4.3  CONTRÔLE INTERNE

 

 

4.3.1  CADRE D’EXERCICE

 

Le contrôle interne s’inscrit dans le cadre réglementaire strict imposé aux établissements bancaires.

En France, les conditions d’exercice du contrôle interne des établissements bancaires découlent de l’Arrêté du 3 novembre 2014 modifié par l’arrêté du 25 février 2021. Ce texte, qui régit les établissements de crédit et les entreprises d’investissement, définit la notion de contrôle interne et spécifie un certain nombre d’obligations relatives à la mesure et à l’encadrement des différents risques des activités des entreprises concernées, ainsi que les procédures par lesquelles l’organe de surveillance doit évaluer les conditions d’exercice du contrôle interne.

Le Comité de Bâle a défini les quatre principes – Indépendance, Universalité, Impartialité, Adéquation des moyens aux missions – qui doivent prévaloir dans l’exercice du contrôle interne des établissements de crédit.

Le Conseil d’administration veille à ce que le groupe Société Générale ait un dispositif de gouvernance solide et une organisation claire avec :

un partage des responsabilités bien défini, transparent et cohérent ;

des procédures efficaces de détection, de gestion, de suivi et de déclaration des risques auxquels le Groupe pourrait être exposé.

Pour mettre en œuvre ce dispositif, il donne mandat à la Direction générale du Groupe qui a en charge de décliner les orientations stratégiques du Groupe.

Le Comité d’audit et de contrôle interne est un comité du Conseil d'administration plus particulièrement en charge de préparer les décisions du Conseil d'administration en matière de supervision du contrôle interne.

À ce titre, il reçoit les Reportings de la Direction générale sur le contrôle interne du Groupe. Il suit la mise en œuvre des plans de remédiation, lorsqu’il estime que le niveau de risque est justifié.

Le contrôle interne s’appuie sur un corpus de normes et de procédures.

Toutes les activités du groupe Société Générale sont encadrées par des règles et procédures regroupées en un ensemble documentaire appelé la « Documentation normative », regroupé au sein du Code Société Générale qui :

énonce les règles d’action et de comportement s’appliquant aux collaborateurs du Groupe ;

définit l’organisation des métiers et le partage des rôles et responsabilités ;

décrit les règles de gestion et de fonctionnement interne propres à chaque métier et chaque activité.

Le Code Société Générale rassemble les textes normatifs qui, notamment :

définissent la gouvernance du groupe Société Générale, l’organisation et les missions de ses Business Units et Services Units, ainsi que les principes de fonctionnement des dispositifs et processus transverses (Codes de conduite, chartes…) ;

posent le cadre de fonctionnement d’une activité, les principes et les règles de gestion applicables aux produits et services rendus à la clientèle et définissent les procédures internes.

Le Code Société Générale a force de loi interne. Il relève de la responsabilité du Secrétaire général du Groupe.

S’ajoutent au Code Société Générale les procédures opérationnelles propres à chacune des activités du Groupe. Les règles et procédures en vigueur sont conçues de façon à respecter les règles de base du contrôle interne telles que :

la séparation des fonctions ;

l’enregistrement immédiat et irrévocable de toute transaction ;

le rapprochement entre informations de provenances différentes.

Par nature multiples et évolutifs, les risques sont présents dans l’ensemble des processus de l’entreprise. À cet égard, les dispositifs de maîtrise des risques et de contrôle jouent un rôle clé dans la capacité de la Banque à atteindre ses objectifs.

Le dispositif de contrôle interne se caractérise par l’ensemble des moyens qui permettent de s’assurer que les opérations réalisées, l’organisation et les procédures mises en place sont conformes :

aux dispositions légales et réglementaires ;

aux usages professionnels et déontologiques ;

aux règles internes et aux orientations définies par l’organe de Direction de l’entreprise dans sa fonction exécutive.

