4.1 CADRE D’EXERCICE

Le contrôle interne s’inscrit dans le cadre réglementaire strict imposé aux établissements bancaires.

En France, les conditions d’exercice du contrôle interne des établissements bancaires découlent de l’Arrêté du 3 novembre 2014 modifié par l’arrêté du 25 février 2021. Ce texte, qui régit les établissements de crédit et les entreprises d’investissement, définit la notion de contrôle interne et spécifie un certain nombre d’obligations relatives à la mesure et à l’encadrement des différents risques des activités des entreprises concernées, ainsi que les procédures par lesquelles l’organe de surveillance doit évaluer les conditions d’exercice du contrôle interne.

Le Comité de Bâle a défini les quatre principes – Indépendance, Universalité, Impartialité, Adéquation des moyens aux missions – qui doivent prévaloir dans l’exercice du contrôle interne des établissements de crédit.

Le Conseil d’administration veille à ce que le groupe Société Générale ait un dispositif de gouvernance solide et une organisation claire avec :

un partage des responsabilités bien défini, transparent et cohérent ;

des procédures efficaces de détection, de gestion, de suivi et de déclaration des risques auxquels le Groupe pourrait être exposé.

Pour mettre en œuvre ce dispositif, il donne mandat à la Direction générale du Groupe qui a en charge de décliner les orientations stratégiques du Groupe.

Le Comité d’audit et de contrôle interne est un comité du Conseil d’administration plus particulièrement en charge de préparer les décisions du Conseil d’administration en matière de supervision du contrôle interne.

À ce titre, il reçoit les Reportings de la Direction générale sur le contrôle interne du Groupe. Il suit la mise en œuvre des plans de remédiation, lorsqu’il estime que le niveau de risque est justifié.

Le contrôle interne s’appuie sur un corpus de normes et de procédures.

Toutes les activités du groupe Société Générale sont encadrées par des règles et procédures regroupées en un ensemble documentaire appelé la « Documentation normative », regroupé au sein du Code Société Générale qui :

énonce les règles d’action et de comportement s’appliquant aux collaborateurs du Groupe ;

définit l’organisation des métiers et le partage des rôles et responsabilités ;

décrit les règles de gestion et de fonctionnement interne propres à chaque métier et chaque activité.

Le Code Société Générale rassemble les textes normatifs qui, notamment :

définissent la gouvernance du groupe Société Générale, l’organisation et les missions de ses Business Units et Services Units, ainsi que les principes de fonctionnement des dispositifs et processus transverses (Codes de conduite, chartes…) ;

posent le cadre de fonctionnement d’une activité, les principes et les règles de gestion applicables aux produits et services rendus à la clientèle et définissent les procédures internes.

Le Code Société Générale a force de loi interne. Il relève de la responsabilité du Secrétaire général du Groupe.

S’ajoutent au Code Société Générale les procédures opérationnelles propres à chacune des activités du Groupe. Les règles et procédures en vigueur sont conçues de façon à respecter les règles de base du contrôle interne telles que :

la séparation des fonctions ;

l’enregistrement immédiat et irrévocable de toute transaction ;

le rapprochement entre informations de provenances différentes.

Par nature multiples et évolutifs, les risques sont présents dans l’ensemble des processus de l’entreprise. À cet égard, les dispositifs de maîtrise des risques et de contrôle jouent un rôle clé dans la capacité de la Banque à atteindre ses objectifs.

Le dispositif de contrôle interne se caractérise par l’ensemble des moyens qui permettent de s’assurer que les opérations réalisées, l’organisation et les procédures mises en place sont conformes :

aux dispositions légales et réglementaires ;

aux usages professionnels et déontologiques ;

aux règles internes et aux orientations définies par l’organe de Direction de l’entreprise dans sa fonction exécutive.

Le contrôle interne vise notamment à :

prévenir les dysfonctionnements ;

mesurer les risques encourus, et exercer un contrôle suffisant pour assurer leur maîtrise ;

s’assurer de l’adéquation et du bon fonctionnement des processus internes, notamment ceux concourant à la sauvegarde des actifs ;

déceler les irrégularités ;

garantir la fiabilité, l’intégrité et la disponibilité des informations financières et de gestion ;

vérifier la qualité des systèmes d’information et de communication.

