la conformité LES PRINCIPES D ACTION

Transcription

1 La fonction Conformité au sein de BNP Paribas La fonction Conformité a été créée en décembre 2004, en anticipation de nouvelles dispositions du règlement sur le contrôle interne des établissements de crédit ; à ce titre elle vise à maîtriser les risques en matière de déontologie et d éthique professionnelle. L année 2006 a été consacrée à renforcer le dispositif opérationnel de cette fonction. La maîtrise des risques constitue un élément essentiel de l organisation, de la gestion et des stratégies de BNP Paribas. Parmi ces risques, ceux portant atteinte à la conformité occupent une place importante. Selon la défi nition retenue par le Groupe, la conformité est le respect des dispositions législatives et réglementaires, des normes professionnelles et déontologiques ainsi que des orientations du Conseil d administration et des instructions de la Direction Générale. Elle recouvre la protection de la réputation du Groupe et la mise en œuvre de ses principes d action, le respect de l intégrité des marchés et de la primauté des intérêts des clients, la contribution à la lutte contre le blanchiment, le terrorisme et la corruption, et l éthique professionnelle. Répondant aux principes d exhaustivité et d universalité, elle est soumise au même degré d exigence quelles que soient l activité ou l entité, en France ou à l étranger, par application du principe du mieux-disant. Ce principe stipule que la règle la plus exigeante s impose, entre celles énoncées par les législations et réglementations des différents territoires, et les directives et procédures propres au Groupe. Des équipes dédiées Le dispositif de contrôle de la conformité, partie intégrante du contrôle interne, est placé sous la responsabilité d une fonction dédiée, Conformité Groupe. Sous l autorité directe du Directeur Général, cette fonction est dirigée par un membre du Comité Exécutif, aussi responsable du contrôle interne permanent vis-à-vis du régulateur, coordonnant l animation du dispositif de contrôle interne. La fonction Conformité, dont les attributions sont fi xées par la Charte du contrôle interne et la Charte de la conformité, dispose d une équipe centrale et d équipes décentralisées. L équipe centrale exerce le pilotage et l animation de la fonction et établit des normes et référentiels applicables dans le Groupe. Les équipes décentralisées dans les pôles, métiers, fonctions, fi liales et succursales, au contact direct des opérations, représentent 614 personnes fi n 2006, soit plus de 90 % des effectifs de la fonction. Elles sont placées au niveau le plus élevé, sous la tutelle conjointe du responsable de la fonction et du responsable opérationnel de l entité, en vertu du principe selon lequel les opérationnels sont les premiers responsables des risques. En 2006, les équipes Conformité de BNL ont été intégrées et ont adopté les normes du Groupe. 33

