Document d enregistrement universel et rapport financier annuel 2020 - BNP PARIBAS462

5 risques et adéquation des fonds ProPres Pilier 3

5

Risque opérationnel

RISQUE FISCAL BNP Paribas est soumis aux règlementations fiscales en vigueur dans les différents pays où le Groupe est présent et qui s appliquent aux secteurs d activité dont relèvent les différentes entités du Groupe, comme la banque, l assurance et les services financiers.

La fonction fiscale est une fonction à compétence mondiale chargée d assurer la maîtrise du risque fiscal de l ensemble des opérations réalisées par le Groupe. Compte tenu des enjeux financiers et en termes de réputation, la fonction Finance et la Conformité sont associées au suivi du risque fiscal.

La fonction fiscale est exercée par les Affaires Fiscales Groupe (AFG) qui s appuient sur des responsables fiscaux dans certains métiers ainsi que dans les principaux Territoires d implantation du Groupe (et sur des correspondants fiscaux dans les autres Territoires où le Groupe est implanté).

Afin d assurer la cohérence des pratiques fiscales du Groupe et le suivi du risque fiscal global, les AFG :

■ ont défini des procédures couvrant l ensemble des pôles et destinées à assurer l identification, la maîtrise et le contrôle du risque fiscal ;

■ ont mis en place un processus de remontée d informations de nature à contribuer au contrôle du risque fiscal local ;

■ assurent un reporting à la Direction Générale sur l évolution des risques fiscaux ;

■ supervisent les risques opérationnels à caractère fiscal et les recommandations de l audit interne sur le périmètre de responsabilité de la fonction fiscale.

Un Comité de coordination fiscale, auquel participent la fonction Finance et la Conformité et, en cas de besoin, les métiers, a vocation à analyser les principales problématiques fiscales des opérations réalisées par le Groupe.

CYBERSÉCURITÉ ET TECHNOLOGIE L utilisation et la protection des données et des technologies sont déterminantes pour l activité de la Banque et son processus de transformation.

Tandis que la Banque poursuit le déploiement du Digital Banking (pour les clients et les partenaires du Groupe) et du Digital Working (pour les collaborateurs du Groupe), elle doit intégrer de nouvelles technologies, des pratiques de gestion des risques innovantes et mettre en place de nouvelles méthodes de travail. Cela introduit de nouveaux risques technologiques dans le domaine de la cybersécurité.

La gestion de la technologie et de la sécurité des systèmes d information fait partie de la stratégie du Groupe en matière de cybersécurité. Cette stratégie se concentre sur la préservation des données les plus sensibles en adaptant régulièrement d une part, ses processus et procédures internes et d autre part, la formation et la sensibilisation de ses collaborateurs, afin de faire face à des menaces de plus en plus sophistiquées et variées.

Afin de renforcer ses technologies et la protection de ses données, le Groupe a adopté une approche globale dans la gestion de la cybersécurité au travers de ses 3 lignes de défense :

■ les entités opérationnelles constituent une première ligne de défense. Depuis 2015, le Groupe a décliné dans l ensemble des entités un programme de transformation basé sur le référentiel international

NIST (National Institute of Standards and Technology). Ce programme est régulièrement mis à jour en prenant en compte les nouvelles menaces et incidents récents identifiés à l échelle mondiale ;

■ en seconde ligne de défense, l équipe dédiée à la gestion de la cybersécurité et du risque technologique (RISK ORC ICT) sous la responsabilité du Chief Cyber and Technology Risk Officer a pour mission de :

■ présenter la situation du Groupe en matière de cybersécurité et de risque technologique au Comité Exécutif du Groupe, au Conseil d administration et aux autorités de surveillance,

■ suivre le programme de transformation à travers l ensemble du Groupe,

■ intégrer les dimensions cybersécurité et risque technologique dans l ensemble des grands projets au sein du Groupe,

■ assurer que les politiques, les procédures et les principaux projets prennent en compte les aspects de cybersécurité et de risque technologique,

■ suivre les risques existants et identifier les nouvelles menaces susceptibles d avoir un impact négatif sur l activité du Groupe,

■ superviser les risques liés aux systèmes d information tiers dans un cadre renforcé,

■ réaliser des campagnes d évaluation indépendante du risque sur les objectifs prioritaires,

■ mener des actions afin d évaluer et de renforcer la capacité du Groupe à répondre aux failles et aux incidents.

En troisième ligne de défense, l Inspection Générale a pour mission de :

■ évaluer les processus mis en place dans la gestion des risques ICT, ainsi que les contrôles et la gouvernance associés ;

■ vérifier le bon respect des lois et des règlements ;

■ proposer des axes d amélioration afin de renforcer les dispositifs mis en place.

Le Groupe répond aux nouveaux risques technologiques et de cybersécurité de la manière suivante :

■ risques ICT liés à la disponibilité et à la continuité :

BNP Paribas s appuie largement sur les systèmes de communication et d information dans l ensemble de ses activités. Toute faille dans la sécurité de ces systèmes pourrait entraîner des défaillances ou des interruptions dans les systèmes utilisés pour la gestion des relations clients ou pour l enregistrement des opérations (dépôts, services, prêts) et pourrait ainsi entraîner des coûts importants pour récupérer et vérifier les données compromises. Le Groupe gère et révise régulièrement ses plans de gestion des crises et de continuité d activité au travers de test de ses services de restauration de données et de la robustesse de ses systèmes d information selon différents scénarios de stress planifiés ;

■ risques ICT liés à la sécurité :

Le Groupe est vulnérable au risque de cybersécurité, ou au risque causé par un acte malveillant et/ou frauduleux, commis avec l intention de manipuler des informations (données confidentielles, banque/assurance, techniques ou stratégiques), des processus et des utilisateurs, pouvant entraîner des pertes significatives pour les filiales, les collaborateurs, les partenaires et les clients du Groupe. Le Groupe réévalue continuellement les menaces à mesure qu elles évoluent et atténue les risques détectés en temps opportun grâce à des contre- mesures efficaces ;