Le dispositif de contrôle interne est fondé sur cinq principes fondamentaux :

l’exhaustivité du périmètre des contrôles, qui concernent tous les types de risques et s’appliquent à toutes les entités du Groupe ;

la responsabilité individuelle de chaque collaborateur et de chaque manager dans la maîtrise des risques qu’il prend ou supervise, et le contrôle des opérations qu’il traite ou qui sont placées sous sa responsabilité ;

la responsabilité des fonctions, au titre de leur expertise et de leur indépendance, dans la définition de contrôles normatifs et, pour trois d’entre elles, l’exercice d’un contrôle permanent de niveau 2 ;

la proportionnalité des contrôles à l’ampleur des risques encourus ;

l’indépendance du contrôle périodique.

Le dispositif de contrôle interne repose sur le modèle des « trois lignes de défense », en accord avec les textes du Comité de Bâle et de l’Autorité Bancaire Européenne :

la première ligne de défense est composée de l’ensemble des collaborateurs et du management opérationnel du Groupe, dans les Business Units et les Services Units pour leurs opérations propres.

Le management opérationnel est responsable des risques, prend en charge leur prévention et leur gestion – entre autres, par la mise en place de moyens de contrôle permanent de niveau 1, ainsi que la mise en place des actions correctives ou palliatives en réponse aux éventuelles déficiences constatées par les contrôles et/ou dans le cadre du pilotage des processus ;

la deuxième ligne de défense est assurée par les fonctions risques et conformité.

Dans le dispositif de contrôle interne, il incombe à ces fonctions de vérifier de façon permanente que la sécurité et la maîtrise des risques des opérations sont assurées, sous la responsabilité du management opérationnel, par la mise en œuvre effective des normes édictées, des procédures définies, des méthodes et des contrôles demandés.

Ces fonctions fournissent ainsi l’expertise nécessaire pour définir sur leurs domaines respectifs les contrôles et les autres moyens de maîtrise des risques à mettre en œuvre par la première ligne de défense, et veiller à leur bon fonctionnement ; assurer une mission de contrôle permanent de niveau 2 sur l’ensemble des risques du Groupe, en s’appuyant notamment sur les contrôles qu’elles ont définis, ainsi que ceux définis, le cas échéant, par d’autres fonctions d’expertise (par ex., achats, juridique, fiscal, ressources humaines, sécurité des systèmes d’information, etc.), ainsi que par les métiers ;

la troisième ligne de défense est assurée par la SU IGAD, qui comprend l’Audit interne et l’Inspection générale. Elle assure une mission de contrôle périodique strictement indépendant des métiers comme du contrôle permanent ;

une coordination du contrôle interne, rattachée au Directeur général, assurée au niveau du Groupe et relayée dans chacun des pôles et Directions centrales.

La cohérence et l’efficacité de l’ensemble du dispositif de contrôle interne sont pilotées le Directeur général.

Le CCCIG Comité de coordination du contrôle interne Groupe (CCCIG) a pour raison d’être d’assurer la cohérence et l’efficacité du contrôle interne du Groupe, en réponse notamment à l’obligation posée par l’art. 16 de l’arrêté du 3 novembre 2014 modifié. Il est présidé par le Directeur général, ou en son absence, par un Directeur général délégué ou par le Directeur général adjoint en charge de la supervision du domaine sous revue, le Comité de coordination du contrôle interne Groupe réunit le Responsable de la Coordination du Contrôle Interne et du Dispositif de Contrôle Permanent, les Responsables de la deuxième ligne de défense (CPLE, RISQ), les Représentants désignés par les Responsables de DFIN et de RESG (notamment le RSSI Global), le Responsable de la troisième ligne de défense (IGAD) et, en qualité d’observateurs, le Directeur des risques opérationnels, ainsi que les Responsables des équipes centrales de contrôle permanent de niveau 2 (RISQ/CTL, CPLE/CTL, DFIN/CTL).

Le comité se réunit environ 20 fois par an pour traiter les sujets transverses ainsi que la revue annuelle de chaque BU/SU.

Il a pour objectifs :

de donner une vision consolidée du contrôle interne du Groupe à la Direction générale ;

d’évaluer le dispositif de contrôle permanent du Groupe en termes d’efficacité, de cohérence et de complétude ;

d’évaluer le fonctionnement des dispositifs de contrôle permanent du Groupe en s’appuyant sur l’examen du tableau de bord trimestriel de contrôles permanents du Groupe, complété par des revues thématiques transverses et par la revue indépendante de RISQ et CPLE dans l’exercice de leur rôle de deuxième ligne de défense pour le Groupe ;

d’examiner et valider le rapport annuel sur le contrôle interne du Groupe (RCI) ;

de définir les rôles et responsabilités des parties prenantes du contrôle permanent et des CCCIG et CCCI et de valider les principes opérationnels du contrôle permanent et de la gouvernance ;

de valider les sections traitant du contrôle interne dans le Code SG (notamment, le titre IV du livre A) ;

de valider les décisions relevant du comité en termes de dispositif de contrôle permanent ;

de revoir et challenger le dispositif de contrôle permanent des BU/SU ;

de revoir d’autres sujets transversaux en lien avec le contrôle permanent du Groupe.

