6.3 Dispositif de gestion des risques
6.3.1 Adéquation des dispositifs de gestion des risques
Le Comité des Risques et de la Conformité Groupe, présidé par le président du directoire, s’est réuni à cinq reprises en 2021 ; il a notamment examiné l’adéquation des dispositifs d’encadrement des risques et validé la révision annuelle des politiques de risques. Ces dispositifs couvrent l’ensemble des risques, tels que décrits dans l’arrêté du 3 novembre 2014 relatif au contrôle interne modifié par l’arrêté du 25 février 2021.
La couverture des risques est jugée adéquate, en cohérence avec le dispositif d’appétit au risque validé par le directoire et le conseil de surveillance de BPCE et en lien étroit avec la stratégie et le pilotage budgétaire du Groupe.
6.3.2 Appétit au risque
L’ensemble des risques est couvert par des dispositifs (en central et au niveau des établissements) permettant, en lien avec l’appétit au risque et la stratégie du Groupe, d’avoir une gestion des risques adaptée.
Le conseil de surveillance du Groupe BPCE a approuvé à l’unanimité le dispositif d’appétit au risque du Groupe : indicateurs quantitatifs, seuil de résilience pour chaque indicateur et gouvernance associée. Le conseil de surveillance a revu, à l’occasion de sa révision annuelle, l’appétit au risque du Groupe en octobre et décembre 2021, la délibération a été approuvée à l’unanimité.
Groupe coopératif décentralisé et solidaire, le Groupe BPCE organise son activité autour d’un capital logé majoritairement dans les établissements régionaux et d’un refinancement de marché centralisé, optimisant les ressources apportées aux entités.
de par sa nature mutualiste, se considère engagé auprès de ses sociétaires et de ses investisseurs à dégager un résultat récurrent et résilient en offrant le meilleur service à ses clients ;
doit préserver la solvabilité, la liquidité et la réputation de chacune des entités du Groupe, mission dont l’organe central est en charge à travers un pilotage des risques consolidés, une politique des risques et des outils communs ;
est constitué de banques régionales, détenant la propriété du Groupe et de ses filiales. Au-delà de la gestion normale, en cas de crise, des mécanismes de solidarité entre les entités du Groupe assurent la circulation du capital et permettent d’éviter le défaut d’une entité ou de l’organe central ;
se focalise sur les risques structurants de son modèle d’affaires de banque universelle avec une composante prépondérante de banque de détail en France, tout en intégrant d’autres métiers nécessaires au service de l’ensemble des clientèles ;
diversifie ses expositions en développant certaines activités en ligne avec son plan stratégique :
développement international (majoritairement Banque de Grande Clientèle et Gestion d’actifs et de manière plus ciblée sur la banque de détail).
L’appétit au risque du Groupe BPCE correspond au niveau de risque qu’il est prêt à accepter dans le but d’accroître sa rentabilité tout en préservant sa solvabilité. Celui-ci doit être cohérent avec l’environnement opérationnel de l’établissement, sa stratégie et son modèle d’affaires, tout en privilégiant les intérêts de ses clients. L’appétit au risque du Groupe est déterminé en évitant des poches de concentration majeures et en allouant de manière optimisée les fonds propres.
En termes de profil de risques, le Groupe BPCE assume des risques intrinsèquement liés à ses métiers de banque de détail et à ses activités de Banque de Grande Clientèle. L’évolution du modèle d’affaires étend l’exposition du Groupe à certaines natures de risques, notamment des risques liés à la gestion d’actifs et aux activités à l’international.
Le Groupe s’interdit d’exercer des activités qu’il ne maîtrise pas suffisamment ou des activités de trading pour compte propre. Les activités aux profils de risque et rentabilité élevés sont strictement encadrées.
Quelles que soient les activités, entités ou géographies, le Groupe a vocation à fonctionner au plus haut niveau d’éthique, de bonne conduite et selon les meilleurs standards d’exécution et de sécurité des opérations.
Le cadre général de l’appétit au risque repose sur un document faîtier présentant de manière qualitative et quantitative les risques que le Groupe accepte de prendre et décrit les principes de gouvernance et de fonctionnement en vigueur.
La mise en œuvre de l’appétit au risque s’articule autour de quatre composantes essentielles : (i) la définition de référentiels communs, (ii) l’existence d’un jeu de limites en adéquation avec celles définies par la réglementation, (iii) la répartition des expertises et responsabilités entre les entités et l’organe central et (iv) le fonctionnement de la gouvernance au sein du Groupe et des différentes entités, permettant une application efficace et résiliente du dispositif dédié à l’appétit au risque.
Le dispositif d’appétit au risque du Groupe est mis à jour régulièrement (a minima annuellement) et s’articule autour de seuils successifs associés à des niveaux de délégation respectifs distincts, à savoir :
un seuil d’observation ou seuil de tolérance, dont le dépassement conduit les membres du directoire de BPCE à décider, soit d’un retour en dessous du seuil de cette limite, soit la gestion d’une exception ;
une limite RAF (risk appetite framework) ou seuil de résilience dont le dépassement ferait peser un risque potentiel sur la continuité et/ou la stabilité de l’activité. Tout dépassement de ce seuil nécessite une communication auprès du conseil de surveillance de BPCE et un plan d’action validé par celui-ci ;
le seuil extrême en lien avec le dispositif du Groupe dédié au plan de résolution et de redressement, mettant en jeu la survie du Groupe. Ce seuil extrême concerne certains des indicateurs retenus dans le cadre de l’appétit au risque du Groupe.
Un tableau de bord trimestriel est réalisé par la direction des Risques du Groupe, permettant ainsi un suivi régulier et détaillé de l’ensemble de ces indicateurs et un reporting à l’organe de surveillance et/ou tout comité en émanant.
en termes de solvabilité le Groupe est en capacité d’absorber, le cas échéant, la manifestation d’un risque au niveau des entités ou du Groupe ;
en termes de liquidité, le Groupe dispose d’une réserve significative composée de cash et de titres permettant de faire face aux besoins réglementaires, de satisfaire les exercices de stress tests et d’accéder aux dispositifs non-conventionnels de financement auprès des banques centrales. Il dispose également d’un montant suffisant d’actifs de bonne qualité éligibles aux dispositifs de refinancement de marché et à ceux proposés par la Banque centrale européenne.
