BPCE - Rapport sur les risques - Pilier III 2019

3

DISPOSITIF DE GESTION DES RISQUES

CONTRÔLE INTERNE

l’Inspection générale groupe s’assure que les directions de • l’Audit interne des entités disposent des moyens nécessaires à l’exercice de leur mission et la bonne couverture du plan pluriannuel d’audit ; les programmes pluriannuels et annuels des directions de • l’Audit interne des établissements du groupe sont arrêtés en accord avec l’Inspection générale groupe ; l’Inspection générale groupe est tenue régulièrement informée de leur réalisation ou de toute modification du périmètre ; l’Inspection générale groupe émet un avis formalisé dans un • courrier et éventuellement des réserves sur le plan pluriannuel d’audit, la qualité des travaux et rapports d’audit qui lui ont été communiqués ainsi que sur les moyens alloués tant en nombre que sur les compétences ; la direction de l’Audit interne applique les normes et • méthodes définies et diffusées par l’Inspection générale groupe de BPCE et se réfère aux Guides d’audit qui sont par principe communs à l’ensemble des auditeurs la Filière Audit interne ; dans le cadre de ses missions d’audit sur place, l’Inspection • générale groupe de BPCE vérifie périodiquement le respect des normes d’audit interne groupe au sein des entreprises du groupe. Sont régulièrement communiqués à l’Inspection générale groupe BPCE, notamment : les rapports d’audit interne des établissements au fur et à • mesure de leur diffusion ; les rapports annuels des entités établis en application des • articles 258 à 264 de l’arrêté A-2014-11-03 sur le contrôle interne sont adressés à l’Inspection générale groupe qui en assure la diffusion auprès des autorités de tutelle ; les présentations faites par les directeurs d’Audit interne aux • comités des risques ainsi que les comptes rendus de ces réunions ; les présentations faites à l’organe de surveillance au titre de • l’activité et des résultats du contrôle interne ainsi que les extraits des procès-verbaux des réunions au cours desquelles ils ont été examinés. Les règles régissant le pilotage de la ligne métier inspection entre Natixis et l’organe central s’inscrivent dans le cadre de la filière audit du groupe.

communément audités. En 2019, les travaux méthodologiques ont notamment permis la mise à jour des guides portant sur la protection des données personnelles, la gouvernance, la gestion privée et la gestion sous mandat. Des nouveaux guides d’audit ont été élaborés concernant l’audit du réseau commercial, l’outsourcing et la conformité des services d’investissement pour y intégrer les attendus des directives MIFID 2 et DDA. Complétés par des annexes et une base documentaire, ces guides d’audit sont principalement accessibles via le SharePoint de la filière audit du groupe et/ou le serveur partagé de l’Inspection générale groupe. Les points d’audit prioritaires définis sur l’ensemble des unités auditables du plan pluriannuel d’audit des directions de l’Audit interne des établissements Retail du groupe ont été actualisés et réduits. Par ailleurs, le programme de contrôle déployé dans les Banques Populaires sur le respect de la convention encadrant la prestation pour la clientèle CASDEN Banque Populaire a été mis à jour. L’Inspection générale groupe et l’Inspection générale de Natixis ont poursuivi leur coordination étroite tant dans l’appréciation du suivi des recommandations que dans la synchronisation des macroplannings annuels respectifs sur un périmètre d’unités auditables commun. Elles s’appuient notamment sur une démarche de risk assessment partagée, une élaboration conjointe des plans d’audit et une conception commune de champs d’investigations/référentiels d’audit. En 2019, des chantiers méthodologiques conjoints ont permis de travailler à la mise à jour de guides d’audit partagés sur le domaine du risque de marché et de la gestion privée. L’Inspection générale groupe a par ailleurs renforcé ses ressources et contributions dans le domaine de la data analysis. Cela a commencé par le déploiement progressif de l’outil de data visualisation SPOTFIRE auprès du corps d’inspection et de la filière audit du groupe. L’Inspection générale groupe a accompagné ce déploiement en organisant des séances de formation interne pour ses inspecteurs à chaque intermission et de formation externe à destination du corps d’audit de la filière. L’équipe Data a d’autre part été renforcée par l’intégration de deux profils de Data scientist et d’inspecteurs IT détachés. Elle a œuvré également pour la création et l’animation d’une communauté Data avec la filière audit. Des référents Data dans chaque établissement ont été nommés à cette occasion et un club Data à fréquence mensuelle est désormais organisé à but pédagogique et d’accompagnement. Il vise notamment au partage des connaissances, des analyses et à la diffusion des bonnes pratiques.

TRAVAUX RÉALISÉS EN 2019

Le travail méthodologique s’est poursuivi pour tenir à jour un corpus de guides homogènes couvrant les domaines les plus

Organisation des filières de contrôle intégrées

des obligations de reporting, d’information et d’alerte ; • l’édiction de normes par l’organe central consignées dans des • référentiels, la définition ou l’approbation de plans de contrôle. L’ensemble de ce dispositif a été approuvé par le directoire de BPCE le 7 décembre 2009 et présenté au comité d’audit du 16 décembre 2009 et au conseil de surveillance de BPCE. La charte des risques a été revue en 2017 et le corpus normatif est composé de trois chartes groupe couvrant l’ensemble des activités : la charte du contrôle interne groupe : charte faîtière • s’appuyant sur deux chartes spécifiques qui sont : la charte de la filière d’audit interne, et – la charte des risques, de la conformité et des contrôles – permanents.

La direction des Risques et le Secrétariat général sont responsables du contrôle permanent au niveau du groupe et la direction de l’Inspection générale groupe du contrôle périodique. Dans les établissements affiliés et les filiales, les fonctions de contrôle permanent et périodique, soumises au dispositif de surveillance bancaire, sont, dans le cadre de filières de contrôle intégrées fonctionnellement, rattachées aux directions centrales de contrôle de BPCE et de manière hiérarchique à l’exécutif de leur entité. Ces liens, formalisés au travers de chartes pour chacune des filières, recouvrent : un avis conforme sur les nominations et les retraits des • responsables des fonctions de contrôle permanent ou périodique chez les affiliés et filiales directes ;

38

RAPPORT SUR LES RISQUES PILIER III 2019 | GROUPE BPCE

www.groupebpce.com