L’organisation mise en place au niveau du Groupe pour coordonner l’action des différents acteurs du contrôle interne est déclinée au sein de chaque Business Unit (BU) et Service Unit (SU). L’ensemble des BU et SU du Groupe sont dotées de comités de coordination du contrôle interne. Présidés par le responsable de la BU ou de la SU, ces comités réunissent les responsables des fonctions de contrôle permanent et périodique compétents pour la BU ou la SU, ainsi que des représentants du Directeur de la coordination du contrôle interne du Groupe et des responsables des fonctions de contrôle de niveau Groupe.

Le dispositif de contrôle permanent est constitué par :

le contrôle permanent de niveau 1, logé au sein des métiers, qui est le socle du contrôle permanent du Groupe. Il a pour finalité de garantir, au niveau opérationnel, la sécurité, la qualité, la régularité et la validité des transactions ;

le contrôle permanent de niveau 2, indépendant des métiers, relève de trois Directions, la Direction des risques, la Direction financière, et la Direction de la conformité.

La Direction générale a initié en 2018 un programme de transformation du contrôle permanent du Groupe, qui lui est directement rattaché. À travers un ensemble d’actions touchant les normes, les méthodes, les outils et procédures, la formation, etc., ce programme visait à consolider la culture de contrôle et à optimiser la maîtrise des risques, contribuant ainsi à améliorer la qualité et la fiabilité des services rendus à nos clients et partenaires. En 2021, ce programme a été finalisé et clôturé, et le transfert des activités pérennes vers des équipes d’exploitation a été achevé.

Exercés dans le cadre des opérations, au sein des BU et des SU, les contrôles permanents de niveau 1 permettent de garantir la sécurité et la qualité des transactions et des opérations. Ces contrôles sont définis comme un ensemble de dispositions constamment mis en œuvre pour assurer, au niveau opérationnel, la régularité, la validité, et la sécurité des opérations effectués.

Les contrôles permanents de niveau 1 se composent :

de toute combinaison d’actions et/ou de dispositifs, susceptibles de limiter la probabilité de survenance d’un risque ou d’en réduire les conséquences pour l’entreprise : il s’agit notamment de contrôles effectués sur une base régulière et permanente par les métiers ou par des systèmes automatisés pendant le traitement des transactions, de règles et de contrôles de sécurité – automatisés ou non – faisant partie du traitement des opérations, ou de contrôles inclus dans les procédures opérationnelles. Des dispositifs d’organisation (par exemple, séparation des fonctions) ou de gouvernance, des actions de formation, lorsqu’ils contribuent directement à maîtriser certains risques, relèvent également de cette catégorie ;

de contrôles réalisés par les managers : les responsables hiérarchiques vérifient le correct fonctionnement des dispositifs placés sous leur responsabilité. À ce titre, ils sont dans l’obligation d’appliquer régulièrement des procédures formalisées pour s’assurer que les employés respectent les règles et procédures et que les contrôles de niveau 1 sont effectués efficacement.

Définis par une entité du Groupe au sein de son périmètre, les contrôles de niveau 1 comprennent les contrôles – automatisés ou non – intégrés au traitement des opérations, les contrôles de proximité inclus dans les modes opératoires, les règles de sécurité, etc. Ils sont réalisés, dans le cadre de leurs activités quotidiennes, par les agents directement en charge d’une activité ou par leur hiérarchie, avec pour objectifs :

d’assurer la bonne application des procédures en vigueur et la maîtrise de l’ensemble des risques afférents aux processus, aux opérations et/ou aux comptes ;

d’alerter la hiérarchie en cas d’anomalies ou de dysfonctionnements constatés.

Les contrôles permanents de niveau 1 sont établis par la hiérarchie et évitent, autant que possible, les situations d’autocontrôle. Ils sont définis dans les procédures et doivent être tracés, sans nécessairement être formalisés (par exemple, dans le cas de contrôles automatisés préventifs rejetant les opérations non conformes aux règles programmées dans le système).

Afin de coordonner le dispositif de gestion des risques opérationnels et du contrôle permanent de niveau 1, les BU/SU déploient un département spécifique appelé « CORO » pour Controls & Operational Risks Office function (Département des contrôles et de gestion des risques opérationnels).

