La conformité au sein de - BNP Paribas
La conformité au sein de - BNP Paribas
La conformité au sein de - BNP Paribas
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>La</strong> conformité <strong>au</strong> <strong>sein</strong> <strong>de</strong><br />
<strong>BNP</strong> <strong>Paribas</strong><br />
<strong>BNP</strong> <strong>Paribas</strong>, Paris
<strong>La</strong> conformité <strong>au</strong> <strong>sein</strong><br />
<strong>de</strong> <strong>BNP</strong> <strong>Paribas</strong><br />
<strong>La</strong> fonction Conformité <strong>de</strong> <strong>BNP</strong> <strong>Paribas</strong> est un <strong>de</strong>s éléments clés <strong>de</strong> son<br />
dispositif <strong>de</strong> contrôle interne. Elle s’inscrit <strong>au</strong>ssi dans ses obligations<br />
réglementaires, d’une part <strong>au</strong> titre du règlement 97-02 du Comité <strong>de</strong><br />
la réglementation bancaire sur le contrôle interne <strong>de</strong>s établissements<br />
<strong>de</strong> crédit, d’<strong>au</strong>tre part <strong>au</strong> titre du règlement général <strong>de</strong> l’Autorité <strong>de</strong>s<br />
Marchés Financiers, modifié à la suite <strong>de</strong> la transposition <strong>de</strong> la directive<br />
européenne réglementant les marchés d’instruments financiers.<br />
<strong>La</strong> maîtrise <strong>de</strong>s risques <strong>de</strong> toute nature constitue un élément essentiel<br />
<strong>de</strong> l’organisation, <strong>de</strong> la gestion et <strong>de</strong>s stratégies <strong>de</strong> <strong>BNP</strong> <strong>Paribas</strong>. Parmi<br />
ces risques, ceux portant atteinte à la conformité occupent une place<br />
importante. Selon la définition retenue par le Groupe, la conformité est<br />
“le respect <strong>de</strong>s dispositions législatives et réglementaires, <strong>de</strong>s normes<br />
professionnelles et déontologiques ainsi que <strong>de</strong>s orientations du<br />
Conseil d’administration et <strong>de</strong>s instructions <strong>de</strong> la Direction Générale ».<br />
Elle recouvre la protection <strong>de</strong> la réputation du Groupe et la mise en<br />
œuvre <strong>de</strong> ses règles <strong>de</strong> conduite et, notamment, le respect <strong>de</strong> l’intégrité<br />
<strong>de</strong>s marchés et <strong>de</strong> la prim<strong>au</strong>té <strong>de</strong>s intérêts <strong>de</strong>s clients, la contribution à<br />
la lutte contre le blanchiment, le terrorisme et la corruption, et l’éthique<br />
professionnelle.<br />
Répondant <strong>au</strong>x principes d’exh<strong>au</strong>stivité et d’universalité, elle s’applique<br />
avec le même <strong>de</strong>gré d’exigence quelles que soient l’activité ou l’entité,<br />
en France ou à l’étranger, par application du principe du mieux disant.<br />
Ce principe stipule que la règle la plus exigeante s’impose, entre<br />
celles énoncées par les législations et réglementations <strong>de</strong>s différents<br />
territoires, et les directives et procédures propres <strong>au</strong> Groupe.<br />
Des équipes dédiées<br />
Le dispositif <strong>de</strong> contrôle <strong>de</strong> la conformité, partie intégrante du contrôle interne,<br />
est placé sous la responsabilité d’une fonction dédiée, la Conformité. Sous<br />
l’<strong>au</strong>torité directe du Directeur Général, cette fonction est dirigée par un membre<br />
du Comité Exécutif, <strong>au</strong>ssi responsable du contrôle interne permanent<br />
vis-à-vis du régulateur et coordonnant l’animation du dispositif <strong>de</strong> contrôle<br />
interne.<br />
Les attributions <strong>de</strong> la Conformité sont fi xées par la charte du contrôle interne<br />
du Groupe et la charte <strong>de</strong> la Conformité. Celle-ci dispose d’une équipe centrale<br />
