4.3 CONTRÔLE INTERNE

4.3.1 CADRE D’EXERCICE

Le contrôle interne s’inscrit dans le cadre réglementaire strict imposé aux établissements bancaires.

En France, les conditions d’exercice du contrôle interne des établissements bancaires découlent de l’Arrêté du 3 novembre 2014 modifié par l’arrêté du 25 février 2021. Ce texte, qui régit les établissements de crédit et les entreprises d’investissement, définit la notion de contrôle interne et spécifie un certain nombre d’obligations relatives à la mesure et à l’encadrement des différents risques des activités des entreprises concernées, ainsi que les procédures par lesquelles l’organe de surveillance doit évaluer les conditions d’exercice du contrôle interne.

Le Comité de Bâle a défini les quatre principes – Indépendance, Universalité, Impartialité, Adéquation des moyens aux missions – qui doivent prévaloir dans l’exercice du contrôle interne des établissements de crédit.

Le Conseil d’administration veille à ce que le groupe Société Générale ait un dispositif de gouvernance solide et une organisation claire avec :

un partage des responsabilités bien défini, transparent et cohérent ;

des procédures efficaces de détection, de gestion, de suivi et de déclaration des risques auxquels le Groupe pourrait être exposé.

Pour mettre en œuvre ce dispositif, il donne mandat à la Direction générale du Groupe qui a en charge de décliner les orientations stratégiques du Groupe.

Le Comité d’audit et de contrôle interne est un comité du Conseil d’administration plus particulièrement en charge de préparer les décisions du Conseil d’administration en matière de supervision du contrôle interne.

À ce titre, il reçoit les Reportings de la Direction générale sur le contrôle interne du Groupe. Il suit la mise en œuvre des plans de remédiation, lorsqu’il estime que le niveau de risque est justifié.

Le contrôle interne s’appuie sur un corpus de normes et de procédures.

Toutes les activités du groupe Société Générale sont encadrées par des règles et procédures regroupées en un ensemble documentaire appelé la « Documentation normative », regroupé au sein du Code Société Générale qui :

énonce les règles d’action et de comportement s’appliquant aux collaborateurs du Groupe ;

définit l’organisation des métiers et le partage des rôles et responsabilités ;

décrit les règles de gestion et de fonctionnement interne propres à chaque métier et chaque activité.

Le Code Société Générale rassemble les textes normatifs qui, notamment :

définissent la gouvernance du groupe Société Générale, l’organisation et les missions de ses BusinessUnits et ServicesUnits, ainsi que les principes de fonctionnement des dispositifs et processus transverses (Codes de conduite, chartes…) ;

posent le cadre de fonctionnement d’une activité, les principes et les règles de gestion applicables aux produits et services rendus à la clientèle et définissent les procédures internes.

Le Code Société Générale a force de loi interne. Il relève de la responsabilité du Secrétaire général du Groupe.

S’ajoutent au Code Société Générale les procédures opérationnelles propres à chacune des activités du Groupe. Les règles et procédures en vigueur sont conçues de façon à respecter les règles de base du contrôle interne telles que :

la séparation des fonctions ;

l’enregistrement immédiat et irrévocable de toute transaction ;

le rapprochement entre informations de provenances différentes.

Par nature multiples et évolutifs, les risques sont présents dans l’ensemble des processus de l’entreprise. À cet égard, les dispositifs de maîtrise des risques et de contrôle jouent un rôle clé dans la capacité de la Banque à atteindre ses objectifs.

Le dispositif de contrôle interne se caractérise par l’ensemble des moyens qui permettent de s’assurer que les opérations réalisées, l’organisation et les procédures mises en place sont conformes :

aux dispositions légales et réglementaires ;

aux usages professionnels et déontologiques ;

aux règles internes et aux orientations définies par l’organe de Direction de l’entreprise dans sa fonction exécutive.

Le contrôle interne vise notamment à :

prévenir les dysfonctionnements ;

mesurer les risques encourus, et exercer un contrôle suffisant pour assurer leur maîtrise ;

s’assurer de l’adéquation et du bon fonctionnement des processus internes, notamment ceux concourant à la sauvegarde des actifs ;

déceler les irrégularités ;

garantir la fiabilité, l’intégrité et la disponibilité des informations financières et de gestion ;

vérifier la qualité des systèmes d’information et de communication.

