aux besoins réglementaires, de satisfaire les exercices de stress tests et d’accéder aux dispositifs non-conventionnels de financement auprès des banques centrales. Il dispose également d’un montant suffisant d’actifs de bonne qualité éligibles aux dispositifs de refinancement de marché et à ceux proposés par la Banque centrale européenne.
Le groupe assure la robustesse de ce dispositif par la mise en œuvre de stress tests globaux ou dédiés comme ceux à la gestion des risques climatiques, réalisés régulièrement. Ils sont destinés à vérifier la capacité de résistance du groupe notamment en cas de crise grave.
Le Groupe BPCE porte une attention particulière à l’anticipation et à la maîtrise des risques émergents compte tenu de l’évolution permanente de l’environnement. À ce titre, une analyse prospective identifiant les risques pouvant impacter le groupe est réalisée chaque semestre et présentée en comité des risques et de la conformité, puis en comité des risques du conseil.
Le contexte macro-économique s’est en effet fortement détérioré depuis début 2022 et conduit à une vision plus pessimiste que ce qui était projeté en termes de résultat généré par les activités du groupe et de niveau de risque. Par ailleurs, la crise Covid puis les conséquences de la crise en Ukraine ont profondément modifié l’environnement dans lequel s’exercent les activités du groupe. Elles ont en effet largement aggravé l’intensité des chocs causés par les différentes typologies de risques affectant nos métiers.
Le ralentissement à venir de la croissance économique, combiné à une inflation élevée et potentiellement durable, fait peser un risque accru de dégradation des portefeuilles de crédit, en particulier pour certains segments de clientèle présentant des vulnérabilités (secteurs d’activité sensibles aux effets de second tour de la guerre en Ukraine et/ou à l’inflation, clients présentant un niveau d’endettement déjà élevé…).
La vigilance sur les risques de taux et d’investissement est également réhaussée compte tenu de l’impact fortement défavorable que la hausse des taux et l’inflation pourraient avoir à court et moyen terme sur la rentabilité du groupe.
L’environnement géopolitique international reste une zone d’attention sous vigilance, les différentes tensions géopolitiques continuant de peser sur le contexte économique global et alimentant les incertitudes.
La poursuite de la digitalisation de l’économie et des services financiers s’accompagne d’une vigilance constante des banques face aux cyber risques. La sophistication des attaques et les éventuelles vulnérabilités des systèmes IT des banques sont deux enjeux majeurs pour le Groupe BPCE, en lien avec les attentes du régulateur.
Le groupe est très attentif à l’évolution de l’environnement réglementaire et aux demandes du superviseur, notamment sur les nouvelles normes de provisionnement, l’encadrement et la surveillance des prêts à effet de levier, les guidelines sur les prêts non performants, etc.
Les changements climatiques font partie intégrante de la politique de gestion des risques, avec des déclinaisons opérationnelles en cours de déploiement.
Enfin, les risques opérationnels font l’objet d’une attention soutenue avec notamment l’application des dispositifs de gestion de crise quand nécessaire.
6.3.3 Gestion des risques
La gouvernance de la maîtrise des risques est assurée au travers de deux instances principales au niveau du groupe : le conseil de surveillance, qui s’appuie sur le comité des risques du conseil, et le comité de direction générale dont le directeur des Risques est membre.
Présidé par le président du directoire, le comité des risques et conformité groupe, comité faîtier, fixe les grandes lignes de la politique de risques, examine les sujets liés aux risques non financiers, dont spécifiquement ceux liés à la conformité bancaire, assurantielle, des services d’investissement et à la sécurité financière, instruit la révision annuelle du dispositif d’appétit au risque et valide deux fois par an une analyse prospective des risques.
La direction des Risques Groupe et le Secrétariat général, en charge de la conformité et de la coordination du contrôle permanent, du Groupe BPCE assurent la mesure, la surveillance et la maîtrise des risques en application de l’arrêté du 3 novembre 2014, modifié par l’arrêté du 25 février 2021, relatif au contrôle interne.
Ces directions veillent à ce que le dispositif de maîtrise des risques soit efficace, exhaustif et homogène et à ce que le niveau des risques pris soit cohérent avec les orientations de l’activité, notamment les objectifs et les moyens du groupe et de ses établissements.
Ces missions sont formalisées dans la charte du contrôle interne du Groupe BPCE, charte faîtière. Celle-ci s’appuie sur les deux chartes des filières de contrôle, à savoir la charte de la filière audit interne et la charte des risques, de la conformité et des contrôles permanents groupe.