et d’équipes décentralisées. L’équipe centrale exerce le pilotage et l’animation<br />
<strong>de</strong> la fonction dans le Groupe et établit les normes et référentiels<br />
applicables. Les équipes décentralisées dans les pôles d’activité, les métiers,<br />
les fonctions, les fi liales et les succursales, <strong>au</strong> contact direct <strong>de</strong>s opérations,<br />
représentent 702 personnes fi n 2007, soit près <strong>de</strong> 95 % <strong>de</strong>s effectifs <strong>de</strong><br />
la fonction. Ces équipes sont placées <strong>au</strong> nive<strong>au</strong> le plus élevé <strong>de</strong>s entités,<br />
sous la tutelle conjointe <strong>de</strong> la fonction et <strong>de</strong>s responsables opérationnels<br />
<strong>de</strong>s entités, en application du principe selon lequel les opérationnels sont les<br />
premiers responsables <strong>de</strong>s risques.<br />
Rapport sur la responsabilité sociale et environnementale 2007 /////// <strong>La</strong> conformité <strong>au</strong> <strong>sein</strong> <strong>de</strong> <strong>BNP</strong> <strong>Paribas</strong><br />
82
L’actualisation <strong>de</strong>s référentiels<br />
<strong>La</strong> Conformité, qui assure la responsabilité <strong>de</strong>s procédures générales <strong>de</strong><br />
conformité et accompagne les entités du Groupe dans le traitement <strong>de</strong> problèmes<br />
<strong>de</strong> toute nature rencontrés dans ce domaine, a poursuivi en 2007 son travail<br />
visant à doter le Groupe d’un corps <strong>de</strong> référentiels <strong>de</strong> h<strong>au</strong>t nive<strong>au</strong>, à jour.<br />
Notamment :<br />
• Un co<strong>de</strong> <strong>de</strong> conduite <strong>de</strong>s collaborateurs du Groupe a été élaboré. Il en a<br />
été <strong>de</strong> même d’une politique <strong>de</strong> prévention, <strong>de</strong> détection et <strong>de</strong> gestion <strong>de</strong> la<br />
fr<strong>au</strong><strong>de</strong> ainsi que d’une politique du “bien-vendre” qui constitue un élément<br />
essentiel <strong>de</strong> la protection <strong>de</strong>s intérêts <strong>de</strong>s clients ;<br />
• <strong>La</strong> politique en matière <strong>de</strong> transactions personnelles <strong>de</strong>s collaborateurs sur<br />
instruments fi nanciers et en matière <strong>de</strong> ca<strong>de</strong><strong>au</strong>x a été publiée ;<br />
• Des politiques d’application <strong>de</strong>s directives du Groupe en matière <strong>de</strong> gestion <strong>de</strong>s<br />
confl its d’intérêts et <strong>de</strong> processus <strong>de</strong> validation <strong>de</strong>s transactions exceptionnelles,<br />
<strong>de</strong>s produits nouve<strong>au</strong>x et <strong>de</strong>s activités nouvelles, qui occupent une place<br />
centrale dans le dispositif <strong>de</strong> contrôle interne du Groupe, ont été diffusées ;<br />
Sur un plan opérationnel, la Conformité a piloté <strong>au</strong> nive<strong>au</strong> du Groupe l’ensemble<br />
<strong>de</strong>s trav<strong>au</strong>x liés à l’entrée en vigueur, le 1 er novembre 2007, <strong>de</strong>s nouvelles<br />
dispositions du règlement général <strong>de</strong> l’Autorité <strong>de</strong>s Marchés Financiers transposant<br />
la directive Marchés d’instruments fi nanciers. Ces dispositions ont<br />
notamment un impact majeur sur la relation avec les clients dont elles améliorent<br />
<strong>de</strong> façon importante la protection <strong>de</strong>s intérêts. Tel est notamment le cas<br />
en matière <strong>de</strong> confl its d’intérêts, d’adéquation <strong>de</strong>s produits à leurs besoins, <strong>de</strong><br />
meilleure exécution <strong>de</strong> leurs ordres, <strong>de</strong> transparence et <strong>de</strong> comptes rendus.<br />