Le dispositif de contrôle interne est fondé sur cinq principes fondamentaux :

l’exhaustivité du périmètre des contrôles, qui concernent tous les types de risques et s’appliquent à toutes les entités du Groupe ;

la responsabilité individuelle de chaque collaborateur et de chaque manager dans la maîtrise des risques qu’il prend ou supervise, et le contrôle des opérations qu’il traite ou qui sont placées sous sa responsabilité ;

la responsabilité des fonctions, au titre de leur expertise et de leur indépendance, dans la définition de contrôles normatifs et, pour trois d’entre elles, l’exercice d’un contrôle permanent de niveau 2 ;

la proportionnalité des contrôles à l’ampleur des risques encourus ;

l’indépendance du contrôle périodique.

Le dispositif de contrôle interne repose sur le modèle des « trois lignes de défense », en accord avec les textes du Comité de Bâle et de l’Autorité Bancaire Européenne :

la première ligne de défense est composée de l’ensemble des collaborateurs et du management opérationnel du Groupe, dans les BusinessUnits et les ServicesUnits pour leurs opérations propres.

Le management opérationnel est responsable des risques, prend en charge leur prévention et leur gestion – entre autres, par la mise en place de moyens de contrôle permanent de niveau 1, ainsi que la mise en place des actions correctives ou palliatives en réponse aux éventuelles déficiences constatées par les contrôles et/ou dans le cadre du pilotage des processus ;

la deuxième ligne de défense est assurée par les fonctions risques et conformité.

Dans le dispositif de contrôle interne, il incombe à ces fonctions de vérifier de façon permanente que la sécurité et la maîtrise des risques des opérations sont assurées, sous la responsabilité du management opérationnel, par la mise en œuvre effective des normes édictées, des procédures définies, des méthodes et des contrôles demandés.

Ces fonctions fournissent ainsi l’expertise nécessaire pour définir sur leurs domaines respectifs les contrôles et les autres moyens de maîtrise des risques à mettre en œuvre par la première ligne de défense, et veiller à leur bon fonctionnement ; assurer une mission de contrôle permanent de niveau 2 sur l’ensemble des risques du Groupe, en s’appuyant notamment sur les contrôles qu’elles ont définis, ainsi que ceux définis, le cas échéant, par d’autres fonctions d’expertise (par ex., achats, juridique, fiscal, ressources humaines, sécurité des systèmes d’information, etc.), ainsi que par les métiers ;

la troisième ligne de défense est assurée par la SU IGAD, qui comprend l’Audit interne et l’Inspection générale. Elle assure une mission de contrôle périodique strictement indépendant des métiers comme du contrôle permanent ;

une coordination du contrôle interne, rattachée au Directeur général, assurée au niveau du Groupe et relayée dans chacun des pôles et Directions centrales.

La cohérence et l’efficacité de l’ensemble du dispositif de contrôle interne sont pilotées par le Directeur général.

Le CCCIG Comité de coordination du contrôle interne Groupe (CCCIG) a pour raison d’être d’assurer la cohérence et l’efficacité du contrôle interne du Groupe, en réponse notamment à l’obligation posée par l’art. 16 de l’arrêté du 3 novembre 2014 modifié. Il est présidé par le Directeur général, ou en son absence, par un Directeur général délégué ou par le Directeur général adjoint en charge de la supervision du domaine sous revue. Le Comité de coordination du contrôle interne Groupe réunit le Responsable de la Coordination du Contrôle Interne et du Dispositif de Contrôle Permanent, les Responsables de la deuxième ligne de défense (CPLE, RISQ), les Représentants désignés par les Responsables de DFIN et de RESG (notamment le RSSI Global), le Responsable de la troisième ligne de défense (IGAD) et, en qualité d’observateurs, le Directeur des risques opérationnels, ainsi que les Responsables des équipes centrales de contrôle permanent de niveau 2 (RISQ/CTL, CPLE/CTL, DFIN/CTL).

Le comité se réunit environ 20 fois par an pour traiter les sujets transverses ainsi que la revue annuelle de chaque BU/SU.