Le Groupe assure la robustesse de ce dispositif par la mise en œuvre de stress tests globaux réalisés régulièrement. Ils sont destinés à vérifier la capacité de résistance du Groupe notamment en cas de crise grave.
Le Groupe BPCE porte une attention particulière à l’anticipation et à la maîtrise des risques émergents compte tenu de l’évolution permanente de l’environnement. À ce titre, une analyse prospective identifiant les risques pouvant impacter le Groupe est réalisée chaque semestre et présentée en comité des risques et de la conformité, puis en comité des risques du conseil.
Après une année 2020 marquée par la contraction brutale de l’économie mondiale liée à la pandémie de Covid-19, la révision à la hausse en juin 2021 des prévisions de croissance, notamment en France, témoigne d’une sortie de crise plus vigoureuse qu’anticipée. Cette crise, a profondément modifié l’environnement dans lequel s’exercent les activités du Groupe. Elle a en effet largement aggravé l’intensité des chocs causés par les différentes typologies de risques affectant nos métiers. Si la couverture du risque pandémique par une campagne massive de vaccination a été largement réalisée, en France notamment, une certaine incertitude demeure sur l’environnement économique, en particulier sur l’évolution de certaines données macro-économiques (ralentissement marqué de la croissance chinoise, hausse de l’inflation, etc.).
Le risque de dégradation future des portefeuilles de crédit du Groupe apparait comme un point d’attention prioritaire. L’ampleur du soutien des pouvoirs publics à l’économie, ainsi que la vigueur de la reprise observée en 2021 permettent toutefois d’envisager une résilience plus forte qu’attendu.
Le contexte de taux bas voire négatifs continue de peser sur la rentabilité des activités de banque commerciale, en lien avec la part significative des prêts habitat à taux fixe et les activités d’assurance vie.
L’environnement géopolitique international reste une zone d’attention sous vigilance, les différentes tensions géopolitiques continuant de peser sur le contexte économique global et alimentant les incertitudes.
La poursuite de la digitalisation de l’économie et des services financiers s’accompagne d’une vigilance constante des banques face aux cyber risques. La sophistication des attaques et les éventuelles vulnérabilités des systèmes IT des banques sont deux enjeux majeurs pour le Groupe BPCE, en lien avec les attentes du régulateur.
Le Groupe est très attentif à l’évolution de l’environnement réglementaire et aux demandes du superviseur, notamment sur les nouvelles normes de provisionnement, les guidelines sur les prêts non performants et en particulier la nouvelle définition du défaut dont la notion de forbearance en lien avec la gestion des moratoires liés à la crise pandémique.
Les changements climatiques sont des thèmes de plus en plus présents dans la politique de gestion des risques.
Enfin, les risques opérationnels font l’objet d’une attention soutenue avec notamment l’application des dispositifs de gestion de crise quand nécessaire.
6.3.3 Gestion des risques
La gouvernance de la maîtrise des risques est assurée au travers de deux instances principales au niveau du Groupe : le conseil de surveillance, qui s’appuie sur le comité des risques du conseil, et le comité de direction générale dont le directeur des Risques est membre.
Présidé par le président du directoire, le comité des risques et conformité Groupe, comité faîtier, fixe les grandes lignes de la politique de risques, examine les sujets liés aux risques non financiers, dont spécifiquement ceux liés à la conformité bancaire, assurantielle, des services d’investissement et à la sécurité financière, instruit la révision annuelle du dispositif d’appétit au risque et valide deux fois par an une analyse prospective des risques.
La direction des Risques et le Secrétariat général, en charge de la conformité et du contrôle permanent, du Groupe BPCE assurent la mesure, la surveillance et la maîtrise des risques en application de l’arrêté du 3 novembre 2014, modifié par l’arrêté du 25 février 2021, relatif au contrôle interne.
Ces directions veillent à ce que le dispositif de maîtrise des risques soit efficace, exhaustif et homogène et à ce que le niveau des risques pris soit cohérent avec les orientations de l’activité, notamment les objectifs et les moyens du Groupe et de ses établissements.
Ces missions sont formalisées dans la charte du contrôle interne du Groupe BPCE, charte faîtière. Celle-ci s’appuie sur les deux chartes des filières de contrôle, à savoir la charte de la filière audit interne et la charte des risques, de la conformité et des contrôles permanents groupe.