Le contrôle interne vise notamment à :

prévenir les dysfonctionnements ;

mesurer les risques encourus, et exercer un contrôle suffisant pour assurer leur maîtrise ;

s’assurer de l’adéquation et du bon fonctionnement des processus internes, notamment ceux concourant à la sauvegarde des actifs ;

déceler les irrégularités ;

garantir la fiabilité, l’intégrité et la disponibilité des informations financières et de gestion ;

vérifier la qualité des systèmes d’information et de communication.

Le dispositif de contrôle interne est fondé sur cinq principes fondamentaux :

l’exhaustivité du périmètre des contrôles, qui concernent tous les types de risques et s’appliquent à toutes les entités du Groupe ;

la responsabilité individuelle de chaque collaborateur et de chaque manager dans la maîtrise des risques qu’il prend ou supervise, et le contrôle des opérations qu’il traite ou qui sont placées sous sa responsabilité ;

la responsabilité des fonctions, au titre de leur expertise et de leur indépendance, dans la définition de contrôles normatifs et, pour trois d’entre elles, l’exercice d’un contrôle permanent de niveau 2 ;

la proportionnalité des contrôles à l’ampleur des risques encourus ;

l’indépendance du contrôle périodique.

Le dispositif de contrôle interne repose sur le modèle des « trois lignes de défense », en accord avec les textes du Comité de Bâle et de l’Autorité Bancaire Européenne :

la première ligne de défense est composée de l’ensemble des collaborateurs et du management opérationnel du Groupe, dans les Business Units et les Services Units pour leurs opérations propres.

Le management opérationnel est responsable des risques, prend en charge leur prévention et leur gestion – entre autres, par la mise en place de moyens de contrôle permanent de niveau 1, ainsi que la mise en place des actions correctives ou palliatives en réponse aux éventuelles déficiences constatées par les contrôles et/ou dans le cadre du pilotage des processus ;

la deuxième ligne de défense est assurée par les fonctions risques et conformité, ainsi que par la fonction finance pour l’année 2021 (à compter de l’exercice 2022, la fonction finance relèvera de la première ligne de défense).

Dans le dispositif de contrôle interne, il incombe à ces fonctions de vérifier de façon permanente que la sécurité et la maîtrise des risques des opérations sont assurées, sous la responsabilité du management opérationnel, par la mise en œuvre effective des normes édictées, des procédures définies, des méthodes et des contrôles demandés.

Ces fonctions fournissent ainsi l’expertise nécessaire pour définir sur leurs domaines respectifs les contrôles et les autres moyens de maîtrise des risques à mettre en œuvre par la première ligne de défense, et veiller à leur bon fonctionnement ; assurer une mission de contrôle permanent de niveau 2 sur l’ensemble des risques du Groupe, en s’appuyant notamment sur les contrôles qu’elles ont définis, ainsi que ceux définis, le cas échéant, par d’autres fonctions d’expertise (par ex., achats, juridique, fiscal, ressources humaines, sécurité des systèmes d’information, etc.), ainsi que par les métiers ;

la troisième ligne de défense est assurée par la SU IGAD, qui comprend l’Audit interne et l’Inspection générale. Elle assure une mission de contrôle périodique strictement indépendant des métiers comme du contrôle permanent ;

une coordination du contrôle interne, rattachée à un Directeur général délégué pour l’année 2021 et au Directeur général à compter de 2022, assurée au niveau du Groupe et relayée dans chacun des pôles et Directions centrales.

 

 

La cohérence et l’efficacité de l’ensemble du dispositif de contrôle interne sont pilotées par un Directeur général délégué pour l’année 2021 et le Directeur général à compter de 2022.

Le Comité de coordination du contrôle interne Groupe (CCCIG) a pour objectif de donner une vision consolidée du dispositif de contrôle interne du Groupe et des risques non financiers de chaque deuxième ligne de défense, de l’évaluer en termes d’efficacité, de cohérence et d’exhaustivité, de prendre des actions correctives et suivre leur exécution.

Il est présidé par le Directeur général et réunit le Directeur des risques, le Directeur financier, le Directeur de la conformité, le Directeur des systèmes d’information Groupe, l’Inspecteur général et le Directeur de la coordination du contrôle interne.

