Les entreprises assujetties mettent en place des systèmes d'analyse et de mesure des risques en les adaptant à la nature et au volume de leurs opérations afin d'appréhender les risques de différentes natures auxquels ces opérations les exposent, et notamment les risques de crédit et de contrepartie, résiduel, de concentration, de marché, de taux d'intérêt global, de base, d'intermédiation, de règlement-livraison, de liquidité, de titrisation, de levier excessif, ainsi que les risques systémiques, les risques liés au modèle, le risque opérationnel et le risque de sécurité ou, le cas échéant, les risques pour les clients, les risques pour le marché et les risques pour l'entreprise au sens du règlement (UE) n° 2019/2033 du Parlement européen et du Conseil du 27 novembre 2019 concernant les exigences prudentielles applicables aux entreprises d'investissement et modifiant les règlements (UE) n° 1093/2010, (UE) n° 575/2013, (UE) n° 600/2014 et (UE) n° 806/2014.

Ces systèmes permettent également d'appréhender de manière transversale et prospective l'analyse et la mesure des risques.

Les entreprises assujetties, les compagnies financières holding, les compagnies holding d'investissement et les entreprises mères de société de financement mentionnées à l'article 8 disposent également, sur base consolidée ou, le cas échéant, sous-consolidée, de systèmes de mesure adaptés à la nature et au volume de leurs opérations leur permettant d'appréhender les risques de crédit et de contrepartie, résiduel, de concentration, de marché, de taux d'intérêt global, de base, d'intermédiation, de règlement-livraison, de liquidité, de titrisation, de levier excessif, ainsi que les risques systémiques, les risques liés au modèle, le risque opérationnel, ou,/ le cas échéant, les risques pour les clients, les risques pour le marché et les risques pour l'entreprise au sens du règlement (UE) n° 2019/2033 du Parlement européen et du Conseil du 27 novembre 2019 précité.

Les entreprises assujetties disposent de systèmes et procédures fiables, efficaces et exhaustifs pour évaluer et conserver en permanence les montants, les types ainsi que la répartition de capital interne qu'elles jugent appropriés compte tenu de la nature et du niveau des risques auxquels elles sont ou pourraient être exposées.

En application de l'article L. 533-2-2 du code monétaire et financier, l'Autorité de contrôle prudentiel et de résolution peut demander aux entreprises d'investissement de classe 3 mentionnées au 3° de l'article L. 531-4 du code monétaire et financier d'appliquer les exigences prévues dans le présent article dans la mesure où elle le juge approprié.

Ces systèmes et procédures font l'objet d'un contrôle interne régulier, visant à assurer qu'ils restent exhaustifs et adaptés à la taille, aux implantations ainsi qu'à la nature, à l'échelle et à la complexité des risques inhérents au modèle d'entreprise et aux activités des entreprises assujetties.

En application de l'article L. 533-2-2 du code monétaire et financier, l'Autorité de contrôle prudentiel et de résolution peut demander aux entreprises d'investissement de classe 3 mentionnées au 3° de l'article L. 531-4 du code monétaire et financier d'appliquer les exigences prévues dans le présent article dans la mesure où elle le juge approprié.

Les systèmes d'analyse et de mesure des risques prévus aux articles 94 et 95 prévoient les critères et seuils permettant d'identifier comme significatifs ou majeurs les incidents révélés par les procédures de contrôle interne.

Ces critères sont adaptés à l'activité de l'entreprise assujettie et couvrent les risques de perte y compris lorsque celle-ci ne s'est pas matérialisée.

Est réputée à cet effet significative toute fraude entraînant une perte ou un gain d'un montant brut dépassant 0,5 pour cent des fonds propres de base de catégorie 1, sans pouvoir être inférieure à dix mille euros.