Les différents départements de la direction des Risques du Groupe interviennent sur l’ensemble des risques (crédits, financiers, opérationnels, climatiques, modèles et des participations non bancaires) en agissant sur :
Politique et normes groupe |
Surveillance et contrôle |
Animation |
•
proposent au directoire et au conseil de surveillance un dispositif d’appétit au risque pour le Groupe, en assurent la mise en œuvre et le déploiement dans chaque entité significative ; •
contribuent à l’élaboration des politiques des risques sur base consolidée, instruisent le dispositif des plafonds globaux de risques, prennent part aux réflexions sur l’allocation des fonds propres et assurent la conformité de la gestion des portefeuilles avec ce dispositif de limites et d’allocations ; •
définissent et mettent en œuvre les normes et méthodes permettant, sur base consolidée, la mesure des risques, l’approbation de la prise de risques, le contrôle et le reporting des risques, ainsi que la conformité aux textes réglementaires relatifs aux risques ; •
pilotent le système d’information risques, en coordination étroite avec les directions informatiques, en définissant les normes à appliquer pour la mesure, le contrôle, le reporting et la maîtrise des risques. |
•
réalisent la macrocartographie des risques annuelle, en lien avec la politique globale des risques, l’appétit au risque et le plan annuel de contrôle permanent, partie du dispositif de contrôle interne ; •
évaluent et contrôlent le niveau du risque à l’échelle du Groupe ; •
procèdent à une surveillance permanente des dépassements de limites et du suivi de leurs résolutions, et à la centralisation et au reporting prospectif des risques sur base consolidée ; •
accompagnent le directoire du Groupe BPCE dans l’identification des risques émergents, des concentrations et des développements divergents, ainsi que dans l’élaboration de la stratégie ou de la révision de l’appétit au risque ; •
réalisent des stress tests visant à appréhender les zones de risques et la résistance du Groupe à différents scénarios de chocs ; •
assurent le contrôle de la conformité des opérations et des procédures internes des entreprises du Groupe aux normes légales, professionnelles ou internes applicables aux activités bancaires, financières et d’assurance ; •
effectuent la surveillance de second niveau de certains processus d’établissement des résultats de l’entreprise, et met en œuvre un dispositif groupe de contrôle permanent des risques de second niveau. |
•
entretiennent un lien fonctionnel fort avec les filières de gestion des risques et de la conformité, en participant ou en étant destinataires des travaux des comités des risques locaux, en animant les filières et en agréant la nomination ou la révocation de tout nouveau directeur des Risques, directeur de la Conformité ou directeur des Risques et de la Conformité, en rencontrant les dirigeants et/ou les équipes concernées lors de réunions nationales ou locales et de visites sur place ou à BPCE ; •
contribuent à la diffusion de la culture du risque et de la conformité et au partage des bonnes pratiques au sein du Groupe. |
Plusieurs comités ont vocation à définir les normes méthodologiques communes, de mesure, de contrôle, de reporting et de consolidation pour l’ensemble des risques dans le Groupe.
|
|
Comité risques et conformité Groupe |
•
Le comité risques et conformité Groupe est un comité décisionnaire et de surveillance. C’est un comité faîtier de l’ensemble des risques du Groupe, constitué conformément aux dispositions réglementaires, notamment les articles 223 à 232 de l’arrêté du 3 novembre 2014 modifié. |
Comités des risques de crédit et contrepartie Groupe |
•
Plusieurs types de comités ont été mis en place pour maîtriser les risques de crédit sur l’ensemble du périmètre du Groupe, avec des périodicités variables selon leur rôle (analyse a posteriori ou décisionnaire) et leur périmètre d’intervention. |
Comités des risques de marché Groupe |
•
De la même façon, le Groupe a institué des comités décisionnaires et de surveillance tant sur les risques de marché que sur les risques structurels de bilan, avec des périodicités de réunion adaptées aux besoins des établissements et du Groupe. |
Comité des risques non financiers |
•
Ce comité réunit, à une fréquence trimestrielle, les différentes lignes métiers du Groupe, qui contribuent à la cartographie des risques de non-conformité, risques opérationnels, en intégrant les problématiques de sécurité des systèmes d’information, de continuité de l’activité et de révision. Il a vocation à valider les plans d’action de cette cartographie, qui contribue à la macrocartographie des risques du Groupe. •
Il effectue également une surveillance consolidée du niveau des pertes, incidents et alertes, incluant les déclarations adressées à l’Autorité de contrôle prudentiel et de résolution (ACPR) au titre de l’article 98 de l’arrêté A-2014-11-03 modifié par l’arrêté du 25 février 2021, pour les risques non financiers. |
Comité GAP |
•
Le comité de gestion actif-passif est un comité décisionnaire et de surveillance sur l’activité de gestion de bilan, la gestion du risque de taux et de la liquidité. |
Comité des risques climatiques |
•
Ce comité faitier sur les risques climatiques physiques, de transition, de responsabilité et sur les risques environnementaux du Groupe se réunit trois fois par an, en réponse, notamment, aux dispositions réglementaires de la BCE et de l’ACPR. |
La direction des Risques de BPCE et le Secrétariat général Groupe exercent leurs missions dans le cadre d’un fonctionnement en filières métiers dédiées à la gestion des risques de crédit, risques financiers, risques opérationnels, risques climatiques et risques de non-conformité étendus aux fonctions continuité d’activité, contrôle financier et sécurité des systèmes d’information. Ils s’assurent notamment de la conformité de la politique des risques des affiliés et filiales avec celle du Groupe BPCE.
Les directions des Risques et/ou de la Conformité des filiales non soumises au dispositif réglementaire de surveillance bancaire sont rattachées fonctionnellement à la direction des Risques et au Secrétariat général du Groupe BPCE.
Ce lien fonctionnel fort est exercé par le Directeur des Risques et par le Secrétaire Général, tous deux membres du comité de direction générale du Groupe BPCE, et permet, notamment, d’assurer l’objectivité du contrôle des risques par l’indépendance de toute filière opérationnelle des filières risques et conformité dans les établissements du Groupe, de diffuser une culture risques et conformité, d’avoir des standards et normes partagés de gestion des risques et de garantir une information indépendante, objective et complète aux dirigeants de l’état des risques et de toute dégradation éventuelle.
Les établissements du Groupe sont responsables de la définition, du suivi et de la gestion de leurs niveaux de risques, ainsi que de la production des reportings et des alimentations informatiques à destination de la direction des Risques et du Secrétariat général de l’organe central. Ils s’assurent de la qualité, de la fiabilité et de l’exhaustivité des données permettant le contrôle et la surveillance des risques sur base sociale et consolidée, dans le respect des normes et des politiques de risques du Groupe.
Pour mener à bien leurs différents travaux, les établissements s’appuient sur la charte des risques, de la conformité et des contrôles permanents du Groupe. Cette dernière précise notamment que l’organe de surveillance et les dirigeants effectifs de chaque établissement promeuvent la culture du risque à tous les niveaux de leur organisation.
Une évaluation des fonctions de gestion des risques, d’une part, et de conformité, d’autre part, est effectuée annuellement au comité des risques du conseil de surveillance du Groupe BPCE.
Le département Gouvernance des risques est chargé d’assurer la coordination et l’animation des filières risques et conformité en lien avec le SGG, au sein du Groupe BPCE. La charte des risques, de la conformité et des contrôles permanents prévoit notamment que la direction des Risques et le Secrétariat général du Groupe participent, à leur initiative, à l’évaluation annuelle des performances du ou des directeurs des fonctions de contrôle permanent, notamment risques et/ou conformité, en lien avec le président du directoire ou le directeur général.
