BPCE - Document d'enregistrement universel 2020

6

FACTEURS ET GESTION DES RISQUES

DISPOSITIF DE GESTION DES RISQUES

les règles régissant le pilotage de la ligne métier inspection • entre Natixis et l’organe central s’inscrivent dans le cadre de la filière audit du groupe. Travaux réalisés en 2020 À la suite de la réorganisation de l’Inspection générale groupe réalisée en 2020 dans le cadre du projet OPAL, le périmètre d’intervention du département Animation, Méthodes et Data s’est élargi. Cette extension s’est accompagnée parallèlement d’un renforcement graduel des équipes en charge et d’un redéploiement des fonctions support MOA. En complément de ses missions traditionnelles de référent méthodologique et de maintien du corpus normatif et réglementaire, la cellule Méthode participe désormais progressivement aux travaux de clôture des recommandations en appui des Inspecteurs Principaux dans un but d’optimisation de leurs tâches. Dotée d’un troisième collaborateur, elle a œuvré également pour développer et renforcer la proximité avec les équipes de la Data, au travers notamment de chantiers méthodologiques dédiés. Elle a procédé en outre à la refonte de la matrice « Protection de la clientèle », afin d’y intégrer les questions incontournables des guides d’audit couvrant le domaine. Elle a préparé et coordonné la MAG 2020 (Mission Audit groupe) sur la sécurité du système d’information privatif et le RGPD. D’autre part, elle a rédigé plusieurs notes méthodologiques à destination des inspecteurs de l’IGG et de la filière audit groupe, portant sur le dispositif d’accompagnement de la clientèle fragile (relatif à l’inclusion et aux frais bancaires) et sur l’utilisation de l’outil PRISCOP (outil de centralisation des contrôles permanents du groupe). Elle a également participé à la création d’un livre blanc définissant une nouvelle méthodologie d’audit des activités retail du groupe. Afin de mieux répondre aux besoins d’utilisation de la data dans le cadre des missions menées par l’Inspection générale, l’équipe Data a vu son effectif pratiquement doubler et compte aujourd’hui six collaborateurs, trois inspecteurs détachés ainsi qu’un alternant et un stagiaire. Ce renforcement de ressources, fondé sur une recherche d’équilibre des compétences (entre profils data scientist et data analyst), permet d’intensifier la couverture du champ d’investigation ainsi que la qualité des analyses, avec un accompagnement plus marqué tout au long de la mission d’audit. Elle a pour objectif également d’accélérer la montée en compétences sur des techniques data science (OCR, Web scraping, échantillonnage). Dans cette même optique, elle a intégré et participe à la communauté Data science du Groupe BPCE, par le biais notamment de webinars. Par ailleurs, dans son rôle d’accompagnement de la filière audit du groupe, l’équipe Data a amorcé un accompagnement Data différencié des audits internes des établissements, selon l’identification de leurs niveaux et de leurs besoins. Enfin, elle a procédé à la refonte et à la mise en production de l’outil de risk assessment Retail du groupe utilisé jusqu’alors par l’IGG. Ces travaux ont pour but d’améliorer le process d’alimentation et de restitution des résultats d’analyse (en passant à une fréquence trimestrielle). Le dispositif repose désormais sur une combinaison de plus de 130 indicateurs de risques, en vue d’une évaluation comparative des établissements Retail du groupe selon neuf axes de macrorisques. Il a vocation à devenir un outil d’aide au pré-diagnostic d’une mission d’audit IGG en avance de phase, ainsi qu’un élément constitutif de l’élaboration (et de l’adaptation) du PPA (plan pluriannuel d’audit) de l’IGG et d’analyse des PPA propres aux établissements du groupe.

Par ailleurs, consécutivement à la réorganisation des fonctions supports, une partie de la cellule MOA a rejoint le département Animation, Méthodes et Data dans une optique de rationalisation et d’optimisation des tâches et de synergie avec les autres fonctions du département. Outre ses responsabilités de support de l’outil de gestion des recommandations dédié du Groupe BPCE (SAIG-RECO), la nouvelle équipe en place (composée de deux collaborateurs), a poursuivi sa mission d’assistance dans la gestion et le suivi des deux lourds projets engagés l’année précédente. Ainsi, l’équipe Data, dans le cadre de son activité de support aux missions d’audit et de développement parallèle de projets en R&D, œuvre pour accroître, de façon plus autonome, la capacité de stockage et de traitement des données. Le second projet concerne quant à lui, le déploiement d’un outil d’Audit Management Solution (AMS), pour gagner en efficacité (élaboration du PPA, Mission d’audit…) et de remplacer l’outil actuel SAIG-RECO. Enfin, elle a travaillé à la mise en place d’une solution d’accès à distance aux systèmes d’information Retail groupe (BP et CEP) pour les collaborateurs de l’IGG. La direction des Risques et le Secrétariat général sont responsables du contrôle permanent au niveau du groupe et la direction de l’Inspection générale groupe du contrôle périodique. Dans les établissements affiliés et les filiales, les fonctions de contrôle permanent et périodique, soumises au dispositif de surveillance bancaire, sont, dans le cadre de filières de contrôle intégrées fonctionnellement, rattachées aux directions centrales de contrôle de BPCE et de manière hiérarchique à l’exécutif de leur entité. Ces liens, formalisés au travers de chartes pour chacune des filières, recouvrent : un avis conforme sur les nominations et les retraits des • responsables des fonctions de contrôle permanent ou périodique chez les affiliés et filiales directes ; des obligations de reporting, d’information et d’alerte ; • l’édiction de normes par l’organe central consignées dans des • référentiels, la définition ou l’approbation de plans de contrôle. L’ensemble de ce dispositif a été approuvé par le directoire de BPCE le 7 décembre 2009 et présenté au comité d’audit du 16 décembre 2009 et au conseil de surveillance de BPCE. La charte des risques a été revue en 2017 et le corpus normatif est composé de trois chartes groupe couvrant l’ensemble des activités : la charte du contrôle interne groupe : • la charte faîtière s’appuyant sur deux chartes spécifiques qui – sont : la charte de la filière d’audit interne, et – la charte des risques, de la conformité et des contrôles – permanents. ORGANISATION DES FILIÈRES DE CONTRÔLE INTÉGRÉES

618

DOCUMENT D'ENREGISTREMENT UNIVERSEL 2020 | GROUPE BPCE

www.groupebpce.com