Les outils <strong>de</strong> détection et <strong>de</strong> gestion <strong>de</strong>s situations <strong>de</strong> risque <strong>de</strong> nonconformité<br />
occupent une place croissante. En 2007, le dispositif d’alerte<br />
éthique a été déployé dans la plus gran<strong>de</strong> partie du Groupe, en France et à<br />
l’étranger. Rappelons que ce dispositif, <strong>de</strong>stiné à déceler les dysfonctionnements,<br />
est conforme <strong>au</strong>x exigences <strong>de</strong> la réglementation bancaire et fi nancière<br />
et <strong>de</strong> celle sur la protection <strong>de</strong>s données personnelles et assure la<br />
confi <strong>de</strong>ntialité <strong>de</strong>s interventions. Il ne traite que <strong>de</strong>s questions relevant <strong>de</strong> la<br />
conformité, c’est-à-dire <strong>de</strong>s faits susceptibles <strong>de</strong> porter atteinte à la réputation<br />
du Groupe, <strong>de</strong> lui porter préjudice ou <strong>de</strong> porter atteinte <strong>au</strong> respect <strong>de</strong>s<br />
textes et procédures, à l’intégrité <strong>de</strong>s marchés et <strong>au</strong> respect du principe <strong>de</strong><br />
prim<strong>au</strong>té <strong>de</strong> l’intérêt du client. Dans un <strong>au</strong>tre domaine, les outils <strong>de</strong> détection<br />
<strong>de</strong>s abus <strong>de</strong> marché (délits d’initié et manipulations <strong>de</strong> cours) entrent progressivement<br />
en production.<br />
Le pilotage du dispositif <strong>de</strong> sécurité financière<br />
Au <strong>sein</strong> <strong>de</strong> la fonction Conformité, les équipes <strong>de</strong> la sécurité fi nancière coordonnent<br />
la prévention du blanchiment d’argent, la lutte contre la corruption<br />
et contre le fi nancement du terrorisme, et l’application <strong>de</strong>s embargos fi nanciers,<br />
source d’obligations importantes pour les intermédiaires fi nanciers. Elles<br />
traitent les déclarations <strong>de</strong> soupçons pour la France. Elles fi xent les normes<br />
dans <strong>de</strong>s domaines spécialisés comme la connaissance <strong>de</strong>s clients – Know<br />
your Customer (KYC) – pour la prévention contre le blanchiment, l’acceptation<br />
<strong>de</strong>s intermédiaires (tiers gérants, apporteurs d’affaires…) et les relations<br />
avec les personnes politiquement exposées. Le <strong>de</strong>voir <strong>de</strong> vigilance représente<br />
une obligation légale pour les institutions fi nancières qui s’étend à tous leurs<br />
métiers.<br />
Rapport sur la responsabilité sociale et environnementale 2007 /////// <strong>La</strong> conformité <strong>au</strong> <strong>sein</strong> <strong>de</strong> <strong>BNP</strong> <strong>Paribas</strong><br />
83
<strong>La</strong> sécurité fi nancière coordonne <strong>au</strong>ssi l’application <strong>de</strong>s embargos fi nancie rs.<br />
En effet, la situation internationale conduit les <strong>au</strong>torités à mettre en place <strong>de</strong>s<br />
sanctions visant certains pays ou marchandises en imposant <strong>de</strong>s embargos<br />
fi nanciers. Les instructions relatives à l’application <strong>de</strong> ces embargos défi nissent<br />
les principes <strong>au</strong>xquels il est impératif <strong>de</strong> ne jamais déroger en détectant<br />
et en traitant, conformément <strong>au</strong>x lois en vigueur, les opérations <strong>de</strong> la clientèle<br />
visées par ces mesures. Dans le cadre d’un environnement politique et réglementaire<br />
particulièrement sensible en 2007, le dispositif <strong>de</strong>stiné à assurer le<br />
respect <strong>de</strong> ces embargos fi nanciers a été renforcé.<br />
Le groupe <strong>BNP</strong> <strong>Paribas</strong> s’est fi xé pour objectif <strong>de</strong> limiter et <strong>de</strong> coordonner<br />