Le département Gouvernance des risques décline au quotidien l’ensemble du dispositif et contribue à la surveillance globale des risques du Groupe, au travers notamment :
du suivi et de l’actualisation des documents référents des filières risques et conformité tels que les chartes et référentiels ;
de l’analyse des travaux des comités exécutifs des risques des Banques Populaires, des Caisses d’Epargne et des filiales ;
de l’animation des filières de gestion des risques et de la conformité au travers de plusieurs journées nationales, moments privilégiés d’échanges sur les problématiques risques et conformité, de présentation des travaux menés par les filières, de formation et de partages de bonnes pratiques entre établissements qui se déclinent par domaines : crédit, financier, opérationnel, conformité, climatiques associant tous les établissements du Groupe. De manière plus globale ces journées permettent de renforcer la cohésion du Groupe autour des métiers risques et / ou conformité dans un environnement réglementaire très évolutif. Ces journées sont complétées d’audioconférences très fréquentes ou de réunions régionales réunissant les directeurs des Risques et Conformité des réseaux et des filiales autour de thématiques d’actualité ;
de la mesure du niveau de culture risques et conformité des établissements du Groupe via un self assessment dédié ;
de la réalisation de travaux d’efficacité opérationnelle (normes repères effectifs), de travaux liés à l’approche par les risques (reporting semestriel risques et conformité, dispositif d’appétit au risque, macro-cartographie des risques…) ;
du suivi de l’ensemble des recommandations émises par les superviseurs et par l’Inspection générale groupe sur le périmètre Risques et Contrôle Permanent ;
d’une évaluation des fonctions de gestion des risques, d’une part, et de conformité, d’autre part, effectuée annuellement et présentée au comité des risques du conseil de surveillance du Groupe BPCE ;
du pilotage du dispositif d’appétit au risque des établissements : définition en lien avec le dispositif groupe, consolidation et reporting aux instances ;
de l’accompagnement des nouveaux directeurs des Risques et/ou Conformité d’établissement via un parcours dédié et du plan annuel de formation des filières risques et conformité ;
de déplacements fréquents au sein des directions des Risques et/ou Conformité des Banques Populaires et des Caisses d’Epargne et des filiales, afin d’échanger avec les directeurs des Risques et Conformité et leurs équipes ;
au-delà des comités opérationnels auxquels la direction des Risques assiste, des réunions dédiées globales avec les principales filiales de BPCE : Natixis, Crédit Foncier, Banque Palatine, BPCE International (gestion extinctive), les filiales du pôle Solutions et Expertises Financières (SEF) ainsi que FIDOR Bank et Oney pour une revue complète avec le directeur des Risques et/ou Conformité ;
de la diffusion d’une newsletter « le mag R&C » à destination des dirigeants des établissements du Groupe, des directeurs des différentes filières, dont la filière commerciale, ainsi qu’aux collaborateurs des filières risques, conformité et contrôles permanents et à l’ensemble des collaborateurs du Groupe.
Pour mener à bien sa mission de coordination, le département Gouvernance des risques déploie et exploite un reporting semestriel instruit par les établissements, visant à s’assurer que les différentes composantes des dispositifs locaux sont correctement déployées et fonctionnent dans des conditions satisfaisantes, notamment au regard de la réglementation bancaire et des chartes groupe. Les résultats de ce reporting permettent, notamment, un gain en efficacité opérationnelle et une optimisation des bonnes pratiques au sein du Groupe.
Un dispositif de suivi des activités dédiées au rapport dit « Lagarde » est également mis en œuvre de manière spécifique avec les établissements du Groupe. Il est complété par un dispositif dédié au suivi des dysfonctionnements dans les établissements du Groupe qui contribue à s’assurer de la bonne conduite et du respect des règles déontologiques.
Développement d’un risk assessment aux bornes des Banques Populaires et des Caisses d’Epargne qui sera déployé en 2022.
Revue du dispositif d’appétit aux risques en intégrant des indicateurs Leverage Finance, HCSF.
Poursuite de l’intégration des filiales Solutions et Expertises Financières (SEF) et ONEY dans le dispositif d’animation et de coordination des filières Risques, Conformité, Contrôle permanent et Sécurité du Groupe : revue annuelle de leur dispositif d’appétit aux risques dédié aux activités SEF ; revue des politiques de risques des filiales ; adaptation des questionnaires semestriels Risques et Conformité à leur activité.
Réalisation du 1er exercice d’auto-évaluation du niveau de culture risques et conformité : dispositif « EVAL R&C ».
Pour promouvoir et renforcer la culture du risque et de la conformité à tous les niveaux, le pôle culture risques – conformité du département Gouvernance risques a pour objectif de développer les programmes de formation et de sensibilisation aux risques, à tous les échelons du Groupe, d’établir une communication régulière sur les sujets risques et conformité dans l’ensemble du Groupe et de rendre concret et mesurer la notion de culture risques et conformité.
