AFD - Document d'enregistrement universel 2020

GESTION DES RISQUES 4 La gestion des risques

4.3.6.3 Risques de non-conformité Le département de la Conformité (DCO) est réglementairement en charge, pour le groupe AFD, de la prévention, de la détection, de la surveillance et de la maîtrise du risque de non-conformité. Le risque de non-conformité se définit comme « Ǿ le risque de sanction judiciaire, administrative ou disciplinaire, de perte financière significative ou d’atteinte à la réputation qui naît du non-respect des dispositions propres aux activités bancaires et financières, qu’elles soient de nature législatives ou réglementaires, nationales ou européennes directement applicables, ou Ǿ qu’il s’agisse de normes professionnelles et déontologiques, ou Ǿ d’instruction des dirigeants effectifs prises notamment en application des orientations de l’organe de surveillance Ǿ » (arrêté Ǿ du 3 Ǿ novembre 2014, article Ǿ 10p). Le département DCO s’assure du respect par le Groupe (i) Ǿ des dispositions externes et internes relatives à la prévention du blanchiment et du financement du terrorisme (LCB/FT), (ii) Ǿ de celles en matière de lutte contre la corruption et les infractions connexes, ainsi que la fraudeou lespratiquesanticoncurrentielles, (iii) Ǿ de celles relatives au respect des sanctions financières et commerciales internationales et nationales, (iv) Ǿ de celles qui encadrent la conduite des activités bancaires et financières, (v) Ǿ ou encore de celles qui assurent la protection de la vie privée et des données personnelles des clients. Le département est placé au sein de la Direction exécutive des Risques (DXR). La fonction Conformité rend compte de ses activités au comité de contrôle interne (Cocint) et au comité nouveaux produits et nouvelles activités (Coconap en formation Conformité), ainsi qu’au comité des risques réglementaires. La fonction Conformité couvre l’ensemble des secteurs, opérations, zonesgéographiqueset descontextes réglementaires du groupe AFD. Au-delà des projets et activités opérationnelles, elle concerne également, conformément à la réglementation, les nouvelles activités et les nouveaux produits du Groupe. Sa finalité est de s’assurer de la détection en temps utile et de l’évaluation appropriée des risques de non-conformité dans le but de prévenir et de limiter l’exposition du groupe AFD et de ses dirigeants aux risques de sanctions judiciaires et/ou administratives et au risque de réputation, et en les encadrant en cas de survenance de ces risques. La maîtrise des risques de non-conformité fait l’objet d’une surveillance permanente qui s’appuie notamment sur une cartographie des risques. Le dispositif de maîtrise des risques de non-conformité a notamment connu les évolutions suivantes au cours de l’année 2020 : P poursuite du déploiement d’un programme anti-corruption et trafic d’influence issu de la loi dite « Sapin II » du 9 Ǿ décembre Ǿ 2016 avec l’entrée en vigueur des nouvelles procédures relatives à l’encadrement des cadeaux et invitations afin de clarifier les règles applicables, notamment en termes de seuils et de processus de déclaration et d’approbation et le renforcement des diligences relatives à l’évaluation de la situation des fournisseurs de premier rang du Groupe avec l’élaboration d’une matrice de classification pour évaluer les risques de corruption des fournisseurs avec lesquels le groupe AFD a travaillé au cours de l’année 2019 et l’élaboration d’une procédure pour lui permettre d’identifier et d’évaluer le risque de corruption associé aux fournisseurs

à l’entrée et tout au long de la relation d’affaires avec ceux-ci. Cette procédure entrera en vigueur en 2021. P finalisation du chantier de refonte du dispositif de prévention et de gestion des conflits d’intérêts au sein du groupe avec pour finalité de rationaliser les rôles et responsabilités de chacun des acteurs participant à la prévention et de gestion des conflits d’intérêts ainsi qu’à réviser les procédures internes. Le dispositif révisé est entré en vigueur au 1 er Ǿ janvier Ǿ 2021. Assurances – Couvertures des risques encourus par b l’AFD L’AFD dispose d’une police « Ǿ Responsabilité civile Ǿ » qui couvre également Proparco, d’une police « Ǿ Responsabilité civile Dirigeants Ǿ », d’une police « Ǿ Rapports sociaux Ǿ », d’une police « Ǿ Dommage aux biens –2 Ǿ lignes Ǿ » qui couvre également Proparco et VAL, d’une police « Ǿ Tous risques expositions – œuvres d’art Ǿ » et d’une police « Ǿ Responsabilité civile mandataires sociaux spécifique IGRS Ǿ (1) Ǿ ». Toutes les agences du réseau sont couvertes par des polices d’assurance souscrites localement (multirisques habitations et bureaux et responsabilité civile exploitation bureaux). À ces assurances, s’ajoutent celles relatives aux véhicules du siège (contrat siège) et du réseau (contrats locaux) ainsi qu’une assurance « Ǿ Individuel accident Ǿ » « Ǿ monde entier Ǿ » garantissant le versement d’un capital en cas de décès ou invalidité causé par un accident avec un véhicule appartenant ou loué par l’AFD. 4.3.6.4 Risques liés au système d’information Sécurité des systèmes d’information Le Département SEC assure la gouvernance de l’ensemble des aspects liés aux risquesTIC incluant la sécurité du SI. Le directeur du département est appuyé pour cela par le responsable de la sécurité des systèmes d’information (RSSI) du groupe AFD. Une analysedes risquesTICest effectuée aumoins annuellement dans le cadre du dispositif de gouvernance des risques SI. Les risques de sécurité en sont extraits pour traitement dans le cadre du système de management de la sécurité de l’information (SMSI), conformément à la norme ISO Ǿ 27001. Le SMSI encadre le traitement du risque de sécurité du système d’information de l’AFD, depuis l’évaluation des risques jusqu’à la mise en œuvre des plans de corrections et les contrôles permanents de la sécurité du système d’information. Cette revue annuelle des risques aboutit à la mise à jour de la cartographie des risques opérationnels de l’AFD et du plan projet sécurité triennal. Ce Ǿ plan permet aux organes de pilotage de fixer les évolutions en matière de sécurité du système d’information. La politique de sécurité des systèmes d’information (PSSI), conforme aux normes ISO Ǿ 27001 et ISO Ǿ 27002, définit les 90 Ǿ règles de sécurité nécessaires à la protection des systèmes d’information. L’application de chaque règle est précisée par un ensemble de normes et de procédures de sécurité internes, conformes aux bonnes pratiques du domaine. Cette PSSI est complétée d’une Charte d’utilisation du système d’information opposable à l’ensemble des utilisateurs depuis son adjonction au règlement intérieur. Une sensibilisation SSI, sous forme de conférences périodiques et de sensibilisation numérique, auprès des utilisateurs

(1) Ce contrat d’assurance a été transféré à DRH qui en assure la gestion.

106

www.afd.fr

DOCUMENT D’ENREGISTREMENT UNIVERSEL 2020