Les différents départements de la direction des Risques du Groupe interviennent sur l’ensemble des risques (crédits, financiers, opérationnels, climatiques, modèles et des participations non bancaires) en agissant sur :
Pilotage |
Surveillance |
Contrôle |
•
proposent au directoire et au conseil de surveillance un dispositif d’appétit au risque pour le groupe, en assurent la mise en œuvre et le déploiement dans chaque entité significative ; •
contribuent à l’élaboration des politiques des risques sur base consolidée, instruisent le dispositif des plafonds globaux de risques, prennent part aux réflexions sur l’allocation des fonds propres et assurent la conformité de la gestion des portefeuilles avec ce dispositif de limites et d’allocations ; •
définissent et mettent en œuvre les normes et méthodes permettant, sur base consolidée, la mesure des risques, l’approbation de la prise de risques, le contrôle et le reporting des risques, ainsi que la conformité aux textes réglementaires relatifs aux risques ; •
pilotent le système d’information risques, en coordination étroite avec les directions informatiques, en définissant les normes à appliquer pour la mesure, le contrôle, le reporting et la maîtrise des risques. •
entretiennent un lien fonctionnel fort avec les filières de gestion des risques et de la conformité, en participant ou en étant destinataires des travaux des comités des risques locaux, en animant les filières et en agréant la nomination ou la révocation de tout nouveau directeur des Risques, directeur de la Conformité ou directeur des Risques et de la Conformité, en rencontrant les dirigeants et/ou les équipes concernées lors de réunions nationales ou locales et de visites sur place ou à BPCE ; •
contribuent à la diffusion de la culture du risque et de la conformité et au partage des bonnes pratiques au sein du groupe. |
•
réalisent la macro-cartographie des risques annuelle, en lien avec la politique globale des risques, l’appétit au risque et le plan annuel de contrôle permanent, partie du dispositif de contrôle interne ; •
procèdent à une surveillance permanente des dépassements de limites et du suivi de leurs résolutions, et à la centralisation et au reporting prospectif des risques sur base consolidée ; •
accompagnent le directoire du Groupe BPCE dans l’identification des risques émergents, des concentrations et des développements divergents, ainsi que dans l’élaboration de la stratégie ou de la révision de l’appétit au risque ; •
réalisent des stress tests visant à appréhender les zones de risques et la résistance du groupe à différents scénarios de chocs. |
•
évaluent et contrôlent le niveau du risque à l’échelle du groupe ; •
assurent le contrôle de la conformité des opérations et des procédures internes des entreprises du groupe aux normes légales, professionnelles ou internes applicables aux activités bancaires, financières et d’assurance ; •
mettent en œuvre un dispositif groupe de contrôle permanent de second niveau, sur les risques des établissements et sur les activités sensibles de la direction des Risques groupe. |
Plusieurs comités ont vocation à définir les normes méthodologiques communes, de mesure, de contrôle, de reporting et de consolidation pour l’ensemble des risques dans le groupe.
Comité risques et conformité groupe |
•
Le comité risques et conformité groupe est un comité décisionnaire et de surveillance. C’est un comité faîtier de l’ensemble des risques du groupe, constitué conformément aux dispositions réglementaires, notamment les articles 223 à 232 de l’arrêté du 3 novembre 2014 modifié. |
Comités des risques de crédit et contrepartie groupe |
•
Plusieurs types de comités ont été mis en place pour maîtriser les risques de crédit sur l’ensemble du périmètre du groupe, avec des périodicités variables selon leur rôle (analyse a posteriori ou décisionnaire) et leur périmètre d’intervention. |
Comités des risques de marché groupe |
•
De la même façon, le groupe a institué des comités décisionnaires et de surveillance tant sur les risques de marché que sur les risques structurels de bilan, avec des périodicités de réunion adaptées aux besoins des établissements et du groupe. |
Comité des risques non financiers |
•
Ce comité réunit, à une fréquence trimestrielle, les différentes lignes métiers du groupe, qui contribuent à la cartographie des risques de non-conformité, risques opérationnels, en intégrant les problématiques de sécurité des systèmes d’information, de continuité de l’activité et de révision. Il a vocation à valider les plans d’action de cette cartographie, qui contribue à la macrocartographie des risques du groupe. •
Il effectue également une surveillance consolidée du niveau des pertes, incidents et alertes, incluant les déclarations adressées à l’Autorité de contrôle prudentiel et de résolution (ACPR) au titre de l’article 98 de l’arrêté A-2014-11-03 modifié par l’arrêté du 25 février 2021, pour les risques non financiers. |
Comité GAP |
•
Le comité de gestion actif-passif est un comité décisionnaire et de surveillance sur l’activité de gestion de bilan, la gestion du risque de taux et de la liquidité. |
Comité des risques climatiques |
•
Ce comité faitier sur les risques climatiques physiques, de transition, de responsabilité et sur les risques environnementaux du groupe se réunit trois fois par an, en réponse, notamment, aux dispositions réglementaires de la BCE et de l’ACPR. |
Comité Model Risk Management |
•
Ce comité propose à la gouvernance un cadre de gestion du risque de modèle résilient, permettant de proposer aux instances des indicateurs des risques et les éventuels seuils associés, de suivre l’évolution du portefeuille de modèles, de s ’assurer de la bonne diffusion du cadre de gestion du risque de modèle au sein du groupe. |
La direction des Risques du Groupe et le Secrétariat général Groupe exercent leurs missions dans le cadre d’un fonctionnement en filières métiers dédiées à la gestion des risques de crédit, risques financiers, risques opérationnels, risques climatiques et risques de non-conformité étendus aux fonctions continuité d’activité, contrôle financier et sécurité des systèmes d’information. Ils s’assurent notamment de la conformité de la politique des risques des affiliés et filiales avec celle du Groupe BPCE.
Les directions des Risques et/ou de la Conformité des filiales non soumises au dispositif réglementaire de surveillance bancaire sont rattachées fonctionnellement à la direction des Risques Groupe et au Secrétariat général du Groupe BPCE.