Le contrôle permanent de niveau 2 s’assure du bon fonctionnement du contrôle de niveau 1 :

le périmètre visé inclut l’ensemble des contrôles permanents de niveau 1 y compris notamment les contrôles de supervision managériale et les contrôles effectués par des équipes dédiées ;

cette revue et ces vérifications ont pour objectif de donner un avis sur (i) l’effectivité des contrôles de niveau 1, (ii) la qualité de leur réalisation, (iii) leur pertinence (notamment, en termes de prévention des risques), (iv) la définition de leurs modes opératoires, (v) la pertinence des plans de remédiation mis en œuvre suite à la détection d’anomalies, et la qualité de leur suivi, et de concourir ainsi à l’évaluation de l’efficacité des contrôles de niveau 1.

Le contrôle permanent de niveau 2, contrôle des contrôles, est exercé par des équipes indépendantes des opérationnels.

Ces contrôles sont réalisés au niveau central par les équipes de contrôle dédiées au sein de la Direction des risques (RISQ/CTL), de la Direction de la conformité (CPLE/CTL) et de la Direction financière (DFIN/CTL), et au niveau local par les équipes de contrôles de niveau 2 dans les BU/SU ou entités.

La fonction d’audit interne est assurée au sein du groupe Société Générale (le « Groupe ») par le Service Unit Inspection générale et Audit interne (« IGAD »), regroupant le corps de l’Inspection générale et les Départements d’Audit interne. La fonction d’audit interne est placée sous la responsabilité de l’Inspecteur général du Groupe.

La fonction d’Audit interne contribue au dispositif de contrôle interne du groupe Société Générale. Elle constitue la troisième et dernière ligne de défense et assure un contrôle périodique, strictement indépendant des métiers et des autres fonctions de contrôle interne.

La fonction d’audit interne exercée par IGAD, définie conformément aux standards de l’IIA (Institute of Internal Auditors), est une activité indépendante et objective qui donne au Groupe une assurance sur le degré de maîtrise de ses risques et de ses opérations, lui apporte ses conseils pour les améliorer et contribue à créer de la valeur ajoutée. À travers l’exercice de ce mandat, l’Inspection et l’Audit interne aident le Groupe à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle et de gouvernement d’entreprise et en faisant des propositions pour renforcer leur efficacité.

Le périmètre d’intervention d’IGAD comprend Société Générale SA et toutes les entités du Groupe quel que soit leur domaine d’activité. Toutes les activités, opérations et processus du Groupe sans exception peuvent faire l’objet d’une mission conduite par l’Inspection générale ou l’Audit interne. Ceci étant dit, sont exclues du champ d’intervention d’IGAD les entités dans lesquelles le Groupe détient une participation minoritaire, y compris lorsque Société Générale y exerce une influence notable, sauf lorsque cette participation est susceptible d’avoir un impact significatif sur la maîtrise des risques du Groupe.

Les activités externalisées entrent également dans le champ d’intervention de la fonction d’audit interne.

L’Inspecteur général est rattaché directement au Directeur général du Groupe.

Il rencontre régulièrement le Président du Conseil d’administration. Le règlement intérieur du Conseil d’administration, remis à jour en août 2022, prévoit que l’Inspecteur général rende compte de sa mission au Conseil d’administration sur la base des présentations faites préalablement au Comité d’audit et de contrôle interne. Il présente les plans d’audit et d’inspection approuvés par le Directeur général pour validation au Conseil d’administration après examen par le Comité d’audit et de contrôle interne.

L’Inspecteur général est invité permanent du Comité d’audit et de contrôle interne, auquel il présente régulièrement une synthèse de l’activité de l’Inspection générale et de l’Audit interne ainsi que le bilan du suivi de la mise en œuvre des préconisations émises tant par l’Audit et l’Inspection générale que les superviseurs (BCE/ACPR). Il est aussi invité permanent du Comité des risques. Il peut être entendu sur tout sujet par ces comités à leur demande ou à son initiative.

Enfin comme le prévoit le règlement intérieur du Conseil d’administration, l’Inspecteur général, peut, si nécessaire, en cas de dégradation effective ou potentielle des risques, en rendre directement compte au Conseil d’administration, directement ou par l’intermédiaire du Comité d’audit et de contrôle interne, sans en référer aux Dirigeants Effectifs.

Pour remplir ses objectifs, la Service Unit Inspection générale et Audit est dotée de moyens adaptés, proportionnés aux enjeux, tant au plan qualitatif que quantitatif. Au total, elle comprend environ 1 000 collaborateurs basés au Siège et dans les filiales ou succursales du Groupe (France et étranger).

