1.   Les États membres veillent à ce que l’organe de direction approuve et revoie au moins tous les deux ans les stratégies et politiques régissant la prise, la gestion, le suivi et l’atténuation des risques auxquels l’établissement est ou pourrait être exposé, y compris les risques générés par l’environnement macroéconomique dans lequel il opère, eu égard à l’état du cycle économique, et ceux résultant des incidences actuelles et à court, moyen et long termes des facteurs environnementaux, sociaux et de gouvernance (ESG).

Les États membres peuvent, en prenant en considération le principe de proportionnalité, autoriser les organes de direction des établissements de petite taille et non complexes à revoir les stratégies et politiques visées au premier alinéa tous les deux ans.

2.   Les États membres veillent à ce que l'organe de direction consacre un temps suffisant à la prise en considération des aspects liés aux risques. L'organe de direction s'engage activement dans la gestion de l'ensemble des risques significatifs relevant de la présente directive et du règlement (UE) no 575/2013 ainsi que dans l'évaluation des actifs et l'utilisation des notations de crédit externes et des modèles internes liés à ces risques et s'assure que des ressources adéquates y sont consacrées. L'établissement met en place un système de déclaration à l'organe de direction portant sur l'ensemble des risques significatifs, des politiques de gestion des risques et des modifications apportées à celles-ci.

Les États membres veillent à ce que l’organe de direction mette en place des plans spécifiques et des objectifs quantifiables, respectant les exigences énoncées à l’article 7 bis du règlement (UE) no 648/2012, pour surveiller et traiter le risque de concentration découlant d’expositions vis-à-vis des contreparties centrales qui offrent des services d’importance systémique substantielle pour l’Union ou pour un ou plusieurs de ses États membres.

Les États membres veillent à ce que l’organe de direction mette en place des plans spécifiques comprenant des objectifs quantifiables et des processus, et assure le suivi de leur mise en œuvre, pour surveiller et traiter les risques financiers découlant à court, moyen et long termes des facteurs ESG, y compris ceux découlant du processus d’ajustement et des tendances à la transition dans le contexte des objectifs réglementaires et actes juridiques pertinents de l’Union et des États membres en ce qui concerne les facteurs ESG, en particulier les objectifs pour parvenir à la neutralité climatique ainsi que, le cas échéant pour les établissements actifs au niveau international, des objectifs juridiques et réglementaires des pays tiers.

Les objectifs quantifiables et les processus pour traiter les risques ESG figurant dans les plans visés au deuxième alinéa du présent paragraphe tiennent compte des derniers rapports du conseil scientifique consultatif européen sur le changement climatique et des dernières mesures qu’il a prescrites, en particulier en ce qui concerne la réalisation des objectifs climatiques de l’Union. Lorsque l’établissement publie des informations sur des questions ESG conformément à la directive 2013/34/UE du Parlement européen et du Conseil ( 29 ), les plans visés au deuxième alinéa du présent paragraphe sont cohérents avec les plans visés à l’article 19 bis ou 29 bis de ladite directive et comprennent, en particulier, des mesures cohérentes avec les deux plans en ce qui concerne le modèle d’entreprise et la stratégie de l’établissement.

Les États membres veillent à une application proportionnée des deuxième et troisième alinéas pour les organes de direction des établissements de petite taille et non complexes, en indiquant dans quels domaines une dérogation ou une procédure simplifiée peut être appliquée.

3.   Les États membres veillent à ce que les établissements ayant une importance significative en raison de leur taille et de leur organisation interne ainsi que de la nature, de l'échelle et de la complexité de leurs activités, instaurent un comité des risques composé de membres de l'organe de direction qui n'exercent pas de fonctions exécutives au sein de l'établissement concerné. Les membres du comité des risques disposent de connaissances, de compétences et d'une expertise qui leur permettent de comprendre et de suivre en pleine connaissance de cause la stratégie en matière de risques et d'appétit pour le risque de l'établissement.

Le comité des risques conseille l'organe de direction pour les aspects concernant la stratégie globale en matière de risques et d'appétit global pour le risque de l'établissement, tant actuels que futurs; il assiste l'organe de direction lorsque celui-ci supervise la mise en œuvre de cette stratégie par la direction générale. L'organe de direction continue à exercer la responsabilité globale à l'égard des risques.

Le comité des risques vérifie que les prix des actifs et des passifs proposés aux clients tiennent pleinement compte du modèle d'entreprise de l'établissement et de sa stratégie en matière de risques. Lorsque les prix ne reflètent pas correctement les risques compte tenu du modèle d'entreprise et de la stratégie en matière de risque, le comité des risques présente à l'organe de direction un plan d'action pour y rémédier.

