3.3 Gestion des risques
La gouvernance de la maîtrise des risques est assurée au travers de deux instances principales au niveau du groupe : le conseil de surveillance, qui s’appuie sur le comité des risques du conseil, et le comité de direction générale dont le directeur des Risques est membre.
Présidé par le président du directoire, le comité des risques et conformité groupe, comité faîtier, fixe les grandes lignes de la politique de risques, examine les sujets liés aux risques non financiers, dont spécifiquement ceux liés à la conformité bancaire, assurantielle, des services d’investissement et à la sécurité financière, instruit la révision annuelle du dispositif d’appétit au risque et valide deux fois par an une analyse prospective des risques.
La direction des Risques Groupe et le Secrétariat général, en charge de la conformité et de la coordination du contrôle permanent, du Groupe BPCE assurent la mesure, la surveillance et la maîtrise des risques en application de l’arrêté du 3 novembre 2014, modifié par l’arrêté du 25 février 2021, relatif au contrôle interne.
Ces directions veillent à ce que le dispositif de maîtrise des risques soit efficace, exhaustif et homogène et à ce que le niveau des risques pris soit cohérent avec les orientations de l’activité, notamment les objectifs et les moyens du groupe et de ses établissements.
Ces missions sont formalisées dans la charte du contrôle interne du Groupe BPCE, charte faîtière. Celle-ci s’appuie sur les deux chartes des filières de contrôle, à savoir la charte de la filière audit interne et la charte des risques, de la conformité et des contrôles permanents groupe.
Les différents départements de la direction des Risques du Groupe interviennent sur l’ensemble des risques (crédits, financiers, opérationnels, climatiques, modèles et des participations non bancaires) en agissant sur :
Pilotage |
Surveillance |
Contrôle |
•
proposent au directoire et au conseil de surveillance un dispositif d’appétit au risque pour le Groupe, en assurent la mise en œuvre et le déploiement dans chaque entité significative ; •
contribuent à l’élaboration des politiques des risques sur base consolidée, instruisent le dispositif des plafonds globaux de risques, prennent part aux réflexions sur l’allocation des fonds propres et assurent la conformité de la gestion des portefeuilles avec ce dispositif de limites et d’allocations ; •
définissent et mettent en œuvre les normes et méthodes permettant, sur base consolidée, la mesure des risques, l’approbation de la prise de risques, le contrôle et le reporting des risques, ainsi que la conformité aux textes réglementaires relatifs aux risques ; •
pilotent le système d’information risques, en coordination étroite avec les directions informatiques, en définissant les normes à appliquer pour la mesure, le contrôle, le reporting et la maîtrise des risques. •
entretiennent un lien fonctionnel fort avec les filières de gestion des risques et de la conformité, en participant ou en étant destinataires des travaux des comités des risques locaux, en animant les filières et en agréant la nomination ou la révocation de tout nouveau directeur des Risques, directeur de la Conformité ou directeur des Risques et de la Conformité, en rencontrant les dirigeants et/ou les équipes concernées lors de réunions nationales ou locales et de visites sur place ou à BPCE ; •
contribuent à la diffusion de la culture du risque et de la conformité et au partage des bonnes pratiques au sein du groupe. |
•
réalisent la macro-cartographie des risques annuelle, en lien avec la politique globale des risques, l’appétit au risque et le plan annuel de contrôle permanent, partie du dispositif de contrôle interne ; •
procèdent à une surveillance permanente des dépassements de limites et du suivi de leurs résolutions, et à la centralisation et au reporting prospectif des risques sur base consolidée ; •
accompagnent le directoire du Groupe BPCE dans l’identification des risques émergents, des concentrations et des développements divergents, ainsi que dans l’élaboration de la stratégie ou de la révision de l’appétit au risque ; •
réalisent des stress tests visant à appréhender les zones de risques et la résistance du groupe à différents scénarios de chocs. |
•
évaluent et contrôlent le niveau du risque à l’échelle du groupe ; •
assurent le contrôle de la conformité des opérations et des procédures internes des entreprises du Groupe aux normes légales, professionnelles ou internes applicables aux activités bancaires, financières et d’assurance ; •
mettent en œuvre un dispositif groupe de contrôle permanent de second niveau, sur les risques des établissements et sur les activités sensibles de la direction des Risques Groupe. |
Plusieurs comités ont vocation à définir les normes méthodologiques communes, de mesure, de contrôle, de reporting et de consolidation pour l’ensemble des risques dans le groupe.