2 > Pour actualiser les référentiels nelles, des produits nouveaux et des activités Dans son rôle de contrôle et de conseil en nouvelles a précisé le cadre d intervention des conformité, la fonction Conformité assure principalement la responsabilité des procédures géné- exercer leurs missions de contrôle au regard équipes décentralisées de la Conformité pour rales de conformité et accompagne les entités du risque d atteinte à la réputation ou d inadaptation des produits aux besoins des clients. du Groupe dans le traitement de problèmes de toute nature rencontrés dans ce domaine. En 2006, plusieurs politiques majeures de niveau Les outils de détection et de gestion des situations de risque de non-conformité occupent Groupe ont été mises à jour, notamment : une place croissante, notamment le dispositif La directive de gestion du risque de réputation d alerte éthique, opérationnel en France et dans qui défi nit de meilleurs moyens de protection certaines implantations étrangères. Conforme de la réputation du Groupe vis-à-vis des aux exigences de la réglementation bancaire et clients, des contreparties, des régulateurs et fi nancière et à celles des législations sur la protection des données personnelles et le secret de toutes personnes engagées au maintien de cette réputation ; bancaire, il assure la confi dentialité des interventions. Il ne traite que des questions relevant de la La directive de gestion des confl its d intérêts qui concerne la protection des intérêts des conformité, c est-à-dire des faits susceptibles de clients, celle de la réputation du Groupe et des porter atteinte à la réputation de la banque, de obligations réglementaires renforcées, notamment avec l entrée en vigueur en 2007 de la pect des textes et procédures, à l intégrité des lui porter préjudice ou de porter atteinte au res- directive Marchés d Instruments fi nanciers ; marchés et au respect du principe de primauté Une nouvelle directive Groupe sur le processus de validation des transactions de l intérêt du client. exception- > Et piloter le dispositif de la sécurité fi nancière Au sein de la fonction Conformité, les équipes de la sécurité fi nancière coordonnent la prévention du blanchiment d argent, la lutte contre la corruption et le fi nancement du terrorisme, et l application des embargos fi nanciers, source d obligations importantes pour les intermédiaires fi nanciers. Elles traitent les déclarations de soupçons pour la France. Elles fi xent les normes dans des domaines spécialisés comme la connaissance des clients, Know Your Customer (KYC), pour la prévention contre le blanchiment. Le devoir de vigilance représente une obligation légale pour les institutions fi nancières qui s étend à tous leurs métiers. Une circulaire diffusée en 2006 complète le dispositif de connaissance des clients et d acceptation des intermédiaires : tiers gérants, apporteurs d affaires, etc., et défi - nit l utilisation d outils informatiques destinés à identifi er les clients sensibles et à renforcer la surveillance des opérations. 34

3 La situation internationale conduit les autorités à mettre en place des sanctions visant certains pays ou marchandises en imposant des embargos fi nanciers. Les instructions relatives à l application de ces embargos défi nissent les principes auxquels il est impératif de ne jamais déroger en détectant et en traitant, conformément aux lois en vigueur, les opérations de la clientèle visées par ces mesures. Le groupe BNP Paribas s est fi xé pour objectif de limiter et de coordonner étroitement sa présence dans les pays qualifi és de paradis fi scaux pour mieux maîtriser les aléas liés à l administration de ses entités et les risques de réputation qui en découlent. Des procédures et règles de conduite défi nissent les périmètres géographiques concernés, les règles de contrôle des structures établies dans ces pays et les dispositifs de conformité et sécurité fi nancière. Conformément au principe du mieux-disant déontologique, les règles du Groupe en matière de lutte contre le blanchiment, la corruption, le fi nancement du terrorisme et de respect des embargos s appliquent aux entités domiciliées dans des paradis fi scaux, même si les réglementations locales sont moins strictes. De nouveaux outils informatiques de contrôle représentant un investissement important pour le Groupe ont été développés en 2006 : une base de données sur les personnes politiquement exposées (Lynx) ; un contrôle automatisé des bases clients par rapport aux listes de sanctions et personnes politiquement exposées (Sun) ; un référentiel des listes de sanctions (Regliss) ; un fi ltrage anti-terrorisme et application des embargos (Shine) ; un outil d analyse du fonctionnement des comptes pour détecter les opérations de blanchiment (Iris) et un nouvel outil de gestion des déclarations de soupçons (Syfact). La formation à la conformité, à la lutte contre le blanchiment en particulier, constitue une responsabilité essentielle de la fonction. En 2006, cette formation a été dispensée à près de collaborateurs des pôles, en augmentation de 45 % par rapport à En central, un module e-learning de sensibilisation à la conformité a été développé. De nouveaux modules sont élaborés pour la détection des abus de marché (opérations d initiés et manipulations de cours) et la mise en œuvre de la directive européenne Marchés d Instruments fi nanciers contenant d importantes dispositions relatives à la conformité pour une meilleure exécution des transactions, l adéquation des produits aux clients, leur information et la gestion des confl its d intérêts. 35