Le Comité de coordination du contrôle interne Groupe s’est réuni à neuf reprises en 2021. Il a examiné les sujets suivants :

revue de l’efficacité et de la cohérence du dispositif de contrôle interne du Groupe ;

revue de l’efficacité du contrôle permanent dans les Service Units Risques, Conformité et Finance, ainsi que de la capacité des fonctions Risques et Conformité à exercer leur rôle de deuxième ligne de défense pour le Groupe ;

examen du tableau de bord trimestriel de contrôle permanent du Groupe, préalablement à sa communication au Comité d’audit et de contrôle interne du Conseil d’administration ;

revues transverses sur les contrôles en matière de cybersécurité et sur le contrôle des prestations de services externalisées.

 

Le Comité de coordination du contrôle interne par Direction générale de supervision (CCCIS) a pour objectif, d’effectuer une revue régulière du dispositif de contrôle interne et des risques non financiers de chaque BU/SU de la première ligne de défense, de l’évaluer en termes d’efficacité, de cohérence et d’exhaustivité, de prendre des actions correctives et suivre leur exécution.

Il est présidé par le représentant de la Direction générale (Directeur général, Directeur général délégué ou Directeur général adjoint) en charge du périmètre sous revue, et réunit le Directeur des risques, le Directeur financier, le Directeur de la conformité, le Directeur des systèmes d’information Groupe, l’Inspecteur général et le Directeur de la coordination du contrôle interne ainsi que les Responsables des Business Units et des Services Units concernées par l’ordre du jour.

L’organisation mise en place au niveau du Groupe pour coordonner l’action des différents acteurs du contrôle interne est déclinée au sein de chaque Business Unit (BU) et Service Unit (SU). L’ensemble des BU et SU du Groupe sont dotées de Comités de coordination du contrôle interne. Présidés par le responsable de la BU ou de la SU, ces comités réunissent les responsables des fonctions de contrôle permanent et périodique compétents pour la BU ou la SU, ainsi que des représentants du Directeur de la coordination du contrôle interne du Groupe et des responsables des fonctions de contrôle de niveau Groupe.

Le dispositif de contrôle permanent est constitué par :

le contrôle permanent de niveau 1, logé au sein des métiers, qui est le socle du contrôle permanent du Groupe. Il a pour finalité de garantir, au niveau opérationnel, la sécurité, la qualité, la régularité et la validité des transactions ;

le contrôle permanent de niveau 2, indépendant des métiers, relève de trois Directions, la Direction des risques, la Direction financière, et la Direction de la conformité.

La Direction générale a initié en 2018 un programme de transformation du contrôle permanent du Groupe, qui lui est directement rattaché. À travers un ensemble d’actions touchant les normes, les méthodes, les outils et procédures, la formation, etc., ce programme visait à consolider la culture de contrôle et à optimiser la maîtrise des risques, contribuant ainsi à améliorer la qualité et la fiabilité des services rendus à nos clients et partenaires. En 2021, ce programme a été finalisé et clôturé, et le transfert des activités pérennes vers des équipes d’exploitation a été achevé.

Exercés dans le cadre des opérations, au sein des BU et des SU, les contrôles permanents de niveau 1 permettent de garantir la sécurité et la qualité des transactions et des opérations. Ces contrôles sont définis comme un ensemble de dispositions constamment mis en œuvre pour assurer, au niveau opérationnel, la régularité, la validité, et la sécurité des opérations effectués.

Les contrôles permanents de niveau 1 se composent :

de toute combinaison d’actions et/ou de dispositifs, susceptibles de limiter la probabilité de survenance d’un risque ou d’en réduire les conséquences pour l’entreprise : il s’agit notamment de contrôles effectués sur une base régulière et permanente par les métiers ou par des systèmes automatisés pendant le traitement des transactions, de règles et de contrôles de sécurité – automatisés ou non – faisant partie du traitement des opérations, ou de contrôles inclus dans les procédures opérationnelles. Des dispositifs d’organisation (par exemple, séparation des fonctions) ou de gouvernance, des actions de formation, lorsqu’ils contribuent directement à maîtriser certains risques, relèvent également de cette catégorie ;

de contrôles réalisés par les managers : les responsables hiérarchiques vérifient le correct fonctionnement des dispositifs placés sous leur responsabilité. À ce titre, ils sont dans l’obligation d’appliquer régulièrement des procédures formalisées pour s’assurer que les employés respectent les règles et procédures et que les contrôles de niveau 1 sont effectués efficacement.