Ce lien fonctionnel fort est exercé par le Directeur des Risques et par le Secrétaire Général, tous deux membres du comité de direction générale du Groupe BPCE, et permet, notamment, d’assurer l’objectivité du contrôle des risques par l’indépendance de toute filière opérationnelle des filières risques et conformité dans les établissements du groupe, de diffuser une culture risques et conformité, d’avoir des standards et normes partagés de gestion des risques et de garantir une information indépendante, objective et complète aux dirigeants de l’état des risques et de toute dégradation éventuelle.
Les établissements du groupe sont responsables de la définition, du suivi et de la gestion de leurs niveaux de risques, ainsi que de la production des reportings et des alimentations informatiques à destination de la direction des Risques Groupe et du Secrétariat général de l’organe central. Ils s’assurent de la qualité, de la fiabilité et de l’exhaustivité des données permettant le contrôle et la surveillance des risques sur base sociale et consolidée, dans le respect des normes et des politiques de risques du groupe.
Pour mener à bien leurs différents travaux, les établissements s’appuient sur la charte des risques, de la conformité et des contrôles permanents du groupe. Cette dernière précise notamment que l’organe de surveillance et les dirigeants effectifs de chaque établissement promeuvent la culture du risque à tous les niveaux de leur organisation.
Une évaluation des fonctions de gestion des risques, d’une part, et de conformité, d’autre part, est effectuée annuellement au comité des risques du conseil de surveillance du Groupe BPCE, et adressée aux dirigeants des établissements principaux du groupe.
Le département Gouvernance et Contrôle risques est chargé d’assurer la coordination et l’animation des filières risques et conformité en lien avec le SGG, et le contrôle permanent de deuxième niveau de la filière risques au sein du Groupe BPCE et des activités de la DRG. La charte des risques, de la conformité et des contrôles permanents prévoit notamment que la direction des Risques groupe et le Secrétariat général du groupe participent, à leur initiative, à l’évaluation annuelle des performances du ou des directeurs des fonctions de contrôle permanent, notamment risques et/ou conformité, en lien avec le président du directoire ou le directeur général.
Le département Gouvernance et contrôle risques décline au quotidien l’ensemble du dispositif et contribue à la surveillance globale des risques du groupe, au travers notamment :
du suivi et de l’actualisation des documents référents des filières risques et conformité tels que les chartes et référentiels ;
de l’analyse des travaux des comités exécutifs des risques des Banques Populaires, des Caisses d’Epargne et des filiales ;
de l’animation des filières de gestion des risques et de la conformité au travers de plusieurs journées nationales, moments privilégiés d’échanges sur les problématiques risques et conformité, de présentation des travaux menés par les filières, de formation et de partages de bonnes pratiques entre établissements qui se déclinent par domaines : crédit, financier, opérationnel, conformité, climatiques associant tous les établissements du groupe. De manière plus globale ces journées permettent de renforcer la cohésion du groupe autour des métiers risques et / ou conformité dans un environnement réglementaire très évolutif. Ces journées sont complétées d’audioconférences très fréquentes ou de réunions régionales réunissant les directeurs des Risques et Conformité des réseaux et des filiales autour de thématiques d’actualité ;
du contrôle permanent de deuxième niveau de la filière risques du Groupe BPCE, ainsi que des activités sensibles de la direction des Risques Groupe, via un pôle dédié ;
de la mesure du niveau de culture risques et conformité des établissements du groupe via un self assessment dédié ;
de la réalisation de travaux d’efficacité opérationnelle (normes repères effectifs), de travaux liés à l’approche par les risques (reporting semestriel risques et conformité, dispositif d’appétit au risque, macro-cartographie des risques…) ;
du suivi de l’ensemble des recommandations émises par les superviseurs et par l’Inspection générale groupe sur le périmètre risques et contrôle permanent ;
d’une évaluation des fonctions de gestion des risques, d’une part, et de conformité, d’autre part, effectuée annuellement et présentée au comité des risques du conseil de surveillance du Groupe BPCE ;
du pilotage du dispositif d’appétit au risque des établissements : définition en lien avec le dispositif groupe, consolidation et reporting aux instances ;
de l’accompagnement des nouveaux directeurs des Risques et/ou Conformité d’établissement via un parcours dédié et du plan annuel de formation des filières risques et conformité ;
de déplacements fréquents au sein des directions des Risques et/ou Conformité des Banques Populaires et des Caisses d’Epargne et des filiales, afin d’échanger avec les directeurs des Risques et Conformité et leurs équipes ;
au-delà des comités opérationnels auxquels la direction des Risques assiste, des réunions dédiées globales avec les principales filiales de BPCE : Global Financial Services (Natixis), Crédit Foncier, Banque Palatine, BPCE International (gestion extinctive), les filiales du pôle Solutions et Expertises Financières (SEF) ainsi que Oney pour une revue complète avec le directeur des Risques et/ou Conformité ;
de la diffusion d’une newsletter « le mag R&C » à destination des dirigeants des établissements du groupe, des directeurs des différentes filières, dont la filière commerciale, ainsi qu’aux collaborateurs des filières risques, conformité et contrôles permanents et à l’ensemble des collaborateurs du groupe.
