Marie-Agnès NICOLETRegulation Partners

Présidente fondatrice35, Boulevard Berthier 75017 Paris

marieagnes.nicolet@regulationpartners.com+33.6.58.84.77.40 / +33.1.46.22.65.34

Organisation du dispositif de maîtrise des risques

Conférence EIFR 18 décembre 2014

Préambule

• Ce guide apporte de nombreuses précisions sur :

L’organisation des fonctions risques, contrôles et conformité

La mise en place de cartographies des risques

La définition plus détaillée des risques à couvrir avec des exemples

• Contrepartie

• Liquidité

• Marché

• Opérationnel

• Non-conformité

Des exemples de cartographies des risques par portefeuille très appréciablespour les SGP (type de risque, source du risque, indicateurs de mesure…)

2

Préambule

• Positions- recommandations guide AMF:

La cartographie des risques :

• Position : Les SGP doivent évaluer périodiquement les niveaux de risquesauxquels sont exposés les placements collectifs et les portefeuilles gérés. Lacartographie des risques doit prendre en compte tous les processus de lasociété liés à l’activité de gestion collective ou individuelle et permettre demesurer la probabilité de survenance d’un facteur de risque en déterminantson caractère critique ou non au regard de sa probabilité de réalisation. Lacartographie des risques doit permettre d’engager ensuite, le cas échéant,toutes les actions correctrices nécessaires sur le dispositif de maîtrise desrisques existant et de fixer les priorités dans le cadre des contrôles à réaliser.

La fonction permanente de gestion des risques :

• Position : Lorsqu’une SGP n’établit pas une fonction permanente de gestiondes risques indépendante au plan hiérarchique et fonctionnel des unitésopérationnelles, elle doit le justifier auprès de l’AMF en indiquant dans sonprogramme d’activité les raisons qui l’amène à déroger à cette obligation.

3

Préambule

• Positions- recommandations guide AMF: Les moyens humains décidés à la fonction permanente de gestion des

risques:• Recommandation : Lorsque l’indépendance de la fonction permanente de

gestion des risques est requise, l’AMF recommande de confier cette fonctionà une personne différente de celle en charge de la fonction de conformité.Pour garantir l’indépendance et l’autorité de la fonction permanente degestion des risques, le responsable de la fonction devrait être directementrattaché à l’un des dirigeants responsables de la société afin que la directionparticipe à la définition et la mise en oeuvre du dispositif de gestion desrisques. Dans le cas d’un groupe, lorsqu’une SGP désigne en qualité deresponsable de la fonction permanente de gestion des risques une personnemise à disposition ou détachée par une autre entité du groupe, l’Autorité desmarchés financiers recommande que cette personne soit rattachéehiérarchiquement au dirigeant de la SGP dans le cadre de la mission qui luiest confiée au sein de la SGP.

• Position : Lorsque la fonction de conformité et la fonction permanente degestion des risques sont confiées à une même personne, la SGP doit s’assurerd’une part que la personne a l’expérience et les connaissances nécessairespour mener à bien les missions inhérentes aux deux fonctions et d’autre partqu’une fonction de contrôle périodique indépendante a été mise en placedans la société.

4

Préambule

• Positions- recommandations guide AMF: Gestion du risque de non conformité :

• Position : Les SGP réalisent périodiquement une cartographie du risque de non-conformité de l’établissement. Cette cartographie doit permettre de fixer lesobjectifs, les moyens et le programme de travail de la fonction de conformité. Leprogramme de travail et les moyens de la fonction de conformité doivent êtreréévalués régulièrement pour prendre en compte, le cas échéant, tout risqueémergent résultant du lancement d’une activité nouvelle par exemple.