Définis par une entité du Groupe au sein de son périmètre, les contrôles de niveau 1 comprennent les contrôles – automatisés ou non – intégrés au traitement des opérations, les contrôles de proximité inclus dans les modes opératoires, les règles de sécurité, etc. Ils sont réalisés, dans le cadre de leurs activités quotidiennes, par les agents directement en charge d’une activité ou par leur hiérarchie, avec pour objectifs :

d’assurer la bonne application des procédures en vigueur et la maîtrise de l’ensemble des risques afférents aux processus, aux opérations et/ou aux comptes ;

d’alerter la hiérarchie en cas d’anomalies ou de dysfonctionnements constatés.

Les contrôles permanents de niveau 1 sont établis par la hiérarchie et évitent, autant que possible, les situations d’autocontrôle. Ils sont définis dans les procédures et doivent être tracés, sans nécessairement être formalisés (par exemple, dans le cas de contrôles automatisés préventifs rejetant les opérations non conformes aux règles programmées dans le système).

Afin de coordonner le dispositif de gestion des risques opérationnels et du contrôle permanent de niveau 1, les BU/SU déploient un département spécifique appelé « CORO » pour Controls & Operational Risks Office function (Département des contrôles et de gestion des risques opérationnels).

Le contrôle permanent de niveau 2 s’assure du bon fonctionnement du contrôle de niveau 1 :

le périmètre visé inclut l’ensemble des contrôles permanents de niveau 1 y compris notamment les contrôles de supervision managériale et les contrôles effectués par des équipes dédiées ;

cette revue et ces vérifications ont pour objectif de donner un avis sur (i) l’effectivité des contrôles de niveau 1, (ii) la qualité de leur réalisation, (iii) leur pertinence (notamment, en termes de prévention des risques), (iv) la définition de leurs modes opératoires, (v) la pertinence des plans de remédiation mis en œuvre suite à la détection d’anomalies, et la qualité de leur suivi, et de concourir ainsi à l’évaluation de l’efficacité des contrôles de niveau 1.

Le contrôle permanent de niveau 2, contrôle des contrôles, est exercé par des équipes indépendantes des opérationnels.

Ces contrôles sont réalisés au niveau central par les équipes de contrôle dédiées au sein de la Direction des risques (RISQ/CTL), de la Direction de la conformité (CPLE/CTL) et de la Direction financière (DFIN/CTL), et au niveau local par les équipes de contrôles de niveau 2 dans les BU/SU ou entités.

Placée sous l’autorité de l’Inspecteur général, la Direction Inspection générale et Audit (IGAD) constitue la troisième ligne de défense du Groupe.

La Direction Inspection générale et Audit est composée de l’Inspection générale (IGAD/INS), des Départements de l‘audit (IGAD/AUD) et d’une fonction support (IGAD/COO). Pour remplir ses objectifs, la Direction du contrôle périodique du Groupe est dotée de moyens adaptés, proportionnés aux enjeux, tant au plan qualitatif que quantitatif. Au total, elle comprend environ 1 100 collaborateurs.

L’Inspecteur général est rattaché directement au Directeur général du Groupe, avec lequel il a des réunions régulières. L’Inspecteur général rencontre aussi régulièrement le Président du Conseil d’administration. Le Comité d’audit et de contrôle interne (CACI) ainsi que le Comité des risques entendent l’Inspecteur général à leur initiative ou à sa demande sur tout sujet. L’Inspecteur général participe aux réunions du Comité d’audit et de contrôle interne et du Comité des risques (CR). De plus, des réunions bilatérales se tiennent entre l’Inspecteur général et les Présidents de ces Comités.