Pour mener à bien sa mission de coordination, le département Gouvernance et Contrôle risques déploie et exploite un reporting semestriel instruit par les établissements, visant à s’assurer que les différentes composantes des dispositifs locaux sont correctement déployées et fonctionnent dans des conditions satisfaisantes, notamment au regard de la réglementation bancaire et des chartes groupe. Les résultats de ce reporting permettent, notamment, un gain en efficacité opérationnelle et une optimisation des bonnes pratiques au sein du groupe.
Un dispositif de suivi des activités dédiées au rapport dit « Lagarde » est également mis en œuvre de manière spécifique avec les établissements du groupe. Il est complété par un dispositif dédié au suivi des dysfonctionnements dans les établissements du groupe qui contribue à s’assurer de la bonne conduite et du respect des règles déontologiques.
Enfin, un programme de transformation global de la filière Risques et de la direction des Risques a été initié en 2022 (appelé Triple A) afin d’optimiser et de renforcer les travaux dans les domaines. Ce programme couvre l’ensemble des domaines de risques, y compris IT et RH.
Contribution aux chantiers de transformation de la filière Risques.
Revue du dispositif d’appétit aux risques en intégrant des indicateurs Leverage Finance, HCSF.
Création au quatrième trimestre 2022, d’un pôle contrôle permanent des risques à la direction des Risques groupe, en charge du contrôle permanent de deuxième niveau de la filière risques du Groupe BPCE, ainsi que des activités sensibles de la direction des Risques Groupe.
Regroupement des fonctions d’animation filières Risques et Culture Risques.
Mise en œuvre d’un tableau de bord de suivi des travaux Gouvernance et contrôle risques.
Mise en place d’un chargé de mission en charge de la coordination de la veille réglementaire du périmètre des risques.
Pour promouvoir et renforcer la culture du risque et de la conformité à tous les niveaux, le pôle culture risques – conformité du département Gouvernance risques a pour objectif de développer les programmes de formation et de sensibilisation aux risques, à tous les échelons du groupe, d’établir une communication régulière sur les sujets risques et conformité dans l’ensemble du groupe et de rendre concret et mesurer la notion de culture risques et conformité.
Formation |
•
Risk & Compliance Academy |
37 formations, dont : |
•
Risk Pursuit |
•
un cursus confor mité (filières risques, conformité et audit) |
|
•
un programme spécifique pour l’Inspection générale |
||
•
un programme certifiant dédié aux DRC mis en place à Paris Dauphine |
||
•
Quiz de sensibilisation aux risques bancaires : 200 questions/4 thèmes (risques de crédit, financiers et non-financiers et environnement bancaire) à destination des collaborateurs des Banques Populaires, Caisses d’Epargne et filiales |
||
•
Climate Risk Pursuit |
•
Quiz de sensibilisation aux risques climatiques en 200 questions à destination des collaborateurs des Banques Populaires, Caisses d’Epargne et filiales |
|
•
Membres des organes de surveillance |
•
Formations annuelles, réalisées pour compte de la Fédération Nationale des Banques Populaires et la Fédération Nationale des Caisses d’Epargne aux risques, à la conformité et à la sécurité |
|
•
Membres du conseil de BPCE SA |
•
Formations sur les risques/conformité/sécurité informatique |
|
Communication |
•
L’heure R&C risques et conformité |
•
À destination des directions Risques et Conformité des établissements du groupe et des collaborateurs de BPCE SA (live + replay) les thèmes : Bâle IV, les crypto-actifs (impacts en termes de gestion des risques et compliance), les risques ESG (vue d’ensemble, publications Pilier III et enjeux de Place), les marchés immobiliers, l’actualité économique, retour d’expérience sur les stress tests climatiques. |
•
Cahier de vacances réglementaire |
•
Décryptage de sujets réglementaires (perspectives réglementaires, réponse des régulateurs et superviseurs sur le Covid-19, etc.) |
|
•
Communication réglementaire |
•
Coordination des chapitres risques et conformité pour les rapports réglementaires (document d’enregistrement universel, Pilier III, rapport annuel du contrôle interne, ICAAP) |
|
Échange de bonnes pratiques |
•
Partage de bonnes pratiques et regards croisés entre entités opérationnelles et fonctions de contrôle |
•
Animation de la filière des directeurs des Engagements des BP, CE et des filiales |
•
Expertise risques auprès des filières commerciales des établissements (comité de nouveaux produits, mise en œuvre et actualisation des processus commerciaux) |
||
•
Partage des bonnes pratiques par la mise en commun de dispositifs locaux de gestion des risques |
||
Mesure du niveau de culture risque et conformité |
•
Auto-évaluation du niveau de culture risques et conformité : dispositif EVAL R&C |
•
139 questions sur la culture risque et conformité, fondé sur les recommandations du Financial Stability Board 2014, Agence Française Anticorruption 2017 et les guidelines European Banking Authority 2021 permettant un self-assessment et la mise en place de plans d’action |
La macro-cartographie des risques a un rôle central dans le dispositif global de gestion des risques d’un établissement : grâce à l’identification et à la cotation de ses risques, via notamment l’évaluation du dispositif de maîtrise des risques, chaque établissement du groupe dispose de son profil de risque et de ses risques prioritaires. Cette approche par les risques sert à actualiser chaque année l’appétit au risque et les plans de contrôle permanent et périodique des établissements.
Des plans d’action ciblés sur les risques prioritaires sont mis en place dans un but de réduction et/ou contrôle des risques.
