Les entreprises assujetties se dotent des moyens adaptés à la maîtrise des risques opérationnels, y compris juridiques.

Elles mettent en place des systèmes de surveillance et de maîtrise des risques, notamment de crédit et de contrepartie, résiduel, de concentration, de marché, de taux d'intérêt global, de base, d'intermédiation, de règlement-livraison, de liquidité, de titrisation, de levier excessif, ainsi que des risques systémiques, des risques liés au modèle, du risque opérationnel ou, le cas échéant, des risques pour les clients, pour le marché et pour l'entreprise au sens du règlement (UE) n° 2019/2033 précité, faisant apparaître des limites internes ainsi que les conditions dans lesquelles ces limites sont respectées.

Les entreprises assujetties ainsi que les compagnies financières holding, les entreprises mères de société de financement mentionnées à l'article L. 517-1 du code monétaire et financier et les compagnies financières holding mixtes mentionnées à l'article L. 517-4 du même code et les compagnies holding d'investissement mentionnées à l'article L. 517-4-3 du même code disposent en outre de systèmes de surveillance et de maîtrise des risques de crédit et de contrepartie, résiduel, de concentration, de marché, de taux d'intérêt global, de base, d'intermédiation, de règlement-livraison, de liquidité, de titrisation, de levier excessif, ainsi que des risques systémiques, des risques liés au modèle, de risque opérationnel ou, le cas échéant, des risques pour les clients, pour le marché et pour l'entreprise au sens du règlement (UE) n° 2019/2033 précité leur permettant d'appréhender ces risques sur une base consolidée ou, le cas échéant, sous-consolidée dans les conditions prévues à l'article 95.

Les entreprises assujetties procèdent à un réexamen régulier des systèmes de mesure des risques et de détermination des limites, afin d'en vérifier la pertinence au regard de l'évolution de l'activité, de l'environnement des marchés, de l'environnement économique en fonction du cycle d'activité ou des techniques d'analyse.

Les entreprises assujetties définissent des politiques d'approbation des nouveaux produits et changements significatifs recouvrant :

a) Les nouveaux produits et services ;

b) Les changements significatifs, pour cette entreprise ou pour le marché, à un produit, service ou processus existant et leurs systèmes associés ;

c) Les opérations de croissance interne et externe ;

d) Les transactions exceptionnelles.

Les entreprises assujetties mettent en place des systèmes et procédures assurant une analyse à la fois en amont et prospective des risques encourus lorsqu'elles décident de réaliser des opérations relatives à des nouveaux produits ou des changements significatifs listées au premier alinéa.

La fonction de gestion des risques produit, le cas échéant, une évaluation des risques selon des scénarios appropriés au regard de la significativité des risques induits par ces opérations.

Le dispositif de contrôle permanent permet de s'assurer :
a) Que l'analyse spécifique des risques a été conduite de manière rigoureuse et préalable ;
b) Que les procédures de mesure, de limite et de contrôle des risques encourus sont adéquates ;
c) Que, le cas échéant, les adaptations nécessaires des procédures en place ont été engagées ;
d) Qu'un suivi des risques, accompagné de moyens suffisants pour sa mise en œuvre, est mis en place.

Les systèmes de surveillance et de maîtrise des risques de crédit et de contrepartie, résiduel, de concentration, de marché, de taux d'intérêt global, de base, d'intermédiation, de règlement-livraison, de liquidité, de titrisation, de levier excessif, ainsi que des risques systémiques, des risques liés au modèle, du risque opérationnel ou, le cas échéant, des risques pour les clients, pour le marché et pour l'entreprise au sens du règlement (UE) n° 2019/2033 précité, comportent un dispositif de limites globales.

Pour les activités de marché, les limites globales sont définies par type de risque encouru.

Pour le risque d'intermédiation, les limites globales sont définies par entité juridique.

L'appétit pour le risque ainsi que les limites globales de risques qui en résultent sont fixées et revues, autant que nécessaire et au moins une fois par an, par les dirigeants effectifs et approuvées par l'organe de surveillance qui consulte, le cas échéant, le comité des risques, en tenant compte notamment des fonds propres de l'entreprise et, le cas échéant, des fonds propres consolidés ou sous-consolidés et de leur répartition au sein du groupe adaptée aux risques encourus.

Les limites opérationnelles, qui peuvent être fixées au niveau de différentes entités d'organisation interne, sont établies de manière cohérente avec les limites globales et l'appétit pour le risque mentionnés à l'article 224.

La détermination des différentes limites, globales et opérationnelles, est effectuée de façon homogène par rapport aux systèmes de mesure des risques.

Les entreprises assujetties se dotent de dispositifs permettant, selon des procédures formalisées :
a) De s'assurer en permanence du respect des procédures et des limites fixées ;
b) De procéder à l'analyse des causes du non-respect éventuel des procédures et des limites ;
c) D'informer les entités ou les personnes qui sont désignées à cet effet de l'ampleur de ces dépassements et des actions correctrices qui sont proposées ou entreprises.

Lorsque les limites sont réparties entre entités d'organisation interne ou entre entreprises incluses dans le champ de la consolidation ou, le cas échéant, de la sous-consolidation, et qu'elles sont susceptibles d'être atteintes, les entités concernées en réfèrent au niveau approprié de l'organisation dans le cadre de procédures formalisées.

Lorsque le suivi du respect des limites est contrôlé par un comité ad hoc, celui-ci est composé de responsables des unités opérationnelles, de représentants des dirigeants effectifs et de personnes choisies en raison de leur compétence dans le domaine du contrôle des risques et indépendantes des unités opérationnelles.

Les entreprises assujetties définissent des procédures d'information, à tout le moins trimestrielle, des dirigeants effectifs et, le cas échéant, du comité ad hoc mentionné à l'article 228, sur le respect des limites de risque, notamment lorsque les limites globales sont susceptibles d'être atteintes.
L'organe de surveillance des entreprises assujetties détermine les modalités de communication et de périodicité selon lesquelles les informations mentionnées au premier alinéa lui sont communiquées, ainsi que, le cas échéant, au comité des risques.

Les entreprises assujetties élaborent des états de synthèses adaptés pour la surveillance de leurs opérations, et notamment pour les informations destinées aux dirigeants effectifs, au comité ad hoc mentionné à l'article 228, à l'organe de surveillance et, le cas échéant, au comité des risques.
Ces états comportent des informations quantitatives et qualitatives, ces dernières permettant notamment d'expliciter la portée de mesures utilisées pour évaluer le niveau des risques encourus et fixer les limites.