L’Inspection générale et l’Audit contribuent au dispositif de contrôle interne du Groupe. Ils exercent un mandat d’audit interne via leur mission. En tant que troisième ligne de défense au sein du Groupe, IGAD est strictement indépendant des métiers et du contrôle permanent.

La fonction d’audit interne exercée par IGAD est définie conformément aux standards de l’IIA (Institute of Internal Auditors), comme une activité indépendante et objective qui donne au Groupe une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer et contribue à créer de la valeur ajoutée. À travers l’exercice de ce mandat, l’Inspection et l’Audit interne aident le Groupe à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle et de gouvernement d’entreprise en faisant des propositions pour renforcer leur efficacité.

L’Inspection générale et l’Audit interne exercent un rôle essentiel dans le dispositif de gestion des risques du Groupe et peuvent en évaluer l’ensemble des composantes.

Dans le cadre de ce mandat, l’Inspection générale et l’Audit interne évaluent la qualité de la gestion des risques au sein du périmètre audité, la pertinence et l’efficacité du dispositif de contrôle permanent ainsi que la sensibilité aux risques du management et le respect des règles de conduite et pratiques professionnelles attendues.

Si l’Audit exerce strictement une fonction d’audit interne, l’Inspection générale peut, au-delà de cette fonction, être amenée à réaliser d’autres types de travaux tels que tout type de mission d’analyse ou d’étude, à être impliquée dans l’évaluation de projets stratégiques ou enfin à intervenir sur des sujets spécifiques à la demande de la Direction générale. Ces missions, limitées en termes d’allocation de ressources, s’inscrivent dans un cadre garantissant le respect des critères d’éthique définis par les Standards de l’Institute of Internal Auditors (IIA) pour les travaux de la troisième ligne de défense.

L’Inspection générale assure aussi un rôle d’animation et de supervision du déploiement des initiatives en matière d’analyse de données sur l’ensemble du périmètre de l’Inspection et de l’Audit interne. Cette mission est assurée à travers un laboratoire de données dédié (INS/DAT), placé sous la responsabilité d’un Inspecteur principal. L’Inspection générale assure aussi un rôle de coordination des relations d’IGAD avec les régulateurs.

IGAD comporte, en central, six départements d’audit distincts. Chacun est placé sous la supervision d’un Responsable de l’Audit interne et a la responsabilité de l’audit interne sur un périmètre d’activités du Groupe. Une organisation matricielle permet de couvrir les principaux sujets transversaux à l’échelle du Groupe. En France, les équipes d’Audit interne sont rattachées hiérarchiquement à l’Inspecteur général. Au sein de l’Audit interne, les responsables d’audit basés dans les succursales à l’étranger ou filiales sont rattachés hiérarchiquement au responsable de l’entité locale. Néanmoins pour l’exercice de leur fonction d’audit interne ils sont placés sous la supervision hiérarchique du responsable d’audit interne en charge de leur périmètre.

L’Inspection générale et l’Audit interne travaillent ensemble sur l’évaluation annuelle des risques pour concevoir le plan d’intervention pour l’année à venir. Les équipes d’IGAD coopèrent régulièrement dans le cadre de missions conjointes. Elles émettent des préconisations afin de remédier aux causes des manquements identifiés et, plus généralement, d’améliorer la gestion des opérations et la maîtrise des risques du Groupe. Elles ont ensuite la responsabilité d’en contrôler la mise en œuvre.

 

4.3.2  CONTRÔLE DE LA PRODUCTION COMPTABLE ET RÉGLEMENTAIRE ET DE LA PUBLICATION DES DONNÉES FINANCIÈRES ET DE GESTION

 

