Document de référence et rapport fi nancier annuel 2018 - BNP PARIBAS 105
2GOUVERNEMENT D ENTREPRISE ET CONTRÔLE INTERNE
2
Le contrôle interne
■ Plusieurs réalisations ayant marqué l activité du LEGAL en matière de gestion des risques juridiques, en particulier :
■ la définition d une taxonomie des risques juridiques et d une méthodologie spécifi que d évaluation des risques juridiques et de l environnement de contrôle ;
■ le déploiement d un module obligatoire de formation et de sensibilisation des collaborateurs au droit de la concurrence ;
■ le déploiement d un module obligatoire de sensibilisation des collaborateurs à la protection des données personnelles dans le cadre du règlement européen sur la protection des données personnelles entré en vigueur le 25 mai 2018 ;
■ la mise en œuvre d un plan d expertise digitale LEGAL axé sur la montée en puissance des compétences juridiques en matière digitale, dont la pièce majeure a été le développement d un centre de compétences dédié à la formation des juristes aux sujets juridiques relatifs à la digitalisation afi n d accompagner le Groupe dans son plan de transformation et d appréhender ces nouveaux enjeux. Ce centre de compétences a été développé en collaboration avec l université Assas et un cabinet d avocat international, et a d ores et déjà formé 60 juristes. Ce plan s accompagne également d une nouvelle gouvernance transversale des sujets IT et Propriété Intellectuelle au sein du LEGAL ;
■ la mise en place d un programme de « Knowledge Management » pour le LEGAL dont les premières réalisations comprennent une cartographie des savoirs du LEGAL, un recueil de bonnes pratiques, une méthodologie pour assurer la transmission des expertises « à risque », et la structuration d un annuaire digital des juristes basé sur leurs connaissances et expertises juridiques.
■ Plusieurs chantiers seront menés au cours de l année 2019, notamment :
■ la mise en place du Programme « Quality & Lean » pour l optimisation du LEGAL et l amélioration de la qualité des services, avec un pilotage par le Group General Counsel ;
■ le déploiement des contrôles de second niveau sur les processus juridiques conformément au « Target operating model » défi ni par la fonction RISK ORC en matière de risques opérationnels ;
■ le déploiement de contrôles sur les risques juridiques dans les activités opérationnelles des Métiers ;
■ l implémentation d une procédure sur la gestion des contrats standards ;
■ la défi nition d une lettre de mission pour les responsables juridiques Territoire ainsi que les responsables juridiques Métier ;
■ le déploiement de l exercice d évaluation des risques juridiques et de l environnement de contrôle ;
■ la mise en service d une application de reporting et de consolidation des risques juridiques à travers le Groupe.
RISQUE ET CONTRÔLE PERMANENT En 2018, la fonction RISK a fi nalisé le renforcement de son intégration organisationnelle verticale au travers de la conduite de différents projets et la création et/ou réorganisation de certains départements.
Le nouveau modèle de gestion du risque opérationnel a été déployé dans les entités du Groupe. Ce modèle s appuie sur une organisation hybride et complémentaire avec d une part des équipes décentralisées au sein des activités, sous la responsabilité des Directeurs des Risques de ces activités,
proches des processus, des opérationnels et des systèmes et d autre part une structure centrale ayant un rôle de pilotage et de coordination et qui accompagne les équipes locales sur les sujets nécessitant des expertises spécifi ques (par exemple : lutte contre la fraude ou gestion des risques liées à la fourniture de produits et services par des tiers).
Dans ce cadre, les équipes centrales RISK ORC Groupe et RISK ORC ICT (créé en 2017 et en charge des sujets liés aux risques technologiques et de protection des données) ont renforcé leurs effectifs afi n de pouvoir mener à bien ces missions.
La mise en œuvre de ce dispositif a fait l objet d une attention particulière en 2018, afin de réaliser les éventuels aménagements nécessaires permettant d assurer son homogénéité et son effi cacité.
Une partie significative du corpus procédural en matière de risque opérationnel (en particulier la collecte des incidents de risque opérationnel ainsi que la méthodologie de Risk and Controls Self Assessment) a été revue afi n de bien intégrer les impacts relatifs au nouveau modèle présenté plus haut.
Les équipes RISK ORC ICT ont continué à travailler à l amélioration générale du dispositif de gestion des risques technologiques. Cela s est traduit, entre autres, par :
■ la revue des paramètres du Risk Appetite Statement sur les sujets cyber et IT ;
■ une campagne « CIS 20 » (basée sur les 20 contrôles clés défi nis par le standard international du Center for Internet Security) pour évaluer le profi l de risque du Groupe ;
■ la préparation et diffusion d instructions supplémentaires sur comment gérer, par exemple, les intrusions ou les incidents ;
■ l émission de recommandations globales ou au niveau de certaines entités pour rehausser notre niveau de protection.
De plus, le sujet de protection des données personnelles a également été un point d attention majeur en 2018, avec l entrée en vigueur du Règlement Général sur la Protection des Données (règlement n° 2016/679) le 25 mai 2018. RISK, avec les acteurs concernés, a travaillé au renforcement du dispositif autour de la confi dentialité des données. En particulier, le réseau de Délégués à la Protection des Données est désormais intégré au sein de RISK et la gouvernance associée a été mise en place à travers le Groupe.
2018 a également été marquée par une activité réglementaire soutenue avec notamment :
■ l exercice de stress testing conduit par l Autorité Bancaire Européenne ;
■ l entrée en application d IFRS 9 ;
■ des évolutions concernant le cadre autour des prêts non performants et plus généralement sur les aspects liés à la qualité des actifs bancaires.
Les travaux liés à cette activité ont mobilisé des équipes de Group Finance, RISK et l ALM Treasury.
Par ailleurs, RISK s est vu attribuer en 2018 la responsabilité de seconde ligne de défense sur les risques environnementaux, sociaux et de gouvernance (ESG). Ce projet a donné lieu à la formalisation de principes directeurs afi n de faire évoluer le cadre, les processus, la gouvernance des comités de crédit dans le but d inclure une analyse des risques ESG sur les entreprises non fi nancières clientes du Groupe. La mission confi ée à RISK débutera dès janvier 2019, tout en poursuivant durant l année 2019 les ajustements nécessaires, ainsi que la formation des première et deuxième lignes sur ces risques pour une mise en pratique effi cace.