Indépendance et autorité de la fonction conformité :• Recommandation : Pour garantir l’indépendance et l’autorité de la fonction de

conformité, le RCCI devrait être directement rattaché hiérarchiquement à l’un desdirigeants responsables de la SGP afin que la direction participe à la définition et lamise en oeuvre du dispositif de conformité et de contrôle interne. L’AMFrecommande de rattacher hiérarchiquement le RCCI, lorsque cela est possible, audirigeant qui n’exerce pas d’activités opérationnelles. L’AMF rappelle que laresponsabilité de s’assurer que la SGP respecte ses obligations professionnellesincombe à ses dirigeants. Lorsqu’une SGP désigne en qualité de RCCI, unepersonne mise à disposition ou détachée par une autre entité du groupe, l’Autoritédes marchés financiers recommande que cette personne soit rattachéehiérarchiquement au dirigeant de la SGP dans le cadre de la mission qui lui estconfiée au sein de la SGP et, le cas échéant fonctionnellement à la ligne métier dugroupe afin de bénéficier des pratiques et de l’expertise du groupe. 5

Préambule

• Positions- recommandations guide AMF:

Permanence de la fonction de conformité :

• Position : Les SGP doivent veiller à ce que la fonction de conformité s’acquitteen permanence de ses missions et de ses responsabilités, elle doit prendretoutes les dispositions nécessaires pour s’assurer qu’en cas d’absence duRCCI, les missions de la fonction de conformité continuent d’être exercées .

Délégation des missions de la fonction conformité :

• Position : Lorsque la SGP confie l’exercice de la fonction de RCCI à un prestataireexterne ou à un salarié d’une autre entité de son groupe, elle doit en permanences’assurer que le temps consacré à l’exercice de la fonction de RCCI soit suffisant auregard de l’activité et de la taille de la société. La fonction de conformité doit demeurerpermanente.

• Recommandation : Lorsque la carte professionnelle de RCCI est attribuée àl’un des dirigeants qui confie l’exercice des missions de la fonction deconformité à l’un de ses préposés, il est préférable, si ce dernier dispose del’expertise et de l’expérience suffisante de la fonction, qu’il soit lui-mêmetitulaire de la carte de RCCI.

6

Préambule

• Positions- recommandations guide AMF: Organisation du dispositif de contrôle de la conformité, du contrôle interne, de

contrôle des risques et de contrôle périodique :

• Position : Lorsqu’il n’est pas requis de mettre en place une fonction permanente degestion des risques indépendante, celle-ci peut être prise en charge par les dirigeants oudes opérationnels. Le RCCI s’assure que le dispositif de gestion des risques est opérant etappliqué par les unités opérationnelles. Lorsque l’activité de la SGP requiert une fonctionpermanente de gestion des risques indépendante des unités opérationnelles (cf supra)qui constitue alors un niveau de contrôle intermédiaire entre le premier et le deuxièmeniveau (premier niveau bis). Le RCCI doit s’assurer dans le cadre de sa mission decontrôle que le dispositif de gestion des risques est efficace et opérationnel.

Le dispositif de contrôle de premier niveau :

• Position : Les contrôles de premier niveau sont effectués par des personnes assumantdes fonctions opérationnelles. Ces contrôles peuvent être réalisés par les responsableshiérarchiques ou des équipes dédiées. Il s’agit de s’assurer du respect de l’ensemble despolitiques et des procédures de la société.

Lorsque la fonction permanente de gestion des risques repose sur les unitésopérationnelles:

• Recommandation : Le schéma d’organisation où la fonction permanente de gestion desrisques est confiée au RCCI devrait être évité dans la mesure où la fonction deconformité doit contrôler, dans le cadre de ses missions de contrôle permanent, lafonction permanente de gestion des risques..

7

Préambule

• Positions- recommandations guide AMF: Le dispositif de contrôle permanent de deuxième niveau :

• Position : Les contrôles effectués par le contrôle permanent doivent êtredocumentés. Lorsque des anomalies sont constatées ou qu’un écart entre lesattentes et la situation constatée apparaît, la fonction de conformité doitattirer l’attention des instances dirigeantes sur les faits constatés et sur lesmesures correctrices qu’il convient d’envisager. Le RCCI effectue un suivi de lamise en oeuvre des actions correctrices qu’il préconise et informe lesinstances dirigeantes dans les rapports sur la conformité des mesuresappropriées qui ont été prises.