Les résultats de la macro-cartographie des risques contribuent à l’exercice du SREP (Supervisory Review and Evaluation Process) du groupe, en identifiant les principaux risques en approche gestion des risques et prudentielle et alimentent notamment le rapport annuel de contrôle interne, le rapport ICAAP (Internal Capital Adequacy Assessment Process) ainsi que le document d’enregistrement universel pour le chapitre facteurs de risques.
En 2022, comme les précédentes années, une consolidation des macro-cartographies a été effectuée pour chacun des réseaux. Chaque établissement dispose de la comparaison de sa macro-cartographie avec celle de son réseau. Une consolidation des plans d’action mis en place par les établissements sur leurs risques prioritaires a également été produite.
La macro-cartographie des risques est intégrée dans l’outil de gestion des contrôles permanents Priscop, ce qui permet d’automatiser les liens risques – contrôles dans le dispositif de maitrise des risques.
Une macro-cartographie des risques au niveau groupe a été établie en 2022 grâce à la consolidation de l’ensemble des macro-cartographies des établissements maisons mères et des filiales.
Enfin, le département Gouvernance et contrôle risques prend en charge la validation des modèles du groupe hors Natixis et le Secrétariat général (ressources humaines et budget) de la direction des Risques groupe.
Au-delà du suivi des risques individuels et par typologie de risques, la direction des Risques du Groupe BPCE (DRG) assure également la surveillance consolidée des risques du groupe. Un tableau de bord des risques du groupe est produit trimestriellement. Il contient notamment un suivi de l’appétit au risque défini par le groupe ainsi qu’une surveillance globale des risques reposant sur une analyse du profil de risque du groupe par domaine (cartographie des encours pondérés, des risques de crédit et de contrepartie – par segment de clientèle –, des risques de marché, des risques structurels de bilan, des risques non financiers et des risques liés aux activités d’assurance). Ce tableau de bord est enrichi d’un flash mensuel permettant de disposer, de façon plus réactive d’une vision actualisée des principaux risques du groupe.
La direction des Risques Groupe mène ou coordonne également des analyses transversales des risques et des stress tests spécifiques sur les principaux portefeuilles ou activités du groupe et, au besoin, au niveau d’entités. Elle a également développé un dispositif semestriel d’analyses prospectives des risques visant à identifier les facteurs économiques de risques (avérés et émergents, internationaux, nationaux et régionaux), les menaces des environnements (réglementation, etc.) et leurs impacts potentiels pour le groupe. Ces analyses prospectives sont présentées en comité des risques du conseil de surveillance du groupe.
De plus, elle réalise des mesures du risque sur des bases de portefeuille. Elle revoit et valide les modèles de risque développés en interne. Enfin, elle contribue aux travaux de définition du besoin interne de capital ainsi qu’aux exercices de stress tests internes ou externes de solvabilité dont l’objectif est de mesurer la sensibilité du groupe à un ensemble de facteurs de risques et sa résilience à un choc sévère, en produisant les impacts en coût du risque et en RWA.
Le Groupe BPCE a développé depuis 2011 un dispositif de stress tests pouvant être réalisés par modules de risques pour répondre aux besoins d’analyse stratégique du groupe et aux besoins réglementaires.
Ces exercices de stress tests sont de deux types : •
stress test internes (y.c. reverse stress tests) ; •
stress test réglementaires (notamment le stress test EBA de 2021 dont la publication a eu lieu le 30 juillet 2021).
La gouvernance des stress tests du groupe est fondée sur une approche globale couvrant toutes les entités du groupe tenant compte de leurs caractéristiques spécifiques et couvrant les risques ci-dessous : •
risques de crédit : variation du coût du risque et des risques pondérés ; •
portefeuille de titrisation et risque de contrepartie : variation des dépréciations et des risques pondérés ; •
risques de marché : chocs des marchés, variation des portefeuilles titres et des risques pondérés ; •
risques opérationnels ; •
risques assurance.
Les risques associés aux expositions souveraines sont traités en fonction de leur classification comptable dans le risque de marché ou le risque de crédit.
|
|
Les méthodologies utilisées pour réaliser les projections reposent sur : •
la méthodologie prescrite par la BCE et l’EBA pour les stress tests réglementaires ; •
des méthodologies internes adaptées au business model du groupe, dans le cadre de l’exercice budgétaire et de la gestion des risques.
Lors de ces stress tests, plusieurs scénarios sont testés afin d’évaluer l’ensemble des impacts : |
|
Scénario baseline |
Scénario central correspondant au scénario budgétaire |
||
Scénarios adverses ICAAP |
Scénarios à la fois sévères et plausibles permettant de fournir une information pertinente sur les risques et la capacité de résisitance dans le cadre de l’ICAAP. |
||
Scénarios adverses PPR |
Scénarios utilisés dans le cadre du Plan Préventif de Rétablissement afin d’évaluer la capacité de rétablissement du groupe. |
||
Scénarios reverses |
Scénarios réalisés en amont des scénarios de stress afin d’estimer ex ante la sévérité requise pour l’ICAAP et le PPR. |
||
Pour chacune des typologies de risques, des modélisations sont utilisées pour déterminer les impacts des scénarios sur les différentes lignes du compte de résultat et des exigences en fonds propres. |
|||
6.3.4 Contrôle interne
Le dispositif de contrôle du groupe repose sur trois niveaux de contrôle conformément à la réglementation bancaire et aux saines pratiques de gestion : deux niveaux de contrôle permanent et un niveau de contrôle périodique, ainsi que la mise en place de filières de contrôle intégrées conformément aux dispositions arrêtées par le directoire de BPCE.
