Document de référence et rapport fi nancier annuel 2017 - BNP PARIBAS96

2 GOUVERNEMENT D ENTREPRISE ET CONTRÔLE INTERNE

2

Le contrôle interne

■ un dispositif structuré d identifi cation, d évaluation et de gestion des risques (impliquant, entre autres, un dispositif de prise de décision, de délégation, des principes d organisation, des contrôles, un dispositif de reporting et d alerte, etc. ) ;

■ un contrôle et une supervision indépendants des risques : les responsables d activités opérationnelles ont la responsabilité fi nale des risques que leurs activités génèrent, donc la responsabilité première de mettre en place et de faire fonctionner un dispositif d identifi cation, d évaluation et de gestion des risques. Le dispositif de contrôle interne prévoit une intervention obligatoire et le plus en amont possible, de fonctions exerçant un contrôle indépendant au titre d un deuxième niveau de contrôle. Cette intervention prend les formes suivantes :

■ défi nition du cadre normatif global d identifi cation, d évaluation et de gestion des risques,

■ défi nition des cas où un second regard préalable d une fonction exerçant un contrôle de deuxième niveau et partagé avec l entité opérationnelle est nécessaire à la prise de décision,

■ contrôles indépendants, dit contrôles de second niveau, réalisés par la dite fonction sur le dispositif mis en place par les responsables d activités opérationnelles et sur son fonctionnement (résultat du processus d identifi cation et d évaluation des risques, pertinence et conformité des dispositifs de maîtrise des risques et en particulier respect des limites fi xées) ;

■ la séparation des tâches : elle constitue un des éléments essentiels du dispositif de maîtrise des risques. Elle consiste à attribuer certaines tâches opérationnelles contribuant à un même processus à des intervenants rapportant à des hiérarchies différentes ou à séparer ces tâches par d autres moyens, en particulier informatiques. Ainsi, par exemple, les tâches d initiation, de confi rmation, d enregistrement comptable, de règlement et de réconciliation comptable d une transaction doivent-elles être assurées par des intervenants différents ;

■ la proportionnalité aux risques : la mise en œuvre du dispositif de contrôle interne doit se faire selon une approche et une intensité proportionnées aux risques. Cette proportionnalité s estime au regard d un ou plusieurs critères :

■ intensité des risques tels qu identifi és dans le cadre de programmes d évaluation (« Risk ID », RCSA, ...),

■ montant du capital alloué et/ou des ratios en termes de solvabilité et de liquidité,

■ criticité des activités au regard des enjeux systémiques,

■ conditions réglementaires d exercice des activités, taille des activités réalisées,

■ type de clients et canaux de distribution utilisés,

■ complexité des produits conçus ou commercialisés et/ou des services assurés,

■ complexité des processus opérés et/ou importance du recours à l externalisation avec des entités internes/externes au Groupe,

■ sensibilité de l environnement où sont localisées les activités,

■ forme juridique et/ou présence d actionnaires minoritaires ;

■ une gouvernance appropriée : le dispositif est l objet d une gouvernance associant les différents acteurs et couvrant les différents aspects du contrôle interne, tant organisationnels que de surveillance et de

contrôle ; les Comités de contrôle interne en sont un instrument privilégié ; en outre, le dispositif bénéfi cie d un processus encadré de prise de décision par l intermédiaire d un système de délégations passant par la voie du Responsable Hiérarchique. Elles peuvent éventuellement impliquer un tiers appartenant à une autre ligne hiérarchique, à chaque fois que les dispositifs défi nis par les Entités Opérationnelles et/ou les fonctions exerçant un contrôle de deuxième niveau le prévoient. Le processus d escalade permet de porter les désaccords entre les entités opérationnelles et les fonctions exerçant un contrôle de deuxième niveau, en particulier ceux liés à une prise de décision, vers les échelons hiérarchiques, et éventuellement fonctionnels, supérieurs des deux parties concernées, et in fi ne, en cas de non résolution des différends, à l arbitrage des Dirigeants effectifs du Groupe. Ce processus se met en œuvre dans le respect des attributions du Directeur des Risques du Groupe qui peut exercer son droit de veto dans les conditions prévues par la charte de la fonction R isk ;

■ une exigence de formalisation et de traçabilité : le contrôle interne s appuie sur des instructions des Dirigeants effectifs, des politiques et des procédures écrites et sur des pistes d audit. À ce titre, les contrôles, leurs résultats, leur exploitation et les remontées d informations des entités vers les niveaux supérieurs de la gouvernance du Groupe sont documentés et traçables ;

■ un devoir de transparence : tout collaborateur du Groupe, quel que soit son positionnement, a un devoir de remonter de façon transparente, c est-à-dire spontanément et sans délai, à un niveau supérieur dans l organisation à laquelle il appartient :

■ toute information nécessaire à une bonne analyse de la situation de l entité au sein de laquelle il intervient, et pouvant impacter les risques ou la réputation de son entité ou du Groupe,

■ toute question qu il ne pourrait résoudre par lui-même dans l exercice de ses fonctions,

■ toute situation anormale qu il pourrait constater.

En outre, il dispose d un droit d alerte sous bénéfi ce de confi dentialité, prévu par le Code de conduite du Groupe et exercé dans le cadre du droit d alerte éthique (« Whistleblowing ») organisé par la Conformité ;

■ une gestion des ressources humaines prenant en compte les objectifs du contrôle interne : les objectifs du contrôle interne doivent être pris en considération dans la gestion des carrières et des rémunérations des collaborateurs (entre autres : dans le cadre du processus d évaluation, des formations, de sélection des collaborateurs pour les postes clés, dans le cadre du dispositif de fi xation des rémunérations) ;

■ une adaptation continue du dispositif aux évolutions : le dispositif de contrôle interne doit être géré de façon dynamique par ses différents acteurs. Cette adaptation aux évolutions de quelque nature qu elles soient, auxquelles le Groupe doit faire face, doit se faire selon un cycle périodique défi ni à l avance mais aussi en continu dès que les événements le justifi ent.

Le respect de ces principes est régulièrement vérifi é, notamment au travers des missions conduites par les équipes du contrôle périodique (Inspection Générale).