Document enregistrement universel et rapport financier annuel 2020

Document d enregistrement universel et rapport financier annuel 2020 - BNP PARIBAS112

2 Gouvernement d entrePrise et contrôle interne

Le contrôle interne

■ La réalisation de plusieurs actions en cours d année, dont :

■ le renforcement du plan de contrôle générique portant sur les 5 processus contrôlés de bout en bout par la Fonction (Veille Juridique et Réglementaire ; Conseil Juridique ; Externalisation ; Gestion des litiges ; Gestion des Risques Juridiques), en lien avec la procédure de RISK et conformément aux attentes de l Inspection Générale.

■ la définition d une méthodologie de RCSA (Risk and Control Self Assessment) adaptée puis la réalisation de l exercice de manière centralisée, sur l ensemble du périmètre opérationnel de la fonction ;

■ un rôle croissant dans le « check and challenge » des RCSA des Métiers et des fonctions à poursuivre en 2021 pour assurer une plus grande systématisation de l implication de LEGAL ;

■ un accompagnement pédagogique continu des premières lignes de défense des Métiers et fonctions et une collaboration étroite avec les différentes équipes de RISK ORC en Central, au niveau des Pôles et des Métiers ;

■ l émission de guidelines (transposition d une procédure existante) à l attention des équipes non juridiques, sur la gestion du risque juridique pouvant émaner de certains processus sous leur responsabilité et les contrôles à mettre en place ;

■ la contribution à la revue du stock des incidents de risque opérationnel du Groupe identifiés comme entraînant un risque juridique.

■ La poursuite des développements des outils :

■ la définition et l implémentation des tableaux de reporting dans l outil interne de LEGAL recensant les risques juridiques majeurs ;

■ le design et les tests de la solution applicative « Matter Management » dont la mise en production est prévue au 1er semestre 2021.

■ Enfin, plus récemment la mise en place de plateformes transactionnelles et transversales dans le cadre du programme « Quality and Lean » :

■ elles contribueront au renforcement des contrôles sur les zones de risques spécifiques identifiées par les juristes experts desdites plateformes et ce, quel que soit le périmètre dans le Groupe ;

■ elles permettront de gagner en agilité, en anticipation et en cohérence des contrôles opérés, et à opérer dans le Groupe, dans le cadre de la gestion du risque juridique.

L année 2021 verra la poursuite des différentes actions entreprises. À ce titre, les développements prévus dans les outils mis à disposition par RISK ORC sont particulièrement clés. Enfin, la capacité de LEGAL à continuer l industrialisation de ses processus est également essentielle.

RISQUE ET CONTRÔLE PERMANENT

Gestion du risque opérationnel

Le modèle de gestion du risque opérationnel du point de vue de l équipe de deuxième ligne RISK s appuie sur une organisation reposant sur, d une part, des équipes décentralisées au sein des activités, sous la responsabilité des Directeurs des Risques de ces activités, proches des processus, des opérationnels et des systèmes et, d autre part, une structure centrale (RISK ORC Group) ayant un rôle de pilotage et de coordination et accompagnant les équipes locales sur les sujets nécessitant des expertises spécifiques (par exemple : lutte contre la

fraude ou gestion des risques liés à la fourniture de produits et services par des tiers).

Le corpus procédural en matière de risque opérationnel a fait l objet d une refonte en profondeur depuis 2018 sur l ensemble des composantes du dispositif :

■ Risk and Control Self Assessment (RCSA) ;

■ Contrôles ;

■ Collecte des Incidents Historiques ;

■ Analyse et quantifications des scénarios de risque opérationnel (« Incidents Potentiels ») ;

■ Plans d action ;

■ Gestion du risque lié à l externalisation.

Des travaux portant sur la taxonomie des risques ainsi que sur la cartographie des processus et des organisations ont également été menés afin de normaliser davantage les référentiels soutenant l analyse et la gestion du risque opérationnel.

En complément de ces évolutions méthodologiques, un nouvel outil intégré de gestion du risque opérationnel (« 360 Risk Op »), composé de différents modules interconnectés, est déployé depuis le quatrième trimestre 2019. Après la mise en production du premier d entre eux dédié à la collecte des Incidents Historiques, ceux relatifs aux RSCA, aux Incidents Potentiels et à la collecte des arrangements d externalisation ont été livrés en 2020. Les derniers modules restants (Contrôles et Plans d action) le seront progressivement à partir de 2021.

Le chantier de revue des contrôles de premier niveau par les entités du Groupe, initié à partir de 2019, s est également poursuivi en 2020 avec la contribution des fonctions de contrôle. Il fera l objet d un approfondissement en 2021.

Gestion des risques liés aux Technologies de l Information et de la Communication et à la protection des données

La mise en œuvre continue des initiatives de digitalisation de la Banque visant à la création de canaux simplifiés pour ses clients et ses partenaires ainsi que de nouveaux moyens de collaboration pour son personnel, introduit de nouvelles technologies et de nouveaux risques. Cela souligne la nécessité de continuer à surveiller le profil de risque technologique de la Banque et de s assurer de l efficacité des contrôles.

En 2020, les équipes RISK ont continué à améliorer le cadre de gestion des risques liés aux Technologies de l Information et de la Communication (TIC ou ICT en anglais) à travers les actions suivantes :

■ la mise en œuvre des plans de crise relatifs aux scénarios pandémiques afin de fournir des solutions à long terme, en réponse à la crise Covid-19 et aux exigences des autorités locales. En outre, le Groupe a renforcé le suivi global en matière de résilience opérationnelle, fourni à la fois à la Direction de la Banque et aux régulateurs, avec des informations actualisées sur les mesures mises en œuvre en interne ;

■ l intégration des éléments de risques ICT dans l ensemble du cadre de référence en matière de risques IT et cyber, complétant ainsi le cadre de gestion du risque ;

■ la formalisation d une base de référence en matière de sécurité cloud qui englobe les contrôles portant sur la protection contre les risques de fuites de données, d intrusions et de ransomware. En outre, RISK a mis en place une gouvernance dédiée à la sécurité cloud afin de renforcer l alignement des projets liés au cloud sur les principes directeurs fixés par le Groupe (Cloud Blueprint) ;