indicateur de risque chez <strong>Dexia</strong> <strong>Crédit</strong> <strong>Local</strong>, comme dansl’ensemble du groupe <strong>Dexia</strong>, est la Value at Risk (VaR). La VaRcalculée par <strong>Dexia</strong> mesure la perte potentielle dans un intervallede confiance de 99 % pour une période de référence dedix jours. Outre la VaR, les risques sont mesurés et limités pard’autres indicateurs (sensibilité au taux et aux spreads, sensibilitédes options par rapport au sous-jacent et au temps), calculéspar devise.5.3 RISQUES STRUCTURELS DE TAUX, DE CHANGE ET DE LIQUIDITÉa. PérimètreCes risques sont regroupés sous la dénomination de risquesde gestion actif/passif ou ALM (Assets/Liabilities Management).Les différents éléments constituant les actifs (prêts, titres…),les passifs (dette obligataire…) et le hors-bilan (instrumentsfinanciers…) de <strong>Dexia</strong> <strong>Crédit</strong> <strong>Local</strong> ne possèdent pas les mêmescaractéristiques en termes de taux, de devises, d’amortissementou de maturités. Sur tout ou partie des échéances futuressubsistent structurellement des excédents ou déficits résiduels.Ces différences constituent des positions de taux ou de changequi génèrent un risque de marché. Elles constituent égalementun déséquilibre entre les emplois et les ressources futures, engénérant un risque de liquidité.L’objectif de l’ALM est de couvrir partiellement ou totalementles risques liés à cette structure de bilan. À l’exception desrisques de taux et de change liés au métier « marchésfinanciers », tous les risques significatifs de taux, de changeet de liquidité de <strong>Dexia</strong> <strong>Crédit</strong> <strong>Local</strong> sont de la compétence ducomité ALM.b. Organisation du suiviLe suivi des risques liés à l’ALM est organisé autour de deuxcomités :• le comité ALM <strong>Dexia</strong> se réunit trimestriellement afin devérifier la cohérence globale de la gestion actif/passif dugroupe. Ce comité statue également sur les méthodologies etles conventions de mesure du risque. En revanche, il n’intervientpas, sauf exception, sur les décisions de gestion, qui sont duressort de chaque entité compte tenu de leurs spécificités enmatière de structures du bilan ;• Le comité ALM de <strong>Dexia</strong> <strong>Crédit</strong> <strong>Local</strong>, mensuel, comprendparmi ses participants le directeur Finance du groupe <strong>Dexia</strong> etfonctionne à l’intérieur des contraintes fixées par le Groupe.Les risques résiduels peuvent être conservés et gérés sur labase de décisions du comité ALM, lesquelles se caractérisentpar un horizon de gestion à long terme. Il assure une doublefonction :- sur un périmètre incluant les entités françaises présentantun risque ALM ainsi que les succursales de Dublin, NewYork et Stockholm, il définit la politique de risque et lesmodalités de couverture des risques. Les orientations fixéespar le comité ALM se traduisent par des décisions decouverture individuelles, mais peuvent également fairel’objet de délégations de gestion accordées à la direction dela gestion ALM de <strong>Dexia</strong> <strong>Crédit</strong> <strong>Local</strong>. Ces délégations sontnotamment accordées sur des segments de risques« secondaires », pour lesquelles des sous limites spécifiquessont fixées, ou sur des risques qui nécessitent une gestionquotidienne (remboursements anticipés des prêts, risquesde base sur les émissions à taux variable) ;- sur les autres entités du groupe <strong>Dexia</strong> <strong>Crédit</strong> <strong>Local</strong>présentant un risque ALM, le comité ALM ventile les limitesde risques allouées à <strong>Dexia</strong> <strong>Crédit</strong> <strong>Local</strong> par le groupe <strong>Dexia</strong>entre les différentes entités de ce périmètre. Il s’assure del’utilisation cohérente de ces limites en fonction de sespropres scénarios d’évolution des taux d’intérêts. La miseen œuvre des recommandations éventuellement formuléesreste de la responsabilité des filiales (principalement <strong>Dexia</strong>Crediop et <strong>Dexia</strong> Hypothekenbank), qui disposent d’uneautonomie opérationnelle et sont dotées de leur proprecomité ALM. Cette autonomie demeure néanmoins encadréepar le comité ALM de <strong>Dexia</strong> <strong>Crédit</strong> <strong>Local</strong>, qui, accordantles délégations et fixant les limites, garde les moyens decontrôler la politique mise en œuvre dans les filiales.Dans tous les cas, il procède à un suivi mensuel de l’évolutiondu risque et à un contrôle des limites fixées en fonctiond’indicateurs normés au niveau du groupe <strong>Dexia</strong>. Le principalest basé sur la sensibilité de la Valeur Actuelle Nette des actifset passifs du périmètre ALM (VAN ALM) à une variation donnée(100 points de base) des taux d’intérêt du marché.5.4 RISQUES OPÉRATIONNELSa. PérimètreLes risques opérationnels se définissent comme les risques deperte résultant de l’inadéquation ou de la défaillance deprocédures, de personnes ou de systèmes internes, ou encored’évènements externes (catastrophes, incendies…). Ilscomprennent les risques liés à la sécurité des systèmesd’information, les risques juridiques et de réputation.Les risques opérationnels font l’objet d’un examen attentif etconstant dans le cadre du dispositif de contrôle interne, etnotamment au travers des activités de l’audit interne. Lespoints faibles font l’objet de plans d’action pour en permettrel’amélioration.60Rapport annuel <strong>2004</strong> <strong>Dexia</strong> <strong>Crédit</strong> <strong>Local</strong>•
Gestion et gouvernanceRapport du président du conseil de surveillanceb. Organisation et suivi<strong>Dexia</strong> <strong>Crédit</strong> <strong>Local</strong> dispose d’une équipe dédiée au risqueopérationnel qui s’appuie sur un réseau de correspondantsdans chaque direction ou entité. L’intervention de cette équipeest orientée selon deux axes :La collecte, l’analyse et le traitement des incidentsUn outil informatique commun à l’ensemble du groupe <strong>Dexia</strong>et dédié à la collecte des données relatives aux incidents etpertes opérationnels, développé en 2003, a été mis en placeau 1 er janvier <strong>2004</strong>. Cet outil permet au Groupe de constituerun historique de pertes, conformément aux dispositions deBâle II. Le recensement et l’analyse des incidents sont effectuéspar les correspondants risque opérationnels. Si l’analyse del’incident conduit à la mise en place d’actions correctrices, lesuivi de celles-ci est également de la responsabilité de cescorrespondants ;La cartographie des risquesOutre le recensement et l’analyse des évènements passés, ilest indispensable de compléter ces données historiques par uneanalyse des évènements potentiels, générateurs d’impactssignificatifs pour le Groupe.Un outil global de gestion du risque opérationnel (collectedes incidents, cartographie des risques, indicateurs de suiviet plans d’action) commun pour l’ensemble du groupe <strong>Dexia</strong>a été choisi et sera déployé au premier trimestre 2005 dansl’ensemble du groupe <strong>Dexia</strong> <strong>Crédit</strong> <strong>Local</strong>.Le développement durableLes problématiques liées à cet engagement du groupe <strong>Dexia</strong>sont intégrées dans ce processus d’évaluation des risquesopérationnels. Depuis avril 1998, <strong>Dexia</strong> est signataire de laDéclaration des Nations Unies des institutions financières surl’environnement et le développement durable du PNUE(Programme des Nations Unies pour l’Environnement). Endécembre 2002, un nouvel engagement complémentaire aété concrétisé avec la signature du Pacte mondial des NationsUnies (Global Compact).En septembre 2003, le groupe <strong>Dexia</strong> a adhéré aux EquatorPrinciples. Il s’agit d’un ensemble de dispositions élaboré par ungroupe de banques internationales en vue d’une gestion sainedes problèmes sociaux et environnementaux liés au financementdes projets de développement. Le groupe <strong>Dexia</strong> s’engage àappliquer ces principes à tout financement de