Comité risques et conformité groupe |
•
Le comité risques et conformité groupe est un comité décisionnaire et de surveillance. C’est un comité faîtier de l’ensemble des risques du groupe, constitué conformément aux dispositions réglementaires, notamment les articles 223 à 232 de l’arrêté du 3 novembre 2014 modifié. |
Comités des risques de crédit et contrepartie groupe |
•
Plusieurs types de comités ont été mis en place pour maîtriser les risques de crédit sur l’ensemble du périmètre du groupe, avec des périodicités variables selon leur rôle (analyse a posteriori ou décisionnaire) et leur périmètre d’intervention. |
Comités des risques de marché groupe |
•
De la même façon, le groupe a institué des comités décisionnaires et de surveillance tant sur les risques de marché que sur les risques structurels de bilan, avec des périodicités de réunion adaptées aux besoins des établissements et du groupe. |
Comité des risques non financiers |
•
Ce comité réunit, à une fréquence trimestrielle, les différentes lignes métiers du groupe, qui contribuent à la cartographie des risques de non-conformité, risques opérationnels, en intégrant les problématiques de sécurité des systèmes d’information, de continuité de l’activité et de révision. Il a vocation à valider les plans d’action de cette cartographie, qui contribue à la macrocartographie des risques du groupe. •
Il effectue également une surveillance consolidée du niveau des pertes, incidents et alertes, incluant les déclarations adressées à l’Autorité de contrôle prudentiel et de résolution (ACPR) au titre de l’article 98 de l’arrêté A-2014-11-03 modifié par l’arrêté du 25 février 2021, pour les risques non financiers. |
Comité GAP |
•
Le comité de gestion actif-passif est un comité décisionnaire et de surveillance sur l’activité de gestion de bilan, la gestion du risque de taux et de la liquidité. |
Comité des risques climatiques |
•
Ce comité faitier sur les risques climatiques physiques, de transition, de responsabilité et sur les risques environnementaux du Groupe se réunit trois fois par an, en réponse, notamment, aux dispositions réglementaires de la BCE et de l’ACPR. |
Comité Model Risk Management |
•
Ce comité propose à la gouvernance un cadre de gestion du risque de modèle résilient, permettant de proposer aux instances des indicateurs des risques et les éventuels seuils associés, de suivre l’évolution du portefeuille de modèles, de s ’assurer de la bonne diffusion du cadre de gestion du risque de modèle au sein du groupe. |
La direction des Risques du Groupe et le Secrétariat général Groupe exercent leurs missions dans le cadre d’un fonctionnement en filières métiers dédiées à la gestion des risques de crédit, risques financiers, risques opérationnels, risques climatiques et risques de non-conformité étendus aux fonctions continuité d’activité, contrôle financier et sécurité des systèmes d’information. Ils s’assurent notamment de la conformité de la politique des risques des affiliés et filiales avec celle du Groupe BPCE.
Les directions des Risques et/ou de la Conformité des filiales non soumises au dispositif réglementaire de surveillance bancaire sont rattachées fonctionnellement à la direction des Risques Groupe et au Secrétariat général du Groupe BPCE.
Ce lien fonctionnel fort est exercé par le Directeur des Risques et par le Secrétaire Général, tous deux membres du comité de direction générale du Groupe BPCE, et permet, notamment, d’assurer l’objectivité du contrôle des risques par l’indépendance de toute filière opérationnelle des filières risques et conformité dans les établissements du groupe, de diffuser une culture risques et conformité, d’avoir des standards et normes partagés de gestion des risques et de garantir une information indépendante, objective et complète aux dirigeants de l’état des risques et de toute dégradation éventuelle.
