Le présent Rapport est établi en application de l’article L. 225-37 du Code de commerce(1). Il présente de manière synthétique les procédures de contrôle interne du Groupe consolidé. Il ne prétend pas décrire de manière détaillée la situation de l’ensemble des activités et filiales du Groupe ni la mise en œuvre pratique des procédures. Le Président de chaque société anonyme, filiale française du Groupe qui fait appel public à l’épargne, est par ailleurs appelé à rédiger un rapport spécifique.
Compte tenu de l’ampleur et de la diversité des risques inhérents aux activités des établissements bancaires, le contrôle interne constitue un instrument essentiel de leur pilotage et de leur politique de maîtrise des risques. Il contribue ainsi fortement à la pérennité de leurs activités. Ce contrôle s’inscrit dans un cadre réglementaire très strict au plan national et fait l’objet de nombreux travaux au plan international (Comité de Bâle, Union européenne). Il concerne l’ensemble des acteurs du Groupe : il est d’abord du ressort des opérationnels, mais il implique également un certain nombre de Directions centrales, et au premier chef la Direction des risques, le Secrétariat général (notamment en charge de la Conformité), l’ensemble des Directions financières du Groupe, ainsi que la Direction du contrôle périodique. Ces entités ont toutes participé à l’élaboration du présent Rapport pour les parties qui les concernent. Il a été approuvé par le Conseil d’administration après examen par le Comité d’audit, de contrôle interne et des risques.
L’activité bancaire est soumise à différents types de risques
Compte tenu de la diversité et de l’évolution des activités du Groupe, la gestion des risques s’articule autour des principales catégories suivantes :
䡲 le risque de crédit(incluant le risque-pays) : risque de perte résultant de l’incapacité des clients du Groupe, d’émetteurs ou d’autres contreparties à faire face à leurs engagements financiers. Le risque de crédit inclut le risque de contrepartie afférent aux opérations de marché et aux activités de titrisation. De plus, le risque de crédit peut être aggravé par le risque de concentration, qui résulte d’une forte exposition
à un risque donné ou à une ou plusieurs contreparties, ou encore à un ou plusieurs groupes de contreparties homogènes ;
䡲 le risque de marché:risque de perte liées aux variations de prix des produits financiers, à la volatilité et aux corrélations entre ces risques. Ces variations peuvent notamment concerner les fluctuations des taux de change, des prix des obligations et de leurs taux d’intérêt, ainsi que des prix des titres et des matières premières, des dérivés et de tous autres actifs, tels que les actifs immobiliers ;
䡲 le risque structurel de taux et de change:risque de perte ou de dépréciations résiduelles sur les postes du bilan en cas de mouvement de taux d’intérêt ou de taux de change ; 䡲 le risque de liquidité: risque pour le Groupe de ne pas
disposer de liquidités suffisantes pour faire face à ses engagements au moment de leur exigibilité ;
䡲 les risques opérationnels (y compris les risques comptables et environnementaux): risque de perte ou de sanction du fait de défaillances des procédures et systèmes internes, d’erreurs humaines ou d’événements extérieurs ; 䡲 le risque de non conformité (y compris les risques
juridiques, fiscaux et de réputation): risque de sanction judiciaire, administrative ou disciplinaire, de perte financière significative ou d’atteinte à la réputation, qui naît du non-respect de dispositions réglementant l’activité du Groupe.
Les acteurs de la gestion et du contrôle des risques
䡵
L’organisation et les procédures de maîtrise des risques sont définies au plus haut niveau
La gouvernance de la maîtrise des risques du Groupe est assurée au travers de deux instances principales : le Conseil d’administration et la Direction générale.
Le Conseil d’administration, et plus particulièrement son Comité d’audit, de contrôle interne et des risques, procède régulièrement à une revue approfondie du dispositif de gestion, de prévention et d’évaluation des risques.
(1) La partie gouvernement d’entreprise de ce même rapport figure pages 85 à 92.
En premier lieu, leConseil d’administrationdéfinit la stratégie de la Société en assumant et contrôlant les risques et veille à son application. Le Conseil d’administration s’assure notamment de l’adéquation des infrastructures de gestion des risques du Groupe, contrôle l’exposition globale de ses activités au risque et approuve les limites de risque pour les risques de marché. La Direction générale présente au moins une fois par an au Conseil d’administration (plus souvent si les circonstances l’exigent) les principaux aspects et les grandes évolutions de la stratégie de gestion des risques du Groupe.