Il a pour objectifs :

de donner une vision consolidée du contrôle interne du Groupe à la Direction générale ;

d’évaluer le dispositif de contrôle permanent du Groupe en termes d’efficacité, de cohérence et de complétude ;

d’évaluer le fonctionnement des dispositifs de contrôle permanent du Groupe en s’appuyant sur l’examen du tableau de bord trimestriel de contrôles permanents du Groupe, complété par des revues thématiques transverses et par la revue indépendante de RISQ et CPLE dans l’exercice de leur rôle de deuxième ligne de défense pour le Groupe ;

d’examiner et valider le rapport annuel sur le contrôle interne du Groupe (RCI) ;

de définir les rôles et responsabilités des parties prenantes du contrôle permanent et des CCCIG et CCCI et de valider les principes opérationnels du contrôle permanent et de la gouvernance ;

de valider les sections traitant du contrôle interne dans le Code SG (notamment, le titre IV du livre A) ;

de valider les décisions relevant du comité en termes de dispositif de contrôle permanent ;

de revoir et challenger le dispositif de contrôle permanent des BU/SU ;

de revoir d’autres sujets transversaux en lien avec le contrôle permanent du Groupe.

L’organisation mise en place au niveau du Groupe pour coordonner l’action des différents acteurs du contrôle interne est déclinée au sein de chaque BusinessUnit (BU) et ServiceUnit (SU). L’ensemble des BU et SU du Groupe sont dotées de comités de coordination du contrôle interne. Présidés par le responsable de la BU ou de la SU, ces comités réunissent les responsables des fonctions de contrôle permanent et périodique compétents pour la BU ou la SU, ainsi que des représentants du Directeur de la coordination du contrôle interne du Groupe et des responsables des fonctions de contrôle de niveau Groupe.

Le dispositif de contrôle permanent est constitué par :

le contrôle permanent de niveau 1, logé au sein des métiers, qui est le socle du contrôle permanent du Groupe. Il a pour finalité de garantir, au niveau opérationnel, la sécurité, la qualité, la régularité et la validité des transactions ;

le contrôle permanent de niveau 2, indépendant des métiers, relève de trois Directions, la Direction des risques, la Direction financière, et la Direction de la conformité.

La Direction générale a initié en 2018 un programme de transformation du contrôle permanent du Groupe, qui lui est directement rattaché. À travers un ensemble d’actions touchant les normes, les méthodes, les outils et procédures, la formation, etc., ce programme visait à consolider la culture de contrôle et à optimiser la maîtrise des risques, contribuant ainsi à améliorer la qualité et la fiabilité des services rendus à nos clients et partenaires. En 2021, ce programme a été finalisé et clôturé, et le transfert des activités pérennes vers des équipes d’exploitation a été achevé.

Exercés dans le cadre des opérations, au sein des BU et des SU, les contrôles permanents de niveau 1 permettent de garantir la sécurité et la qualité des transactions et des opérations. Ces contrôles sont définis comme un ensemble de dispositions constamment mis en œuvre pour assurer, au niveau opérationnel, la régularité, la validité, et la sécurité des opérations effectuées.

Les contrôles permanents de niveau 1 se composent :

de toute combinaison d’actions et/ou de dispositifs, susceptibles de limiter la probabilité de survenance d’un risque ou d’en réduire les conséquences pour l’entreprise : il s’agit notamment de contrôles effectués sur une base régulière et permanente par les métiers ou par des systèmes automatisés pendant le traitement des transactions, de règles et de contrôles de sécurité – automatisés ou non – faisant partie du traitement des opérations, ou de contrôles inclus dans les procédures opérationnelles. Des dispositifs d’organisation (par exemple, séparation des fonctions) ou de gouvernance, des actions de formation, lorsqu’ils contribuent directement à maîtriser certains risques, relèvent également de cette catégorie ;

de contrôles réalisés par les managers : les responsables hiérarchiques vérifient le correct fonctionnement des dispositifs placés sous leur responsabilité. À ce titre, ils sont dans l’obligation d’appliquer régulièrement des procédures formalisées pour s’assurer que les employés respectent les règles et procédures et que les contrôles de niveau 1 sont effectués efficacement.

Définis par une entité du Groupe au sein de son périmètre, les contrôles de niveau 1 comprennent les contrôles – automatisés ou non – intégrés au traitement des opérations, les contrôles de proximité inclus dans les modes opératoires, les règles de sécurité, etc. Ils sont réalisés, dans le cadre de leurs activités quotidiennes, par les agents directement en charge d’une activité ou par leur hiérarchie, avec pour objectifs :

d’assurer la bonne application des procédures en vigueur et la maîtrise de l’ensemble des risques afférents aux processus, aux opérations et/ou aux comptes ;

d’alerter la hiérarchie en cas d’anomalies ou de dysfonctionnements constatés.

Les contrôles permanents de niveau 1 sont établis par la hiérarchie et évitent, autant que possible, les situations d’autocontrôle. Ils sont définis dans les procédures et doivent être tracés, sans nécessairement être formalisés (par exemple, dans le cas de contrôles automatisés préventifs rejetant les opérations non conformes aux règles programmées dans le système).

