BNP - Document enregistrement universel et rapport financier annuel 2021

Document d enregistrement universel et rapport financier annuel 2021 - BNP PARIBAS116

2 Gouvernement d entrePrise et contrôle interne

Le contrôle interne

délégation, des principes d organisation, des contrôles, un dispositif de reporting et d alerte, etc.) ;

■ un contrôle et une supervision indépendants des risques : les responsables d activités opérationnelles ont la responsabilité finale des risques que leurs activités génèrent donc la responsabilité première de mettre en place et de faire fonctionner un dispositif d identification, d évaluation et de gestion des risques. Le dispositif de contrôle interne prévoit une intervention obligatoire, et le plus en amont possible, de fonctions exerçant un contrôle indépendant au titre d un deuxième niveau de contrôle. Cette intervention prend les formes suivantes :

■ définition du cadre normatif global d identification, d évaluation et de gestion des risques,

■ définition des cas où un second regard préalable d une fonction exerçant un contrôle de deuxième niveau et partagé avec l entité opérationnelle est nécessaire à la prise de décision,

■ contrôles indépendants, dit contrôles de second niveau, réalisés par ladite fonction sur le dispositif mis en place par les responsables d activités opérationnelles et sur son fonctionnement (résultat du processus d identification et d évaluation des risques, pertinence et conformité des dispositifs de maîtrise des risques et en particulier respect des limites fixées) ;

■ la séparation des tâches : elle constitue un des éléments essentiels du dispositif de maîtrise des risques. Elle consiste à attribuer certaines tâches opérationnelles contribuant à un même processus à des intervenants rapportant à des hiérarchies différentes ou à séparer ces tâches par d autres moyens, en particulier informatiques. Ainsi, par exemple, les tâches d initiation, de confirmation, d enregistrement comptable, de règlement et de réconciliation comptable d une transaction doivent-elles être assurées par des intervenants différents ;

■ la proportionnalité aux risques : la mise en œuvre du dispositif de contrôle interne doit se faire selon une approche et une intensité proportionnées aux risques. Cette proportionnalité s estime au regard d un ou plusieurs critères :

■ intensité des risques tels qu identifiés dans le cadre d exercices d évaluation (« Risk ID », RCSA ),

■ montant du capital alloué et/ou des ratios en termes de solvabilité et de liquidité,

■ criticité des activités au regard des enjeux systémiques,

■ conditions règlementaires d exercice des activités, taille des activités réalisées,

■ type de clients et canaux de distribution utilisés,

■ complexité des produits conçus ou commercialisés et/ou des services assurés,

■ complexité des processus opérés et/ou importance du recours à l externalisation avec des entités internes/externes au Groupe,

■ sensibilité de l environnement où sont localisées les activités,

■ forme juridique et/ou présence d actionnaires minoritaires ;

■ une gouvernance appropriée : le dispositif est l objet d une gouvernance associant les différents acteurs et couvrant les différents aspects du contrôle interne, tant organisationnels que de surveillance et de contrôle ; les Comités de contrôle interne en sont un instrument privilégié ; en outre, le dispositif bénéficie d un processus encadré de prise de décision par l intermédiaire d un système de délégations passant par la voie du responsable hiérarchique. Elles peuvent éventuellement impliquer un tiers appartenant à une autre ligne hiérarchique, à chaque fois que les dispositifs définis par les entités opérationnelles et/ou les fonctions exerçant un contrôle de deuxième

niveau le prévoient. Le processus d escalade permet de porter les désaccords entre les entités opérationnelles et les fonctions exerçant un contrôle de deuxième niveau, en particulier ceux liés à une prise de décision, vers les échelons hiérarchiques, et éventuellement fonctionnels, supérieurs des deux parties concernées, et in fine, en cas de non-résolution des différends, à l arbitrage des Dirigeants effectifs du Groupe. Ce processus se met en œuvre dans le respect des attributions du Directeur des Risques du Groupe qui peut exercer son droit de veto dans les conditions prévues par la Charte de la fonction RISK ;

■ une exigence de formalisation et de traçabilité : le contrôle interne s appuie sur des instructions des Dirigeants effectifs, des politiques et des procédures écrites et sur des pistes d audit. À ce titre, les contrôles, leurs résultats, leur exploitation et les remontées d informations des entités vers les niveaux supérieurs de la gouvernance du Groupe sont documentés et traçables ;

■ un devoir de transparence : tout collaborateur du Groupe, quel que soit son positionnement, a un devoir de remonter de façon transparente, c est-à-dire spontanément et sans délai, à un niveau supérieur dans l organisation à laquelle il appartient :

■ toute information nécessaire à une bonne analyse de la situation de l entité au sein de laquelle il intervient, et pouvant impacter les risques ou la réputation de son entité ou du Groupe,

■ toute question qu il ne pourrait résoudre par lui-même dans l exercice de ses fonctions,

■ toute situation anormale qu il pourrait constater ;

En outre, il dispose d un droit d alerte éthique (« Whistleblowing »), prévu par le Code de conduite du Groupe, permettant d effectuer un signalement dans un cadre placé sous responsabilité de la fonction Conformité, apportant une garantie de confidentialité renforcée et de protection contre le risque de représailles ;

■ une gestion des ressources humaines prenant en compte les objectifs du contrôle interne : les objectifs du contrôle interne doivent être pris en considération dans la gestion des carrières et des rémunérations des collaborateurs (entre autres dans le cadre du processus d évaluation, de définition des formations, de sélection des collaborateurs pour les postes clés, et dans le cadre du dispositif de fixation des rémunérations) ;

■ une adaptation continue du dispositif aux évolutions : le dispositif de contrôle interne doit être géré de façon dynamique par ses différents acteurs. Cette adaptation aux évolutions de quelque nature qu elles soient, auxquelles le Groupe doit faire face, doit se faire selon un cycle périodique défini à l avance mais aussi en continu dès que les événements le justifient.

Le respect de ces principes est régulièrement vérifié, notamment au travers des missions conduites par les équipes du contrôle périodique (Inspection Générale).

ORGANISATION DU CONTRÔLE INTERNE Le dispositif de contrôle interne du Groupe BNP Paribas est organisé autour de trois lignes de défense, sous la responsabilité des Dirigeants effectifs et la supervision du Conseil d administration.

Le contrôle permanent est la mise en œuvre en continu du dispositif de gestion des risques et est assuré par les deux premières lignes de défense. Le contrôle périodique, assuré par la troisième ligne de défense, est une fonction de vérification et d évaluation qui intervient selon un cycle d audit propre.