Le dispositif de contrôle périodique:

• Recommandation : Lorsque la SGP n’appartient pas un groupe, il estpréférable que la fonction de contrôle périodique soit confiée à unprestataire externe. Dans le cas de l’appartenance à un groupe, lesservices d’audit interne du groupe peuvent effectuer des missions decontrôle périodique au sein de la SGP. Lorsqu’en application du principe deproportionnalité, le responsable de la conformité et du contrôle interneest également en charge du contrôle des risques, il n’est pas souhaitableque le contrôle périodique soit exercé par le RCCI. La SGP devrait confier àun prestataire externe le contrôle périodique de l’établissement. Lescontrôles réalisés par la fonction de contrôle périodique peuvent êtreeffectués sur une base annuelle ou pluriannuelle.

8

Définition des risques

• Risque de contrepartie Définition assez proche du risque de règlement.

• Risque de liquidité Risque dont le suivi est réellement le plus novateur pour les sociétés de

gestion, depuis l’instruction AMF 2012-01 et qui a posé le plus dequestions aux SGP

• Risque de marché Le guide apporte des précisions sur la décomposition de ce risque

(marché actions, change, volatilité, concentration…).

• Risque opérationnel La définition a été précisée dans le Règlement général de l’AMF art. 313-

53-3 (risques juridiques, de documentation, procédures de négociation,de règlement, d’évaluation).

Le guide évoque également dans un exemple de cartographie des risques,les risques opérationnels liés à l’investissement (avec une décompositionen risque de règlement livraison, risque juridique des contrats financiers,risque de restriction de la liquidité)- articulation avec les cartographies derisques opérationnels transversales à l’activité? 9

Définition des risques

• Les questions qui se sont le plus posées pour les sociétés de gestionautour de la mise en place de la fonction Risques (Instruction AMF2012-01) et la mise en place des cartographies:

Application de ces nouvelles exigences à la gestion sous mandat

• Cartographie des risques

• Evaluation des risques par portefeuille ou par catégorie de portefeuille ?

• Mise en place de stress tests / scénarios de crise ?

Pour les fonds de fonds

• Approche par transparence nécessaire ?

• Dans ce cas, même problématique que pour les sociétés d’assurance qui ontbesoin d’une vision par transparence des fonds dans lesquelles elles sontinvesties pour calculer leur ratio de solvabilité (solvabilité 2)

• Pour rappel, la Position AMF n° 2004-07 « Les pratiques de market timing etde late trading ») oblige la SGP à une équité de traitement des porteurs departs qui rend difficile la communication d’une information plus détaillée àcertaines catégories d’investisseurs.

10

Définition des risques- Exemple de

cartographie des risques- Guide AMF

11Source guide AMF

Définition des risques

• Les questions qui se posent pour les sociétés de gestion qui fontpartie d’un Groupe bancaire en matière de définition des risques

Arrêté 3 nov.2014 RG AMF

liquidité

12

risque de ne pas pouvoir faire face à ses engagementsou de ne pas pouvoir dénouer ou compenser uneposition en raison de la situation du marché ou defacteurs idiosyncratiques, dans un délai déterminé et àun coût raisonnable

crédit

risque encouru en cas de défaillance d'unecontrepartie ou de contreparties considérées commeun même groupe de clients

règlement

risques lorsque l’établissement a payé pour des titres,des devises ou des matières premières avant de lesrecevoir, ou il a livré des titres, des devises ou desmatières premières avant d’en recevoir le paiement

liquidité

risque qu'une position dans le portefeuille ne puisseêtre cédée, liquidée ou clôturée pour un coût limité etdans un délai suffisamment court

contrepartie

risque de perte pour le placement collectif ou leportefeuille individuel résultant du fait que lacontrepartie à une opération ou à un contrat peutfaillir à ses obligations avant que l'opération ait étéréglée de manière définitive sous la forme d'un fluxfinancier

Définition des risques

• Les questions qui se posent pour les sociétés de gestion qui fontpartie d’un Groupe bancaire en matière de définition des risques