Les établissements du groupe sont responsables de la définition, du suivi et de la gestion de leurs niveaux de risques, ainsi que de la production des reportings et des alimentations informatiques à destination de la direction des Risques Groupe et du Secrétariat général de l’organe central. Ils s’assurent de la qualité, de la fiabilité et de l’exhaustivité des données permettant le contrôle et la surveillance des risques sur base sociale et consolidée, dans le respect des normes et des politiques de risques du groupe.
Pour mener à bien leurs différents travaux, les établissements s’appuient sur la charte des risques, de la conformité et des contrôles permanents du groupe. Cette dernière précise notamment que l’organe de surveillance et les dirigeants effectifs de chaque établissement promeuvent la culture du risque à tous les niveaux de leur organisation.
Une évaluation des fonctions de gestion des risques, d’une part, et de conformité, d’autre part, est effectuée annuellement au comité des risques du conseil de surveillance du Groupe BPCE, et adressée aux dirigeants des établissements principaux du Groupe.
Le département Gouvernance et Contrôle risques est chargé d’assurer la coordination et l’animation des filières risques et conformité en lien avec le SGG, et le contrôle permanent de deuxième niveau de la filière risques au sein du Groupe BPCE et des activités de la DRG. La charte des risques, de la conformité et des contrôles permanents prévoit notamment que la direction des Risques groupe et le Secrétariat général du groupe participent, à leur initiative, à l’évaluation annuelle des performances du ou des directeurs des fonctions de contrôle permanent, notamment risques et/ou conformité, en lien avec le président du directoire ou le directeur général.
Le département Gouvernance et contrôle risques décline au quotidien l’ensemble du dispositif et contribue à la surveillance globale des risques du groupe, au travers notamment :
du suivi et de l’actualisation des documents référents des filières risques et conformité tels que les chartes et référentiels ;
de l’analyse des travaux des comités exécutifs des risques des Banques Populaires, des Caisses d’Epargne et des filiales ;
de l’animation des filières de gestion des risques et de la conformité au travers de plusieurs journées nationales, moments privilégiés d’échanges sur les problématiques risques et conformité, de présentation des travaux menés par les filières, de formation et de partages de bonnes pratiques entre établissements qui se déclinent par domaines : crédit, financier, opérationnel, conformité, climatiques associant tous les établissements du groupe. De manière plus globale ces journées permettent de renforcer la cohésion du groupe autour des métiers risques et / ou conformité dans un environnement réglementaire très évolutif. Ces journées sont complétées d’audioconférences très fréquentes ou de réunions régionales réunissant les directeurs des Risques et Conformité des réseaux et des filiales autour de thématiques d’actualité ;
du contrôle permanent de deuxième niveau de la filière risques du Groupe BPCE, ainsi que des activités sensibles de la direction des Risques Groupe, via un pôle dédié ;
de la mesure du niveau de culture risques et conformité des établissements du groupe via un self assessment dédié ;
de la réalisation de travaux d’efficacité opérationnelle (normes repères effectifs), de travaux liés à l’approche par les risques (reporting semestriel risques et conformité, dispositif d’appétit au risque, macro-cartographie des risques…) ;
du suivi de l’ensemble des recommandations émises par les superviseurs et par l’Inspection générale groupe sur le périmètre risques et contrôle permanent ;
d’une évaluation des fonctions de gestion des risques, d’une part, et de conformité, d’autre part, effectuée annuellement et présentée au comité des risques du conseil de surveillance du Groupe BPCE ;
du pilotage du dispositif d’appétit au risque des établissements : définition en lien avec le dispositif groupe, consolidation et reporting aux instances ;
de l’accompagnement des nouveaux directeurs des Risques et/ou Conformité d’établissement via un parcours dédié et du plan annuel de formation des filières risques et conformité ;
de déplacements fréquents au sein des directions des Risques et/ou Conformité des Banques Populaires et des Caisses d’Epargne et des filiales, afin d’échanger avec les directeurs des Risques et Conformité et leurs équipes ;
au-delà des comités opérationnels auxquels la direction des Risques assiste, des réunions dédiées globales avec les principales filiales de BPCE : Global Financial Services (Natixis), Crédit Foncier, Banque Palatine, BPCE International (gestion extinctive), les filiales du pôle Solutions et Expertises Financières (SEF) ainsi que Oney pour une revue complète avec le directeur des Risques et/ou Conformité ;
de la diffusion d’une newsletter « le mag R&C » à destination des dirigeants des établissements du groupe, des directeurs des différentes filières, dont la filière commerciale, ainsi qu’aux collaborateurs des filières risques, conformité et contrôles permanents et à l’ensemble des collaborateurs du groupe.
