10.2 DISPOSITIF DE SUIVI DU RISQUE OPÉRATIONNEL

Les dispositifs principaux de maîtrise des risques opérationnels du Groupe sont :

la collecte et l’analyse des pertes opérationnelles internes et des incidents significatifs sans impact financier ;

l’exercice d’autoévaluation des risques et des contrôles (Risk & Control Self Assessment ou RCSA) ;

les indicateurs clés de risque (ou KRI : Key Risk Indicators) ;

les analyses de scénarios ;

l’analyse des pertes externes ;

l’encadrement des nouveaux produits et services ;

la gestion des prestations de services externalisées ;

la gestion de crise et la continuité d’activité ;

l’encadrement des risques liés aux technologies de l’information et de la communication (TIC).

La collecte des pertes internes et des incidents significatifs concerne l’ensemble du Groupe. Ce dispositif a pour objectifs de :

suivre le coût des risques opérationnels tels qu’ils se sont matérialisés dans le Groupe et de constituer une base historique de données pour la modélisation du calcul des fonds propres à allouer au risque opérationnel ;

tirer les leçons des événements passées pour minimiser les pertes futures.

Les pertes externes sont les données de pertes opérationnelles subies par le secteur bancaire. Ces données externes incluent des informations sur le montant des pertes réelles, sur l’importance de l’activité à l’origine de ces pertes, sur les causes et les circonstances et tout renseignement complémentaire pouvant servir à d’autres établissements pour évaluer la pertinence de l’événement qui les concerne. Elles permettent d’enrichir l’identification et l’évaluation du risque opérationnel du Groupe.

L’exercice d’autoévaluation des risques et des contrôles (Risk & Control Self Assessment ou RCSA) a pour objet, pour chaque manager sollicité, d’apprécier l’exposition aux risques opérationnels auxquels les activités de son périmètre de responsabilité sont exposées afin d’en améliorer le pilotage.

La méthode définie par le Groupe consiste en une approche homogène d’identification et d’évaluation du risque opérationnel et des dispositifs de maîtrise de ces risques, afin de garantir la cohérence des résultats au niveau Groupe. Elle s’appuie notamment sur des référentiels d’activités et de risques du Groupe afin de permettre une évaluation exhaustive.

Les objectifs sont :

d’identifier et évaluer les principaux risques opérationnels (en montant moyen et en fréquence de perte potentielle) auxquels est exposée chaque activité (risques intrinsèques, c’est-à-dire les risques inhérents à la nature d’une activité, en faisant abstraction des dispositifs de prévention et de contrôle) ; le cas échéant, les cartographies des risques établies par les filières d’expertise (par exemple, conformité, sécurité des systèmes d’information, etc.) contribuent à cette évaluation des risques intrinsèques ;

d’évaluer la qualité des dispositifs de prévention et de contrôle en place ;

d’évaluer ensuite l’exposition aux risques résiduels de chaque activité (après prise en compte de l’environnement de prévention et de contrôle, mais abstraction faite de la protection fournie par les polices d’assurance auxquelles le Groupe a souscrit) ;

de remédier aux déficiences éventuelles des dispositifs de prévention et de contrôle, en mettant en œuvre des plans d’actions correctifs et en définissant des indicateurs clés de risque ; si nécessaire, à défaut de plan d’action, l’acceptation du risque sera validée formellement par le niveau hiérarchique approprié ;

d’adapter, si nécessaire, la politique d’assurance.

L’exercice inclut notamment les risques de non-conformité, le risque d’atteinte à la réputation, les risques fiscaux, les risques comptables, les risques liés aux systèmes d’informations et à leur sécurité, ainsi que ceux liés aux ressources humaines.

Les indicateurs clés de risque (Key Risk Indicators ou KRI) complètent le dispositif de pilotage du risque opérationnel en fournissant une vision dynamique (système d’alerte) de l’évolution du profil de risque des métiers.

Leur suivi apporte aux responsables d’entités une mesure régulière des améliorations ou des détériorations du profil de risque et de l’environnement de prévention et de contrôle des activités sur leur périmètre de responsabilité.

Les KRI aident les Business Units/Service Units/entités et la Direction générale à piloter leurs risques de façon proactive et prospective, en tenant compte de leur tolérance et de leur appétit pour le risque.

