DOCUMENT D’ENREGISTREMENT UNIVERSEL 2021

FACTEURS DE RISQUES, GESTION DES RISQUES ET PILIER III Gestion des risques

Elle mène ses travaux sous la forme de missions d’audit dans l’ensemble du périmètre de Natixis (Natixis S.A., filiales et succursales), sur toutes les classes de risques qu’engendrent les différents métiers exercés, sans qu’il puisse lui être opposé de domaine réservé ni de secret professionnel. Son champ d’investigation englobe l’ensemble des activités opérationnelles de Natixis, ses filières fonctionnelles– dont, notamment, les entités en charge d’une mission de contrôle permanent – et ses activités externalisées. Sur l’ensemble des lignes métiers, ses interventions conduisent à une appréciation de l’adéquation des points de contrôle existants dans les processus audités ainsi qu’à une évaluation des risques engendrés par les activités concernées. Elle s’appuie sur les travaux menés en la matière de façon récurrente par les services opérationnels et les fonctions de contrôle permanent de deuxième niveau. Ces missions débouchent sur des recommandations hiérarchisées par ordre de priorité et propres à renforcer la complétude et la robustesse des dispositifs de contrôle ou de maîtrise des risques audités. Les rapports de mission sont transmis au président du directoire et à l’Inspectiongénérale de BPCE, au président du comité des risques et à la Direction générale de Natixis, ainsi qu’aux unités auditées. L’Inspection générale assure un suivi régulier de la mise en œuvre des recommandations qui est présenté au comité de direction générale de Natixis, au comité des risques et au conseil d’administrationvia le président du comité des risques. Elle mène à ce titre des diligences et missions de suivi. Les interventions de l’Inspection générale découlent d’un programme d’audit annuel élaboré et réalisé conjointement avec l’Inspection générale de BPCE, après consultation des différents membres du comité de direction générale. Les avis de la présidente du comité d’audit et du président du comité des risques sont également recueillis. Ce programme annuel s’inscrit dans le cadre d’un plan pluriannuel qui est passé de quatre à cinq années à la suite de la publicationde l’arrêté du 3 novembremodifié, définissant des périodicités d’intervention et un calibrage des moyens adapté aux risques ainsi qu’aux exigences de récurrence réglementaire. Le plan d’audit peut faire l’objet de révisions en cours d’année, à la demande de la Direction générale ou si les circonstances l’exigent (actualité, détérioration de l’environnement ou émergence de nouveaux risques par exemple). L’Inspection générale dispose par ailleurs de moyens pour mener, outre ses missions d’audit traditionnelles,des enquêtesponctuellesdestinéesà répondreà des besoins survenus en cours d’année, et non initialement prévus dans le plan d’audit. Les plans d’audit annuel et pluriannuel de Natixis sont approuvés par le directeur général de Natixis. Le plan d’audit annuel est examiné par les comités des risques de Natixis et de BPCE et approuvé par le conseil d’administration de Natixis. En 2021, l’Inspection générale a diligenté des missions sur l’ensemble des classes de risques engendrés par les activités de Natixis, tout en continuant à renforcer les moyens consacrés à la maîtrise des risques liés aux activités de marché et à l’utilisationdes modèles, ainsi qu’en maintenant une vigilance constante sur le contrôle des risques de crédit potentiellement engendrés par la crise sanitaire. Par ailleurs, plusieurs projets et chantiers spécialisés ont mobilisé l’ensemble du personnel de l’Inspection générale, et ce dans l’ensemble de sa filière. Le contrôle de la qualité des travaux d’audit et de la mise en œuvre des recommandationsa été renforcé et l’utilisation des techniques d’analyses de données a été étendue dans l’identification des risques (avec un nouvel outil de risk assessment) et dans le déroulement des missions d’inspection. Enfin de nombreux travaux et missions ont été menés en coordination avec l’Inspection générale de BPCE. Les deux inspections générales ont ainsi tenu à cet effet huit réunions en 2021 qui ont permis de traiter les questions relatives aux plans et pratiques d’audit ainsi que les thèmes relevant de l’évaluation des risques et de la cotation des missions (comité de coordination des inspections générales – CCIG).