Pour mener à bien sa mission de coordination, le département Gouvernance et Contrôle risques déploie et exploite un reporting semestriel instruit par les établissements, visant à s’assurer que les différentes composantes des dispositifs locaux sont correctement déployées et fonctionnent dans des conditions satisfaisantes, notamment au regard de la réglementation bancaire et des chartes groupe. Les résultats de ce reporting permettent, notamment, un gain en efficacité opérationnelle et une optimisation des bonnes pratiques au sein du groupe.
Un dispositif de suivi des activités dédiées au rapport dit « Lagarde » est également mis en œuvre de manière spécifique avec les établissements du groupe. Il est complété par un dispositif dédié au suivi des dysfonctionnements dans les établissements du groupe qui contribue à s’assurer de la bonne conduite et du respect des règles déontologiques.
Enfin, un programme de transformation global de la filière Risques et de la direction des Risques a été initié en 2022 (appelé Triple A) afin d’optimiser et de renforcer les travaux dans les domaines. Ce programme couvre l’ensemble des domaines de risques, y compris IT et RH.
Contribution aux chantiers de transformation de la filière Risques.
Revue du dispositif d’appétit aux risques en intégrant des indicateurs Leverage Finance, HCSF.
Création au quatrième trimestre 2022, d’un pôle contrôle permanent des risques à la direction des Risques groupe, en charge du contrôle permanent de deuxième niveau de la filière risques du Groupe BPCE, ainsi que des activités sensibles de la direction des Risques Groupe.
Regroupement des fonctions d’animation filières Risques et Culture Risques.
Mise en œuvre d’un tableau de bord de suivi des travaux Gouvernance et contrôle risques.
Mise en place d’un chargé de mission en charge de la coordination de la veille réglementaire du périmètre des risques.
Pour promouvoir et renforcer la culture du risque et de la conformité à tous les niveaux, le pôle culture risques – conformité du département Gouvernance risques a pour objectif de développer les programmes de formation et de sensibilisation aux risques, à tous les échelons du groupe, d’établir une communication régulière sur les sujets risques et conformité dans l’ensemble du groupe et de rendre concret et mesurer la notion de culture risques et conformité.