Au sein du Conseil d’administration, le Comité d’audit, de contrôle interne et des risques est plus particulièrement chargé d’examiner la cohérence du cadre interne de suivi des risques et leur conformité avec ce cadre ainsi qu’avec les lois et réglementations en vigueur.
LE ROLE DU COMITE D’AUDIT, DE CONTROLE INTERNE ET DES RISQUES DU CONSEIL D’ADMINISTRATION(1)
Ce Comité a pour mission de porter une appréciation sur la qualité du contrôle interne, notamment la cohérence des systèmes de mesure, de surveillance et de maîtrise des risques, et de proposer, en tant que de besoin, des actions complémentaires.
A cette fin, le Comité, notamment :
䡲 examine le programme de contrôle périodique du Groupe et le Rapport annuel sur le contrôle interne établi en application de la réglementation bancaire, et donne son avis sur l’organisation et le fonctionnement des services de contrôle interne ;
䡲 examine les lettres de suite adressées par l’Autorité de contrôle prudentiel et émet un avis sur les projets de réponse à ces lettres ;
䡲 examine les procédures de contrôle des risques de marché et du risque structurel de taux d’intérêt et est consulté pour la fixation des limites de risques ;
䡲 examine la politique de maîtrise des risques et de suivi des engagements hors-bilan.
Il peut entendre, dans les conditions qu’il détermine, les mandataires sociaux, les Commissaires aux comptes ainsi que les cadres responsables de l’établissement des comptes, du contrôle interne, du contrôle des risques, du contrôle de conformité et du contrôle périodique.
Le Comité établit un Rapport annuel d’activité. Celui-ci est inséré dans le Rapport du Président sur le gouvernement d’entreprise présenté séparément en page 89 du présent Document de référence.
Présidés par la Direction générale, trois comités spécialisés du Comité exécutif du Groupe assurent le pilotage central du contrôle interne et des risques :
䡲 le Comité des risques qui se réunit au moins une fois par mois pour traiter des grandes orientations en matière de risques du Groupe, notamment de l’encadrement des différents risques (risques de crédit, risques pays, de marché et opérationnels) et de l’architecture et la mise en œuvre du dispositif de suivi de ces risques. Dans le prolongement du Comité des risques, le Comité « grands risques » se consacre à la revue des expositions individuelles importantes ;
䡲 le Comité financier qui, dans le cadre du pilotage de la politique financière du Groupe, valide le dispositif de suivi, de gestion et d’encadrement des risques structurels et revoit les évolutions des risques structurels du Groupe au travers desreportingsconsolidés par la Direction financière ; 䡲 leComité de coordination du contrôle interne(CCCI) qui
pilote la cohérence et l’efficacité de l’ensemble du dispositif de contrôle interne.
䡵
Sous l’autorité de la Direction générale, les Directions centrales du Groupe,
indépendantes des Directions opérationnelles, sont dédiées à la gestion et au contrôle
interne des risques
Elles adressent au Comité exécutif du Groupe toutes les informations nécessaires à l’exercice de sa responsabilité consistant à assurer, sous l’autorité du Directeur général, le pilotage stratégique du Groupe.
A l’exception des Directions financières des pôles d’activités, ces directions rapportent directement à la Direction générale du Groupe ou au Secrétariat général (lui-même sous la responsabilité directe de la Direction générale), Responsable de la Conformité du Groupe.
䡲 La Direction des risques, qui a pour mission de contribuer au développement et à la rentabilité du Groupe en garantissant que le dispositif de contrôle des risques en place est adéquat et efficace, et en surveillant les opérations menées au sein du Groupe.
Dans ce cadre, la Direction des risques :
Š assure la supervision hiérarchique ou fonctionnelle de la filière Risques du Groupe ; à ce titre, le Directeur des risques est responsable de la filière « risques » du Groupe au sens du règlement 97-02 modifié par arrêté du 19 janvier 2010,
Š recense l’ensemble des risques du Groupe,
(1) Le règlement intérieur du Conseil d’administration est disponible dans le Document de référence page 425.
Š met en œuvre le dispositif de pilotage et de suivi de ces risques, y compris transversaux, et reporte régulièrement sur leur nature et leur ampleur à la Direction générale, au Conseil d’administration et aux autorités de supervision bancaire,
Š contribue à la définition des politiques de risque en tenant compte des objectifs des métiers et des enjeux de risques correspondants,
Š définit ou valide les méthodes et les procédures d’analyse, de mesure, d’approbation et de suivi des risques,
Š valide les opérations et limites proposées par les responsables métiers,
Š définit le système d’information de suivi des risques, s’assure de son adéquation avec les besoins des métiers et de sa cohérence avec le système d’information Groupe.