Afin de coordonner le dispositif de gestion des risques opérationnels et du contrôle permanent de niveau 1, les BU/SU déploient un département spécifique appelé « CORO » pour Controls&OperationalRisksOfficefunction (Département des contrôles et de gestion des risques opérationnels).

Le contrôle permanent de niveau 2 s’assure du bon fonctionnement du contrôle de niveau 1 :

le périmètre visé inclut l’ensemble des contrôles permanents de niveau 1 y compris notamment les contrôles de supervision managériale et les contrôles effectués par des équipes dédiées ;

cette revue et ces vérifications ont pour objectif de donner un avis sur (i) l’effectivité des contrôles de niveau 1, (ii) la qualité de leur réalisation, (iii) leur pertinence (notamment, en termes de prévention des risques), (iv) la définition de leurs modes opératoires, (v) la pertinence des plans de remédiation mis en œuvre suite à la détection d’anomalies, et la qualité de leur suivi, et de concourir ainsi à l’évaluation de l’efficacité des contrôles de niveau 1.

Le contrôle permanent de niveau 2, contrôle des contrôles, est exercé par des équipes indépendantes des opérationnels.

Ces contrôles sont réalisés au niveau central par les équipes de contrôle dédiées au sein de la Direction des risques (RISQ/CTL), de la Direction de la conformité (CPLE/CTL) et de la Direction financière (DFIN/CTL), et au niveau local par les équipes de contrôles de niveau 2 dans les BU/SU ou entités.

La fonction d’audit interne est assurée au sein du groupe Société Générale (le « Groupe ») par le Service Unit Inspection générale et Audit interne (« IGAD »), regroupant le corps de l’Inspection générale et les Départements d’Audit interne. La fonction d’audit interne est placée sous la responsabilité de l’Inspecteur général du Groupe.

La fonction d’Audit interne contribue au dispositif de contrôle interne du groupe Société Générale. Elle constitue la troisième et dernière ligne de défense et assure un contrôle périodique, strictement indépendant des métiers et des autres fonctions de contrôle interne.

La fonction d’audit interne exercée par IGAD, définie conformément aux standards de l’IIA (InstituteofInternalAuditors), est une activité indépendante et objective qui donne au Groupe une assurance sur le degré de maîtrise de ses risques et de ses opérations, lui apporte ses conseils pour les améliorer et contribue à créer de la valeur ajoutée. À travers l’exercice de ce mandat, l’Inspection et l’Audit interne aident le Groupe à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle et de gouvernement d’entreprise et en faisant des propositions pour renforcer leur efficacité.

Le périmètre d’intervention d’IGAD comprend Société Générale SA et toutes les entités du Groupe quel que soit leur domaine d’activité. Toutes les activités, opérations et processus du Groupe sans exception peuvent faire l’objet d’une mission conduite par l’Inspection générale ou l’Audit interne. Ceci étant dit, sont exclues du champ d’intervention d’IGAD les entités dans lesquelles le Groupe détient une participation minoritaire, y compris lorsque Société Générale y exerce une influence notable, sauf lorsque cette participation est susceptible d’avoir un impact significatif sur la maîtrise des risques du Groupe.

Les activités externalisées entrent également dans le champ d’intervention de la fonction d’audit interne.

L’Inspecteur général est rattaché directement au Directeur général du Groupe.

Il rencontre régulièrement le Président du Conseil d’administration. Le règlement intérieur du Conseil d’administration, remis à jour en août 2022, prévoit que l’Inspecteur général rende compte de sa mission au Conseil d’administration sur la base des présentations faites préalablement au Comité d’audit et de contrôle interne. Il présente les plans d’audit et d’inspection approuvés par le Directeur général pour validation au Conseil d’administration après examen par le Comité d’audit et de contrôle interne.

L’Inspecteur général est invité permanent du Comité d’audit et de contrôle interne, auquel il présente régulièrement une synthèse de l’activité de l’Inspection générale et de l’Audit interne ainsi que le bilan du suivi de la mise en œuvre des préconisations émises tant par l’Audit et l’Inspection générale que les superviseurs (BCE/ACPR). Il est aussi invité permanent du Comité des risques. Il peut être entendu sur tout sujet par ces comités à leur demande ou à son initiative.