|
|
|
Formation |
•
Risk & Compliance Academy |
•
37 formations, dont : |
•
un cursus conformité (filières risques, conformité et audit) |
||
•
un programme spécifique pour l’Inspection générale |
||
•
un programme certifiant dédié aux DRC mis en place à Paris Dauphine |
||
•
Risk Pursuit |
•
Quiz de sensibilisation aux risques bancaires : 200 questions/4 thèmes (risques de crédit, financiers et non-financiers et environnement bancaire) à destination des collaborateurs des Banques Populaires, Caisses d’Epargne et filiales |
|
•
Climate Risk Pursuit |
•
Quiz de sensibilisation aux risques climatiques en 200 questions à destination des collaborateurs des Banques Populaires, Caisses d’Epargne et filiales |
|
•
Membres des organes de surveillance et des comités risques des BP et CE |
•
Formations annuelles, réalisées pour compte de la Fédération Nationale des Banques Populaires et la Fédération Nationale des Caisses d’Epargne |
|
Communication |
•
L’heure R&C risques et conformité |
•
À destination des directions Risques et Conformité des établissements du Groupe et des collaborateurs de BPCE SA (live + replay) |
•
Cahier de vacances réglementaire |
•
Décryptage de sujets réglementaires (perspectives réglementaires, réponse des régulateurs et superviseurs sur le Covid-19, etc.) |
|
•
Communication réglementaire |
•
Coordination des chapitres risques et conformité pour les rapports réglementaires (document d’enregistrement universel, Pilier III, rapport annuel du contrôle interne, ICAAP) |
|
Échange de bonnes pratiques |
•
Partage de bonnes pratiques et regards croisés entre entités opérationnelles et fonctions de contrôle |
•
Animation de la filière des directeurs des Engagements des BP, CE et des filiales |
•
Expertise risques auprès des filières commerciales des établissements (comité de nouveaux produits, mise en œuvre et actualisation des processus commerciaux) |
||
•
Partage des bonnes pratiques par la mise en commun de dispositifs locaux de gestion des risques |
||
Mesure du niveau de culture risque et conformité |
•
Auto-évaluation du niveau de culture risques et conformité : dispositif EVAL R&C |
•
139 questions sur la culture risque et conformité, fondé sur les recommandations du Financial Stability Board 2014, Agence Française Anticorruption 2017 et les guidelines European Banking Autorithy 2018 |
La macro-cartographie des risques a un rôle central dans le dispositif global de gestion des risques d’un établissement : grâce à l’identification et à la cotation de ses risques, via notamment l’évaluation du dispositif de maîtrise des risques, chaque établissement du Groupe dispose de son profil de risque et de ses risques prioritaires. Cette approche par les risques sert à actualiser chaque année l’appétit au risque et les plans de contrôle permanent et périodique des établissements.
Des plans d’action ciblés sur les risques prioritaires sont mis en place dans un but de réduction et/ou contrôle des risques.
Les résultats de la macro-cartographie des risques contribuent à l’exercice du SREP (Supervisory Review and Evaluation Process) du Groupe, en identifiant les principaux risques en approche gestion des risques et prudentielle et alimentent notamment le rapport annuel de contrôle interne, le rapport ICAAP (Internal Capital Adequacy Assessment Process) ainsi que le document d’enregistrement universel pour le chapitre facteurs de risques.
En 2021, comme les précédentes années, une consolidation des macro-cartographies a été effectuée pour chacun des réseaux. Chaque établissement dispose de la comparaison de sa macro-cartographie avec celle de son réseau. Une consolidation des plans d’action mis en place par les établissements sur leurs risques prioritaires a également été produite.
La macro-cartographie des risques est intégrée dans l’outil de gestion des contrôles permanents Priscop, ce qui permet d’automatiser les liens risques – contrôles dans le dispositif de maitrise des risques.
Une macro-cartographie des risques au niveau Groupe a été établie en 2021 grâce à la consolidation de l’ensemble des macro-cartographies des établissements maisons mères et des filiales.
Enfin, le pôle Gouvernance Risques prend en charge la validation des modèles du Groupe hors Natixis le Secrétariat général (ressources humaines et budget) de la direction des Risques, ainsi que jusqu’au 1er septembre 2021, la gestion des risques climatiques avant la création d’un département dédié à ces derniers.
Au-delà du suivi des risques individuels et par typologie de risques, la direction des Risques (DR) du Groupe BPCE assure également la surveillance consolidée des risques du Groupe. Un tableau de bord des risques du Groupe est produit trimestriellement. Il contient notamment un suivi de l’appétit au risque défini par le Groupe ainsi qu’une surveillance globale des risques reposant sur une analyse du profil de risque du Groupe par domaine (cartographie des encours pondérés, des risques de crédit et de contrepartie – par segment de clientèle –, des risques de marché, des risques structurels de bilan, des risques non financiers et des risques liés aux activités d’assurance). Ce tableau de bord est enrichi d’un flash mensuel permettant de disposer, de façon plus réactive d’une vision actualisée des principaux risques du Groupe.
La direction des Risques mène ou coordonne également des analyses transversales des risques et des stress tests spécifiques sur les principaux portefeuilles ou activités du Groupe et, au besoin, au niveau d’entités. Elle a également développé ces dernières années un dispositif semestriel d’analyses prospectives des risques visant à identifier les facteurs économiques de risques (avérés et émergents, internationaux, nationaux et régionaux), les menaces des environnements (réglementation, etc.) et leurs impacts potentiels pour le Groupe. Ces analyses prospectives sont présentées en comité des risques du conseil de surveillance du Groupe.
De plus, elle réalise des analyses spécifiques sur les contreparties, ainsi que des mesures du risque sur des bases de portefeuille. Elle revoit et valide les modèles de risque développés en interne. Enfin, elle contribue aux travaux de définition du besoin interne de capital ainsi qu’aux exercices de stress tests internes ou externes de solvabilité dont l’objectif est de mesurer la sensibilité du Groupe à un ensemble de facteurs de risques et sa résilience à un choc sévère, en produisant les impacts en coût du risque et en RWA.
Ce pilotage a été renforcé en 2021 par la mise en œuvre d’une structure dédiée à la surveillance des portefeuilles de crédits.
Le Groupe BPCE a développé depuis 2011 un dispositif de stress tests pouvant être réalisés par modules de risques pour répondre aux besoins d’analyse stratégique du Groupe et aux besoins réglementaires.
Ces exercices de stress tests sont de deux types : •
stress test internes (y.c. reverse stress tests) ; •
stress test réglementaires (notamment le stress test EBA de 2021 dont la publication a eu lieu le 30 juillet 2021).
La gouvernance des stress tests du Groupe est fondée sur une approche globale couvrant toutes les entités du Groupe tenant compte de leurs caractéristiques spécifiques et couvrant les risques ci-dessous : •
risques de crédit : variation du coût du risque et des risques pondérés ; •
portefeuille de titrisation et risque de contrepartie : variation des dépréciations et des risques pondérés ; •
risques de marché : chocs des marchés, variation des portefeuilles titres et des risques pondérés ; •
risques opérationnels ; •
risques assurance.
