Rapport annuel 2023

RAPPORT SUR LE GOUVERNEMENT D’ENTREPRISE

RAPPORT DE GESTION

ÉTATS FINANCIERS

ÉLÉMENTS COMPLÉMENTAIRES

Organisation et activité du Contrôle interne

7.2 Présentation du dispositif de contrôle périodique

Le contrôle périodique (3 e niveau de contrôle) est assuré par l’Audit interne sur toutes les activités, y compris le contrôle permanent. Dans le cadre des responsabilités définies par l’article 17 de l’arrêté A-2014-11-03 modifié le 25 février 2021 sur le contrôle interne, l’Audit interne s’assure de la qualité, l’efficacité, la cohérence et le bon fonctionnement du dispositif de contrôle permanent et de la maîtrise des risques. Son périmètre d’intervention couvre tous les risques et toutes les activités de l’établissement, y compris celles qui sont externalisées. Il s’étend également à ses filiales et aux entités consolidées prudentiellement (établissements associés). Ses objectifs prioritaires sont d’évaluer et de rendre compte aux dirigeants effectifs et à l’organe de surveillance de l’établissement : de l’adéquation de son cadre de gouvernance ; ● du respect des lois, des règlements et des règles ; ● de l’adéquation et du respect des politiques et des procédures ● au regard de l’appétit aux risques ; de l’efficacité de l’organisation, notamment de celle des ● première et deuxième ligne de défense ; de la qualité de sa situation financière ; ● de la fiabilité ainsi que de l’intégrité des informations ● comptables et des informations de gestion ; de la cohérence, de l’adéquation et du bon fonctionnement ● des dispositifs d’évaluation et de maîtrise des risques ; de l’intégrité des processus garantissant la fiabilité de ses ● méthodes et techniques, ainsi que des hypothèses et des sources d’information utilisées pour ses modèles internes ; de la qualité et de l’utilisation des outils de détection et ● d’évaluation des risques et les mesures prises pour les atténuer ; de la sécurité des systèmes d’information et de leur ● adéquation au regard des exigences réglementaires ; du contrôle de ses prestations essentielles critiques ou ● importantes (PECI) ; du niveau des risques effectivement encourus ; ● de la qualité de son dispositif de continuité d’activité ; ● de la mise en œuvre effective des recommandations ● adressées. Rattaché directement au Directeur général, l’Audit interne exerce ses missions de manière indépendante des Directions opérationnelles et de contrôle permanent. Ses modalités de fonctionnement, sont précisées dans une charte d’audit Groupe approuvée par le Comité de Direction générale de BPCE le 9 juillet 2018, qui s’applique à l’établissement, charte elle-même déclinée en normes thématiques (ressources d’audit, audit du réseau commercial, missions, suivi des recommandations…). La

Charte de la Filière Audit a été mise à jour en Comité 3CIG le 5 décembre 2022. De même, la norme « Recommandations » a été mise à jour et validée par Comité de Direction générale de BPCE le 7 septembre 2021 avec une transposition attendue au sein des établissements, en 2022. Elle amende notamment la procédure d’alerte afférente aux recommandations d’audit interne de niveau 1 et 2, en retard de mise en œuvre ; elle a été déployée dès 2022 au sein de notre établissement. Les programmes pluriannuel et annuel de la Direction de l’Audit interne sont arrêtés en accord avec l’Inspection générale Groupe ; celle-ci est tenue régulièrement informée de leur réalisation ou de toute modification de périmètre et du risk assessment afférent. L’Inspection générale Groupe s’assure que la Direction de l’Audit interne des entreprises dispose des moyens nécessaires à l’exercice de sa mission et la bonne couverture du plan pluriannuel d’audit. L’Inspection générale Groupe s’assure de la diversité des compétences, de la bonne réalisation des parcours de formation et de l’équilibre entre les auditeurs senior et junior au sein des équipes d’Audit interne des établissements. Enfin, l’Inspection générale Groupe émet un avis formalisé dans un courrier et éventuellement des réserves, sur le plan pluriannuel d’audit, la qualité des travaux et rapports d’audit qui lui ont été communiqués, sur les moyens alloués tant en nombre que sur les compétences, sur la communication faite aux instances dirigeantes ainsi que sur le suivi des recommandations de l’Audit interne. Le courrier du directeur de l’Inspection générale Groupe est adressé au Directeur général de l’établissement avec copie au Président de l’organe de surveillance et doit être communiqué au Comité des risques et Conseil d’administration. À l’issue de ses investigations, la mission d’audit émet un pré-rapport qui contient notamment ses recommandations et auquel l’unité auditée doit répondre. Chaque recommandation est hiérarchisée en fonction de son importance. Le rapport définitif intègre la réponse des audités à chaque recommandation ; celle-ci inclut des plans d’action et des engagements sur des dates de mise en œuvre. Ce rapport est transmis, outre les responsables de l’unité auditée, aux dirigeants de l’établissement. Le management opérationnel est responsable de la mise en œuvre des recommandations. Il met en place des plans d’action adaptés et informe de leur taux d’avancement au moins trimestriellement à l’Audit interne. Celui-ci en assure un reporting régulier au Comité de coordination du contrôle interne et au Comité des risques. L’Audit interne, en vertu de son devoir d’alerte, saisit le dirigeant, le Comité des risques et le Conseil d’administration en cas de non mise en place des actions correctrices dans les délais prévus. Dans le cadre des responsabilités qui lui sont dévolues, l’Inspection générale Groupe mène également de façon périodique des missions de contrôle au sein de l’établissement.

2

149

GROUPE CRÉDIT COOPÉRATIF RAPPORT ANNUEL 2023