Le contrôle permanent

3.2.1.4

de second niveau Le contrôle permanent de second niveau est exercé par quatre directions indépendantes vis-à-vis des opérationnelosu fonctionnels. La direction de la Compliance est chargée de la réalisation de contrôles permanents en lien avec les risques de non-conformité, notamment autour des axes suivants : Protection de la clientèle, Déontologie et Éthique professionnelle,Abus de marché et Sécurité financière. Outre les risques de non-conformité,la filière effectue les contrôles permanents de second niveau sur certains risques opérationnels.Par ailleurs, la direction de la Compliancesuit la mise en œuvre par les métiers opérationnels et les fonctions supports des mesures correctrices préconisées (pour de plus amples détails sur les risques de non-conformité, cf. section 3.2.8) . Les principales actions du département Global Technology Risks Management (G-TRM), portent sur la définition et le contrôle du cadre normatif en matière de risques informatiques. À ce titre, ce département définit les politiques et règles, en assure le contrôle de second niveau et pilote l’évaluation et le traitement des risques associés. Le plan de contrôle de second niveau est constitué d’une partie commune au Groupe BPCE complété par une partie plus spécifique à Natixis. Il résulte d’une approche par les risques. Ces contrôles sont exercés à partir de contrôles de premier niveau remontés par les contributeurs (direction Data & Technology, correspondant sécurité logique pour les habilitations, responsable local du plan de continuité d’activité) (pour de plus amples détails sur les risques technologiques, cf. section 3.2.9) . La direction des Risques exerce ses missions de contrôle sur les risques de crédit et de contrepartie, les risques de marché, les risques structurels de bilan, les risques opérationnels et les risques de modèle. Les risques spécifiques liés aux activités Assurances et de Gestion d’actifs rentrent également dans le cadre de ses missions et son périmètre d’action s’étend à toutes les entités entrant dans le périmètre de consolidation de Natixis (pour de plus amples détails, cf. section 3.2) . Le service de contrôle permanent financier de la Direction financière est rattaché fonctionnellement à la direction de la compliance. Ce service participe à la fiabilisation de l’information comptable et financière, à travers la mise en œuvre de dispositifsde contrôle couvrant la comptabilité, les déclarations fiscales et les reportings essentiels produits par la direction Finance qui recouvrent notamment l’ensemble des reporting requis par le régulateur (cf. 3.2.2 – Procédures de contrôle interne relatives à l’information comptable et financière). 3.2.1.5 Le troisième niveau de contrôle – fonction d’audit interne – au sens de l’arrêté du 3 novembre 2014 révisé est assumé par l’Inspection générale. À ce titre, celle-ci est indépendante de l’ensemble des entités opérationnelles et fonctionnellesde Natixis et n’est investied’aucune mission opérationnelle. Elle ne peut en conséquence se trouver en situation de conflit d’intérêts. Elle est rattachée au directeur général de Natixis et au président du comité des risques du conseil d’administration.L’inspecteur général de Natixis, responsable de la fonction d’audit interne, est invité permanent aux comités d’audit et des risques de Natixis. Il a la possibilité de s’entretenir directement avec le présidentdu comitédes risques. Un lien fonctionnelfort l’unit à l’Inspectiongénéralede BPCE, conformémentà la charte de l’audit de Natixis. En accord avec ces mêmes principes, l’Inspection générale anime chez Natixis une filière mondiale de l’audit et s’intègre à la filière Audit interne du Groupe BPCE. L’Inspectiongénérale rend compte de l’ensemble de ses activités et travaux au comité des risques qui en présente une synthèse au conseil d’administration. Le contrôle périodique

3

113

www.natixis.com

NATIXIS DOCUMENT D’ENREGISTREMENT UNIVERSEL 2021