L’organisation du contrôle permanent dans le groupe est précisée dans la charte de Contrôle interne (mise à jour le 23 juillet 2020) en paragraphe 3 et dans la charte DRCCP (mise à jour le 9 décembre 2021) en paragraphes 2 et 5 conformément à l’arrêté du 3 novembre 2014 (revu le 25 février 2021) notamment à l’article 12.
En matière de gouvernance l’évaluation du dispositif de contrôle permanent relève du Comité de Coordination du Contrôle Interne Groupe (ou 3CI ou CCFC dans sa déclinaison locale).
Le dispositif de contrôle permanent repose sur la taxonomie des contrôles qui intègre les définitions des modalités de contrôle.
Le dispositif comporte deux types de contrôles de niveau 1 (première ligne de défense LOD1) réalisés par les agents exerçant des activités opérationnelles. Ces agents identifient les risques induits par leur activité et respectent les procédures et les limites fixées :
le niveau 1.1 est constitué de contrôles de production (détection d’anomalies de production, respect des règles et procédures internes) habituellement effectués sur une base continue ;
le niveau 1.2 est constitué de contrôles visant à identifier les risques/le respect des règles/des procédures réalisés par les hiérarchiques (un contrôle hiérarchique implique un contrôle distinct de celui qui l’a fait) ou par une équipe distincte dédiée au contrôle de niveau 1. La formalisation des procédures et modes opératoires décrivant les activités opérationnelles contrôlées sont du ressort de la première ligne de défense.
Le dispositif comporte également deux types de contrôles de niveau 2 (seconde ligne de défense LOD2) assurés par des agents au niveau des services centraux et locaux :
le niveau 2.1 est constitué de contrôles visant à vérifier que les risques ont été identifiés et gérés par le premier niveau de contrôle selon les règles et procédures prévues. Ils sont réalisés par les agents de services exclusivement dédiés à la gestion des risques, à la vérification de la conformité, de sécurité, de contrôle permanent ou de fonctions spécialisées qui n’exercent pas de contrôle de niveau 1 : Ces contrôles sont formalisés et donnent lieu à une évaluation ;
le niveau 2.2 concerne les contrôles de dispositif globaux ou des contrôles de qualité exercés par chaque filière métiers d’un établissement en tant que tête de groupe ou de BPCE en tant qu’organe central. Ces contrôles sont formalisés et donnent lieu à une évaluation. La DRG a mis en place au dernier trimestre 2022, un pôle dédié à la réalisation de contrôles permanents de la filière risques et des activités sensibles de son périmètre.
En En cohérence avec la charte des Risques, Conformité et Contrôle Permanent Groupe, il est recommandé de mettre en place une fonction de coordination des contrôles permanents dans chaque établissement ou établissement tête de groupe qui couvre la totalité du périmètre Risques/Conformité/Sécurité. En l’absence de service dédié, ces missions relèvent du Directeur des Risques, de la Conformité et du Contrôle Permanent ou du Directeur des risques et du Directeur de la Conformité, étant entendu que le Dirigeant Effectif désigné demeure responsable de la cohérence et de l’efficacité du contrôle, au sens de l’arrêté du 3 novembre 2014 modifié par l’arrêté du 25 février 2021.
Au Secrétariat général, le département Coordination des contrôles permanents groupe a pour mission essentielle de coordonner les dispositifs de contrôle permanent de niveau 1 et 2 du groupe. Dans ce cadre, il :
propose des normes et des guides méthodologiques relatifs à l’exercice du contrôle permanent dans le Groupe BPCE ;
s’assure que les établissements respectent les normes de dispositif à savoir le document Cadre du contrôle permanent – déclinaison opérationnelle de la charte du contrôle interne –, et la norme d’échantillonnage du contrôle qui s’appuie sur des échantillons représentatifs et aléatoires ; pour ce faire, l’ensemble des plans annuels de contrôles des établissements de banques de détail sont centralisés et analysés chaque année ;
accompagne les métiers dans la revue des contrôles et dans leur complétude de couverture des risques. Les différents référentiels de contrôle permanent sont pilotés, constamment mis à jour et enrichis dans l’outil ;
réalise le reporting consolidé des résultats de contrôles pour le comité de contrôle interne groupe ;
La culture du contrôle a été renforcée par la mise en place d’une Certification en contrôle permanent des métiers de la banque et des assurances validée par l’organisme externe France Compétence. Cette certification s’adresse à la filière contrôle permanent de niveau 1 et de niveau 2 mais également aux métiers de LOD2.
Le périmètre du dispositif de contrôle Groupe a été étendu aux entités de BPCE Assurance et Payments. Ce groupe d’entités a rejoint la plateforme Priscop.
Deux nouvelles normes sont venues compléter le dispositif :
- la Norme Documentation des contrôles permanents Groupe qui porte sur la formalisation de leurs attendus, des modalités de contrôle et des informations nécessaires au contrôleur en charge de la réalisation des contrôles.
- la Norme sur les principes de restitution des résultats de contrôles en 3CI/CCFC.