䡲 La Direction financière du Groupe, qui, au-delà de ses responsabilités de gestion financière, se voit conférer de larges missions de contrôle comptable et financier (risque structurel de taux, de change et de liquidité) ; à ce titre, le département de gestion du bilan au sein de la Direction financière du Groupe est en charge :
Š du recensement des risques structurels (risques de taux, de change, de liquidité) du Groupe,
Š de la définition des méthodes et des procédures d’analyse, de mesure et de suivi des risques,
Š de la proposition des limites de risque,
Š de la validation des modèles et méthodes utilisés par les entités,
Š de la consolidation et dureportingdes risques structurels.
䡲 Les Directions financières des pôles, rattachées hiérarchiquement aux responsables de pôles d’activités et fonctionnellement à la Direction financière du Groupe, qui veillent au bon déroulement des arrêtés locaux ainsi qu’à la qualité de l’information contenue dans les reportings de consolidation transmis au Groupe ;
䡲 La Direction de la conformité du Groupe, rattachée au Secrétaire général, Responsable de la Conformité, qui veille au respect des lois, règlements et principes déontologiques spécifiques aux activités bancaires et aux services d’investissement ;
䡲 La Direction juridique du Groupe, rattachée au Secrétaire général, qui veille à la sécurité et à la conformité juridique des activités du Groupe, en liaison avec les services juridiques des filiales et succursales ;
䡲 La Direction fiscale du Groupe, rattachée au Secrétaire général, qui veille au respect des lois fiscales ;
䡲 La Direction des ressources du Groupe, qui est notamment en charge de la sécurité des systèmes d’information ;
䡲 La Direction du contrôle périodique du Groupequi, sous l’autorité de l’Inspecteur Général, est en charge de l’exercice du contrôle périodique.
La gestion des risques
LA FORMALISATION DE L’APPETIT AU RISQUE
Depuis 2009, la Direction des risques, conjointement avec la Direction financière, a mené une démarche coordonnée avec les métiers de formalisation de l’appétit au risque du Groupe. Cette démarche permet de mettre à disposition des instances dirigeantes du Groupe des outils de pilotage stratégique. Elle permet également aux instances dirigeantes de fixer des objectifs de pilotage sur la base de nouveaux indicateurs au niveau Groupe reflétant la solidité financière, la solvabilité, le levier et la liquidité, et qui serviront de cadre à la fixation des allocations de capital et de liquidité aux métiers ainsi que des limites par nature de risque.
Fondés sur l’évaluation de la sensibilité de la profitabilité des métiers du Groupe à desstress tests, ces travaux ont pour objectif de mesurer le couple « risque – rentabilité » des principales entités du Groupe dans une logique d’allocation du capital. Cette démarche est en cours d’intégration au sein du processus budgétaire conduit annuellement. Elle conduira le Conseil d’administration à valider formellement des seuils de tolérance au niveau du Groupe déterminés par rapport aux indicateurs ci-dessus.
䡵
La gestion et l’évaluation des risques
RISQUE DE CREDIT :
La surveillance des risques de crédit du Groupe est organisée par pôles (Réseaux France / Réseaux Internationaux / Banque de Financement et d’Investissement / Services Financiers Spécialisés et Assurances / Banque Privée, Gestion d’Actifs et Services aux Investisseurs) et complétée par des départements ayant une approche plus transversale (suivi du risque pays, du risque sur institutions financières). Le risque de contrepartie sur opérations de marché est rattaché aux risques de marché.
Leurs principales missions sont :
䡲 de fixer des limites de crédit globales et individuelles par client, catégorie de client ou type de transaction ;
䡲 d’autoriser les dossiers des opérations soumises par les Directions commerciales ;
䡲 de valider les notes de crédit ou les critères internes de notation des clients ;
䡲 d’assurer le suivi et la surveillance des expositions de montant unitaire élevé et de divers portefeuilles de crédit spécifiques ;
䡲 de contrôler les politiques de provisionnement spécifiques et collectives.
RISQUES DE MARCHE :
Le Département des risques de marché assure la supervision indépendante des activités de marché du Groupe. Ses principales missions sont :
䡲 d’instruire les demandes de limites dans le cadre des autorisations globales du Conseil d’administration et de la Direction générale ;
䡲 de suivre les positions et les risques de marché ;
䡲 de définir les méthodologies et outils de mesure (VaR,stress tests, sensibilité, etc.) ;
䡲 de valider les modèles d’évaluation des front offices, de vérifier les paramètres de marché, de déterminer les réserves.