Les autorités compétentes peuvent autoriser un établissement qui n'est pas considéré comme ayant une importance significative au sens du premier alinéa à instaurer un comité commun des risques et d'audit visé à l'article 41 de la directive 2006/43/CE. Les membres du comité commun disposent des connaissances, des compétences et de l'expertise exigées pour le comité des risques et pour le comité d'audit.

4.   Les États membres veillent à ce que l'organe de direction dans l'exercice de sa fonction de surveillance et, lorsqu'un comité des risques a été instauré, le comité des risques, aient un accès adéquat aux informations sur la situation de l'établissement en matière de risque et, le cas échéant et si cela est approprié, à la fonction de gestion du risque de l'établissement et aux conseils d'experts extérieurs.

L’organe de direction dans l’exercice de sa fonction de surveillance et, s’il a été instauré, le comité des risques déterminent la nature, le volume, la forme et la fréquence des informations relatives aux risques qui leur sont transmises. Pour favoriser des pratiques et politiques de rémunération saines, le comité des risques, sans préjudice des tâche du comité de rémunération, examine si les incitations prévues par le système de rémunération tiennent compte des risques, y compris ceux découlant des effets des facteurs ESG, du capital, de la liquidité et de la probabilité et de l’échelonnement dans le temps des bénéfices.

5.   Les États membres, conformément à l’exigence de proportionnalité énoncée à l’article 7, paragraphe 2, de la directive 2006/73/CE de la Commission ( 30 ), veillent à ce que les établissements aient des fonctions de contrôle interne qui soient indépendantes des fonctions opérationnelles et qui disposent d’une autorité, d’un statut et de ressources suffisants, ainsi que d’un accès à l’organe de direction.

Les États membres veillent à ce que:

a) 

les fonctions de contrôle interne s’assurent que tous les risques significatifs sont correctement identifiés, évalués et déclarés;

b) 

les fonctions de contrôle interne donnent une vue d’ensemble de tous les risques auxquels l’établissement est exposé;

c) 

la fonction de gestion des risques participe activement à l’élaboration de la stratégie de l’établissement en matière de risques et à toutes ses décisions significatives en matière de gestion des risques et contrôle la mise en œuvre effective de la stratégie en matière de risques;

d) 

la fonction d’audit interne effectue un examen indépendant de la mise en œuvre effective de la stratégie de l’établissement en matière de risques;

e) 

la fonction de conformité évalue et atténue le risque de conformité et veille à ce que la stratégie de l’établissement en matière de risques tienne compte du risque de conformité et à ce que le risque de conformité soit dûment pris en compte dans toutes les décisions significatives en matière de gestion des risques.

6.   Les États membres veillent à ce que les fonctions de contrôle interne aient un accès direct à l’organe de direction dans sa fonction de surveillance et puissent rendre compte directement à celui-ci.

À cette fin, les fonctions de contrôle interne sont indépendantes par rapport aux membres de l’organe de direction dans sa fonction de direction et par rapport à la direction générale, et sont, en particulier, en mesure de faire part de préoccupations et de mettre en garde l’organe de direction dans sa fonction de surveillance le cas échéant ou en cas d’évolution particulière des risques affectant ou susceptible d’affecter l’établissement, sans préjudice des responsabilités de l’organe de direction conformément à la présente directive et au règlement (UE) no 575/2013.

Les responsables des fonctions de contrôle interne sont des membres de la direction générale indépendants assumant distinctement la responsabilité de la fonction de gestion des risques, de la fonction de conformité et de la fonction d’audit interne. Lorsque la nature, l’étendue et la complexité des activités de l’établissement ne justifient pas la nomination d’une personne spécifique pour la fonction de gestion des risques ou la fonction de conformité, un autre membre du personnel faisant partie de l’encadrement supérieur qui accomplit d’autres tâches au sein de l’établissement peut assumer les responsabilités liées aux fonctions de conformité ou de gestion des risques, à condition qu’il n’y ait pas de conflit d’intérêts et que la personne responsable de la fonction de gestion des risques et de la fonction de conformité:

a) 

remplit les critères d’aptitude et les exigences en matière de connaissances, de qualifications et d’expérience nécessaires pour les différents domaines concernés; et

b) 

dispose du temps suffisant pour exécuter correctement les deux fonctions de contrôle.

La fonction d’audit interne n’est associée à aucune autre ligne d’activité ou fonction de contrôle de l’établissement.

Les responsables des fonctions de contrôle interne ne peuvent être démises de leurs fonctions sans l’accord préalable de l’organe de direction dans sa fonction de surveillance.