BPCE - Rapport sur les risques - Pilier III 2020

DISPOSITIF DE GESTION DES RISQUES

CONTRÔLE INTERNE

création d’un livre blanc définissant une nouvelle méthodologie d’audit des activités retail du groupe. Afin de mieux répondre aux besoins d’utilisation de la data dans le cadre des missions menées par l’Inspection générale, l’équipe Data a vu son effectif pratiquement doubler et compte aujourd’hui six collaborateurs, trois inspecteurs détachés ainsi qu’un alternant et un stagiaire. Ce renforcement de ressources, fondé sur une recherche d’équilibre des compétences (entre profils data scientist et data analyst), permet d’intensifier la couverture du champ d’investigation ainsi que la qualité des analyses, avec un accompagnement plus marqué tout au long de la mission d’audit. Elle a pour objectif également d’accélérer la montée en compétences sur des techniques data science (OCR, Web scraping, échantillonnage). Dans cette même optique, elle a intégré et participe à la communauté Data science du Groupe BPCE, par le biais notamment de webinars. Par ailleurs, dans son rôle d’accompagnement de la filière audit du groupe, l’équipe Data a amorcé un accompagnement Data différencié des audits internes des établissements, selon l’identification de leurs niveaux et de leurs besoins. Enfin, elle a procédé à la refonte et à la mise en production de l’outil de risk assessment Retail du groupe utilisé jusqu’alors par l’IGG. Ces travaux ont pour but d’améliorer le process d’alimentation et de restitution des résultats d’analyse (en passant à une fréquence trimestrielle). Le dispositif repose désormais sur une combinaison de plus de 130 indicateurs de risques, en vue d’une évaluation comparative des établissements Retail du groupe selon neuf axes de macrorisques. Il a vocation à devenir un outil d’aide au pré-diagnostic d’une mission d’audit IGG en avance de phase, ainsi qu’un élément constitutif de l’élaboration (et de l’adaptation) du PPA (plan pluriannuel d’audit) de l’IGG et d’analyse des PPA propres aux établissements du groupe. Par ailleurs, consécutivement à la réorganisation des fonctions supports, une partie de la cellule MOA a rejoint le département Animation, Méthodes et Data dans une optique de rationalisation et d’optimisation des tâches et de synergie avec les autres fonctions du département. Outre ses responsabilités de support de l’outil de gestion des recommandations dédié du Groupe BPCE (SAIG-RECO), la nouvelle équipe en place (composée de deux collaborateurs), a poursuivi sa mission d’assistance dans la gestion et le suivi des deux lourds projets engagés l’année précédente. Ainsi, l’équipe Data, dans le cadre de son activité de support aux missions d’audit et de développement parallèle de projets en R&D, œuvre pour accroître, de façon plus autonome, la capacité de stockage et de traitement des données. Le second projet concerne quant à lui, le déploiement d’un outil d’Audit Management Solution (AMS), pour gagner en efficacité (élaboration du PPA, Mission d’audit…) et de remplacer l’outil actuel SAIG-RECO. Enfin, elle a travaillé à la mise en place d’une solution d’accès à distance aux systèmes d’information Retail groupe (BP et CEP) pour les collaborateurs de l’IGG.

dans le cadre de ses missions d’audit sur place, l’Inspection • générale groupe de BPCE vérifie périodiquement le respect des normes d’audit interne groupe au sein des entreprises du groupe. Sont régulièrement communiqués à l’Inspection générale Groupe BPCE, notamment : les rapports d’audit interne des établissements au fur et à • mesure de leur diffusion ; les copies des rapports annuels des entités établis en • application des articles 258 à 264 de l’arrêté A-2014-11-03 sur le contrôle interne sont adressées à l’Inspection générale groupe qui en assure la diffusion auprès des autorités de tutelle ; les présentations faites par les directeurs d’Audit interne aux • comités des risques ainsi que les comptes rendus de ces réunions ; les présentations faites à l’organe de surveillance au titre de • l’activité et des résultats du contrôle interne ainsi que les extraits des procès-verbaux des réunions au cours desquelles ils ont été examinés. les règles régissant le pilotage de la ligne métier inspection • entre Natixis et l’organe central s’inscrivent dans le cadre de la filière audit du groupe. TRAVAUX RÉALISÉS EN 2020 À la suite de la réorganisation de l’Inspection générale groupe réalisée en 2020 dans le cadre du projet OPAL, le périmètre d’intervention du département Animation, Méthodes et Data s’est élargi. Cette extension s’est accompagnée parallèlement d’un renforcement graduel des équipes en charge et d’un redéploiement des fonctions support MOA. En complément de ses missions traditionnelles de référent méthodologique et de maintien du corpus normatif et réglementaire, la cellule Méthode participe désormais progressivement aux travaux de clôture des recommandations en appui des Inspecteurs Principaux dans un but d’optimisation de leurs tâches. Dotée d’un troisième collaborateur, elle a œuvré également pour développer et renforcer la proximité avec les équipes de la Data, au travers notamment de chantiers méthodologiques dédiés. Elle a procédé en outre à la refonte de la matrice « Protection de la clientèle », afin d’y intégrer les questions incontournables des guides d’audit couvrant le domaine. Elle a préparé et coordonné la MAG 2020 (Mission Audit groupe) sur la sécurité du système d’information privatif et le RGPD. D’autre part, elle a rédigé plusieurs notes méthodologiques à destination des inspecteurs de l’IGG et de la filière audit groupe, portant sur le dispositif d’accompagnement de la clientèle fragile (relatif à l’inclusion et aux frais bancaires) et sur l’utilisation de l’outil PRISCOP (outil de centralisation des contrôles permanents du groupe). Elle a également participé à la

3

Organisation des filières de contrôle intégrées

La direction des Risques et le Secrétariat général sont responsables du contrôle permanent au niveau du groupe et la direction de l’Inspection générale groupe du contrôle périodique. Dans les établissements affiliés et les filiales, les fonctions de contrôle permanent et périodique, soumises au dispositif de surveillance bancaire, sont, dans le cadre de filières de contrôle intégrées fonctionnellement, rattachées aux directions centrales de contrôle de BPCE et de manière hiérarchique à l’exécutif de leur entité.

Ces liens, formalisés au travers de chartes pour chacune des filières, recouvrent : un avis conforme sur les nominations et les retraits des • responsables des fonctions de contrôle permanent ou périodique chez les affiliés et filiales directes ; des obligations de reporting, d’information et d’alerte ; • l’édiction de normes par l’organe central consignées dans des • référentiels, la définition ou l’approbation de plans de contrôle.

39

RAPPORT SUR LES RISQUES PILIER III 2020 | GROUPE BPCE