BNP - Document enregistrement universel et rapport financier annuel 2021

Document d enregistrement universel et rapport financier annuel 2021 - BNP PARIBAS 123

2Gouvernement d entrePrise et contrôle interne

Le contrôle interne

Gestion des risques liés aux Technologies de l Information et de la Communication

La mise en œuvre continue des initiatives de digitalisation de la Banque visant à la création de canaux simplifiés pour ses clients et ses partenaires ainsi que de nouveaux moyens de collaboration pour son personnel, introduit de nouvelles technologies et de nouveaux risques, et renforce la nécessité de continuer à surveiller le profil de risque technologique de la Banque et de s assurer de l efficacité des contrôles.

En 2021, les équipes RISK ont continué à améliorer le cadre de gestion des risques liés aux Technologies de l Information et de la Communication (TIC ou ICT en anglais), notamment à travers les actions suivantes :

■ le suivi de la résilience opérationnelle dans le contexte de la prolongation de la crise du Covid-19. En particulier, une revue des exceptions temporaires (waivers) accordées en 2020 a été réalisée en vue de stabiliser les processus opérationnels ;

■ la réalisation de tests de pénétration (Red Team) sur plusieurs entités afin d évaluer les capacités de ces dernières en matière de détection d incidents de cybersécurité, et de renforcer les mesures de protection le cas échéant ;

■ une meilleure intégration des éléments de risques ICT dans l ensemble du cadre de référence ;

■ la participation aux grands programmes du Groupe afin de fournir une analyse indépendante des risques et des plans d action identifiés sur des sujets tels que la fraude, la gestion du risque cyber ou le déploiement du cloud.

Gestion des risques liés à la protection des données personnelles

En 2021, BNP Paribas a continué à davantage intégrer et incorporer la protection des données personnelles dans les pratiques existantes de gestion et de gouvernance de la fonction RISK. Le dispositif de contrôle afférent du Groupe a été étendu afin de répondre aux préoccupations des autorités de protection des données, de prioriser les actions pour gérer les vulnérabilités et démontrer la responsabilité du Groupe en la matière.

Les réalisations majeures incluent :

■ l automatisation de la gestion du consentement et les technologies de tracking afin de soutenir l activité, d améliorer l orientation et le déploiement de l analyse d impact relative à la protection des données (Data Protection Impact Assessment ou DPIA) ;

■ la révision de la taxonomie RISK Groupe, intégrant la protection des données personnelles ;

■ le renforcement de l adoption d outils d automatisation de la protection des données, incluant la standardisation et la visibilité des enregistrements d activités de traitement ;

■ l amélioration de la transparence des applications mobiles grâce à la mise en place d étiquettes de confidentialité.

L ensemble de ces éléments apporte une cohérence au sein du Groupe et améliore la visibilité et le contrôle des pratiques clés en matière de protection des données.

Évolutions règlementaires

Sur le plan règlementaire, 2021 a été marquée par :

■ la publication, le 31 mars 2021, du règlement 2051/558/EU du Parlement européen amendant le règlement 575/2013/EU ajustant le dispositif titrisation pour soutenir le rétablissement de l économie en réponse à la crise du COVID ;

■ la publication, le 17 octobre 2021, de la proposition d amendement de la Commission européenne au règlement 575/2013/EU et la directive 2013/36/EU, visant à transposer l accord international de finalisation de Bale III ;

■ la révision de l arrêté du 3 novembre 2014 relatif au contrôle interne qui vise à apporter des clarifications et aligner le cadre français avec certaines dispositions européennes et internationales, en particulier les orientations de l Autorité bancaire européenne (ABE) relatives à l externalisation et à la gouvernance interne.

Les travaux liés à ces évolutions ont mobilisé les équipes RISK ainsi que d autres équipes du Groupe (Finance & Strategy, ALMT, métiers ).

Évolutions de la fonction RISK

RISK a poursuivi son industrialisation, notamment via le renforcement de ses plateformes opérationnelles mutualisées à Lisbonne et Mumbai et le déploiement de nouvelles plateformes à Madrid et Montréal. Un certain nombre d initiatives ont également été poursuivies et de nouvelles ont été lancées pour simplifier, automatiser et mutualiser certains processus internes à la fonction et contribuer à la revue de bout en bout de processus clients, tout en s assurant que le dispositif de contrôle soit au meilleur niveau. RISK a notamment continué d insérer des nouvelles technologies dans les processus clés de la gestion des risques en matière d octroi et de suivi des crédits, notamment autour de l alerting et de l identification de signaux faibles. Cette insertion a été réalisée avec l appui d une équipe d intelligence artificielle dédiée à la fonction et en collaboration étroite avec différents métiers du Groupe.

En 2021, RISK a par ailleurs mis en place une organisation unifiant les équipes en charge de la définition et de la supervision du dispositif de gestion du risque opérationnel (RISK Operational Risk & Controls) et celles spécifiquement en charge de la seconde ligne de défense en matière de risques technologiques et de protection de l information (RISK ORC Information and Communication Technology). En tant que seconde ligne de défense en matière de risque opérationnel, la nouvelle entité résultant de cette unification, appelée RISK Operational Risk Management (RISK ORM), mène une action d évaluation et de contrôle des risques afin de formuler une opinion indépendante qui, couplée à celle de la première ligne de défense, doit permettre au décideur in fine de prendre sa décision de manière éclairée. Cette évolution organisationnelle permettra à RISK de contribuer plus efficacement encore à l amélioration continue de la performance et de la résilience opérationnelles du Groupe.