BPCE - Document de référence 2018

6 GESTION DES RISQUES

Risques de non-conformité, sécurité et risques opérationnels

TRAVAUX RÉALISÉS EN 2018 Dans l’actualisation en 2018 de leurs lignes directrices conjointes, l’ACPR et Tracfin ont rappelé l’importance du plan de lutte contre le financement du terrorisme déployé depuis plusieurs années par le ministère des finances. Dans ce but, les établissements du Groupe BPCE ont renforcé en 2018 leur dispositif à partir d’un référentiel et de scénarios automatisés adaptés aux spécificités du financement du terrorisme (signaux faibles, seuils de montant plutôt bas, nécessité de croiser plusieurs indices) et répondant à une exigence accrue d’agilité et de réactivité. Les engagements du groupe pour la prévention de la corruption La corruption, qui se définit comme l’agissement par lequel une personne propose ou consent un avantage indu à une personne en échange d’un acte relevant de la fonction de cette dernière, est un comportement frauduleux, contraire à l’éthique et passible de lourdes sanctions pénales et administratives. Le Groupe BPCE condamne la corruption sous toutes ses formes et en toutes circonstances. Dans ce cadre, il est signataire du Global Compact (pacte mondial des Nations Unies) dont le dixième principe concerne l’action « contre la corruption sous toutes ses formes y compris l’extorsion de fonds et les pots-de-vin ». Les dispositifs de prévention de la corruption La prévention de la corruption fait partie des dispositifs de sécurisation financière des activités du groupe, et, notamment : à travers la lutte contre le blanchiment d’argent et le financement ● du terrorisme, la lutte contre la fraude, la surveillance des « personnes politiquement exposées », le respect des embargos ; le respect par les collaborateurs des règles de déontologie et ● d’éthique professionnelles en appliquant les politiques de prévention des conflits d’intérêts, le respect des politiques de cadeaux, avantages et invitations, les principes de confidentialité et de secret professionnel. Des sanctions disciplinaires sont prévues

pour manquement au respect des règles professionnelles régissant les activités des entreprises du groupe ; la vigilance apportée aux contributions politiques ou à des agents ● publics, les donations, le mécénat et le sponsoring, ainsi que le lobbying ; l’encadrement des relations avec les intermédiaires et les ● apporteurs d’affaires : contrats standardisés dans le groupe décrivant les prestations et obligations réciproques et fixation contractuelle des rémunérations ; une cartographie d’exposition aux risques de corruption des ● activités des entités du Groupe ; une formation réglementaire relative aux règles de l’éthique ● professionnelles et de lutte contre la corruption sous forme d’e-learning. Un dispositif de recueil d’alertes est à la disposition des collaborateurs et intégré aux règlements intérieurs. Une procédure de mise en œuvre de la faculté d’alerte professionnelle et de recueil des signalements est mise à disposition des collaborateurs. Le groupe dispose par ailleurs de normes et procédures encadrant la connaissance client et des diligences de classification et de surveillance des clients. Dans le cadre de l’organisation du contrôle interne, des outils d’alertes, de détection et des plans de contrôle permanent contribuent à la sécurité du dispositif. BPCE dispose également de normes et procédures comptables conformes aux standards professionnels. Le dispositif de contrôle interne groupe relatif à l’information comptable vise à vérifier les conditions d’évaluation, d’enregistrement, de conservation et de disponibilité de l’information, notamment en garantissant l’existence de la piste d’audit au sens l’arrêté du 3 novembre 2014 relatif au contrôle interne. Ce dispositif de contrôle participe au plan de prévention et de détection de fraude et aux faits de corruption ou de trafic d’influence. Plus globalement, ces dispositifs sont formalisés et détaillés dans la charte faîtière relative à l’organisation du contrôle interne groupe et la charte des risques, de la conformité et des contrôles permanents. Ces chartes sont adoptées par les affiliés maisons mères et toutes les filiales de BPCE.

Continuité d’activité 6.11.3

La maîtrise des risques d’interruption d’activité est abordée dans sa dimension transversale, avec l’analyse des principales lignes métiers critiques du groupe, notamment la liquidité, les moyens de paiement, les titres, les crédits aux particuliers et aux entreprises, ainsi que le fiduciaire.

ORGANISATION Le responsable continuité d’activité groupe, en charge du pôle continuité d’activité groupe, est rattaché depuis le 1 er septembre 2017 à la direction Sécurité, elle-même rattachée hiérarchiquement au département conformité, sécurité et risques opérationnels. La continuité d’activité groupe exerce ses missions de manière indépendante des directions opérationnelles. Celles-ci consistent à : piloter la continuité d’activité groupe et animer la filière au sein du ● groupe ; coordonner la gestion de crise groupe ; ● piloter la réalisation et le maintien en condition opérationnelle des ● plans d’urgence et de poursuite d’activité groupe ; veiller au respect des dispositions réglementaires en matière de ● continuité d’activité ; participer aux instances internes et externes au groupe. ●

TRAVAUX RÉALISÉS EN 2018 Le traitement du risque de cybercriminalité a largement orienté les travaux de l’année : développement d’un plan cyber criminalité, complété d’exercices organisés en interne ou par des tiers (direction générale de l’économie numérique de la Polynésie française, Groupe Robustesse de la Banque de France). L’amélioration de la connaissance du dispositif de continuité d’activité des principaux fournisseurs du groupe constitue le deuxième axe majeur de renforcement, à poursuivre l’année prochaine : renouvellement de l’approche, déclinée dans un outil groupe en cours de développement. Le renforcement du dispositif global de continuité d’activité se poursuit : une nouvelle politique générale de continuité d’activité groupe est en cours de mise en œuvre, la prise en charge du traitement des incidents transverses est améliorée et un outil d’aide à la gestion de crise a été déployé.

686

Document de référence 2018