Enfin comme le prévoit le règlement intérieur du Conseil d’administration, l’Inspecteur général, peut, si nécessaire, en cas de dégradation effective ou potentielle des risques, en rendre directement compte au Conseil d’administration, directement ou par l’intermédiaire du Comité d’audit et de contrôle interne, sans en référer aux Dirigeants Effectifs.

Pour remplir ses objectifs, la ServiceUnit Inspection générale et Audit est dotée de moyens adaptés, proportionnés aux enjeux, tant au plan qualitatif que quantitatif. Au total, elle comprend environ 1 000 collaborateurs basés au Siège et dans les filiales ou succursales du Groupe (France et étranger).

La ServiceUnit IGAD est une direction hiérarchiquement intégrée. L’Inspection générale, basée au Siège, intervient sur l’ensemble du Groupe. Les Départements de l’Audit interne ont chacun en charge un périmètre défini d’activités ou de risques. Qu’elles soient localisées au Siège ou au sein d’entités (succursales ou filiales), les équipes d’audit sont toutes rattachées à la ServiceUnit IGAD. Une organisation matricielle permet de couvrir les principaux sujets transversaux à l’échelle du Groupe. En fonction des ressources et compétences requises, une mission d’audit peut regrouper des équipes de différents départements. IGAD a la possibilité de faire intervenir toute équipe de son choix pour l’exécution d’une mission au sein du Groupe.

L’Inspection générale et l’Audit interne mènent leurs travaux à partir de missions. Au-delà des missions inscrites à son plan de tournée, l’Inspection générale peut être sollicitée pour mener des travaux d’analyse ou d’étude ou contribuer à des travaux de “duediligence” en cas d’acquisition ou de cession d'entités ou d'activités par le Groupe. Ces travaux sont encadrés par des procédures garantissant que l’Inspection ne puisse pas ensuite se trouver en situation de conflit d’intérêt.

L’Inspection générale et l’Audit conçoivent leurs plans d’audit respectifs à partir d’une approche par les risques. L’Audit interne combine cette approche avec l’exigence de respecter un cycle d’audit fixé à cinq ans et détermine la fréquence de ses interventions en fonction du niveau de risque des périmètres à auditer. Si l’Inspection générale n’a pas l’obligation de se conformer à un cycle d’audit, ses travaux sont pris en compte dans le calcul du respect du cycle d’audit.

L’Inspection générale et l’Audit interne interviennent aussi au titre de leur positionnement indépendant au sein du Groupe, sur le suivi de la mise en œuvre des recommandations des superviseurs (BCE/ACPR). Ces travaux se sont poursuivis en 2022 avec des présentations régulières à la Direction générale - en coordination avec le Secrétariat Général - et au Comité d’audit et de contrôle interne.

Comme l’exigent les standards internationaux de l’Audit interne, IGAD fait l’objet d’une certification externe indépendante. Le second cycle de certification externe par l’Institut de certification de l’IFACI (Institut Français de l’Audit et du Contrôle Interne) s’est achevé avec le maintien de la certification.

L’année 2022 a permis à IGAD de reprendre un rythme plus soutenu de déplacements liés aux missions tout en maintenant des méthodes de travail à distance développées pendant la crise sanitaire. Les missions d’audit du plan 2022 ont porté sur l’ensemble des types de risques. Les évolutions apportées au plan d’audit en cours d’année sont restées contenues (baisse de 8% en jours-hommes avec un total de 586 missions d’audit exécutées sur l’année) reflétant principalement l’effet de tensions sur les ressources résultant d’une augmentation du turnover dans certaines régions et de décalages sur les projets sur lesquels une intervention de l’Audit était prévue. Ces tensions ont également contribué à reporter quelques missions d’inspection.

En 2022, IGAD a commencé à engager les travaux induits par les recommandations émises par la Banque Centrale Européenne et l’IFACI (Institut Français de l'Audit et du Contrôle Internes) à son égard. Ces travaux ont principalement porté sur (i) la gouvernance – tant interne que régulant les interactions entre la fonction d’audit interne et les organes de gouvernance au niveau central (Direction Générale et Conseil d’administration) et au niveau local, (ii) la refonte, prévue d’ici 2024, de son exercice d’évaluation indépendante des risques.et (iii) la construction d’un plan d’audit pluri-annuel. La mise en œuvre de l’ensemble de ces actions restera une priorité sur les années 2023 et 2024. Par ailleurs, une refonte des processus d’émission et de suivi de la mise en œuvre des préconisations a été engagée, elle va engager l’ensemble des Business et Service Units du Groupe, et permettra à IGAD de mieux concentrer ses travaux sur les risques les plus importants, répondant ainsi à l’objectif stratégique d’un meilleur étagement des contrôles au sein du dispositif de contrôle interne du Groupe.

