Document de référence et rapport fi nancier annuel 2018 - BNP PARIBAS102
2 GOUVERNEMENT D ENTREPRISE ET CONTRÔLE INTERNE
2
Le contrôle interne
au regard du « Risk Appetite Statement » défi ni et proposent toutes actions d amélioration qu ils jugent nécessaires.
■ Le responsable d une fonction exerçant un contrôle de deuxième niveau exerce sa mission en s appuyant sur des équipes qui peuvent être placées :
■ soit sous sa responsabilité hiérarchique directe ou indirecte, la fonction est alors dite intégrée. Elle dispose ainsi de sa pleine autorité sur son budget et la gestion de ses ressources humaines,
■ soit sous sa responsabilité fonctionnelle directe ou indirecte (fonction dite non intégrée) sous réserve de codécision avec le responsable hiérarchique en matière de Ressources Humaines et de budget.
Les trois fonctions intégrées exerçant un contrôle de deuxième niveau sont :
■ RISK, en charge de l organisation et de la supervision du dispositif global de maîtrise des risques auxquels le Groupe BNP Paribas est exposé, et plus particulièrement du risque de crédit et de contrepartie, du risque de marché, du risque de fi nancement et de liquidité, du risque de taux et de change dans le Banking book, du risque d assurance et du risque opérationnel. Le responsable de RISK est par ailleurs le responsable du contrôle permanent, en charge de la cohérence et du bon fonctionnement du dispositif de contrôle permanent du Groupe BNP Paribas ;
■ Conformité, en charge de l organisation et de la supervision du dispositif de maîtrise du risque de non-conformité. À ce titre elle contribue au contrôle permanent du respect des dispositions législatives et réglementaires, des normes professionnelles et déontologiques, ainsi que des orientations du Conseil d administration et des instructions de la Direction Générale ;
■ LEGAL, en charge de l organisation et de la supervision du dispositif de maîtrise du risque juridique exerce sa responsabilité de prévention et de gestion des risques juridiques au travers de ses rôles de conseil et de contrôle. Son contrôle s exerce par (i) le suivi de l implémentation des avis juridiques émis destinés à éviter ou à limiter les effets d un risque juridique majeur et (ii) le contrôle de premier et de second niveau exercé sur les processus juridiques. Les missions de la fonction sont menées de manière indépendante des lignes d activités et fonctions de support. La fonction est intégrée hiérarchiquement sous la seule autorité de son responsable, le « Group General Counsel », qui est rattaché au Directeur Général.
Les responsables de ces fonctions peuvent être entendus par le Conseil d administration ou l un de ses Comités spécialisés, directement, éventuellement sans la présence des Dirigeants effectifs, ou à leur demande.
Les deux fonctions non intégrées exerçant un contrôle de deuxième niveau sont :
■ Affaires Fiscales Groupe, au titre de l organisation du dispositif de maîtrise du risque fi scal du Groupe et de sa contribution à sa mise en œuvre ;
■ Finance Groupe, au titre de sa responsabilité dans la défi nition et la mise en œuvre du dispositif de maîtrise des risques liés à l information comptable et fi nancière.
La nomination des responsables des fonctions Conformité, Finance et Risque s inscrit dans le cadre défi ni par l Autorité bancaire européenne.
■ L Inspection Générale (troisième ligne de défense) : en charge du contrôle périodique, l Inspection Générale exerce la fonction d audit interne et contribue à la protection du Groupe, en exerçant de manière
indépendante son rôle de troisième ligne de défense sur l ensemble des entités du Groupe et dans tous les domaines. Elle regroupe :
■ les inspecteurs basés au niveau central qui ont vocation à intervenir sur l ensemble du Groupe ;
■ les auditeurs répartis dans des plateformes géographiques ou métiers (appelées « hubs »).
L Inspecteur Général, responsable du contrôle périodique, est directement rattaché au Directeur Général.
■ Les Dirigeants effectifs : le Directeur Général et le Directeur Général délégué assurent la direction effective de l entreprise au sens réglementaire et légal du terme. En pratique, les Dirigeants effectifs prennent leurs principales décisions dans le cadre de Comités spécialisés leur permettant de s appuyer sur les experts les mieux informés des sujets à traiter.
Les Dirigeants effectifs sont responsables du dispositif d ensemble du contrôle interne. À ce titre et sans préjudice des prérogatives du Conseil d administration, les Dirigeants effectifs :
■ arrêtent les politiques et procédures essentielles organisant ce dispositif,
■ supervisent directement les fonctions exerçant un contrôle indépendant et assurent à ces dernières les moyens leur permettant d assurer leurs responsabilités de façon effective,
■ fi xent les politiques de prise de risque du Groupe, valident les décisions les plus importantes en cette matière et rendent si nécessaire les ultimes arbitrages dans le cadre du processus d escalade. Ce processus se met en œuvre dans le respect des attributions du Directeur des Risques du Groupe qui peut exercer son droit de veto dans les conditions prévues par la charte de la fonction RISK,
■ évaluent et contrôlent périodiquement l effi cacité des politiques, dispositifs et procédures du contrôle interne et prennent les mesures appropriées pour remédier aux éventuelles défaillances,
■ sont destinataires des principaux rapports relatifs au contrôle interne du Groupe,
■ rendent compte au Conseil d administration ou à ses Comités compétents du fonctionnement de ce dispositif.
■ Le Conseil d administration : le Conseil d administration exerce directement ou via des Comités spécialisés (Comité des Comptes, CCIRC, Comité de gouvernance, d éthique, des nominations et de la RSE, etc.) des responsabilités essentielles en termes de contrôle interne. Entre autres, le Conseil d administration :
■ détermine, sur proposition des Dirigeants effectifs, la stratégie et les orientations de l activité de contrôle interne et veille à leur mise en œuvre,
■ procède au moins deux fois par an à l examen de l activité et des résultats du contrôle interne,
■ procède à l examen, évalue et contrôle régulièrement l effi cacité du dispositif de gouvernance, comprenant en particulier la claire défi nition des responsabilités, et du contrôle interne, comprenant en particulier les procédures de déclaration des risques, et prend les mesures appropriées pour remédier aux éventuelles défaillances qu il constate,
■ valide le « Risk Appetite Statement », approuve et revoit régulièrement les stratégies et politiques régissant la prise, la gestion, le suivi et la maîtrise des risques et approuve leurs limites globales.