Les acteurs concourant à la production des informations financières sont multiples :

le Conseil d’administration et tout particulièrement son Comité d’audit et de contrôle interne ont pour mission d’examiner le projet des états financiers qui doivent être soumis au Conseil ainsi que de vérifier les conditions de leur établissement et de s’assurer non seulement de la pertinence mais aussi de la permanence des principes et méthodes comptables appliqués. Le Comité d’audit et de contrôle interne assure également le suivi de l’indépendance des Commissaires aux comptes, ainsi que le suivi de l’efficacité des systèmes de contrôle interne, de mesure, de surveillance et de maîtrise des risques liés aux processus comptables et financiers. Les Commissaires aux comptes sont entendus par le Comité d’audit et de contrôle interne dans le cadre de leur mission ;

la Direction financière du Groupe collecte l’ensemble des informations comptables et de gestion produites par les filiales et les Business Units/Services Units via une série de Reportings normalisés. Elle assure également la consolidation et le contrôle de ces données pour permettre leur utilisation dans le cadre du pilotage du Groupe et de la communication à l’égard des tiers (organes de contrôle, investisseurs…). Elle dispose par ailleurs d’une équipe en charge de la production des états réglementaires Groupe ;

Dans le cadre des missions qui lui sont allouées, elle est, notamment, en charge de :

-

suivre au plan financier les opérations en capital du Groupe et son organigramme financier,

-

assurer la gestion du bilan et de ce fait définir, gérer et contrôler les équilibres bilanciels et les risques structurels du Groupe,

-

veiller au respect des ratios réglementaires,

-

définir les normes, référentiels, principes et procédures comptables et réglementaires applicables au Groupe et en vérifier le respect,

-

assurer la fiabilité des informations comptables et financières diffusées à l’extérieur du Groupe ;

les Directions financières de filiales et de Business Units/Services Units assurent la certification des informations comptables et des enregistrements comptables effectués par les back-offices et des informations de gestion remontant des front-offices. Elles sont responsables des états financiers et des informations réglementaires requis au plan local ainsi que des Reportings (comptable, contrôle de gestion, réglementaire…) à destination de la Direction financière du Groupe. Elles peuvent assurer ces activités de manière autonome ou en déléguer la réalisation sous leur responsabilité à des centres de services partagés opérant dans le domaine de la finance, placés sous la gouvernance de la Direction financière du Groupe ;

la Direction des risques centralise les informations de suivi des risques en provenance des Business Units/Services Units et filiales du Groupe pour assurer le contrôle des risques de crédit, de marché et opérationnels. Ces informations sont utilisées dans les communications du Groupe à l’égard des instances de gouvernance du Groupe et des tiers. Par ailleurs, elle assure, conjointement avec la Direction financière du Groupe, son rôle d’expert sur les dimensions risque de crédit, risques structurels de liquidité, taux, change, sur les enjeux de redressement et de résolution ainsi que la responsabilité de certains processus d’arrêter notamment la production des ratios de solvabilité ;

les Back offices sont les fonctions support des front offices et s’assurent des règlements livraisons liés aux contrats. Ils vérifient notamment le bien-fondé économique des opérations, effectuent l’enregistrement des transactions et sont en charge des moyens de paiement.

Les normes comptables applicables sont les normes locales pour l’établissement des comptes locaux et les normes édictées par la Direction financière du Groupe pour l’établissement des comptes consolidés, qui reposent sur le référentiel comptable IFRS tel qu’adopté dans l’Union européenne.

Les normes applicables sur la solvabilité et la liquidité, édictées par le Comité de Bâle, ont été traduites en droit européen par une directive (CRD4) et un règlement (CRR). Elles ont été complétées par le règlement CRR2 et la directive CRD5 qui sont entrés en vigueur le 28 juin 2019. Ces textes sont précisés par plusieurs actes délégués et actes d’exécution. Enfin, le groupe Société Générale identifié comme « conglomérat financier » est soumis à une surveillance complémentaire.

Les départements en charge des normes au sein de la Direction financière du Groupe assurent la veille normative et édictent de nouvelles normes internes en fonction de l’évolution de la réglementation comptable et réglementaire.

Chaque entité du périmètre de consolidation du Groupe effectue un arrêté comptable et de gestion sur base mensuelle. La consolidation de ces données s’effectue également mensuellement et s’accompagne d’une communication financière externe sur base trimestrielle. Cette remontée fait l’objet de revues analytiques et de contrôles de cohérence par les Directions financières ou par délégation sous leur responsabilité par les centres de services partagés opérant dans le domaine de la finance, à destination de la Direction financière du Groupe. Cette dernière présente les états financiers consolidés, les Reportings de gestion et les états réglementaires à la Direction générale du Groupe et aux tiers intéressés.