La Service Unit IGAD est une direction hiérarchiquement intégrée. L’Inspection générale, basée au Siège, intervient sur l’ensemble du Groupe. Les Départements de l’Audit interne ont chacun en charge un périmètre défini d’activités ou de risques. Qu’elles soient localisées au Siège ou au sein d’entités (succursales ou filiales), les équipes d’audit sont toutes rattachées à la Service Unit IGAD. Une organisation matricielle permet de couvrir les principaux sujets transversaux à l’échelle du Groupe. En fonction des ressources et compétences requises, une mission d’audit peut regrouper des équipes de différents départements. IGAD a la possibilité de faire intervenir toute équipe de son choix pour l’exécution d’une mission au sein du Groupe.

L’Inspection générale et l’Audit interne mènent leurs travaux à partir de missions. Au-delà des missions inscrites à son plan de tournée, l’Inspection générale peut être sollicitée pour mener des travaux d’analyse ou d’étude ou contribuer à des travaux de “due diligence” en cas d’acquisition ou de cession d’entités ou d’activités par le Groupe. Ces travaux sont encadrés par des procédures garantissant que l’Inspection ne puisse pas ensuite se trouver en situation de conflit d’intérêt.

L’Inspection générale et l’Audit conçoivent leurs plans d’audit respectifs à partir d’une approche par les risques. L’Audit interne combine cette approche avec l’exigence de respecter un cycle d’audit fixé à cinq ans et détermine la fréquence de ses interventions en fonction du niveau de risque des périmètres à auditer. Si l’Inspection générale n’a pas l’obligation de se conformer à un cycle d’audit, ses travaux sont pris en compte dans le calcul du respect du cycle d’audit.

L’Inspection générale et l’Audit interne interviennent aussi au titre de leur positionnement indépendant au sein du Groupe, sur le suivi de la mise en œuvre des recommandations des superviseurs (BCE/ACPR). Ces travaux se sont poursuivis en 2022 avec des présentations régulières à la Direction générale - en coordination avec le Secrétariat Général - et au Comité d’audit et de contrôle interne.

Comme l’exigent les standards internationaux de l’Audit interne, IGAD fait l’objet d’une certification externe indépendante. Le second cycle de certification externe par l’Institut de certification de l’IFACI (Institut Français de l’Audit et du Contrôle Interne) s’est achevé avec le maintien de la certification.

L’année 2022 a permis à IGAD de reprendre un rythme plus soutenu de déplacements liés aux missions tout en maintenant des méthodes de travail à distance développées pendant la crise sanitaire. Les missions d’audit du plan 2022 ont porté sur l’ensemble des types de risques. Les évolutions apportées au plan d’audit en cours d’année sont restées contenues (baisse de 8% en jours-hommes avec un total de 586 missions d’audit exécutées sur l’année) reflétant principalement l’effet de tensions sur les ressources résultant d’une augmentation du turnover dans certaines régions et de décalages sur les projets sur lesquels une intervention de l’Audit était prévue. Ces tensions ont également contribué à reporter quelques missions d’inspection.

En 2022, IGAD a commencé à engager les travaux induits par les recommandations émises par la Banque Centrale Européenne et l’IFACI à son égard. Ces travaux ont principalement porté sur (i) la gouvernance – tant interne que régulant les interactions entre la fonction d’audit interne et les organes de gouvernance au niveau central (Direction Générale et Conseil d’administration) et au niveau local, (ii) la refonte, prévue d’ici 2024, de son exercice d’évaluation indépendante des risques.et (iii) la construction d’un plan d’audit pluri-annuel. La mise en œuvre de l’ensemble de ces actions restera une priorité sur les années 2023 et 2024. Par ailleurs, une refonte des processus d’émission et de suivi de la mise en œuvre des préconisations a été engagée, qui va engager aussi l’ensemble des Business et Service Units du Groupe, et qui permettra à IGAD de mieux concentrer ses travaux sur les risques les plus importants, répondant ainsi à l’objectif stratégique d’un meilleur étagement des contrôles au sein du dispositif de contrôle interne du Groupe.

Sur un plan plus opérationnel, les départements de l’Audit ont continué (i) à développer leur capacité à fournir une assurance indépendante sur la performance du contrôle permanent, (ii) à enrichir leur approche méthodologique sur des sujets comme le « conduct » et les thématiques « RSE » et (iii) à renforcer, enfin, l’utilisation de techniques d’analyse de données en missions.