Les entreprises assujetties mettent en place des systèmes et procédures permettant d'appréhender globalement l'ensemble des risques associés aux activités bancaires et non-bancaires de l'entreprise assujettie, notamment de crédit et de contrepartie, résiduel, de concentration, de marché, de taux d'intérêt global, de base, d'intermédiation, de règlement-livraison, de liquidité, de titrisation, de levier excessif, ainsi que les risques systémiques, les risques liés au modèle, le risque opérationnel, ainsi que les risques pour les clients, les risques pour le marché et les risques pour l'entreprise au sens du règlement (UE) n° 2019/2033 du Parlement européen et du Conseil du 27 novembre 2019 précité.

Ces systèmes et procédures permettent aux entreprises assujetties de mesurer et de gérer toutes les causes et tous les effets significatifs des risques et de disposer d'une cartographie des risques qui identifie et évalue les risques encourus au regard de facteurs internes et externes.

Dans le cas des entreprises d'investissement de classe 2 ou 3 mentionnées au 2° ou 3° de l'article L. 531-4 du code monétaire et financier, les causes significatives des risques incluent, le cas échéant, des modifications significatives de la valeur comptable des actifs, y compris toute créance sur les agents liés, la défaillance de clients ou de contreparties, les positions sur des instruments financiers, des devises étrangères et des matières premières ainsi que les obligations liées aux régimes de retraite à prestations définies.

Les systèmes et procédures permettant aux entreprises d'investissement de classe 2 ou 3 de mesurer et gérer toutes les causes et tous les effets significatifs des risques pour les clients tiennent compte notamment des dispositions de l'arrêté du 6 septembre 2017 relatif au cantonnement des fonds de la clientèle des entreprises d'investissement. Les entreprises d'investissement doivent envisager la souscription à une assurance de responsabilité civile professionnelle afin de gérer ces risques.

Les facteurs internes comprennent notamment la complexité de l'organisation, la nature des activités exercées, le professionnalisme des personnels et la qualité des systèmes.
Les facteurs externes comprennent notamment les conditions économiques et les évolutions réglementaires.

La cartographie mentionnée à l'article 100 :

a) Prend en compte l'ensemble des risques encourus ;

b) Est établie par entité ou ligne de métier, au niveau auquel est exercée, le cas échéant, la surveillance consolidée, sous-consolidée ou complémentaire ;

c) Evalue l'adéquation des risques encourus par rapport aux évolutions de l'activité ;

d) Identifie les actions en vue de maîtriser les risques encourus, par :

- le renforcement des dispositifs de contrôle permanent ;

- la mise en œuvre des systèmes de surveillance et de maîtrise des risques mentionnés au titre V ;

- la définition des plans d'urgence et de poursuite de l'activité prévus à l'article 215.

L'ensemble des systèmes et procédures mentionnés aux articles 94 à 102 fait l'objet d'une actualisation et d'une évaluation régulières.

Les établissements importants définissent des politiques, le cas échéant à l'échelle du groupe, régissant la gestion, la qualité et l'agrégation des données sur les risques. Dans ce cadre, ils mettent en place des procédures qui prévoient notamment les éléments suivants :

a) La mise en place de mesures visant à assurer l'exactitude, l'intégrité et l'exhaustivité des données sur les risques ;

b) La mise en place d'une structure de données uniforme ou homogène, le cas échéant à l'échelle du groupe, pour identifier sans équivoque les données sur les risques ;

c) Les données agrégées sur les risques sont disponibles en temps utile ;

d) Les capacités d'agrégation des données sont suffisamment adaptables pour répondre à des demandes ponctuelles.

Les établissements importants définissent les responsabilités pour toutes les étapes du processus d'agrégation des données sur les risques et les contrôles liés aux processus mis en place. Ils définissent également les rôles et les responsabilités relatifs à la propriété et à la qualité des données.

Les autres établissements assujettis qui ne sont pas des établissements importants sont soumis aux dispositions du présent article selon des modalités adaptées à leur taille, à la nature et à la complexité de leur activité.