En pratique, les procédures sont adaptées à la complexité croissante des produits et des réglementations. Un plan d’action spécifique d’adaptation est mis en œuvre si nécessaire.

Les producteurs des données comptables sont indépendants des front office et des équipes commerciales.

La qualité et l’objectivité des données comptables et de gestion sont assurées par la séparation des fonctions commerciales et de l’ensemble des fonctions de traitement opérationnel et de suivi des opérations : back-offices, middle offices intégrés à la Direction des Ressources et des équipes de suivi de la production du résultat intégrées à la Direction financière. Le contrôle effectué par ces différentes équipes en matière de données financières et comptables est défini dans les procédures du Groupe, avec notamment :

vérification de la réalité économique de l’ensemble des informations reportées ;

réconciliation dans les délais impartis entre les données comptables et les données de gestion selon des procédures spécifiques ;

sur les activités de marché, rapprochement du résultat comptable (produit par la Direction financière) avec le résultat économique quotidien (produit par un département d’experts dédiés au sein de la Direction des risques).

Compte tenu de la complexité croissante des activités financières et des organisations, les collaborateurs sont régulièrement formés et les outils informatiques remis à niveau pour garantir l’efficacité et la fiabilité des tâches de production et de contrôle des données comptables et de gestion.

D’un point de vue pratique, et pour l’ensemble des métiers du Groupe, les procédures de contrôle interne mises en place visent à assurer la qualité de l’information comptable et financière, et notamment à :

veiller à la validité et à l’exhaustivité des transactions retranscrites dans les comptes du Groupe ;

valider les modalités de valorisation de certaines opérations ;

s’assurer que les opérations sont correctement rattachées à l’exercice les concernant et enregistrées dans les comptes conformément aux textes comptables en vigueur, et que les agrégats comptables retenus pour la présentation des comptes sont conformes aux règlements en vigueur ;

veiller à la prise en compte de l’ensemble des entités qui doivent être consolidées en application des règles du Groupe ;

vérifier que les risques opératoires liés à la production et à la remontée des informations comptables dans les chaînes informatiques sont correctement maîtrisés, que les régularisations nécessaires sont correctement effectuées, que les rapprochements des données comptables et de gestion sont effectués de manière satisfaisante, que les flux de règlement espèces et matière générés par les transactions sont effectués de manière exhaustive et adéquate.

La Direction financière de chaque filiale s’assure de la fiabilité et de la cohérence des comptes établis selon les différents référentiels qui lui incombent (normes locales et IFRS pour les filiales ainsi que les normes françaises pour les succursales). Elle réalise des contrôles pour garantir la fiabilité de l’information communiquée.

Les liasses de consolidation de chaque filiale sont alimentées par les données comptables de la comptabilité sociale des filiales après mise en conformité localement avec les principes comptables du Groupe.

Chaque filiale est responsable de la justification du passage des comptes sociaux aux comptes reportés sous l’outil de consolidation.

Les Directions financières de Business Units/Services Units disposent d’un département dédié à la gestion et au pilotage financier.

Les centres de services partagés opérant dans le domaine de la finance assurent les contrôles de niveau 1, nécessaires à la fiabilité de l’information comptable, fiscale et réglementaire, sur les comptes qu’ils produisent en normes locales et IFRS, et notamment des contrôles de qualité et de cohérence des données (capitaux propres, titres, change, tous agrégats du bilan et du compte de résultat, écarts de normes), la justification et certification des comptes sous leur responsabilité, la réconciliation des opérations intra-groupe, le contrôle des états réglementaires et le contrôle de la preuve d’impôt et des soldes d’impôts (courants, différés et taxes).

Ces contrôles sont déclarés dans le cadre de la supervision managériale et de la certification comptable du Groupe.