Une analyse des KRI de niveau Groupe et des pertes est présentée trimestriellement à la Direction générale du Groupe dans un tableau de bord dédié.

Les analyses de scénarios ont pour double objectif d’identifier les zones de risques les plus significatives du Groupe et de contribuer au calcul des fonds propres exigés au titre du risque opérationnel.

Ces analyses permettent de construire à dire d’expert une distribution des pertes pour chaque catégorie de risque opérationnel et ainsi de mesurer l’exposition à des pertes potentielles dans des scénarios de très forte sévérité, qui pourront alimenter le calcul des besoins en fonds propres.

En pratique, différents scénarios sont examinés par des experts qui en évaluent les impacts potentiels sur le Groupe en termes de sévérité et de fréquence, en s’appuyant notamment sur les données de pertes internes et externes, et de l’environnement interne (dispositifs de prévention et de contrôle) et externe (réglementaire, métier, etc.). Ces analyses sont conduites soit au niveau Groupe (scénarios transversaux), soit au niveau des métiers.

La gouvernance mise en place comprend notamment :

une validation du programme annuel de mise à jour des scénarios par la Direction générale en Comité risques Groupe (CORISQ) ;

une validation des scénarios par les métiers (par exemple lors des Comités de coordination du contrôle interne des Business Units et Service Units concernés ou lors de réunions ad hoc) et un challenge des analyses de scénario par la LoD2 ;

une revue d’ensemble de la hiérarchie des risques du Groupe, et de l’adéquation des scénarios, à ces risques, effectuée en CORISQ.

Chaque Direction soumet ses projets de nouveau produit et service à un Comité nouveau produit. Ce comité, coprésidé par un représentant de la Direction des risques du Groupe et un représentant de la Direction du métier concerné, est une instance de décision qui statue sur les conditions de production et de commercialisation des nouveaux produits et services auprès des clients.

Il vise à s’assurer, avant toute mise en place et lancement d’un nouveau produit ou service, ou avant tout changement significatif sur un produit, service ou processus existant, que tous les types de risques induits ont été identifiés, évalués et, si nécessaire, font l’objet de mesures d’atténuation permettant l’acceptation des risques résiduels (entre autres, les risques de crédit, les risques de marché, les risques de liquidité et de refinancement, les risques pays, les risques opérationnels, les risques juridiques, fiscaux, comptables, financiers, les risques liés aux systèmes d’information, les risques de non-conformité, y compris les risques en matière de sécurité financière, ceux susceptibles de mettre en danger la réputation de la Banque, les risques liés à la protection des données personnelles et ceux liés à la responsabilité sociétale et environnementale des entreprises (RSE) dans sa composante réputationnelle).

Certains services de la Banque sont sous-traités en dehors du Groupe ou à l’intérieur du Groupe (par exemple dans des centres de services partagés). Ces deux voies de sous-traitance sont encadrées de manière adaptée aux risques qu’elles induisent.

Le dispositif de gestion des prestations de services externalisées permet de s’assurer que le risque opérationnel lié aux externalisations est maîtrisé, et que les conditions fixées par l’agrément du Groupe sont respectées.

Ce dispositif a pour objectifs de :

décider de l‘externalisation en connaissance des risques pris ; l’entité reste responsable des risques de l’activité externalisée ;

suivre les PSE jusqu’à leur clôture en s’assurant que les risques opérationnels sont maîtrisés ;

cartographier les externalisations du Groupe avec une identification des activités et des Business Units/Service Units concernées afin de prévenir les concentrations excessives sur certains prestataires.

Les dispositifs de gestion de crise et de continuité d’activité visent à minimiser autant que possible les impacts d’éventuels sinistres sur les clients, le personnel, les activités ou les infrastructures, et donc à préserver la réputation et l’image du Groupe ainsi que sa solidité financière.

La gestion de la continuité d’activité consiste à développer dans chacune des entités du groupe Société Générale des organisations, des procédures et des moyens destinés à faire face à des sinistres d’origine naturelle ou accidentelle, ou à des actes volontaires de nuisance, en vue de protéger leurs personnels, les actifs des clients et des entités et leurs activités, et à permettre la poursuite des prestations de services essentielles, le cas échéant selon un mode dégradé de façon temporaire, puis le retour à la normale.