Formation |
•
Risk & Compliance Academy |
37 formations, dont : |
•
Risk Pursuit |
•
un cursus confor mité (filières risques, conformité et audit) |
|
•
un programme spécifique pour l’Inspection générale |
||
•
un programme certifiant dédié aux DRC mis en place à Paris Dauphine |
||
•
Quiz de sensibilisation aux risques bancaires : 200 questions/4 thèmes (risques de crédit, financiers et non-financiers et environnement bancaire) à destination des collaborateurs des Banques Populaires, Caisses d’Epargne et filiales |
||
•
Climate Risk Pursuit |
•
Quiz de sensibilisation aux risques climatiques en 200 questions à destination des collaborateurs des Banques Populaires, Caisses d’Epargne et filiales |
|
•
Membres des organes de surveillance |
•
Formations annuelles, réalisées pour compte de la Fédération Nationale des Banques Populaires et la Fédération Nationale des Caisses d’Epargne aux risques, à la conformité et à la sécurité |
|
•
Membres du conseil de BPCE SA |
•
Formations sur les risques/conformité/sécurité informatique |
|
Communication |
•
L’heure R&C risques et conformité |
•
À destination des directions Risques et Conformité des établissements du Groupe et des collaborateurs de BPCE SA (live + replay) les thèmes : Bâle IV, les crypto-actifs (impacts en termes de gestion des risques et compliance), les risques ESG (vue d’ensemble, publications Pilier III et enjeux de Place), les marchés immobiliers, l’actualité économique, retour d’expérience sur les stress tests climatiques. |
•
Cahier de vacances réglementaire |
•
Décryptage de sujets réglementaires (perspectives réglementaires, réponse des régulateurs et superviseurs sur le Covid-19, etc.) |
|
•
Communication réglementaire |
•
Coordination des chapitres risques et conformité pour les rapports réglementaires (document d’enregistrement universel, Pilier III, rapport annuel du contrôle interne, ICAAP) |
|
Échange de bonnes pratiques |
•
Partage de bonnes pratiques et regards croisés entre entités opérationnelles et fonctions de contrôle |
•
Animation de la filière des directeurs des Engagements des BP, CE et des filiales |
•
Expertise risques auprès des filières commerciales des établissements (comité de nouveaux produits, mise en œuvre et actualisation des processus commerciaux) |
||
•
Partage des bonnes pratiques par la mise en commun de dispositifs locaux de gestion des risques |
||
Mesure du niveau de culture risque et conformité |
•
Auto-évaluation du niveau de culture risques et conformité : dispositif EVAL R&C |
•
139 questions sur la culture risque et conformité, fondé sur les recommandations du Financial Stability Board 2014, Agence Française Anticorruption 2017 et les guidelines European Banking Authority 2021 permettant un self-assessment et la mise en place de plans d’action |
La macro-cartographie des risques a un rôle central dans le dispositif global de gestion des risques d’un établissement : grâce à l’identification et à la cotation de ses risques, via notamment l’évaluation du dispositif de maîtrise des risques, chaque établissement du Groupe dispose de son profil de risque et de ses risques prioritaires. Cette approche par les risques sert à actualiser chaque année l’appétit au risque et les plans de contrôle permanent et périodique des établissements.
Des plans d’action ciblés sur les risques prioritaires sont mis en place dans un but de réduction et/ou contrôle des risques.
Les résultats de la macro-cartographie des risques contribuent à l’exercice du SREP (Supervisory Review and Evaluation Process) du groupe, en identifiant les principaux risques en approche gestion des risques et prudentielle et alimentent notamment le rapport annuel de contrôle interne, le rapport ICAAP (Internal Capital Adequacy Assessment Process) ainsi que le document d’enregistrement universel pour le chapitre facteurs de risques.
En 2022, comme les précédentes années, une consolidation des macro-cartographies a été effectuée pour chacun des réseaux. Chaque établissement dispose de la comparaison de sa macro-cartographie avec celle de son réseau. Une consolidation des plans d’action mis en place par les établissements sur leurs risques prioritaires a également été produite.
La macro-cartographie des risques est intégrée dans l’outil de gestion des contrôles permanents Priscop, ce qui permet d’automatiser les liens risques – contrôles dans le dispositif de maitrise des risques.
Une macro-cartographie des risques au niveau groupe a été établie en 2022 grâce à la consolidation de l’ensemble des macro-cartographies des établissements maisons mères et des filiales.
Enfin, le département Gouvernance et contrôle risques prend en charge la validation des modèles du groupe hors Natixis et le Secrétariat général (ressources humaines et budget) de la direction des Risques groupe.