étroitement sa présence dans les pays qualifi és <strong>de</strong> paradis fi sc<strong>au</strong>x pour<br />
mieux maîtriser les aléas liés à l’administration <strong>de</strong> ses entités et les risques<br />
<strong>de</strong> réputation qui en découlent. Des procédures et règles <strong>de</strong> conduite défi -<br />
nissent les périmètres géographiques concernés, les règles <strong>de</strong> contrôle <strong>de</strong>s<br />
structures établies dans ces pays et les dispositifs <strong>de</strong> conformité et sécurité<br />
fi nancière. Conformément <strong>au</strong> principe du mieux disant déontologique, les<br />
règles du Groupe en matière <strong>de</strong> lutte contre le blanchiment, la corruption,<br />
le fi nancement du terrorisme et le respect <strong>de</strong>s embargos s’appliquent <strong>au</strong>x<br />
entités domiciliées dans <strong>de</strong>s paradis fi sc<strong>au</strong>x, même si les réglementations<br />
locales sont moins strictes.<br />
Le développement et l’implantation d’outils <strong>de</strong> surveillance <strong>de</strong>s opérations,<br />
<strong>de</strong> détection <strong>de</strong>s anomalies ou d’ai<strong>de</strong> à la gestion <strong>de</strong>s obligations restent une<br />
priorité. Les outils informatiques <strong>de</strong> contrôle, dans le domaine <strong>de</strong> la sécurité<br />
fi nancière, qui représentent un investissement important pour le Groupe, ont<br />
continué à être développés en 2007 : la base <strong>de</strong> données sur les personnes<br />
politiquement exposées (LYNX) ; le contrôle <strong>au</strong>tomatisé <strong>de</strong>s bases clients par<br />
rapport <strong>au</strong>x listes <strong>de</strong> sanctions et personnes politiquement exposées (SUN) ;<br />
le référentiel <strong>de</strong>s listes <strong>de</strong> sanctions (REGLISS) ; le fi ltrage antiterrorisme et<br />
application <strong>de</strong>s embargos (SHINE) ; l’outil d’analyse du fonctionnement <strong>de</strong>s<br />
comptes pour détecter les opérations <strong>de</strong> blanchiment (IRIS) et le nouvel outil<br />
<strong>de</strong> gestion <strong>de</strong>s déclarations <strong>de</strong> soupçons (SYFACT). Dans le domaine <strong>de</strong> la<br />
détection <strong>de</strong>s abus <strong>de</strong> marché, le dispositif, désormais largement opérationnel,<br />
a permis <strong>de</strong> mettre en évi<strong>de</strong>nce un nombre substantiel d’alertes et d’effectuer<br />
les déclarations requises <strong>au</strong>x <strong>au</strong>torités compétentes. Le déploiement<br />
<strong>de</strong> l’outil ACTIMIZE sélectionné par le Groupe s’est poursuivi à un rythme<br />
soutenu. Sa généralisation en 2008 constituera un gage supplémentaire <strong>de</strong><br />
fi abilisation du processus.<br />
<strong>La</strong> formation à la conformité, qu’il s’agisse <strong>de</strong> la protection <strong>de</strong>s intérêts <strong>de</strong>s<br />
clients, <strong>de</strong> la lutte contre les atteintes à l’intégrité <strong>de</strong>s marchés ou <strong>de</strong> la lutte<br />
contre le blanchiment, constitue une responsabilité essentielle <strong>de</strong> la fonction.<br />
En 2007, cette formation a été dispensée à près <strong>de</strong> 82 000 collaborateurs <strong>de</strong>s<br />
pôles, en <strong>au</strong>gmentation <strong>de</strong> 30 % par rapport à 2006 à périmètre constant. En<br />
central, <strong>de</strong> nouve<strong>au</strong>x modules <strong>de</strong> sensibilisation à la conformité ont été développés<br />
pour la détection <strong>de</strong>s abus <strong>de</strong> marché (opérations d’initiés et manipulations<br />
<strong>de</strong> cours) et la mise en œuvre <strong>de</strong> la directive européenne Marchés<br />
d’instruments fi nanciers contenant d’importantes dispositions relatives à la<br />