Sur un plan plus opérationnel, les départements de l’Audit ont continué (i) à développer leur capacité à fournir une assurance indépendante sur la performance du contrôle permanent, (ii) à enrichir leur approche méthodologique sur des sujets comme le « conduct » et les thématiques « RSE » et (iii) à renforcer, enfin, l’utilisation de techniques d’analyse de données en missions.

4.3.2 CONTRÔLE DE LA PRODUCTION COMPTABLE ET RÉGLEMENTAIRE ET DE LA PUBLICATION DES DONNÉES FINANCIÈRES ET DE GESTION

Les acteurs concourant à la production des informations financières sont multiples :

le Conseil d’administration et tout particulièrement son Comité d’audit et de contrôle interne ont pour mission d’examiner le projet des états financiers qui doivent être soumis au Conseil ainsi que de vérifier les conditions de leur établissement et de s’assurer non seulement de la pertinence mais aussi de la permanence des principes et méthodes comptables appliqués. Le Comité d’audit et de contrôle interne assure également le suivi de l’indépendance des Commissaires aux comptes, ainsi que le suivi de l’efficacité des systèmes de contrôle interne, de mesure, de surveillance et de maîtrise des risques liés aux processus comptables et financiers. Les Commissaires aux comptes sont entendus par le Comité d’audit et de contrôle interne dans le cadre de leur mission ;

la Direction financière du Groupe collecte l’ensemble des informations comptables et de gestion produites par les filiales et les BusinessUnits/ServicesUnitsvia une série de Reportings normalisés. Elle assure également la consolidation et le contrôle de ces données pour permettre leur utilisation dans le cadre du pilotage du Groupe et de la communication à l’égard des tiers (organes de contrôle, investisseurs…). Elle dispose par ailleurs d’une équipe en charge de la production des états réglementaires Groupe.

Dans le cadre des missions qui lui sont allouées, elle est, notamment, en charge de :

-

suivre au plan financier les opérations en capital du Groupe et son organigramme financier,

-

assurer la gestion du bilan et de ce fait définir, gérer et contrôler les équilibres bilanciels et les risques structurels du Groupe,

-

veiller au respect des ratios réglementaires,

-

définir les normes, référentiels, principes et procédures comptables et réglementaires applicables au Groupe et en vérifier le respect,

-

assurer la fiabilité des informations comptables et financières diffusées à l’extérieur du Groupe ;

les Directions financières de filiales et de Business Units/Services Units assurent la certification des informations comptables et des enregistrements comptables effectués par les back-offices et des informations de gestion remontant des front-offices. Elles sont responsables des états financiers et des informations réglementaires requis au plan local ainsi que des Reportings (comptable, contrôle de gestion, réglementaire…) à destination de la Direction financière du Groupe. Elles peuvent assurer ces activités de manière autonome ou en déléguer la réalisation sous leur responsabilité à des centres de services partagés opérant dans le domaine de la finance, placés sous la gouvernance de la Direction financière du Groupe ;

la Direction des risques centralise les informations de suivi des risques en provenance des BusinessUnits/ServicesUnits et filiales du Groupe pour assurer le contrôle des risques de crédit, de marché et opérationnels. Ces informations sont utilisées dans les communications du Groupe à l’égard des instances de gouvernance du Groupe et des tiers. Par ailleurs, elle assure, conjointement avec la Direction financière du Groupe, son rôle d’expert sur les dimensions risque de crédit, risques structurels de liquidité, taux, change, sur les enjeux de redressement et de résolution ainsi que la responsabilité de certains processus d’arrêté notamment la production des ratios de solvabilité ;

les Back offices sont les fonctions support des frontoffices et s’assurent des règlements livraisons liés aux contrats. Ils vérifient notamment le bien-fondé économique des opérations, effectuent l’enregistrement des transactions et sont en charge des moyens de paiement.

Les normes comptables applicables sont les normes locales pour l’établissement des comptes locaux et les normes édictées par la Direction financière du Groupe pour l’établissement des comptes consolidés, qui reposent sur le référentiel comptable IFRS tel qu’adopté dans l’Union européenne.