De nouveaux reportings ont été développés pour permettre aux établissements de suivre l’avancement du plan annuel de contrôle
un sharepoint permettant d’évaluer, via un rating, la qualité du dispositif de contrôle permanent d’un établissement face à ses risques prioritaires a été mis en œuvre ;
une mission de revue a été lancée sur la qualité et la complétude de la documentation des contrôles sur le périmètre des contrôles communs à tous les établissements, avec l’objectif de porter cette documentation dans la plateforme Priscop ;
le référentiel de contrôles proposé aux établissements s’est enrichi, notamment par des contrôles de second niveau.
La direction des Risques Groupe et le Secrétariat général Groupe sont responsables du contrôle permanent au niveau du groupe et la direction de l’Inspection générale Groupe du contrôle périodique.
Dans les établissements affiliés et les filiales, les fonctions de contrôle permanent et périodique, soumises au dispositif de surveillance bancaire, sont, dans le cadre de filières de contrôle intégrées fonctionnellement, rattachées aux directions centrales de contrôle de BPCE et de manière hiérarchique à l’exécutif de leur entité.
un avis conforme sur les nominations et les retraits des responsables des fonctions de contrôle permanent ou périodique chez les affiliés et filiales directes ;
l’édiction de normes par l’organe central consignées dans des référentiels, la définition ou l’approbation de plans de contrôle.
L’ensemble de ce dispositif a été approuvé par le directoire de BPCE le 7 décembre 2009 et présenté au comité d’audit du 16 décembre 2009 et au conseil de surveillance de BPCE. La charte des risques, de la conformité et du contrôle permanent a été revue décembre 2021 et le corpus normatif est composé de trois chartes groupe couvrant l’ensemble des activités.
La charte du contrôle interne groupe est la charte faîtière. Elle s’appuie sur deux chartes spécifiques :
Le président du directoire de BPCE est chargé d’assurer la cohérence et l’efficacité du dispositif de contrôle interne. Un comité de coordination du contrôle interne groupe (CCCIG) se réunit périodiquement sous sa présidence.
Ce comité a vocation à traiter l’ensemble des questions relatives à la cohérence et à l’efficacité du dispositif de contrôle interne du groupe, ainsi qu’aux résultats issus des travaux de maîtrise des risques et de contrôle interne et des suites qui leur sont données.
valider la charte du contrôle interne groupe, la charte des risques, de la conformité et des contrôles permanents groupe et la charte de la filière audit interne groupe ;
procéder à la revue des tableaux de bord et reporting des résultats des contrôles groupe et présenter les actions et les résultats de la coordination des contrôles permanents ;
valider les plans d’action à mettre en œuvre afin d’avoir un dispositif groupe cohérent et efficient de contrôle permanent et faire un état d’avancement des mesures correctrices décidées suite aux recommandations de l’Inspection générale groupe et des autorités de supervision nationale ou européenne et aux préconisations des fonctions de contrôle permanent ;
effectuer la revue du dispositif de contrôle interne groupe, identifier les zones de dysfonctionnements, proposer des solutions adaptées afin de renforcer la sécurisation des établissements et du groupe ;
décider de toutes actions ou mesures à caractère transversal visant à renforcer le contrôle interne du groupe ;
s’assurer de la cohérence entre le renforcement des zones de contrôles permanents et les zones de risques identifiées dans la macro-cartographie consolidée.
Les membres du comité de direction générale en charge des Risques (direction des Risques Groupe) et de la Conformité et des Contrôles permanents (Secrétariat général) ainsi que l’Inspecteur général du Groupe sont membres de ce comité. Le cas échéant, ce comité peut entendre des responsables opérationnels, sur les mesures prises par eux en vue de mettre en application les recommandations issues des corps de contrôle internes comme externes.
Conformément aux responsabilités qui incombent à l’organe central et en raison des règles de solidarité collective, l’Inspection générale groupe est chargée de vérifier périodiquement le bon fonctionnement de tous les établissements du groupe et fournit à leurs dirigeants une assurance raisonnable de leur solidité financière.
Elle s’assure dans ce cadre de la qualité, l’efficacité, la cohérence et du bon fonctionnement de leur dispositif de contrôle ainsi que de la maîtrise de leurs risques. Le périmètre de l’Inspection générale couvre tous les risques, tous les établissements et toutes les activités, y compris celles qui sont externalisées.
Ses objectifs prioritaires sont d’évaluer et de rendre compte aux organes exécutifs et délibérants des entités et du groupe :
de l’adéquation et du respect des politiques et des procédures au regard de l’appétit aux risques des entités ;
de la fiabilité ainsi que de l’intégrité des informations comptables et des informations de gestion ;
de la cohérence, de l’adéquation et du bon fonctionnement des dispositifs d’évaluation et de maîtrise des risques ;
de l’intégrité des processus garantissant la fiabilité des méthodes et techniques des entités, ainsi que des hypothèses et des sources d’information utilisées pour ses modèles internes ;
de la qualité et de l’utilisation des outils de détection et d’évaluation des risques et les mesures prises pour les atténuer ;
de la sécurité des systèmes d’information et de leur adéquation au regard des exigences réglementaires ;
Rattachée au président du directoire, la direction de l’Inspection générale groupe exerce ses missions de manière indépendante des directions opérationnelles et de contrôle permanent.