conformité pour une meilleure exécution <strong>de</strong>s transactions, l’adéquation <strong>de</strong>s<br />
produits <strong>au</strong>x clients, leur information et la gestion <strong>de</strong>s confl its d’intérêts. Sont<br />
en cours <strong>de</strong> développement <strong>de</strong>s modules consacrés à la gestion <strong>de</strong>s confl its<br />
d’intérêts et <strong>au</strong> respect <strong>de</strong>s embargos fi nanciers.<br />
Rapport sur la responsabilité sociale et environnementale 2007 /////// <strong>La</strong> conformité <strong>au</strong> <strong>sein</strong> <strong>de</strong> <strong>BNP</strong> <strong>Paribas</strong><br />
84
<strong>La</strong> continuité <strong>de</strong> l’activité<br />
Elle constitue une préoccupation constante du Groupe. Dès les années 1980,<br />
<strong>de</strong>s plans <strong>de</strong> secours informatiques étaient mis en place tant à la <strong>BNP</strong> que<br />
chez <strong>Paribas</strong>. Les événements extérieurs, l’évolution <strong>de</strong> la réglementation et<br />
la pression <strong>de</strong>s clients ont poussé <strong>de</strong>puis à la constante amélioration <strong>de</strong>s<br />
dispositifs dans tous les métiers et les implantations du Groupe. <strong>La</strong> coordination<br />
<strong>de</strong> nive<strong>au</strong> Groupe a été renforcée en 2006 pour inscrire la continuité<br />
d’activité dans une approche globale <strong>de</strong> robustesse et améliorer la transversalité<br />
dans un Groupe en constante croissance. De nombreuses initiatives<br />
locales ont été menées en parallèle, telles que la création d’un site dédié<br />
à New York ou le renforcement à Londres <strong>de</strong> la coordination <strong>de</strong>s plans <strong>de</strong><br />
continuité d’activité (PCA) et <strong>de</strong>s Disaster Recovery Plans.<br />
L’organisation <strong>de</strong> la continuité d’activité<br />
L’organisation repose sur trois piliers :<br />
• Conformité Groupe défi nit la politique générale <strong>de</strong> continuité d’activité du<br />
Groupe.<br />
• Technologies et Processus - ITP propose une stratégie, une méthodologie<br />
et <strong>de</strong>s standards à partir <strong>de</strong> la politique défi nie, agit sur <strong>de</strong>s principes <strong>de</strong><br />
cohérence et contrôle la mise en œuvre <strong>de</strong> cette stratégie.<br />
• Les entités élaborent, mettent en œuvre et testent leur plan.<br />
Une équipe dédiée à la Sécurité Groupe a été constituée en parallèle ; elle a<br />
pour mission <strong>de</strong> coordonner la mise en place d’une gestion <strong>de</strong> crise réactive<br />
et effi cace <strong>de</strong> nive<strong>au</strong> Groupe.<br />
<strong>La</strong> gestion opérationnelle <strong>de</strong>s plans <strong>de</strong> continuité<br />
Les entités sont directement responsables <strong>de</strong> l’i<strong>de</strong>ntifi cation <strong>de</strong> leurs besoins,<br />
<strong>de</strong> l’élaboration du plan d’action correspondant (PCA), <strong>de</strong> la réalisation <strong>de</strong> tests<br />
pour mesurer l’effi cacité du plan, <strong>de</strong> la défi nition et <strong>de</strong> la mise en place d’un<br />
dispositif <strong>de</strong> gestion <strong>de</strong> crise. Ces missions s’inscrivent dans une méthodologie<br />
Groupe pour garantir l’effi cacité du dispositif, qui comprend quatre étapes :<br />
Phase 1 – Les trav<strong>au</strong>x préparatoires : Ils comprennent l’i<strong>de</strong>ntifi cation <strong>de</strong>s<br />
solutions <strong>de</strong> continuité, notamment le plan <strong>de</strong> reprise après sinistre concernant<br />
l’infrastructure (Disaster Recovery Plan) et le plan <strong>de</strong> continuité d’activité<br />
pour les utilisateurs correspondant <strong>au</strong>x risques tels que les coupures<br />