Les normes applicables sur la solvabilité et la liquidité, édictées par le Comité de Bâle, ont été traduites en droit européen par une directive (CRD4) et un règlement (CRR). Elles ont été complétées par le règlement CRR2 et la directive CRD5 qui sont entrés en vigueur le 28 juin 2019. Ces textes sont précisés par plusieurs actes délégués et actes d’exécution. Enfin, le groupe Société Générale identifié comme « conglomérat financier » est soumis à une surveillance complémentaire.

Les départements en charge des normes au sein de la Direction financière du Groupe assurent la veille normative et édictent de nouvelles normes internes en fonction de l’évolution de la réglementation comptable et réglementaire.

Chaque entité du périmètre de consolidation du Groupe effectue un arrêté comptable et de gestion sur base mensuelle. La consolidation de ces données s’effectue également mensuellement et s’accompagne d’une communication financière externe sur base trimestrielle. Cette remontée fait l’objet de revues analytiques et de contrôles de cohérence par les Directions financières ou par délégation sous leur responsabilité par les centres de services partagés opérant dans le domaine de la finance, à destination de la Direction financière du Groupe. Cette dernière présente les états financiers consolidés, les Reportings de gestion et les états réglementaires à la Direction générale du Groupe et aux tiers intéressés.

Les producteurs des données comptables sont indépendants des frontoffice et des équipes commerciales.

La qualité et l’objectivité des données comptables et de gestion sont assurées par la séparation des fonctions commerciales et de l’ensemble des fonctions de traitement opérationnel et de suivi des opérations : back-offices, middleoffices intégrés à la Direction des Ressources et des équipes de suivi de la production du résultat intégrées à la Direction financière. Le contrôle effectué par ces différentes équipes en matière de données financières et comptables est défini dans les procédures du Groupe, avec notamment :

vérification de la réalité économique de l’ensemble des informations reportées ;

réconciliation dans les délais impartis entre les données comptables et les données de gestion selon des procédures spécifiques ;

sur les activités de marché, rapprochement du résultat comptable (produit par la Direction financière) avec le résultat économique quotidien (produit par un département d’experts dédiés au sein de la Direction des risques).

Compte tenu de la complexité croissante des activités financières et des organisations, les collaborateurs sont régulièrement formés et les outils informatiques remis à niveau pour garantir l’efficacité et la fiabilité des tâches de production et de contrôle des données comptables et de gestion.

D’un point de vue pratique, et pour l’ensemble des métiers du Groupe, les procédures de contrôle interne mises en place visent à assurer la qualité de l’information comptable et financière, et notamment à :

veiller à la validité et à l’exhaustivité des transactions retranscrites dans les comptes du Groupe ;

valider les modalités de valorisation de certaines opérations ;

s’assurer que les opérations sont correctement rattachées à l’exercice les concernant et enregistrées dans les comptes conformément aux textes comptables en vigueur, et que les agrégats comptables retenus pour la présentation des comptes sont conformes aux règlements en vigueur ;

veiller à la prise en compte de l’ensemble des entités qui doivent être consolidées en application des règles du Groupe ;

vérifier que les risques opératoires liés à la production et à la remontée des informations comptables dans les chaînes informatiques sont correctement maîtrisés, que les régularisations nécessaires sont correctement effectuées, que les rapprochements des données comptables et de gestion sont effectués de manière satisfaisante, que les flux de règlement espèces et matière générés par les transactions sont effectués de manière exhaustive et adéquate.

La Direction financière de chaque filiale s’assure de la fiabilité et de la cohérence des comptes établis selon les différents référentiels qui lui incombent (normes locales et IFRS pour les filiales ainsi que les normes françaises pour les succursales). Elle réalise des contrôles pour garantir la fiabilité de l’information communiquée.

Les liasses de consolidation de chaque filiale sont alimentées par les données comptables de la comptabilité sociale des filiales après mise en conformité localement avec les principes comptables du Groupe.

Chaque filiale est responsable de la justification du passage des comptes sociaux aux comptes reportés sous l’outil de consolidation.

Les Directions financières de BusinessUnits/ServicesUnits disposent d’un département dédié à la gestion et au pilotage financier.

Les Directions financières s’appuient par ailleurs sur des centres de services partagés qui assurent les contrôles de niveau 1, nécessaires à la fiabilité de l’information comptable, fiscale et réglementaire, sur les comptes qu’ils produisent en normes locales et IFRS, et notamment des contrôles de qualité et de cohérence des données (capitaux propres, titres, change, tous agrégats du bilan et du compte de résultat, écarts de normes), la justification et certification des comptes sous leur responsabilité, la réconciliation des opérations intra-groupe, le contrôle des états réglementaires et le contrôle de la preuve d’impôt et des soldes d’impôts (courants, différés et taxes).

