NATIXIS - Document de référence et rapport financier annuel 2018

3 FACTEURS DE RISQUES, GESTION DES RISQUES ET PILIER III Gestion des risques

La direction de la Compliance assure des contrôles permanents de second niveau autour notamment des axes suivants: Protection de la clientèle, Déontologie et Éthique professionnelle, Abus de marché et Sécurité financière. Au 31 décembre 2018, 3 715 évaluations de ces contrôles de second niveau ont été réalisées. (Pour une description de la Complianceet de SSI-CA,cf. section 3.2.8) En matière de Sécurité des systèmes d’information et de continuité d’activité (SSI-CA), les principales actions de la filière portent sur la définition et le contrôle du cadre normatif en matièrede sécurité (cf. section 3.2.8) . Le plan de contrôlede second niveau est constitué d’une partie commune au Groupe BPCE et d’une partie plus spécifique à Natixis. Il résulte d’une approchepar les risques.Ces contrôlessont exercésà partir de contrôles de premier niveau remontés par les contributeurs (direction des Systèmes d’information ou correspondant sécurité logique pour les habilitations). SSI-CA mène environ 6 000 actionsde contrôlesde secondniveauchaqueannée. La directiondes Risques exerce ses missions de contrôle sur les risques de crédit et de contrepartie,les risques de marché et de liquidité et de taux d’intérêt global, les risques opérationnelset les risques de modèle.Les risques spécifiques liés aux activités Assurance et de Gestion d’actifs rentrent également dans le cadre de ses missions et son périmètre d’action s’étend à toutes les entités entrant dans le périmètre de consolidation de Natixis. (Pour de plus amples détails, cf. section 3.2) Le servicede RévisionFinances de la directionComptabilitéet Ratios est rattaché fonctionnellement à la direction de la Compliance. Ce service participe à la fiabilisation de l’information comptable et financière, à travers la mise en œuvre de dispositifs de contrôle couvrant la comptabilité, les déclarations fiscales et les reportings réglementaires produits par la directionFinance. (Cf. chapitre 5section 5.5– Procédures de contrôle interne relatives à l’information comptable et financière) Le contrôle périodique 3.2.1.5 Le troisième niveau de contrôle – ou contrôle périodique – au sens de l’arrêté du 3 novembre 2014 est assumé par l’Inspectiongénérale. À ce titre, elle est indépendante de l’ensemble des entités opérationnelles et fonctionnelles de Natixis et n’est investie d’aucunemission opérationnelle.Elle ne peut en conséquence se trouveren situationde conflit d’intérêts.Elle est rattachéeau directeur général de Natixis. Un lien fonctionnel fort l’unit à l’Inspection générale de BPCE, conformément à la charte de l’audit de Natixis révisée en fin d’année 2018. En accord avec ces mêmes principes, l’Inspectiongénérale anime chez Natixis une filière mondiale de l’audit et s’intègre à la filière Audit internedu GroupeBPCE. Elle rend compte de l’ensemble de ses activités et travaux au comité des risques qui en présente une synthèse au conseil d’administration. L’Inspection générale mène ses travaux sous la forme de missions d’audit dans l’ensemble du périmètre de Natixis (Natixis S.A., filiales et succursales),sur toutes les classes de risques qu’engendrentles différentsmétiers exercés,sans qu’il puisse lui être opposé de domaine réservé ni de secret professionnel. Son champ d’investigation englobe l’ensemble des activités opérationnelles de Natixis, ses filières fonctionnelles– dont, notamment,les entités en charge d’une mission de contrôle permanent– et ses activités externalisées. Sur l’ensembledes lignesmétiers,ses interventionsconduisent à une appréciation de l’adéquation des points de contrôle existants dans les processus audités ainsi qu’à une évaluation des risques engendrés par les activités concernées. Elle

s’appuie sur les travaux menés en la matière de façon récurrente par les services opérationnels et les instances de contrôle permanent. Ces missions débouchent sur des recommandationshiérarchiséespar ordre de priorité et propres à renforcer la complétude et la robustesse des dispositifs de contrôleou de maîtrisedes risquesaudités. Les rapports de missions sont transmis à la présidence et à l’Inspection générale de BPCE, au président du comité des risques et à la Directiongénéralede Natixis, ainsi qu’aux unités auditées. L’Inspectiongénérale assure un suivi de la mise en œuvre des recommandations qui est présenté au comité de direction générale de Natixis, au comité des risques et au conseil d’administration via le président du comité des risques. Elle mène à ce titre des diligenceset missionsde suivi. Les interventions de l’Inspection générale découlent d’un programme d’audit annuel élaboré et réalisé conjointement avec l’Inspectiongénérale du Groupe BPCE, après consultation des différents membres du comité de direction générale. Celui-ci s’inscritdans le cadre d’un plan pluriannuelà quatre ans définissant des périodicités d’intervention et un calibrage des moyensadaptéaux risques. Le plan d’audit peut faire l’objet de révisions en cours d’année, à la demande de la Direction générale ou si les circonstances l’exigent. L’Inspectiongénérale dispose par ailleurs de moyens pour mener, outre ses missions d’audit traditionnelles, des enquêtes ponctuelles destinées à répondre à des besoins survenus en cours d’année, et non initialementprévus dans le plan d’audit. Les plans d’audit annuel et pluriannuel de Natixis sont approuvés par le directeur général de Natixis. Le plan d’audit annuel est examinépar les comitésdes risquesde Natixis et de BPCEet approuvépar le conseild’administrationde Natixis. En 2018, l’Inspection générale a diligenté des missions sur l’ensemble des classes de risques engendrés par les activités de Natixis, tout en maintenant une part significative de ses moyens à des enquêtes de nature réglementaire, en accompagnement des obligations nouvelles de Natixis (NouvelleDéfinitiondu Défaut, ICAAP), ainsi qu’à des missions menées dans les filiales de Natixis, en application des conventionsd’auditsignéesavec celles-ci. Par ailleurs, plusieurs projets et chantiers spécialisés ont mobilisé l’ensemble du personnel de l’Inspection générale en 2018. Peuventêtre cités plus particulièrement : des chantiers consécutifs à la revue indépendante en 2018 a par un consultant extérieur de l’autoévaluationde la qualité des travauxd’auditréaliséeen 2017 ; l’améliorationde la qualité des travaux d’Audit, par la mise en a œuvre de la plupart des préconisationsissues des missions de 2017 et 2018 et la poursuite des actions portant sur la réductiondes délais de sortie des rapportsd’audit ; le renforcementde l’organisationet des moyens de la filière a Audit interne de Natixis, par la mise en place d’une expertise en matière de « datascience » (recrutement d’un expert et sélectionet mise en œuvre sur toutes les missionsd’un outil spécialisé); l’intensification du pilotage général des travaux des neuf a équipes d’Audit à l’internationalet en filiales (formalisationet suivi de l’exécution des plans d’audit, compétences et dispositifde formationdes inspecteurs…); le renforcementdu dispositif de suivi des recommandations a avec la mise en place dans les plateformes et filiales d’un système d’alerte sur les recommandationsdont la mise en œuvre présente un retard significatif analogue à celui du Groupe ;

118

Natixis Document de référence 2018