NATIXIS_PILLIER-III_2017

10 RISQUE OPÉRATIONNEL Objectifs et politique

Objectifs et politique 10.1

Dans le cadre de la définition de son appétit au risque et conformémentà l’arrêté du 3 novembre 2014, Natixis a fixé sa politique de tolérance au risque opérationnelvisant à limiter les pertes liées aux risques opérationnels et à s’assurer que les actions de réduction des risques font l’objet d’un suivi régulier. Cette politique décrit la gouvernancemise en place, le dispositif d’encadrementquantitatifet qualitatifainsi que le suivi effectué. Elle définit six indicateurs relatifs à son encadrement, parmi lesquels : quatre indicateurs quantitatifs : un indicateur historique a mesurant le coût du risque, un indicateur prospectifmesurant

l’exposition au risque, un indicateur unitaire identifiant la survenance d’incident majeur à signifier au régulateur et un indicateur de maîtrise des risques opérationnels mesurant l’avancementdes actionscorrectrices ; un indicateurqualitatifportantsur la conformitédu dispositif ; a un nouvel indicateurdédié au risquecyber. a Le dispositif de gestion des risques opérationnels identifie, mesure, surveille et contrôle le niveau des risques opérationnels sur l’ensemble des métiers et fonctions support de Natixis, en Franceet à l’international.

Organisation 10.2

La filière des Risques opérationnels(RO) est en charge du suivi et de la gestiondes risquesinduitspar une défaillanceattribuable aux process opérationnels,au personnel,aux systèmes internes ou résultantd’événementsextérieurs. Ses missions,décrites dans les politiqueset procéduresrisques opérationnelsvalidéespar le comitédes risquesopérationnelsde Natixisportentsur : la collectedes incidentsauprès d’un réseau de correspondants a déployésdans tous les métierset fonctionssupport ; l’investigation sur les incidents graves avec processus a d’escalade ; la cartographie des risques potentiels, tant qualitative que a quantitative ; les liens avec les autresfonctionsde contrôle ; a la mise en place d’indicateurs clés de risque et de variables a d’environnementà caractèreprédictif. Le dispositifest piloté par le comitédes risquesopérationnelsde Natixis, organe spécialisé veillant à déterminer la politique des risquesopérationnels,à suivre l’expositionde Natixis et à arbitrer les décisions de couverture et de réduction. Il constitue l’extensionopérationnellede l’organeexécutifet disposecomme tel de l’ensemblede son pouvoir de décision pour les questions relevant de son champ d’application. Ce comité trimestriel, auquel participe la Compliance, le métier SSI-CA et l’Inspection générale,est présidépar le directeurgénéralou son suppléantle directeur des Risques, le responsable du département des Risques opérationnels en assurant le secrétariat. Pour la filière RO, outre le directeur du Département, les membres permanents sont les responsables RO des pôles ainsi que le responsabledonnées& méthodes. Les comités risques opérationnels des métiers et fonctions support sont une déclinaison du comité des risques opérationnelsde Natixis encadrant au plus près l’expositionaux risques opérationnels de chaque périmètre. Organisés selon la matricede la gouvernancede la filière (géographiqueet métiers), ces comités sont présidés par le directeur du Métier avec la participation de la Compliance et animés par les Risques opérationnelsqui en assurentle secrétariat. La filière est structuréepour refléterà la fois l’organisation : des pôles sous la responsabilité des responsables risques a opérationnels ;

des implantations géographiques sous la responsabilité des a responsablesrisquesopérationnelsdes plateformesAmériques, EMEAet Asie-Pacifiquereportanthiérarchiquementau directeur des Risqueslocal et fonctionnellement au directeurdes Risques opérationnels ; des fonctions support et de contrôle sous la responsabilité a d’un responsable risques opérationnels couvrant, outre les activités de son périmètre, les risques globaux (perte de l’accessibilitéaux immeubles, aux systèmes d’informationou de la disponibilitédu personnel)auxquelsNatixisest exposée. Une soixantaine d’acteurs dédiés à la gestion des risques opérationnels (managers risques opérationnels) au sein de la filière s’attachent,sur les périmètresqui leur sont confiés (filiale, succursale, métier ou fonction support), à diffuser la culture du risque opérationnel,à faire remonter et analyser les incidents, à dresser la cartographie des risques, à proposer et suivre des actions correctives, à établir des reportings et à remonter l’information au management. Les analyses se font de façon transversale dès lors que les fonctions support ou de contrôle sont impliquées ou que les processus impactent plusieurs équipes(front,middleet back-office). Pour la gestion du dispositif,un systèmed’informationunique et global est déployé dans l’ensemble des entités, métiers et fonctions support de Natixis, en France et à l’international.Cet outil, disponibleen français et en anglais, héberge la totalité des composants du dispositif de pilotage des risques opérationnels (incidents, cartographie des risques potentiels quantifiés, dispositifsde maîtrise des risques, Key Risks Indicators,actions correctives, comitologie…). Des rapprochements avec les informationsissues d’autresfonctions(comptabilité,compliance, juridique, sécurité des systèmes d’information, qualité des données, assurance…) permettent d’assurer la fiabilité des informations saisies ou validées par les managers risques opérationnels. Le calcul des exigences en fonds propres pour le risque opérationnel est établi à partir de la méthode standard pour l’ensemble des pôles opérationnels de Natixis. Cependant, Natixis dispose d’une méthodologie interne lui permettant d’estimerglobalement,par métier, entité, zone géographique,ou sur certaines situations de risques majeurs, son niveau d’expositionau risque opérationnel.Elle s’appuiesur un calcul de VaR réalisé à partir de la cartographie des risques, prenant en compte les incidents avérés pour le backtesting ainsi que les pertesexternesconnues.

124

NATIXIS Rapport sur les risques Pilier III 2017