projets d’unmontant supérieur à USD 50 millions dans tous les secteursindustriels, et à publier un reporting annuel de leur application.Plus spécifiquement, <strong>Dexia</strong> <strong>Crédit</strong> <strong>Local</strong> accompagne lesdécideurs locaux dans la compréhension et le suivi desréglementations et des normes et encourage, au travers dediverses opérations, telles que la remise annuelle des Rubansdu développement durable, les actions des collectivités localesen matière de développement durable.La sécurité des systèmes d’informationIl s’agit de l’ensemble des dispositions qui visent à protégerl’information contre toute menace pouvant porter atteinte à saconfidentialité, son intégrité ou sa disponibilité.En harmonie avec le groupe <strong>Dexia</strong>, la politique de <strong>Dexia</strong><strong>Crédit</strong> <strong>Local</strong> en la matière s’appuie sur le British Standard77-99 ainsi que sur un ensemble de directives, politiquesspécifiques de sécurité, règles et procédures opérationnellesabordant notamment les thèmes essentiels que sont lasécurité physique, les contrôles d’accès aux systèmes, auxbases et aux applications, le respect des contraintesréglementaires et déontologiques ou la continuité desactivités.Sur ce dernier point, un plan de continuité a été élaboré avecla collaboration de l’ensemble des services opérationnels,sous la supervision d’un comité de pilotage dédié. Dans cecadre, les conséquences d’un sinistre touchant aux locauxou aux systèmes d’information ou d’une perte de service sontanalysées sous un angle « métier ». Des contrôles préventifssont mis en place afin de réduire à un niveau acceptable lesrisques d’une interruption d’activité. Des procédures decontinuité d’activité ont été définies afin de s’assurer queles activités essentielles peuvent être restaurées dans desdélais satisfaisants aux impératifs de l’entreprise. Ce plan etces procédures sont maintenus et testés régulièrement.De plus, les systèmes critiques de production informatiqueont été localisés dans un centre unique chez un prestatairedisposant d’un environnement physique hautement sécuriséet liés à <strong>Dexia</strong> <strong>Crédit</strong> <strong>Local</strong> par l’intermédiaire de liaisons àhaut débit. Afin de parer à une défaillance de ces systèmes,un site miroir a également été déployé. La sauvegarde desdonnées est assurée périodiquement et ce site peut, en casde besoin, se substituer au site maître dans des délais trèsbrefs.La conduite de cette activité est répartie entre trois acteurs :• le comité de sécurité informatique a pour rôle de proposerles orientations de la politique de sécurité au comité dedirection, de fixer les directives propres à chaque domaine,et de s’assurer de leur mise en œuvre. Il rassemble lesdifférentes parties prenantes : « métiers », ressourceshumaines, juridique, informatique, logistique, audit ;• le responsable de la sécurité des systèmes d’informationest en charge de proposer au comité de sécurité la définitionde la politique de sécurité et des directives. Il valide lespolitiques spécifiques, règles et procédures de sécurité,sensibilise les collaborateurs et conseille les différentesdirections. Il valide l’attribution des droits d’accès auxsystèmes. Il est rattaché au département du contrôle desrisques, ce qui garantit son indépendance vis-à-vis desservices opérationnels ;• les services informatiques sont en charge de la conceptionet de la mise en œuvre des dispositifs matériels et logicielsde sécurité, ainsi que de la mise en place des règles etprocédures opérationnelles associées. Ils effectuentégalement des contrôles de premier et de second niveaude la bonne application des règles de sécurité.Les risques juridiques et de réputationLa réputation de <strong>Dexia</strong> <strong>Crédit</strong> <strong>Local</strong> repose sur le respectd’une attitude intègre et professionnelle dans l’exerciceRapport annuel <strong>2004</strong> • <strong>Dexia</strong> <strong>Crédit</strong> <strong>Local</strong> 61