Afin de pouvoir exercer sa mission et contribuer efficacement à la promotion d’une culture du contrôle, l’Inspecteur général groupe participe, sans voix délibérative, aux comités clefs de l’organe central relatifs à la maîtrise des risques.
Comme indiqué plus haut, l’Inspecteur général est membre du Comité de coordination du contrôle interne groupe et est invité permanent du Comité des risques du conseil de surveillance et du Comité d’audit de BPCE, du Comité des risques et du Comité d’audit de Natixis et des principales filiales du groupe (pôle SEF, Banque Palatine, Oney, Crédit Foncier, BPCE International).
Pour remplir sa mission, l’Inspection générale groupe établit et tient à jour un inventaire du périmètre d’audit du groupe, qui est défini en coordination avec les audits internes des établissements du groupe.
Elle s’assure que l’ensemble des établissements, des activités et des risques correspondants est couvert par des audits complets, réalisés selon des cycles dont la périodicité est définie en fonction du niveau de risques global de chaque établissement ou de chaque activité et qui ne doit pas dépasser cinq ans pour les activités bancaires.
Dans ce cadre, l’Inspection générale groupe prend en compte non seulement ses propres interventions, mais aussi celles réalisées par les autorités de tutelle et les directions d’audit interne, en appliquant le principe de subsidiarité.
Le plan d’audit annuel est défini avec le président du directoire de BPCE, présenté en Comité de coordination du contrôle interne groupe et en Comité des risques du conseil de surveillance. Par ailleurs, il fait l’objet d’une communication aux superviseurs nationaux et européens.
Les missions de l’Inspection générale groupe donnent lieu à la formulation de recommandations priorisées par ordre d’importance, lesquelles font l’objet d’un suivi régulier au minimum semestriel.
L’Inspection générale rend compte des conclusions de ses travaux aux dirigeants des entreprises auditées et à leur organe de surveillance. Elle rend aussi compte au président du directoire, au Comité des risques du conseil de surveillance et au conseil de surveillance de BPCE. Elle fournit à ces derniers un reporting sur la mise en œuvre de ses recommandations majeures, de celles de l’Autorité de contrôle prudentiel et de résolution ainsi que de celles du Mécanisme de surveillance unique (MSU). Elle veille à l’exécution dans des délais raisonnables des mesures correctrices décidées dans le cadre du dispositif de contrôle interne conformément à l’article 26 de l’arrêté du 3 novembre 2014 modifié sur le contrôle interne et peut saisir le Comité des risques du conseil de surveillance en l’absence d’exécution de ces mesures.
L’Inspecteur général groupe entretient, au sein de l’organe central, des relations régulières et procède à des échanges d’informations avec les responsables des unités qui composent le périmètre d’inspection et plus particulièrement avec les directions en charge du contrôle de second niveau.
Il appartient aux responsables de ces directions d’informer rapidement l’Inspecteur général de tout dysfonctionnement ou de tout incident majeur dont ils ont connaissance. De même, l’Inspecteur général ainsi que les directeurs des Risques groupe et de la Conformité et Sécurité groupe s’informent rapidement et réciproquement du lancement de toute inspection ou de toute procédure disciplinaire des autorités de tutelle ou plus généralement de tout contrôle externe dont ils ont connaissance.
La réalisation du plan d’audit 2022 a été marquée par la reprise des missions sur site et la poursuite du rattrapage des missions à l’international.
L’Inspection générale groupe a réalisé 93 % de son plan d’audit (versus 82 % en 2021) soit 71 des 75 missions prévues dont six supplémentaires ajoutées dans l’année.
La nouvelle organisation de la filière liée au projet Pléiade a été mise en place pour la deuxième vague de missions avec la création de l’audit interne de Natixis CIB et le rattachement fonctionnel des audits CIB, NIM, BPCE Assurances et Natixis Algérie à l’Inspection générale BPCE.
Le dispositif d’alerte revu en 2021 pour accompagner les établissements/métiers dans la convergence vers le « 0 recommandation en retard tous émetteurs confondus », a été déployé dans les établissements et a fait l’objet d’un pilotage renforcé par l’Inspection générale groupe. Elle assure ainsi un suivi trimestriel des recommandations des Superviseurs et un suivi semestriel des recommandations émises par elle-même. Elle a fait un suivi de l’ensemble des recommandations émises par la troisième ligne de défense sur le groupe (Audits internes, Inspection générale groupe, l’ex-Inspection générale Natixis et Superviseurs) au 31 décembre 2022.
La direction de l’Inspection générale groupe exerce ses responsabilités dans le cadre d’un fonctionnement en filière métier. Ses modalités de fonctionnement – à des fins de surveillance consolidée et d’utilisation optimale des moyens –, sont précisées dans une charte approuvée par le directoire de BPCE le 7 décembre 2009 ; cette dernière a fait l’objet d’une refonte validée le 12 décembre 2022.
Cette organisation a pour but d’assurer la couverture de toutes les unités opérationnelles ou fonctionnelles du groupe sur un nombre d’exercices raisonnable en fonction du risque associé, ainsi qu’une complémentarité efficace entre les interventions des audits internes des entités.
Les directions d’audit interne des affiliés et des filiales directes sont rattachées à l’Inspection générale groupe par un lien fonctionnel fort et, de manière hiérarchique, à l’exécutif de leur entité.