Ces contrôles leur permettent d’apporter tous les éléments nécessaires aux Directions financières des Business Units/Services Units et à la Direction financière et comptable du Groupe pour garantir de la fiabilité et de la cohérence des comptes ainsi établis.

Les comptes des entités, retraités aux normes du Groupe, alimentent une base d’information centrale sur laquelle sont effectués les traitements de consolidation.

Le service en charge de la consolidation au sein du Département des affaires comptables valide la conformité du périmètre de consolidation au regard des normes comptables en vigueur et effectue des contrôles multiples à partir des données reçues et à travers les liasses de consolidation :

validation de la correcte agrégation des données collectées ;

vérification du passage correct des écritures de consolidation récurrentes et non récurrentes ;

traitement exhaustif des points critiques du processus de consolidation ;

traitement des écarts résiduels sur comptes réciproques/intercompagnies.

In fine, ce département s’assure que le processus de consolidation s’est déroulé normalement au moyen d’un contrôle des données de synthèse sous forme de revues analytiques et de contrôles de cohérence sur les principaux agrégats des états financiers. Ces vérifications sont complétées par l’analyse de l’évolution des capitaux propres, des écarts d’acquisition, des provisions et des impôts différés consolidés.

Au sein de ce département une équipe est également en charge d’animer et de coordonner le dispositif de certification trimestrielle des contrôles de premier niveau.

La Direction financière du Groupe dispose d’une équipe dédiée, en charge du dispositif de contrôle permanent de niveau 2 sur l’ensemble des processus Finance de Société Générale SA et de l’animation de ce dispositif au sein du Groupe. Sa mission consiste à s’assurer de l’effectivité, de la qualité et de la pertinence du dispositif de contrôle de niveau 1, par une évaluation du dispositif via des revues de process ou d’activités, des testings de contrôles et le suivi des certifications trimestrielles. Cette équipe, directement rattachée à la Direction financière du Groupe, est également rattachée fonctionnellement au responsable de la Coordination du contrôle interne du groupe Société Générale.

Le contrôle s’effectue au travers d’un processus de surveillance permanente, sous la responsabilité des Directions impliquées. Il permet de vérifier de manière récurrente la qualité des contrôles relatifs au recensement correct des opérations comptables et à la qualité des traitements comptables qui y sont associés.

L’Audit interne et l’Inspection générale définissent leurs missions d’audit et d’inspection à partir d’une approche par les risques et définissent un plan d’intervention annuel (« plan de tournée » de l’Inspection et plan d’audit). Les équipes de la Direction Inspection générale et Audit (IGAD) peuvent être amenées à réaliser dans le cadre de leurs missions, des travaux visant à évaluer la qualité de l’environnement de contrôle concourant à la qualité des informations comptables et de gestion des entités auditées. Ces travaux peuvent conduire à vérifier un certain nombre de comptes, à évaluer la qualité des travaux de rapprochement entre les données de gestion et les données comptables, à évaluer la qualité de la surveillance permanente de la production et du contrôle des données comptables, à évaluer la performance des outils informatiques et la rigueur des traitements manuels.

Le département d’audit des Directions centrales est en charge de l’audit de la Direction financière du Groupe. Au sein de ce département, une équipe, placée sous la responsabilité d’un correspondant métier dédié, assure un rôle de pilotage et d’animation des travaux d’audit portant sur des sujets comptables et financiers à l’échelle du Groupe. Elle apporte son expertise dans l’identification des principaux risques comptables et réalise des actions de formation et de production de méthodologies contribuant à la diffusion des connaissances en termes d’audit des risques comptables.

Les missions d’audit portant sur les sujets comptables sont réalisées par cette équipe dans les domaines évalués comme les plus significatifs pour la fiabilité de l’information comptable du Groupe ainsi que par les départements des différentes filiales du Groupe.

Sur la base de ces missions, des préconisations sont adressées aux acteurs impliqués dans la chaîne de production et de contrôle des informations comptables, financières et de gestion. La mise en œuvre de ces recommandations est de la responsabilité des départements auxquelles elles sont adressées. Un suivi est effectué par IGAD.