Les risques associés aux expositions souveraines sont traités en fonction de leur classification comptable dans le risque de marché ou le risque de crédit.
|
|
Les méthodologies utilisées pour réaliser les projections reposent sur : •
la méthodologie prescrite par la BCE et l’EBA pour les stress tests réglementaires ; •
des méthodologies internes adaptées au business model du Groupe, dans le cadre de l’exercice budgétaire et de la gestion des risques.
Lors de ces stress tests, plusieurs scénarios sont testés afin d’évaluer l’ensemble des impacts : |
|
Scénario baseline |
Scénario central correspondant au scénario budgétaire |
||
Scénarios adverses ICAAP |
Scénarios à la fois sévères et plausibles permettant de fournir une information pertinente sur les risques et la capacité de résisitance dans le cadre de l’ICAAP. |
||
Scénarios adverses PPR |
Scénarios utilisés dans le cadre du Plan Préventif de Rétablissement afin d’évaluer la capacité de rétablissement du Groupe. |
||
Scénarios reverses |
Scénarios réalisés en amont des scénarios de stress afin d’estimer ex ante la sévérité requise pour l’ICAAP et le PPR. |
||
Pour chacune des typologies de risques, des modélisations sont utilisées pour déterminer les impacts des scénarios sur les différentes lignes du compte de résultat et des exigences en fonds propres. |
|||
6.3.4 Contrôle interne
Le dispositif de contrôle du Groupe repose sur trois niveaux de contrôle conformément à la réglementation bancaire et aux saines pratiques de gestion : deux niveaux de contrôle permanent et un niveau de contrôle périodique, ainsi que la mise en place de filières de contrôle intégrées conformément aux dispositions arrêtées par le directoire de BPCE.
L’organisation du contrôle permanent dans le Groupe est précisée dans la charte de Contrôle interne (mise à jour le 23 juillet 2020) en paragraphe 3 et dans la charte DRCCP (mise à jour le 9 décembre 2021) en paragraphes 2 et 5 conformément à l’arrêté du 3 novembre 2014 (revu le 25 février 2021) notamment à l’article 12.
Le dispositif de contrôle permanent repose sur la taxonomie des contrôles qui intègre les définitions des modalités de contrôle.
Le dispositif comporte deux types de contrôles de niveau 1 (première ligne de défense LOD1) réalisés par les agents exerçant des activités opérationnelles. Ces agents identifient les risques induits par leur activité et respectent les procédures et les limites fixées :
le niveau 1.1 est constitué de contrôles de production (détection d’anomalies de production, respect des règles et procédures internes) habituellement effectués sur une base continue ;
le niveau 1.2 est constitué de contrôles visant à identifier les risques/le respect des règles/des procédures réalisés par les hiérarchiques (un contrôle hiérarchique implique un contrôle distinct de celui qui l’a fait) ou par une équipe distincte dédiée au contrôle de niveau 1. La formalisation des procédures et modes opératoires décrivant les activités opérationnelles contrôlées sont du ressort de la première ligne de défense.
Le dispositif comporte également deux types de contrôles de niveau 2 (seconde ligne de défense LOD2) assurés par des agents au niveau des services centraux et locaux :
le niveau 2.1 est constitué de contrôles visant à vérifier que les risques ont été identifiés et gérés par le premier niveau de contrôle selon les règles et procédures prévues. Ils sont réalisés par les agents de services exclusivement dédiés à la gestion des risques, à la vérification de la conformité, de sécurité, de contrôle permanent ou de fonctions spécialisées qui n’exercent pas de contrôle de niveau 1 : Ces contrôles sont formalisés et donnent lieu à une évaluation ;
le niveau 2.2 concerne les contrôles de dispositif globaux ou des contrôles de qualité exercés par chaque filière métiers d’un établissement en tant que tête de Groupe ou de BPCE en tant qu’organe central. Ces contrôles sont formalisés et donnent lieu à une évaluation.
En cohérence avec la charte des Risques, Conformité et Contrôle Permanent Groupe, il est recommandé de mettre en place une fonction de coordination des contrôles permanents dans chaque établissement ou établissement tête de Groupe qui couvre la totalité du périmètre Risques/Conformité/Sécurité. En l’absence de service dédié, ces missions relèvent du Directeur des Risques, de la Conformité et du Contrôle Permanent ou du Directeur des risques et du Directeur de la Conformité, étant entendu que le Dirigeant Effectif désigné demeure responsable de la cohérence et de l’efficacité du contrôle, au sens de l’arrêté du 3 novembre 2014 modifié par l’arrêté du 25 février 2021.
Au Secrétariat général, le département Coordination des contrôles permanents groupe a pour mission essentielle de coordonner les dispositifs de contrôle permanent de niveau 1 et 2 du Groupe. Dans ce cadre, il :
propose des normes et des guides méthodologiques relatifs à l’exercice du contrôle permanent dans le Groupe BPCE ;
s’assure que les établissements respectent les normes de dispositif à savoir le document Cadre du contrôle permanent – déclinaison opérationnelle de la charte du contrôle interne –, et la norme d’échantillonnage du contrôle qui s’appuie sur des échantillons représentatifs et aléatoires ; pour ce faire, l’ensemble des plans annuels de contrôles des établissements de banques de détail sont centralisés et analysés chaque année ;
accompagne les métiers dans la revue des contrôles et dans leur complétude de couverture des risques. Les différents référentiels de contrôle permanent sont pilotés, constamment mis à jour et enrichis dans l’outil ;
réalise le reporting consolidé des résultats de contrôles pour le comité de contrôle interne groupe ;
Les principales évolutions du dispositif de contrôle permanent pour 2021 concernent :
la poursuite de l’automatisation des plans annuels de contrôle dans l’outil groupe et la mise en place d’un module dans Priscop permettant de suivre la fiabilsation des contrôles de niveau 1 par le niveau 2 ;
l’élargissement de la couverture des liens risques-contrôles notamment avec l’insertion de contrôles portés dans d’autres outils groupe (Drive, Norkom, Vigiclient) ;
le renforcement du corpus de normes de contrôle permanent avec notamment la mise à jour de la note Cadre du contrôle permanent, la norme Taxonomie des contrôles, la norme Plan annuel de contrôle, la norme Plans d’action de contrôle permanent et la norme Documentation des contrôles. Des mesures d’accompagnement des métiers et de conduite du changement sont également mis en œuvre ;
construction d’un rating du dispositif de contrôle permanent au niveau du Groupe BPCE afin de fournir en 2022 une vision synthétique et consolidée des résultats des contrôles permanents sur les risques groupe.
