BNP - Document enregistrement universel et rapport financier annuel 2021

Document d enregistrement universel et rapport financier annuel 2021 - BNP PARIBAS122

2 Gouvernement d entrePrise et contrôle interne

Le contrôle interne

LEGAL

Organisation et évolution de la fonction

LEGAL est une fonction indépendante et intégrée comprenant l ensemble des équipes juridiques du Groupe. Tous les collaborateurs de LEGAL rapportent hiérarchiquement directement ou indirectement au « Group General Counsel », afin de permettre aux juristes d exercer leurs missions dans des conditions qui garantissent leur liberté de jugement et d action.

À tous les niveaux du Groupe, il y a une organisation LEGAL permettant une couverture adéquate des risques juridiques. Ainsi, basées sur l organisation du Groupe, des équipes juridiques dédiées couvrent les métiers, les régions et les territoires. De plus les plateformes, créées en 2020 et au nombre de 6 à fin 2021, sont des équipes juridiques internes dédiées qui ont pour but de structurer et d organiser la prestation de services juridiques dans tous les secteurs d activité, entités et géographies concernées dans le cadre du domaine d expertise exclusif qui leur est attribué. Les LEGAL practices quant à elles, au nombre de 4 à fin 2021, sont des équipes spécialisées par domaine d expertise juridique en charge de l animation transversale au sein du LEGAL dans les métiers, les territoires et les plateformes ainsi que de l escalade des risques juridiques majeurs dans leur périmètre. Par ailleurs, « Group Dispute Resolution » (GDR) est une équipe mondiale et intégrée hiérarchiquement afin d assurer une gestion adaptée des litiges majeurs du Groupe et des investigations ainsi que des questions juridiques liées à la sécurité financière (telles que les embargos et la lutte anti-blanchiment). Enfin, deux départements en central apportent les services de support à l organisation de LEGAL.

Les principales réalisations 2021 concernant le dispositif de gestion des risques juridiques

Tout au long de l année, LEGAL a poursuivi le renforcement du dispositif de gestion des risques juridiques avec l exercice du RCSA, (Risk and Control Self-Assessment) réalisé par l ensemble des équipes juridiques en local et en central. Par ailleurs, les contrôles de second niveau sur les processus juridiques (independent testing et check & challenge) ont été significativement renforcés avec la réalisation d une dizaine de missions sur l année allant de la vérification des contrôles de 1er niveau à des missions plus thématiques ou transversales.

En parallèle, LEGAL a été fortement sollicité lors de la mission d inspection de la BCE portant sur le dispositif de contrôle permanent du Groupe dans la revue du rapport, des constats et des recommandations émises.

La procédure définissant le dispositif de veille juridique et règlementaire sur l ensemble du Groupe a été mise à jour avec notamment la définition de certaines bonnes pratiques et la clarification de points relatifs au partage des responsabilités et à la réalisation des contrôles.

L équipe en charge de l anticipation du risque juridique a poursuivi son industrialisation avec la définition et la mise en production de tableaux de bord des risques juridiques majeurs à partir de l outil de recensement interne.

LEGAL a également poursuivi son accompagnement pédagogique des premières lignes de défense des métiers et fonctions du Groupe, en étroite collaboration avec les différentes équipes de RISK ORM au niveau des pôles opérationnels et des métiers.

Enfin, LEGAL poursuit au fil de l eau l exercice de « check & challenge » des incidents de risque opérationnel du Groupe identifiés comme entraînant un risque juridique. Le rôle de seconde ligne de défense de LEGAL dans le « check and challenge » des RCSA des métiers et des fonctions représente une part croissante de son activité.

Les principaux chantiers 2022

L année prochaine sera dédiée principalement à la poursuite de la mise en œuvre des recommandations émises à la suite de la mission de la BCE.

Par ailleurs, capitalisant sur les résultats des RCSA et l existence de ces plateformes et practices, LEGAL va renforcer les travaux visant à évaluer certains risques juridiques de manière transversale.

Enfin, l industrialisation de certains contrôles de second niveau ainsi qu une implication renforcée de LEGAL pour challenger les premières lignes de défense (check & challenge) seront rendus possibles avec l implémentation des nouveaux modules prévus dans les outils mis à disposition par RISK ORM.

RISQUE ET CONTRÔLE PERMANENT

Gestion du risque opérationnel

Le modèle de gestion du risque opérationnel du point de vue de l équipe de deuxième ligne RISK s appuie sur une organisation reposant sur, d une part, des équipes décentralisées au sein des activités, sous la responsabilité des Directeurs des Risques de ces activités, proches des processus, des opérationnels et des systèmes et, d autre part, une structure centrale (RISK ORM) ayant un rôle de pilotage et de coordination et accompagnant les équipes locales sur les sujets nécessitant des expertises spécifiques (par exemple : la cybersécurité, la lutte contre la fraude ou la gestion des risques liés à la fourniture de produits et services par des tiers).

Le corpus procédural en matière de risque opérationnel a fait l objet d une refonte en profondeur depuis 2018 sur l ensemble des composantes du dispositif :

■ Risk and Control Self Assessment (RCSA) ;

■ Contrôles ;

■ Collecte des Incidents Historiques ;

■ Analyse et quantifications des scénarios de risque opérationnel (« Incidents Potentiels ») ;

■ Plans d action ;

■ Gestion du risque lié à l externalisation.

Des travaux portant sur la taxonomie des risques ainsi que sur la cartographie des processus et des organisations ont également été menés afin de normaliser davantage les référentiels soutenant l analyse et la gestion du risque opérationnel.

En complément de ces évolutions méthodologiques, un nouvel outil intégré de gestion du risque opérationnel (« 360 Risk Op »), composé de différents modules interconnectés, est déployé depuis le quatrième trimestre 2019. Après la mise en production du module dédié à la collecte des Incidents Historiques en 2019, de ceux relatifs aux RSCA, aux Incidents Potentiels et à la collecte des arrangements d externalisation en 2020, celui dédié aux Plans d action est disponible depuis avril 2021. Les derniers modules restants portent sur le sujet des contrôles et sont progressivement développés et déployés depuis l été 2021.

Le chantier de revue des contrôles de premier niveau par les entités du Groupe, lancé en 2019, avec la contribution des fonctions de contrôle, a été finalisé en 2021. Le déploiement en cours des outils relatifs aux contrôles pourra capitaliser sur les apports de ces travaux.