Document d enregistrement universel et rapport financier annuel 2020 - BNP PARIBAS114

2 Gouvernement d entrePrise et contrôle interne

2

Le contrôle interne

manière dynamique tout au long de l année. Au total 894 missions ont été finalement réalisées en 2020, soit 90 % de l objectif de l année. Au plus fort du premier confinement, des ressources ont également été affectées en assistance à quelques Métiers ou à d autres fonctions pour les aider à faire face à des ajustements opérationnels ou à des nécessités de nouveaux reportings.

En 2020, l Inspection Générale a renouvelé son exercice annuel de Risk Assessment. Il a été précédé par une analyse d impact du Coronavirus. L ensemble des presque 3 000 Unités d Audit (AUs) ont été revues et chacune a fait l objet d une documentation de l ordre de deux pages décrivant les contours de l AU et détaillant l évaluation réalisée de son risque inhérent et de la qualité des contrôles qui y sont opérés. Au final, le profil de Risque Résiduel, qui résulte de la combinaison des deux facteurs précédents, apparaît en légère dégradation en 2020 comparé à 2019. Cette évolution est liée essentiellement à certains effets de la pandémie sur les risques intrinsèques alors que le dispositif de contrôle a montré une bonne résistance, voire une amélioration sensible dans plusieurs domaines d activité. Du fait du contexte bouleversé de 2020, l Inspection a en l occurrence conduit durant le dernier trimestre 52 missions dites « Covid », dédiées à évaluer l adaptation des Métiers et des fonctions durant la crise. Elles ont confirmé la résilience générale des modèles de contrôle dans les différentes activités et géographies.

En raison de la crise sanitaire et de ses conséquences sur son activité, l Inspection a réévalué et repositionné son plan d audit pluriannuel. Ce plan a pour objectif d organiser la couverture de l ensemble du périmètre auditable à la bonne fréquence. La fréquence d audit applicable à chaque AU est en pratique fonction de la notation du Risque Résiduel. La fréquence est d autant plus courte que ce Risque Résiduel est mesuré comme élevé. Si l AU est assortie d un cycle d audit réglementaire spécifique, le cycle applicable est le plus court entre ce cycle réglementaire et celui résultant du Risk Assessment. La combinaison de ces éléments permet de placer l ensemble des AUs dans un ordre de priorisation. La durée du cycle d audit ne peut pas excéder 5 ans en tout état de cause. Par convention, l année 2018 était considérée comme la première année d un cycle de 5 ans actuellement en cours, ce qui veut dire que la fin de 2022 constitue une date butoir pour avoir couvert au moins une fois l ensemble du périmètre auditable durant la période. Le choc de 2020 complique la réalisation de cet objectif mais il reste malgré tout proche d être atteint à ce stade dans la mesure où les missions sorties du plan d audit 2020 ont été pour la plupart remplacées par des missions réalisables et figurant, elles, aux plans de 2021 ou 2022. Il y a donc eu un phénomène de substitution par anticipation. Si cet objectif de couvrir le périmètre

auditable sans souffrir de retard significatif est donc encore d actualité, des difficultés d exécution trop contraignantes en 2021 amèneraient en revanche à étaler le plan d audit pluri-annuel de quelques semaines supplémentaires sur le début de 2023.

En 2020, l Inspection Générale a poursuivi son effort de développement de l utilisation des Data dans le cadre de ses missions. Sous l impulsion de l équipe centrale, les hubs ont mis en place une gouvernance adaptée à leur environnement en fonction de la diversité des métiers audités et du nombre de localisations. Un programme progressif comptant 5 niveaux de formation a été mis en place et proposé pour les 2 premiers niveaux à un nombre important d inspecteurs et d auditeurs. Ces actions de formation, l enrichissement de la bibliothèque de cas d usage et la contribution croissante de Data Analysts dans les missions ont fortement contribué à faire évoluer les techniques d audit et ont notablement contribué à la réalisation de missions en mode distant.

La politique de très fort investissement en matière de formation dans d autres domaines a également été poursuivie pour permettre notamment aux nouveaux entrants d acquérir le socle des compétences requises. Tous les collaborateurs de la fonction sont parallèlement assujettis à des formations réglementaires avec un haut niveau d expertise ou à des formations techniques liées à leurs profils et leurs spécialisations. Dans le même esprit, un outil de contrôle de la connaissance des principes méthodologiques a été déployé à l attention de l ensemble des populations d inspecteurs et d auditeurs. Du fait des circonstances, le dispositif de formation s est complètement réorganisé entre présentiel, distanciel et e-learning en 2020, avec une cohabitation du digital et du relationnel. Des orientations sont en cours de définition pour capitaliser à l avenir sur ces expériences.

Un projet au long cours de révision en profondeur des guides d audit a été poursuivi. Outre la réécriture de certains d entre eux, 2020 a vu la livraison d un outil mondial dédié, lequel supporte la bibliothèque des méthodologies, avec des mécanismes de mise à jour pour mieux s adosser aux évolutions réglementaires et au cadre procédural de la Banque. Ce chantier permet une plus grande homogénéité des points d audit réalisés dans les différents hubs à travers le monde.

La capacité de l Inspection Générale à remplir l ensemble de ses missions s est appuyée sur un effectif pratiquement stabilisé en effectifs moyens à un niveau très proche de 1 380 ETPs en 2019 comme en 2020 (l effectif à fin 2020 est factuellement en recul sur 12 mois mais le chiffre à fin 2019 constituait un pic temporaire du fait d un niveau d entrées atypique en toute fin d année).

EFFECTIFS DU CONTRÔLE INTERNE Les différentes fonctions du contrôle interne s appuient sur les effectifs suivants (en ETP = Équivalents Temps Plein, réalisé fin de période, et estimé pour 2020) :

2016 2017 2018(1) 2019 2020 Variation

2019-2020

Conformité 3 387 3 759 4 183 4 219 4 217 0 %

LEGAL 1 814 1 807 1 846 1 810 1 797 - 1 %

RISK 5 221 5 367 5 520 5 462 5 351 - 2 %

Contrôle périodique 1 238 1 296 1 394 1 446 1 393 - 4 %

TOTAL 11 660 12 229 12 943 12 937 12 758 - 1 %

(1) Les effectifs du contrôle interne en 2018 n incluent pas FHB (First Hawaiian Bank).