Conformément aux responsabilités qui incombent à l’organe central et en raison des règles de solidarité collective, l’Inspection générale groupe est chargée de vérifier périodiquement le bon fonctionnement de tous les établissements du Groupe et fournit à leurs dirigeants une assurance raisonnable de leur solidité financière.
Elle s’assure dans ce cadre de la qualité, l’efficacité, la cohérence et du bon fonctionnement de leur dispositif de contrôle permanent ainsi que de la maîtrise de leurs risques. Le périmètre de l’Inspection générale couvre tous les risques, tous les établissements et toutes les activités, y compris celles qui sont externalisées.
Ses objectifs prioritaires sont d’évaluer et de rendre compte aux organes exécutifs et délibérants des entités et du Groupe :
de la cohérence, de l’adéquation et du bon fonctionnement des dispositifs d’évaluation et de maîtrise des risques ;
Rattachée au président du directoire, la direction de l’Inspection générale groupe exerce ses missions de manière indépendante des directions opérationnelles et de contrôle permanent.
Afin de pouvoir exercer sa mission et contribuer efficacement à la promotion d’une culture du contrôle, l’Inspecteur général groupe participe, sans voix délibérative, aux comités clefs de l’organe central relatifs à la maîtrise des risques.
Comme indiqué plus haut, l’Inspecteur général est membre du comité de coordination du contrôle interne groupe et est invité permanent du comité des risques du conseil de surveillance et du comité d’audit de BPCE, du comité des risques et du comité d’audit de Natixis et des principales filiales du Groupe (pôle SEF, Banque Palatine, Oney, Crédit Foncier, BPCE International).
Pour remplir sa mission, l’Inspection générale groupe établit et tient à jour un inventaire du périmètre d’audit du Groupe, qui est défini en coordination avec les audits internes des établissements du Groupe.
Elle s’assure que l’ensemble des établissements, des activités et des risques correspondants est couvert par des audits complets, réalisés selon des cycles dont la périodicité est définie en fonction du niveau de risques global de chaque établissement ou de chaque activité et qui ne doit pas dépasser cinq ans pour les activités bancaires.
Dans ce cadre, l’Inspection générale groupe prend en compte non seulement ses propres interventions, mais aussi celles réalisées par les autorités de tutelle et les directions d’audit interne.
Le plan d’audit annuel est défini avec le président du directoire de BPCE, présenté en comité de coordination du contrôle interne groupe et en comité des risques du conseil de surveillance. Par ailleurs, il fait l’objet d’une communication aux superviseurs nationaux et européens.
Les missions de l’Inspection générale groupe donnent lieu à la formulation de recommandations priorisées par ordre d’importance, lesquelles font l’objet d’un suivi régulier au minimum semestriel.
L’Inspection générale rend compte des conclusions de ses travaux aux dirigeants des entreprises auditées et à leur organe de surveillance. Elle rend aussi compte au président du directoire, au comité des risques du conseil de surveillance et au conseil de surveillance de BPCE. Elle fournit à ces derniers un reporting sur la mise en œuvre de ses recommandations majeures, de celles de l’Autorité de contrôle prudentiel et de résolution ainsi que de celles du Mécanisme de surveillance unique (MSU). Elle veille à l’exécution dans des délais raisonnables des mesures correctrices décidées dans le cadre du dispositif de contrôle interne conformément à l’article 26 de l’arrêté du 3 novembre 2014 modifié sur le contrôle interne et peut saisir le comité des risques du conseil de surveillance en l’absence d’exécution de ces mesures.
L’Inspecteur général groupe entretient, au sein de l’organe central, des relations régulières et procède à des échanges d’informations avec les responsables des unités qui composent le périmètre d’inspection et plus particulièrement avec les directions en charge du contrôle de second niveau.
Il appartient aux responsables de ces directions d’informer rapidement l’Inspecteur général de tout dysfonctionnement ou de tout incident majeur dont ils ont connaissance. De même, l’Inspecteur général ainsi que les directeurs des Risques groupe et de la Conformité et Sécurité groupe s’informent rapidement et réciproquement du lancement de toute inspection ou de toute procédure disciplinaire des autorités de tutelle ou plus généralement de tout contrôle externe dont ils ont connaissance.
L’Inspection générale groupe a construit son plan d’audit en augmentant l’intensité d’audit sur les zones de risques les plus importantes, grâce à un risk assessment refondu qui permet une identification plus fine des risques du Groupe (utilisation de la data) enfin en combinant les missions par unité auditable et les missions transverses.
Elle a réalisé 82 % de son plan d’audit. Elle a procédé à quelques adaptations notamment en raison des contraintes de déplacement, ou de l’existence de missions du régulateur sur la même période.
Le dispositif d’alerte a été revu pour accompagner les établissements/métiers dans la convergence vers le « 0 recommandation en retard tous émetteurs confondus » en dissuadant tout retard et en encourageant les actions de remédiation.
Dans ce cadre renforcé, elle a assuré un suivi trimestriel des recommandations des Superviseurs et un suivi semestriel des recommandations émises par elle-même et l’Inspection générale de Natixis. Elle a fait un suivi de l’ensemble des recommandations émises par la troisième ligne de défense sur le Groupe (Audits internes, Inspection générale groupe, Inspection générale Natixis et Superviseurs) au 31 décembre 2021.