4 La continuité de l activité Elle constitue une préoccupation constante du Groupe. Dès les années 1980, des plans de secours informatiques étaient mis en place tant à la BNP que chez Paribas. Les événements extérieurs, l évolution de la réglementation et la pression des clients ont poussé depuis à la constante amélioration des dispositifs dans tous les métiers et les implantations du Groupe. La coordination de niveau Groupe a été renforcée en 2006 pour inscrire la continuité d activité dans une approche globale de robustesse et améliorer la transversalité dans un Groupe en constante croissance. De nombreuses initiatives locales ont été menées en parallèle, telles que la création d un site dédié à New York ou le renforcement à Londres de la coordination des Plans de continuation d activité (PCA) et des Disaster Recovery Plans. > L organisation de la continuité d activité L organisation repose sur trois piliers : - Conformité Groupe défi nit la politique générale de continuité d activité du Groupe ; - Effi cacité Opérationnelle Groupe propose une stratégie, une méthodologie et des standards à partir de la politique défi nie, agit sur des principes de cohérence et contrôle la mise en œuvre de cette stratégie ; - Les entités élaborent, mettent en œuvre et testent leur plan. Une équipe dédiée à la Sécurité Groupe a été constituée en parallèle ; elle a pour mission de coordonner la mise en place d une gestion de crise réactive et effi cace de niveau Groupe. > La gestion opérationnelle des plans de continuité Les entités sont directement responsables de l identifi cation de leurs besoins, de l élaboration du plan d action correspondant (PCA), de la réalisation de tests pour mesurer l effi cacité du plan, de la défi nition et de la mise en place d un dispositif de gestion de crise. Ces missions s inscrivent dans une méthodologie Groupe pour garantir l effi cacité du dispositif, qui comprend quatre étapes : Phase 1 Les travaux préparatoires : ils comprennent l identifi cation des solutions de continuité, notamment le plan de reprise après sinistre concernant l infrastructure (Disaster Recovery Plan) et le plan de continuité d activité pour les utilisateurs correspondant aux risques tels que les coupures électriques, l incendie, l inondation, le risque sismique, l effondrement, le terrorisme ou un mouvement social, entraînant l inaccessibilité des locaux et l indisponibilité des moyens de traitement ou de transport ; l identifi cation des intervenants ; la prise en compte du contexte réglementaire, y compris pour une activité externalisée ; et l inventaire des éléments sous-tendant l activité : collaborateurs clés, systèmes, applications et leurs données ; logistique : disposition, accès, sécurité, alimentation en fl uides. 36

5 Phase 2 L analyse et l expression des besoins de continuité : chaque entité défi nit les fonctions critiques pour le maintien de son activité en cas de sinistre : les activités stratégiques et leurs impacts fi nanciers, commerciaux, réglementaires, d image, etc., sont listés, hiérarchisés et validés. Les délais maximaux admissibles d interruption sont évalués, validés et régulièrement réexaminés. Les outils et données stratégiques sont listés, hiérarchisés et validés, en particulier le mode de fonctionnement des outils, l accessibilité des données et les pertes de données maximales admissibles. La logistique et les moyens de communication pour les activités stratégiques sont recensés. Les conditions pour la sécurité des hommes et des données : authentifi cation, sauvegarde, stockage, etc., sont défi nies. Phase 3 Le déclenchement et la mise en œuvre des stratégies de continuité : les dispositions sont prises pour déclencher la solution de continuité dans chaque scénario de crise. Les procédures organisationnelles, fonctionnelles et techniques sont documentées et mises à jour au moins une fois par an. Phase 4 Le maintien en conditions opérationnelles : les PCA sont régulièrement testés et les documentations mises à jour selon les modifi cations de l environnement techniques et réglementaires. Au cours des dernières années, BNP Paribas a signifi cativement renforcé sa robustesse, même s il reste impossible de se protéger complètement contre toutes les catastrophes. Loin d être seulement une obligation réglementaire, la continuité d activité constitue un enjeu majeur pour le Groupe, qui souhaite garantir à ses clients, actionnaires et salariés la solidité et la résilience des activités dans un environnement où les situations de tension sont de plus en plus fréquentes. Cette exigence se traduit par une organisation importante qui accroît l effi cacité de la prévention des risques opérationnels et de la gestion des situations de crise, tout en veillant à l optimisation des ressources allouées. 37