Arrêté 3 nov.2014mod.CRBF 97-02

RG AMF

risque opérationnel

13

risque de pertes découlant d’une inadéquation oud’une défaillance des processus, du personnel et dessystèmes internes ou d’événements extérieurs, ycompris le risque juridique et notamment les risquesliés à des événements de faible probabilitéd’occurrence mais à fort impact, les risques de fraudeinterne et externe et les risques liés au modèle

risque opérationnel

risque de perte pour le placement collectif ou leportefeuille individuel géré résultant de l'inadéquationde processus internes et de défaillances liées auxpersonnes et aux systèmes de la SGP, ou résultantd'événements extérieurs, y compris le risque juridiqueet le risque de documentation, ainsi que le risquerésultant des procédures de négociation, de règlementet d'évaluation, appliquées pour le compte duplacement collectif ou du portefeuille individuel

marchérisque de perte pour le placement collectif ou leportefeuille individuel résultant d'une fluctuation de lavaleur de marché des positions de son portefeuilleimputable à une modification de variables du marchételles que les taux d'intérêt, les taux de change, lescours d'actions et de matières premières, ou à unemodification de la qualité de crédit d'un émetteur

marché

risques mentionnés aux articles 325 à 377 durèglement (UE) n°575/2013

Organisation des fonctions

• Le guide de l’AMF précise le rôle des différentes fonctions dans le dispositif demaîtrise des risques; concernant le risque opérationnel, le guide le place dans lesrisques financiers gérés par la fonction risques, mais ce risque a des modesd ’évaluation et de gestion proche du risque de non conformité

• Risques financiersFonction de Gestion des

Risques

• Risque de non-conformité

Fonction Conformité

• Risque opérationnel

14

Organisations au sein d’un groupe

• Questions posées par la Position-Recommandation AMF « Lorsqu’une société de gestion désigne en qualité de responsable de la

Fonction Risques » une personne mise à disposition par une autre entité duGroupe, l’AMF recommande que cette personne soit rattachéehiérarchiquement au dirigeant de la société de gestion « dans le cadre de lamission qui lui est confiée. »• Quid des organisations en filière hiérarchique ?• Quid des dispositifs où le responsable de la filière risque couvre plusieurs

filiales ?• La même question se pose pour la filière conformité

« Le rattachement fonctionnel de la fonction conformité à la filière« compliance » du Groupe permet « de bénéficier des pratiques et del’expertise du Groupe » » (guide AMF)

• Un Groupe a surtout l’obligation d’assurer une surveillance consolidée et lerattachement a minima fonctionnel est une nécessité (ce rattachementfonctionnel peut devenir un rattachement hiérarchique des responsablesconformité des filiales à la fonction conformité groupe) .

• Equilibre à trouver entre surveillance consolidée au sein d’un groupe,respect de l’autonomie de la gestion de la SGP (et responsabilisation desdirigeants de la SGP filiale sur les aspects risques et contrôles).

15

Autres points d’organisation

• La Fonction Risques a souvent été confiée au RCCI dans les SGP detaille moyenne à gestion non complexe-conditions nécessaires pourassurer la pérennité de cette organisation?

• (schéma issu du guide AMF ci-après)

16

Contrôle périodique

Le guide confirme l’obligation d’une fonction de contrôle périodiqueindépendante dans la quasi-totalité des cas et quelle que soit la taille dela SGP (depuis la position AMF 2012-17 sauf cas exceptionnel commedes SGP de 2 personnes, cette fonction doit exister et être indépendantedu RCCI).

Dans le cas des groupes, la fonction peut être assurée par l’audit internedu groupe• Attention dans ce cas au périmètre couvert par l’audit du groupe

• Les missions d’audit groupe couvrent-elles bien l’ensemble des thématiquesde la SGP à une périodicité suffisante?

• Les auditeurs groupe ont-ils les compétences nécessaires?

Recommandation du guide AMF de confier à un prestataire externe lecontrôle périodique lorsque :• La société de gestion n’appartient pas à un Groupe

• Le RCCI est également en charge du contrôle des risques

17