DOCUMENT DE RÉFÉRENCE 2007

GESTION DES RISQUESDispositif de gestion 3■ le Comité contentieux où sont évoqués les dossiers significatifs endéfense ou en demande,■ par ailleurs, la fonction juridique est membre permanent duComité de la Conformité et du Comité de coordination du ContrôleInterne ;■ des procédures et référentiels internes qui encadrent d’une part lamaîtrise du risque juridique, en liaison étroite avec la Conformité pourtous les sujets qui sont aussi de son ressort, d’autre part l’interventiondes juristes au sein du Groupe. Ces procédures figurent depuis fin 2004sur une base de données accessible à tous les salariés, en français eten anglais ;■ des missions de diagnostic juridique dans les entités du Groupe, afinde s’assurer de la pertinence des dispositifs locaux de maîtrise durisque juridique, de la Conformité dans l’application des procédureset dans l’utilisation des outils. Des visites régulières, notamment desterritoires vulnérables, sont organisées afin de superviser les dispositifsjuridiques développés à l’étranger ;■ des outils internes de reporting, de modèles de documents et d’analysesque les AJG continuent de développer et qui contribuent à l’analysedu risque opérationnel.La fonction juridique a fait l’objet d’une réorganisation fin 2007 en vuede permettre une surveillance accrue du dispositif juridique du Groupetout en rapprochant les juristes opérationnels des pôles et des métiers.Cette réorganisation contribue à l’amélioration de la maîtrise du risquejuridique, tant en France qu’à l’étranger.Risque fiscalBNP Paribas est soumis aux réglementations fiscales en vigueur dansles différents pays où le Groupe est présent et s’appliquant aux secteursd’activité dont relèvent les différentes entités du Groupe, comme labanque, l’a ssurance et les services financiers.Les Affaires Fiscales Groupe (AFG) sont une fonction à compétencemondiale chargée de la cohérence des solutions fiscales du Groupe etdu suivi du risque fiscal global, dont elle assure la responsabilité avec lafonction Finances-Développement Groupe (FDG). Les AFG veillent, autitre d’un deuxième regard, à ce que les risques pris en matière fiscalese situent à un niveau acceptable pour le Groupe et cohérent avec sesobjectifs de réputation.Pour exercer sa mission, la fonction AFG a mis en place :■ un réseau de correspondants fiscaux dans l’ensemble des pays où leGroupe est implanté, auquel s’ajoutent des fiscalistes locaux présentsdans 12 pays ;■ un processus de remontée d’informations qualitatives permettant decontribuer au contrôle du risque fiscal et de pouvoir juger du respectde la réglementation fiscale locale ;■ un reporting régulier à la Direction Générale sur l’exercice desdélégations accordées et le respect des référentiels internes.Elle participe à un Comité de coordination fiscale animé par la fonctionFDG, élargi à la fonction Conformité et, en cas de besoin, aux pôles. CeComité a pour vocation d’analyser les éléments concernant les principalesproblématiques fiscales du Groupe et de prendre des décisions idoines.FDG a l’obligation de recourir au Conseil des AFG pour les aspects fiscauxde l’ensemble des opérations traitées.Les AFG sont, par ailleurs, dotées de procédures couvrant l’ensemble despôles et destinées à assurer l’identification, la maîtrise et le contrôle durisque fiscal. Il s’agit autant du risque fiscal du Groupe que du risquefiscal des produits ou transactions proposés par les sociétés du Groupeà la clientèle. Les moyens d’atteindre ces objectifs sont des plus variéspuisque les procédures concernent, entre autres :■ le cadre dans lequel s’exercent les responsabilités liées auxproblématiques fiscales : c’est notamment l’objet de la Charte durisque fiscal déclinée soit sous la forme d’une lettre de missionadressée aux responsables locaux de la fonction fiscale, soit sous laforme d’une lettre de délégation aux responsables des pôles pour lesentités non couvertes par des fiscalistes locaux. Cette lettre est revueen fonction de l’évolution de la Charte du Directeur de Territoire ;■ la validation par les AFG de tout nouveau produit à contenu fiscalmarqué, de toutes nouvelles activités ainsi que des opérations« spécifiques » qui sont structurées en France et à l’étranger ;■ les modalités de recours à un conseil fiscal externe ;■ la définition des incidents de risques opérationnels à caractère fiscalet des standards communs de déclaration et de reporting ;■ la définition et la diffusion des règles et normes applicables dans leGroupe et la validation de toute convention-cadre ou de place et toutecirculaire ou texte organique interne présentant une problématiquefiscale marquée ;■ un reporting portant sur les contrôles fiscaux ;■ les modalités de contrôle de la délivrance des avis et conseils dansle domaine fiscal.Sécurité de l’information< Sommaire >L’information est la matière première principale des activités d’unebanque. La dématérialisation quasi achevée, le besoin de rapidité desopérations et leur automatisation toujours plus poussée, l’interconnexionentre la banque et ses clients – via Internet pour les particuliers et parde multiples réseaux pour les entreprises et institutionnels – renforcentcontinûment le besoin de maîtrise du risque relatif à la sécurité del’information.L’évolution des incidents de la profession bancaire et de l’industriedes cartes, rendus publics dans différents pays, implique une vigilanceaccrue confirmée par la réglementation et la jurisprudence en matièrede données personnelles et bancaires.La maîtrise de la sécurité de l’information de BNP Paribas s’articule autourd’un ensemble de politiques sécurité, déclinées métier par métier, prenanten compte les contraintes réglementaires et l’appétence au risque dumétier et s’appuyant sur le cadre général de la politique du Groupe fondéesur la norme ISO 27001 (évolution de la norme ISO 17799). Chaquemétier utilise la même démarche de gestion de ce risque (indicateursobjectifs et partagés, Contrôle Périodique, évaluation du risque résiduelet plan d’action). Cette démarche s’inscrit dans le Contrôle Permanent etle Contrôle Périodique au sein de chaque activité bancaire, en particulierpour la directive CRBF 97-02 modifiée en 2004 en France et d’autresréglementations similaires ailleurs.Chaque métier du groupe BNP Paribas possède des facteurs de risques liésà la sécurité de l’information qui lui sont spécifiques tandis que d’autressont communs à tous. La politique de maîtrise du risque informatiqueprend en compte les dimensions propres aux métiers, souvent renduesplus complexes par les spécificités nationales – culturelles et légales –des pays dans lesquels ces métiers exercent leurs activités.Comme la plupart des établissements bancaires mondiaux et comme lesannées précédentes, les métiers de banque en ligne pour les particuliersdu Groupe continuent à être victimes en 2007 de plusieurs tentativesd’attaques informatiques (par usurpation d’identité « phishing/pharming »via Internet). Les attaques de masse ont toutes été parées – sans aucun1234567891011Document de référence 2007 - BNP PARIBAS 77