Au-delà du suivi des risques individuels et par typologie de risques, la direction des Risques du Groupe BPCE (DRG) assure également la surveillance consolidée des risques du groupe. Un tableau de bord des risques du groupe est produit trimestriellement. Il contient notamment un suivi de l’appétit au risque défini par le groupe ainsi qu’une surveillance globale des risques reposant sur une analyse du profil de risque du groupe par domaine (cartographie des encours pondérés, des risques de crédit et de contrepartie – par segment de clientèle –, des risques de marché, des risques structurels de bilan, des risques non financiers et des risques liés aux activités d’assurance). Ce tableau de bord est enrichi d’un flash mensuel permettant de disposer, de façon plus réactive d’une vision actualisée des principaux risques du groupe.
La direction des Risques Groupe mène ou coordonne également des analyses transversales des risques et des stress tests spécifiques sur les principaux portefeuilles ou activités du Groupe et, au besoin, au niveau d’entités. Elle a également développé un dispositif semestriel d’analyses prospectives des risques visant à identifier les facteurs économiques de risques (avérés et émergents, internationaux, nationaux et régionaux), les menaces des environnements (réglementation, etc.) et leurs impacts potentiels pour le groupe. Ces analyses prospectives sont présentées en comité des risques du conseil de surveillance du groupe.
De plus, elle réalise des mesures du risque sur des bases de portefeuille. Elle revoit et valide les modèles de risque développés en interne. Enfin, elle contribue aux travaux de définition du besoin interne de capital ainsi qu’aux exercices de stress tests internes ou externes de solvabilité dont l’objectif est de mesurer la sensibilité du groupe à un ensemble de facteurs de risques et sa résilience à un choc sévère, en produisant les impacts en coût du risque et en RWA.
Le Groupe BPCE a développé depuis 2011 un dispositif de stress tests pouvant être réalisés par modules de risques pour répondre aux besoins d’analyse stratégique du groupe et aux besoins réglementaires.
Ces exercices de stress tests sont de deux types : •
stress test internes (y.c. reverse stress tests) ; •
stress test réglementaires (notamment le stress test EBA de 2021 dont la publication a eu lieu le 30 juillet 2021).
La gouvernance des stress tests du Groupe est fondée sur une approche globale couvrant toutes les entités du Groupe tenant compte de leurs caractéristiques spécifiques et couvrant les risques ci-dessous : •
risques de crédit : variation du coût du risque et des risques pondérés ; •
portefeuille de titrisation et risque de contrepartie : variation des dépréciations et des risques pondérés ; •
risques de marché : chocs des marchés, variation des portefeuilles titres et des risques pondérés ; •
risques opérationnels ; •
risques assurance.
Les risques associés aux expositions souveraines sont traités en fonction de leur classification comptable dans le risque de marché ou le risque de crédit.
|
|
Les méthodologies utilisées pour réaliser les projections reposent sur : •
la méthodologie prescrite par la BCE et l’EBA pour les stress tests réglementaires ; •
des méthodologies internes adaptées au business model du Groupe, dans le cadre de l’exercice budgétaire et de la gestion des risques.
Lors de ces stress tests, plusieurs scénarios sont testés afin d’évaluer l’ensemble des impacts : |
|
Scénario baseline |
Scénario central correspondant au scénario budgétaire |
||
Scénarios adverses ICAAP |
Scénarios à la fois sévères et plausibles permettant de fournir une information pertinente sur les risques et la capacité de résisitance dans le cadre de l'ICAAP. |
||
Scénarios adverses PPR |
Scénarios utilisés dans le cadre du Plan Préventif de Rétablissement afin d'évaluer la capacité de rétablissement du Groupe. |
||
Scénarios reverses |
Scénarios réalisés en amont des scénarios de stress afin d'estimer ex ante la sévérité requise pour l'ICAAP et le PPR. |
||
Pour chacune des typologies de risques, des modélisations sont utilisées pour déterminer les impacts des scénarios sur les différentes lignes du compte de résultat et des exigences en fonds propres. |
|||