RISQUES OPERATIONNELS :
Le Département des risques opérationnels a pour mission d’assurer le suivi transversal de ces risques au sein du Groupe, de coordonner leur pilotage et d’en assurer lereportingpour la Direction générale, le Conseil d’administration et les autorités de supervision bancaire. Il veille également à renforcer la cohérence et l’intégrité du dispositif. Des procédures et des outils ont été déployés au sein du Groupe afin d’identifier, d’évaluer (quantitativement et qualitativement) et de piloter les risques opérationnels :
䡲 l’auto-évaluation des risques et des contrôles, qui a pour but d’identifier et mesurer l’exposition du Groupe aux différentes catégories de risques opérationnels afin d’établir une cartographie précise des niveaux de risques intrinsèques et résiduels, après prise en compte des dispositifs de prévention et de contrôle ;
䡲 des indicateurs clés de risque, pour alerter en amont sur les risques de pertes opérationnelles ;
䡲 des analyses descenarii, qui consistent à estimer les pertes potentielles de faible fréquence mais à forte sévérité, auxquelles le Groupe pourrait être exposé ;
䡲 la collecte et l’analyse des pertes internes et des pertes subies dans l’industrie bancaire à la suite de la matérialisation de risques opérationnels ;
䡲 un suivi des plans d’action majeurs au sein du Groupe, mis en œuvre en 2010 et s’appuyant sur le déploiement d’un nouvel outil informatique.
La fonction Plans de Continuité (PCA) est rattachée au Département des risques opérationnels. Elle s’attache à l’amélioration, notamment au moyen de tests réguliers, des dispositifs de continuité d’activité au sein du Groupe.
Une fonction Gestion de Crise, distincte de la fonction PCA, renforce la prise en compte de cet aspect spécifique au sein du Groupe et le déploiement de dispositifs et d’outils adéquats.
RISQUE ET POLITIQUE DE REMUNERATION
Depuis l’introduction de règles sur les rémunérations variables, une gouvernance spécifique a été mise en place pour la détermination des rémunérations des professionnels des marchés financiers. Ces règles s’appliquent désormais aussi aux autres personnes dont l’activité est susceptible d’avoir une incidence significative sur le profil de risque des établissements qui les emploient, y compris celles exerçant des fonctions de contrôle.
Selon les principes approuvés par le Conseil d’administration sur proposition du Comité des rémunérations, les mécanismes et processus de rémunération de la population identifiée intègrent non seulement le résultat financier des opérations qu’ils réalisent, mais également le respect des politiques de risque et de conformité. Les salariés des fonctions de contrôle pour leur part sont rémunérés de manière indépendante des résultats des opérations qu’ils contrôlent et en fonction de critères propres à leur activité.
La Direction des risques et la Direction de la conformité sont consultées pour la définition et la mise en œuvre de cette politique.
RISQUES STRUCTURELS :
Le Département de la gestion du bilan au sein de la Direction financière du Groupe est chargé d’une mission générale de maîtrise des risques structurels de taux, change et liquidité au niveau du Groupe. Cette responsabilité recouvre :
䡲 la supervision de l’ensemble de la chaîne desreportingsdes risques structurels et des contrôles associés afin de s’assurer des limites au niveau du Groupe ;
䡲 l’instruction et la notification des limites aux entités, telles qu’arrêtées par la Direction générale ;
䡲 la formalisation et la diffusion des règles et procédures de gestion et d’évaluation des risques ;
䡲 la validation des modèles et conventions de traitement des produits de bilan.
Chaque entité assure le contrôle de premier niveau des risques structurels ; elle a pour mission d’effectuer la mesure périodique des risques encourus, lereportingrisque, d’élaborer les propositions de couverture et la mise en œuvre des décisions prises. Chaque entité est responsable du respect des normes du Groupe et des limites qui lui ont été assignées.
Les Directions financières des pôles de supervision doivent s’assurer du bon respect de ces principes au sein de chacune des entités du périmètre qu’elles contrôlent.
Pour la supervision des risques structurels, le Comité financier, organe de Direction générale, s’appuie sur la Direction financière du Groupe.
