NATIXIS_DOCUMENT_REFERENCE_2017

RISQUES ET ADÉQUATION DES FONDS PROPRES Organisation du dispositif de contrôle interne de Natixis

LE CONTRÔLE PERMANENT 3.2.4 DE SECOND NIVEAU

L’Inspection générale mène ses travaux sous la forme de missions d’audit dans l’ensemble du périmètre de Natixis (Natixis S.A., filiales et succursales), sur toutes les classes de risques qu’engendrent les différents métiers exercés, sans qu’il puisse lui être opposé de domaine réservé ni de secret professionnel. Son champ d’investigation englobe l’ensemble des activités opérationnelles de Natixis, ses filières fonctionnelles – dont, notamment, les entités en charge d’une mission de contrôle permanent – et ses activités externalisées. Sur l’ensemble des lignes métiers, ses interventions conduisent à une appréciation de l’adéquation des points de contrôle existants dans les processus audités ainsi qu’à une évaluation des risques engendrés par les activités concernées. Elle s’appuie sur les travaux menés en la matière de façon récurrente par les services opérationnels et les instances de contrôle permanent. Ces missions débouchent sur des recommandations hiérarchisées par ordre de priorité et propres à renforcer la complétude et la robustesse des dispositifs de contrôle ou de maîtrise des risques audités. Les rapports de missions sont transmis à la présidence et à la Direction générale de Natixis, ainsi qu’aux unités auditées et à l’Inspection générale de BPCE. L’Inspection générale assure un suivi de la mise en œuvre des recommandations qui est présenté à la Direction générale, au comité des risques et au conseil d’administration. Elle mène à ce titre des diligences et missions de suivi. Les interventions de l’Inspection générale découlent d’un programme d’audit annuel élaboré et réalisé conjointement avec l’Inspection générale du Groupe BPCE, après consultation du comité de direction générale. Celui-ci s’inscrit dans le cadre d’un plan pluriannuel à quatre ans définissant des périodicités d’intervention et un calibrage des moyens adapté aux risques. Le plan d’audit peut faire l’objet de révisions en cours d’année, à la demande de la Direction générale ou si les circonstances l’exigent. L’Inspection générale dispose par ailleurs de moyens pour mener, outre ses missions d’audit traditionnelles, des enquêtes ponctuelles destinées à répondre à des besoins survenus en cours d’année, et non initialement prévus dans le plan d’audit. Les plans d’audit annuel et pluriannuel de Natixis sont approuvés par le directeur général de Natixis. Le plan d’audit annuel est examiné par les comités des risques de Natixis et de BPCE. En 2017, l’Inspection générale a diligenté des missions sur l’ensemble des classes de risques engendrés par les activités de Natixis, tout en maintenant une part significative de ses moyens à des enquêtes de nature réglementaire, en accompagnement des obligations nouvelles de Natixis (modèles internes bâlois, réglementation américaine), ainsi qu’à des missions menées dans les filiales de Natixis, en application des conventions d’audit signées avec celles-ci. Par ailleurs, plusieurs projets et chantiers spécialisés ont mobilisé l’ensemble du personnel de l’Inspection générale en 2017. Peuvent être cités plus particulièrement : la réalisation d’une mission d’autoévaluation de la qualité des a travaux d’audit, en référence aux normes réglementaires (BCBS) et aux bonnes pratiques de place (IIA) ; le renforcement de l’organisation et des moyens de la filière a Audit interne de Natixis, avec l’amélioration de l’efficacité des processus de recrutement, l’accroissement de la mixité et une plus grande internationalisation ; l’approfondissement des relations courantes entre l’Inspection a générale, l’Inspection générale BPCE et les neuf équipes d’Audit à l’international et en filiales par l’intensification des échanges de ressources ;

Le contrôle permanent de second niveau est exercé par quatre directions indépendantes vis-à-vis des opérationnels ou fonctionnels. La direction de la Compliance assure des contrôles permanents de second niveau en matière de risques opérationnels autour notamment des axes suivants pour la non-conformité : Protection de la clientèle, Déontologie et Éthique professionnelle, Abus de marché et Sécurité financière. Au 31 décembre 2017, 4 162 évaluations de ces contrôles de second niveau ont été réalisées. (Pour une description de la Compliance et de SSI-CA, cf. section 3.10) En matière de Sécurité des systèmes d’information et de continuité d’activité (SSI-CA), les principales actions de la filière portent sur la définition et le contrôle du cadre normatif en matière de sécurité (cf. section 3.10.5) . Le plan de contrôle de second niveau est constitué d’une partie commune au Groupe BPCE et d’une partie plus spécifique à Natixis. Il résulte d’une approche par les risques. Ces contrôles sont exercés à partir de contrôles de premier niveau remontés par les contributeurs (direction des Systèmes d’information ou correspondant sécurité logique pour les habilitations). SSI-CA mène environ 6 000 actions de contrôles de second niveau chaque année. La direction des Risques exerce ses missions de contrôle sur les risques de crédit et de contrepartie, les risques de marché, les risques de liquidité et de taux d’intérêt global et les risques opérationnels. Les risques spécifiques liés aux activités Assurance et de Gestion d’actifs rentrent également dans le cadre de ses missions et son périmètre d’action s’étend à toutes les entités entrant dans le périmètre de consolidation de Natixis. (Pour de plus amples détails, se référer aux sections 3.5, 3.6, 3.8 et 3.9) Le service de Révision Finances de la direction Comptabilité et Ratios est rattaché fonctionnellement à la direction de la Compliance. Ce service participe à la fiabilisation de l’information comptable et financière, à travers la mise en œuvre de dispositifs de contrôle couvrant la comptabilité, les déclarations fiscales et les reportings réglementaires produits par la direction Finances. (cf. chapitre 5 section 5.5 – Procédures de contrôle interne relatives à l’information comptable et financière) Le troisième niveau de contrôle – ou contrôle périodique – au sens de l’arrêté du 3 novembre 2014 est assumé par l’Inspection générale. À ce titre, elle est indépendante de l’ensemble des entités opérationnelles et fonctionnelles de Natixis et n’est investie d’aucune mission opérationnelle. Elle ne peut en conséquence se trouver en situation de conflit d’intérêts. Elle est rattachée au directeur général de Natixis. Un lien fonctionnel fort l’unit à l’Inspection générale de BPCE, conformément à la charte de l’audit de Natixis révisée en 2017. En accord avec ces mêmes principes, l’Inspection générale anime chez Natixis une filière mondiale de l’audit et s’intègre à la filière Audit interne du Groupe BPCE. Elle rend compte de l’ensemble de ses activités et travaux au comité des risques qui en présente une synthèse au conseil d’administration. LE CONTRÔLE PÉRIODIQUE 3.2.5

3

111

Natixis Document de référence 2017