Document enregistrement universel et rapport financier annuel 2019

Document d enregistrement universel et rapport financier annuel 2019 - BNP PARIBAS106

2 Gouvernement d entrePrise et contrôle interne

Le contrôle interne

■ la poursuite de la formation de nouveaux juristes aux sujets juridiques relatifs à la digitalisation dans le cadre du plan d expertise digitale LEGAL ;

■ l accélération de la mise en œuvre du programme « Quality & Lean ».

RISQUE ET CONTRÔLE PERMANENT Le nouveau modèle de gestion du risque opérationnel du point de vue de l équipe de 2e ligne RISK est désormais déployé dans les entités du Groupe. Ce modèle s appuie sur une organisation hybride et complémentaire avec d une part des équipes décentralisées au sein des activités, sous la responsabilité des Directeurs des Risques de ces activités, proches des processus, des opérationnels et des systèmes et d autre part une structure centrale (RISK ORC Group) ayant un rôle de pilotage et de coordination et qui accompagne les équipes locales sur les sujets nécessitant des expertises spécifiques (par exemple : lutte contre la fraude ou gestion des risques liées à la fourniture de produits et services par des tiers).

Le corpus procédural en matière de risque opérationnel a fait l objet d une refonte en profondeur depuis 2018 sur l ensemble des composantes du dispositif :

■ Risk and Control Self Assessment (RCSA)

■ Contrôles

■ Collecte des Incidents Historiques

■ Analyse et quantifications des scénarios de risque opérationnel (« Incidents Potentiels »)

■ Plans d actions

Des travaux portant sur la taxonomie des risques ainsi que sur la cartographie des processus et des organisations ont également été menés afin de normaliser davantage les référentiels soutenant l analyse et la gestion du risque opérationnel.

En complément de ces évolutions méthodologiques, un nouvel outil intégré de gestion du risque opérationnel (« 360 Risk Op ») a commencé à être déployé depuis le quatrième trimestre 2019. Cet outil est composé de différents modules interconnectés et le premier d entre eux dédié à la collecte des Incidents Historiques a été mis en production le 4 Novembre 2019. Les autres modules (RCSA, Incidents Potentiels, Contrôles et Plans d action) seront livrés progressivement entre 2020 et 2021.

En matière de risques technologiques, les équipes RISK ORC ICT ont continué à travailler à l amélioration générale du dispositif de gestion des risques, qui s est traduit, entre autres, par :

■ L évaluation de la capacité de protection et de détection des risques à travers la réalisation de tests techniques approfondis pour les entités du Groupe et de tests indépendants en environnement de production (sous forme de missions Red Team) ;

■ La co-définition des standards de référence en termes de protection, de détection et de gestion de crise ;

■ Le renforcement de la surveillance de la posture adoptée face aux risques IT résiduels du Groupe et du reporting règlementaire ;

■ La co-définition des risques IT et Sécurité pour les services mutualisés du Groupe (par exemple CyberSOC, services Cloud, etc..) ;

■ La réalisation de simulations de crises basées sur des scénarios de résilience opérationnelle complexes.

Le réseau mondial d agents de protection (« Data Protection Officers ») des données et le cadre de protection des données ont également été renforcés cette année. Les principales initiatives en matière de protection des données en 2019 comprennent les activités suivantes, visant à

rationaliser les exigences de protection des données dans le dispositif de contrôle global du Groupe :

■ L ajout des exigences relatives au Règlement Général sur la Protection des Données (RGPD) au programme de Cybersécurité ;

■ L accentuation des efforts de conseil et de gestion des performances par l Office de Protection des Données Groupe (GDPO).

2019 a également été marquée par une activité règlementaire soutenue avec notamment :

■ l introduction du nouveau dispositif prudentiel sur les émissions de titrisation ;

■ le vote du nouveau règlement Européen CRR2 dont les principales dispositions prudentielles entreront en vigueur en 2021 ;

■ des évolutions concernant le cadre autour des prêts non performants et plus généralement sur les aspects liés à la qualité des actifs bancaires.

Les travaux liés à cette activité ont mobilisé des équipes de Group Finance, RISK et l ALM Treasury.

Par ailleurs, RISK, en tant que seconde ligne de défense sur les risques environnementaux, sociaux et de gouvernance (ESG), a poursuivi en 2019 ses travaux pour adapter le cadre, les processus et la gouvernance des Comités de crédit dans le but d inclure une analyse des risques ESG sur les entreprises non financières clientes du Groupe. Les équipes ont par ailleurs poursuivi le déploiement effectif de la deuxième ligne de défense dans les principales lignes de métiers corporate du Groupe.

RISK a continué son industrialisation, notamment via le renforcement de ses plateformes opérationnelles mutualisées à Lisbonne et Mumbai. Un certain nombre d initiatives ont également été poursuivies et de nouvelles ont été lancées pour simplifier, automatiser et mutualiser certains processus internes à la fonction et contribuer à la revue de bout en bout de processus clients, tout en s assurant que le dispositif de contrôle soit au meilleur niveau. Par ailleurs, RISK a continué d insérer des nouvelles technologies dans les processus clés de la gestion des risques, que ce soit via des partenariats avec des « fintechs » en matière d octroi et de suivi de nos crédits ou via l établissement d une équipe d intelligence artificielle dédiée à la fonction.

En 2020, les principaux chantiers de la fonction RISK seront :

■ la livraison et le déploiement dans les métiers et fonctions du nouveau système d information relatif au risque opérationnel sur les modules restants et l accompagnement des entités opérationnelles dans le cadre de ce déploiement ;

■ la poursuite des travaux relatifs à la finalisation de la mise en place du dispositif de « Third Party Risk Management » ;

■ le renforcement du dispositif autour de la continuité d activité et de la gestion de crises, notamment pour les aspects liés aux risques technologiques ;

■ le renforcement du dispositif en matière de protection des données du Groupe ;

■ l intégration des risques ESG, notamment climatiques, dans le dispositif global de gestion des risques du Groupe ;

■ l accompagnement de la transformation des activités du Groupe, via la poursuite de sa propre industrialisation et l amélioration de son insertion dans les processus des métiers, ainsi que l intégration de nouvelles technologies visant à faire progresser et améliorer l efficacité du dispositif de gestion des risques du Groupe ;

■ la mise en place de nouveaux chantiers et/ou projets permettant de répondre pleinement aux attentes des régulateurs et superviseurs du Groupe.