d’électricité, les incendies, inondations, risques sismiques, effondrements,<br />
terrorisme ou mouvements soci<strong>au</strong>x entraînant l’inaccessibilité <strong>de</strong>s loc<strong>au</strong>x et<br />
l’indisponibilité <strong>de</strong>s moyens <strong>de</strong> traitement ou <strong>de</strong> transport ; l’i<strong>de</strong>ntifi cation <strong>de</strong>s<br />
intervenants ; la prise en compte du contexte réglementaire, y compris pour<br />
une activité externalisée ; et l’inventaire <strong>de</strong>s éléments sous-tendant l’activité :<br />
collaborateurs clés, systèmes, applications et leurs données, logistique : disposition,<br />
accès, sécurité, alimentation en fl ui<strong>de</strong>s.<br />
Rapport sur la responsabilité sociale et environnementale 2007 /////// <strong>La</strong> conformité <strong>au</strong> <strong>sein</strong> <strong>de</strong> <strong>BNP</strong> <strong>Paribas</strong><br />
85
Phase 2 – L’analyse et l’expression <strong>de</strong>s besoins <strong>de</strong> continuité : Chaque<br />
entité défi nit les fonctions critiques pour le maintien <strong>de</strong> son activité en cas <strong>de</strong><br />
sinistre : les activités stratégiques et leurs impacts fi nanciers, commerci<strong>au</strong>x,<br />
réglementaires, d’image, etc., sont listés, hiérarchisés et validés. Les délais<br />
maxim<strong>au</strong>x admissibles d’interruption sont évalués, validés et régulièrement<br />
réexaminés. Les outils et données stratégiques sont listés, hiérarchisés et<br />
validés, en particulier le mo<strong>de</strong> <strong>de</strong> fonctionnement <strong>de</strong>s outils, l’accessibilité<br />
<strong>de</strong>s données et les pertes <strong>de</strong> données maximales admissibles. <strong>La</strong> logistique<br />
et les moyens <strong>de</strong> communication pour les activités stratégiques sont recensés.<br />
Les conditions pour la sécurité <strong>de</strong>s hommes et <strong>de</strong>s données : <strong>au</strong>thentifi<br />
cation, s<strong>au</strong>vegar<strong>de</strong>, stockage, etc., sont défi nies.<br />
Phase 3 – Le déclenchement et la mise en œuvre <strong>de</strong>s stratégies <strong>de</strong> continuité<br />
: Les dispositions sont prises pour déclencher la solution qui permet la<br />
continuité dans chaque scénario <strong>de</strong> crise. Les procédures organisationnelles,<br />
fonctionnelles et techniques sont documentées et mises à jour <strong>au</strong> moins<br />
une fois par an.<br />
Phase 4 – Le maintien en conditions opérationnelles : Les PCA sont régulièrement<br />
testés et les documentations mises à jour selon les modifi cations <strong>de</strong><br />
l’environnement techniques et réglementaires.<br />
Au cours <strong>de</strong>s <strong>de</strong>rnières années, <strong>BNP</strong> <strong>Paribas</strong> a signifi cativement renforcé sa<br />
robustesse, même s’il reste impossible <strong>de</strong> se protéger complètement contre<br />
toutes les catastrophes. Loin d’être seulement une obligation réglementaire,<br />
la continuité d’activité constitue un enjeu majeur pour le Groupe, qui souhaite<br />
garantir à ses clients, actionnaires et salariés la solidité et la résilience <strong>de</strong>s<br />
activités dans un environnement où les situations <strong>de</strong> tension sont <strong>de</strong> plus<br />
en plus fréquentes. Cette exigence se traduit par une organisation importante<br />
qui accroît l’effi cacité <strong>de</strong> la prévention <strong>de</strong>s risques opérationnels et <strong>de</strong><br />
la gestion.<br />
Rapport sur la responsabilité sociale et environnementale 2007 /////// <strong>La</strong> conformité <strong>au</strong> <strong>sein</strong> <strong>de</strong> <strong>BNP</strong> <strong>Paribas</strong><br />
86