Ces contrôles sont déclarés dans le cadre de la supervision managériale et de la certification comptable du Groupe.

Ces contrôles leur permettent d’apporter tous les éléments nécessaires aux Directions financières des BusinessUnits/ServicesUnits et à la Direction financière et comptable du Groupe pour garantir la fiabilité et la cohérence des comptes ainsi établis.

Ces centres de services partagés sont localisés à Paris, Bangalore et Bucarest.

Le contrôle s’effectue au travers d’un processus de surveillance permanente, sous la responsabilité des Directions impliquées. Il permet de vérifier de manière récurrente la qualité des contrôles relatifs à l’exhaustivité des opérations comptables et à la qualité des traitements comptables qui y sont associés.

Les comptes des entités, retraités aux normes du Groupe, alimentent une base d’information centrale sur laquelle sont effectués les traitements de consolidation.

Le service en charge de la consolidation au sein du Département des Affaires Comptables valide la conformité du périmètre de consolidation au regard des normes comptables en vigueur et effectue des contrôles multiples à partir des données reçues et à travers les liasses de consolidation :

validation de la correcte agrégation des données collectées ;

vérification du passage correct des écritures de consolidation récurrentes et non récurrentes ;

traitement exhaustif des points critiques du processus de consolidation ;

traitement des écarts résiduels sur comptes réciproques/intercompagnies.

Infine, ce département s’assure que le processus de consolidation s’est déroulé normalement au moyen d’un contrôle des données de synthèse sous forme de revues analytiques et de contrôles de cohérence sur les principaux agrégats des états financiers. Ces vérifications sont complétées par des analyses transversales telles que l’analyse de l’évolution des capitaux propres, des écarts d’acquisition, des provisions et des impôts différés consolidés.

Au sein de ce département, une équipe est également en charge d’animer et de coordonner le dispositif de certification trimestrielle des contrôles de premier niveau.

La Direction financière du Groupe dispose d’une équipe dédiée, en charge du dispositif de contrôle permanent de niveau 2 sur l’ensemble des processus Finance de Société Générale SA et de l’animation de ce dispositif au sein du Groupe. Sa mission consiste à s’assurer de l’effectivité, de la qualité et de la pertinence du dispositif de contrôle de niveau 1, par une évaluation du dispositif via des revues de process ou d’activités, des testings de contrôles et le suivi des certifications trimestrielles. Cette équipe, directement rattachée à la Direction financière du Groupe, est également rattachée fonctionnellement au responsable de la Coordination du contrôle interne du groupe Société Générale.

L’Audit interne et l’Inspection générale définissent leurs missions d’audit et d’inspection à partir d’une approche par les risques et définissent un plan d’intervention annuel (« plan de tournée » de l’Inspection et plan d’audit). Les équipes de la Direction Inspection générale et Audit (IGAD) peuvent être amenées à réaliser, dans le cadre de leurs missions, des travaux visant à évaluer la qualité de l’environnement de contrôle concourant à la qualité des informations comptables et de gestion des entités auditées. Ces travaux peuvent conduire à vérifier un certain nombre de comptes, à évaluer la qualité des travaux de rapprochement entre les données de gestion et les données comptables, à évaluer la qualité de la surveillance permanente de la production et du contrôle des données comptables, à évaluer la performance des outils informatiques et la rigueur des traitements manuels.

Le Département d’audit des Directions centrales est en charge de l’audit de la Direction financière du Groupe. Au sein de ce département, une équipe, placée sous la responsabilité d’un correspondant métier dédié, assure un rôle de pilotage et d’animation des travaux d’audit portant sur des sujets comptables et financiers à l’échelle du Groupe. Elle apporte son expertise dans l’identification des principaux risques comptables et réalise des actions de formation et de production de méthodologies contribuant à la diffusion des connaissances en termes d’audit des risques comptables.

Les missions d’audit portant sur les sujets comptables sont réalisées par cette équipe dans les domaines évalués comme les plus significatifs pour la fiabilité de l’information comptable du Groupe ainsi que par les départements des différentes filiales du Groupe.

Sur la base de ces missions, des préconisations sont adressées aux acteurs impliqués dans la chaîne de production et de contrôle des informations comptables, financières et de gestion. La mise en œuvre de ces recommandations est de la responsabilité des départements auxquelles elles sont adressées. Un suivi est effectué par IGAD.