BNP - Document enregistrement universel et rapport financier annuel 2021

Document d enregistrement universel et rapport financier annuel 2021 - BNP PARIBAS124

2 Gouvernement d entrePrise et contrôle interne

Le contrôle interne

Gestion des risques environnementaux, sociaux et de gouvernance

Comme en témoignent ses engagements, le Groupe BNP Paribas accorde une attention toute particulière aux sujets environnementaux, sociaux et de gouvernance (« ESG ») et à leur place grandissante dans la conduite des opérations et la gestion des risques associés.

En 2021, le Plan d action du Groupe visant à renforcer le dispositif ESG de la Banque a permis des avancées notables avec la livraison d une première version de la plateforme interne de données ESG ainsi que le lancement du déploiement de l approche commune d évaluation du profil ESG des clients grandes entreprises du Groupe. Cette dernière vise notamment à identifier les entreprises dont la faiblesse en matière d ESG pourrait se traduire en risques de crédit, d investissement, de réputation, et en impacts environnementaux et sociaux négatifs. Elle permet également d accompagner le dialogue avec les entreprises et de soutenir la transition de celles désireuses d évoluer vers un modèle d affaires plus durable.

En tant que seconde ligne de défense pour les risques environnementaux, la fonction RISK a ainsi poursuivi les travaux d insertion opérationnelle de cette approche d analyse.

En fin d année 2021, le Groupe s est doté d une nouvelle gouvernance « Finance durable » intégrant l ensemble des travaux du Plan d action ESG.

Des informations complémentaires sur la gestion des risques liés au changement climatique sont données dans l Engagement 3 décrit au sein du chapitre 7 du Document d enregistrement universel.

Chantiers 2022

En 2022, les principaux chantiers de la fonction RISK seront :

■ la livraison et le déploiement au sein du Groupe des modules restants du nouveau système d information relatif au contrôle permanent et l accompagnement des entités opérationnelles correspondant ;

■ la continuation des travaux relatifs à la finalisation de la mise en place du dispositif de « Third Party Risk Management » ;

■ la poursuite du renforcement du dispositif autour de la continuité d activité et de la gestion de crise, notamment pour les aspects liés aux risques technologiques ;

■ l amélioration continue du dispositif en matière de protection des données du Groupe ;

■ la poursuite de l intégration des risques ESG dans le dispositif global de gestion des risques du Groupe ;

■ l accompagnement de la transformation des activités du Groupe, via sa propre industrialisation et l amélioration de son insertion dans les processus des métiers, ainsi que l intégration de nouvelles technologies visant à faire progresser et améliorer l efficacité du dispositif de gestion des risques du Groupe ;

■ la mise en place de nouveaux chantiers et/ou projets permettant de répondre pleinement aux attentes des régulateurs et superviseurs du Groupe.

CONTRÔLE PÉRIODIQUE Si l année 2021 a de nouveau été marquée par la pandémie de Coronavirus, l Inspection Générale a su adapter son dispositif afin d atteindre ses objectifs. Les nouvelles méthodes de collaboration entre les équipes de l Inspection Générale centrale et celles des hubs d audit présents dans les pays ; mais également entre les auditeurs et les audités sont partout déployées, permettant des travaux en mode distant. Néanmoins, les missions d audit avec une présence physique sur sites sont privilégiées autant que possible. Le plan d audit a été largement respecté. Au total 898 missions auront été finalement réalisées en 2021, soit 96 % de l objectif de l année, dont 91 % telles que prévues au plan d origine.

En 2021, l Inspection Générale a renouvelé son exercice annuel de Risk Assessment. L ensemble des presque 3 000 Unités d Audit (AUs) a été revu et chacune a fait l objet d une documentation de l ordre de deux pages décrivant les contours de l AU et détaillant l évaluation réalisée de son risque inhérent et de la qualité des contrôles qui y sont opérés. Le profil de Risque Résiduel qui en résulte apparaît en amélioration en 2021 comparé à 2020, revenant à un niveau comparable à 2019. L année 2020 avait aggravé des risques intrinsèques liés à certains effets de la pandémie. L année 2021 présente un retour à la normale. Le dispositif de contrôle en général a montré une bonne résistance en 2020, puis une amélioration en 2021 dans plusieurs domaines d activité, notamment dans le domaine de la Sécurité Financière.

Après une année 2020 bousculée en termes de plan d audit, l Inspection a réévalué et repositionné son plan d audit pluriannuel en 2021. Ce plan a pour objectif d organiser la couverture de l ensemble du périmètre auditable à la bonne fréquence. La fréquence d audit applicable à chaque AU est en pratique fonction de la notation du Risque Résiduel. La fréquence est d autant plus courte que ce Risque Résiduel est mesuré comme élevé. Si l AU est assortie d un cycle d audit règlementaire spécifique, le cycle applicable est le plus court entre ce cycle règlementaire et celui résultant du Risk Assessment. La combinaison de ces éléments permet de placer l ensemble des AUs dans un ordre de priorisation. La durée du cycle d audit ne peut pas excéder 5 ans en tout état de cause. Par convention, l année 2018 était considérée comme la première année d un cycle de 5 ans actuellement en cours, ce qui veut dire que la fin de 2022 constitue une date butoir pour avoir couvert au moins une fois l ensemble du périmètre auditable durant la période. Le choc de 2020 avait compliqué la réalisation de cet objectif mais avec un bon niveau de réalisation en 2021, il reste malgré tout proche d être atteint. Cet objectif de couvrir le périmètre auditable sans souffrir de retard significatif est donc encore d actualité.

En 2021, l Inspection Générale a poursuivi son effort de développement de l utilisation des Data dans le cadre de ses missions. Sous l impulsion de l équipe centrale, les hubs ont mis en place une gouvernance adaptée à leur environnement en fonction de la diversité des métiers audités et du nombre de localisations. Une nouvelle infrastructure informatique est maintenant disponible pour traiter les fichiers qui dépassent la capacité d un poste de travail. Un programme progressif comptant 5 niveaux de formation a été mis en place et proposé pour les 2 premiers niveaux à un nombre important d inspecteurs et d auditeurs. Ces actions de formation, l enrichissement de la bibliothèque de cas d usage et la contribution croissante de Data Analysts dans les missions ont fortement contribué à faire évoluer les techniques d audit et ont notablement contribué à la réalisation de missions en mode distant.