RISQUES LIES AUX NOUVEAUX PRODUITS ET NOUVELLES ACTIVITES :
Il est de la responsabilité de chaque Direction de soumettre tout nouveau produit, métier ou activité à uneprocédure Nouveau Produit. Ces procédures Nouveau Produit, co-pilotées avec la Direction des risques, ont pour mission de s’assurer qu’avant tout lancement :
䡲 tous les types de risques induits ont été identifiés, compris et correctement traités et que, de ce fait, les développements futurs s’effectueront avec un maximum d’efficacité et de maîtrise ;
䡲 la conformité a été appréciée au regard des lois et règlements en vigueur, des règles de bonne conduite professionnelle et des risques d’atteinte à l’image et à la réputation du Groupe ;
䡲 toutes les fonctions supports ont été mobilisées et n’ont pas, ou plus, de réserve non satisfaite.
Cette procédure s’appuie sur une définition très large du nouveau produit, qui s’étend de la création d’un produit inédit à l’externalisation de prestations essentielles ou importantes, en passant par l’adaptation d’un produit existant à un nouvel environnement ou le transfert d’activités impliquant de nouvelles équipes ou de nouveaux systèmes.
RISQUES LIES AUX ACQUISITIONS :
L’évaluation des projets d’acquisition se fonde sur leur potentiel de création de valeur pour le Groupe. Dans ce cadre doivent être examinés et approfondis, conformément aux règles du Groupe :
䡲 l’étude des différents risques inhérents au projet ; 䡲 la fiabilité des données comptables et de gestion ; 䡲 les procédures de contrôle interne ;
䡲 la fiabilité de la situation financière ;
䡲 le réalisme des perspectives de développement, tant en termes de croissance du résultat que de synergies de revenus ou de coûts ;
䡲 des conditions d’intégration et de suivi de cette intégration.
Cette évaluation préalable est conduite par les métiers et implique l’ensemble des spécialistes nécessaires (représentants des lignes-métiers, de la Direction des risques, de la Direction financière comptable, de la Direction de la déontologie, de la Direction juridique, etc.). Pour les dossiers les plus importants, l’Inspection générale est associée aux travaux d’évaluation des risques de l’opération dans la phase dedue diligence.
Sur la base de cette analyse, le projet est soumis à l’approbation de la Direction financière du Groupe et de la Direction de la stratégie et, pour les acquisitions significatives, du Comité exécutif du Groupe. Les projets les plus importants requièrent l’accord préalable du Conseil d’administration et de la Direction générale.
Une fois acquise, l’entité est intégrée au pôle d’activités concerné du Groupe. Un diagnostic est fait de l’état du contrôle interne, en particulier en matière de risques, d’informations comptables et financières et, en fonction du type d’activité de l’entité, des procédures déontologiques. Des mesures sont ensuite prises afin d’amener l’entité acquise le plus rapidement possible aux normes du Groupe.
En outre, le Comité d’audit, de contrôle interne et des risques du Groupe assure un suivi des acquisitions stratégiques, un bilan du plan d’affaires présenté au moment de l’acquisition étant réalisé deux ou trois ans plus tard.
䡵
Méthodologies et dispositif de quantification des risques
La méthode de notation IRBA (Advanced Internal Ratings Based Approach) et l’approche AMA (Advanced Measurement Approach) sont utilisées depuis début 2008 pour le calcul de l’exigence en fonds propres réglementaires respectivement au titre du risque de crédit et du risque opérationnel. Le dispositif de suivi des modèles de notation est opérationnel, conformément aux exigences Bâle 2. Ce dispositif fait l’objet d’une description détaillée dans le chapitre 9 du présent Document de référence.
Pour les risques de marché, le modèle de mesure des risques a été validé par l’Autorité de contrôle prudentiel sur la quasi-totalité des opérations concernées. Au cours des dernières années, le Groupe a conduit un important travail visant à améliorer le mode de calcul de la VaR.
Enfin, le Groupe conduit un projet afin de se préparer à l’évolution en cours de la réglementation sur la charge en capital au titre des portefeuilles de négociation.
Conformément aux exigences du Pilier II, le Groupe continue à renforcer son dispositif destress testsqui s’articule selon deux axes :
䡲 à un niveau agrégé, les stress globaux (stress tests macro-économiques – «stress tests ICAAP ») permettent d’obtenir une couverture complète du Groupe (risques de crédit, de marché et opérationnels pris simultanément) ; ils sont intégrés au processus budgétaire. Pour chaque scenario, des pertes sont estimées sur un horizon de trois ans, pour les risques de crédit, de marché et opérationnels puis présentées pour validation en Comité des risques ;
䡲 des stress tests spécifiques permettent de compléter à la demande l’analyse globale par une approche plus fine, suivant différents axes (secteur, filiale, produit, pays, etc).