La direction de l’Inspection générale groupe exerce ses responsabilités dans le cadre d’un fonctionnement en filière métier. Ses modalités de fonctionnement à des fins de surveillance consolidée et d’utilisation optimale des moyens –, sont précisées dans une charte approuvée par le directoire de BPCE le 7 décembre 2009, mise à jour au mois de juillet 2018.
Cette organisation a pour but d’assurer la couverture de toutes les unités opérationnelles ou fonctionnelles du Groupe sur un nombre d’exercices raisonnable en fonction du risque associé, ainsi qu’une complémentarité efficace entre les interventions des audits internes des entités.
Les directions d’audit interne des affiliés et des filiales directes sont rattachées à l’Inspection générale groupe par un lien fonctionnel fort et, de manière hiérarchique, à l’exécutif de leur entité.
Ces liens sont strictement dupliqués au niveau de chaque entreprise du Groupe, elle-même maison mère.
Ce lien fonctionnel fort repose sur des règles de fonctionnement et l’édiction de normes d’audit interne groupe applicables par l’ensemble de la filière. Il se matérialise notamment par les éléments suivants :
l’existence d’une charte d’audit groupe unique au sein du Groupe. Elle définit la finalité, les pouvoirs, les responsabilités et l’organisation générale de la filière audit interne dans le dispositif global de contrôle interne et s’applique à toutes les entreprises du Groupe surveillées sur base consolidée ; cette charte est déclinée en normes thématiques (ressources d’audit, audit du réseau commercial, missions, suivi des recommandations…) ;
la nomination ou le retrait de fonction des directeurs de l’audit interne des affiliés ou filiales directes sont soumis à l’avis conforme et préalable de l’Inspecteur général du Groupe BPCE ;
les évaluations annuelles des directeurs sont transmises au directeur de l’Inspecteur général du Groupe BPCE ;
l’Inspection générale groupe s’assure que les directions de l’audit interne des entités disposent des moyens nécessaires à l’exercice de leur mission et la bonne couverture du plan pluriannuel d’audit ;
les programmes pluriannuels et annuels des directions de l’audit interne des établissements du Groupe sont arrêtés en accord avec l’Inspection générale groupe ; l’Inspection générale groupe est tenue régulièrement informée de leur réalisation ou de toute modification du périmètre ;
l’Inspection générale groupe émet un avis formalisé dans un courrier et éventuellement des réserves sur le plan pluriannuel d’audit, la qualité des travaux et rapports d’audit qui lui ont été communiqués ainsi que sur les moyens alloués tant en nombre que sur les compétences ;
la direction de l’Audit interne applique les normes et méthodes définies et diffusées par l’Inspection générale groupe de BPCE et se réfère aux Guides d’audit qui sont par principe communs à l’ensemble des auditeurs de la filière audit interne ;
dans le cadre de ses missions d’audit sur place, l’Inspection générale groupe de BPCE vérifie périodiquement le respect des normes d’audit interne groupe au sein des entreprises du Groupe.
les copies des rapports annuels des entités établis en application des articles 258 à 264 de l’arrêté A-2014-11-03 modifié sur le contrôle interne ;
les présentations faites par les directeurs d’audit interne aux comités des risques ainsi que les comptes rendus de ces réunions ;
les présentations faites à l’organe de surveillance au titre de l’activité et des résultats du contrôle interne ainsi que les extraits des procès-verbaux des réunions au cours desquelles ils ont été examinés.
Les règles régissant le pilotage de la ligne métier inspection entre Natixis et l’organe central s’inscrivent dans le cadre de la filière audit du Groupe.
La réorganisation de l’Inspection générale groupe, entamée en 2020 dans le cadre du projet OPAL, s’est poursuivie en 2021. L’élargissement du périmètre d’intervention du département Méthodes-Data et MOA s’est accompagné d’un renforcement des équipes et d’un redéploiement interne des fonctions.
L’équipe Data a poursuivi son plan de recrutement au cours de l’année 2021 et a étendu son périmètre d’intervention. L’animation de la data au sein de la filière s’est poursuivie. Par ailleurs, aidé par l’arrivée de nouveaux profils, le niveau d’expertise technique s’est renforcé avec la multiplication des cas d’usage de data science. Les projets de data science visent à améliorer les travaux d’audit en termes de valeur ajoutée et de productivité.
Consécutivement à la réorganisation des fonctions supports liée au projet OPAL, le champ d’action de l’équipe Méthode s’est également élargi. Deux nouveaux collaborateurs sont venus renforcer l’effectif pour mieux couvrir les activités de marché, de financement et d’investissement de Natixis ainsi que le domaine informatique. Par ailleurs, elle vient en soutien du chantier OMEGA (Audit Management Solution en remplacement de SAIG-RECO), pour lequel l’Inspection générale assure le business ownership en collaboration avec les directeurs de l’audit interne.
Outre ses responsabilités de support de l’outil de gestion des recommandations du Groupe BPCE (SAIG-RECO) actuel, l’équipe MOA a très largement intensifié sa mission d’assistance dans la gestion et le suivi du chantier OMEGA. Elle assure la mise en qualité des données liées aux risk assessment (RA) des établissements. Elle accompagne également les directeurs d’audit des établissements du réseau pour la production du RA et plan d’audit 2022 dans le nouvel outil. Parallèlement, elle poursuit son travail d’assistance dans la recherche de solutions d’outils permettant de répondre aux besoins de la direction.
La direction des Risques et le Secrétariat général sont responsables du contrôle permanent au niveau du Groupe et la direction de l’Inspection générale groupe du contrôle périodique.
Dans les établissements affiliés et les filiales, les fonctions de contrôle permanent et périodique, soumises au dispositif de surveillance bancaire, sont, dans le cadre de filières de contrôle intégrées fonctionnellement, rattachées aux directions centrales de contrôle de BPCE et de manière hiérarchique à l’exécutif de leur entité.
un avis conforme sur les nominations et les retraits des responsables des fonctions de contrôle permanent ou périodique chez les affiliés et filiales directes ;