10.2 DISPOSITIF DE SUIVI DU RISQUE OPÉRATIONNEL
la collecte et l’analyse des pertes opérationnelles internes et externes et des incidents significatifs ;
La collecte des pertes internes et depuis 2019 des incidents significatifs concerne l’ensemble du Groupe depuis 2003. Ce processus a permis :
Les pertes (ou gain ou quasi-pertes) sont remontées à partir d’un seuil minimum de 10 000 euros dans l’ensemble du Groupe et de 20 000 euros pour les activités de marché.
Les incidents sans impact financier sont également remontés dès lors qu’ils sont jugés significatifs selon leur impact, notamment sur les engagements contractuels, la réputation, le fonctionnement courant, l’appétit au risque ou le niveau de Conformité réglementaire du Groupe.
Les pertes externes sont des données publiques et/ou partagées au sein du secteur bancaire notamment dans le cadre de consortiums.
Ces données externes incluent des informations sur le montant des pertes réelles, sur l’importance de l’activité à l’origine de ces pertes, sur les causes et les circonstances et tout renseignement complémentaire pouvant servir à d’autres établissements pour évaluer la pertinence de l’événement qui les concerne. Elles permettent d’enrichir l’identification et l’évaluation du risque opérationnel du Groupe.
L’exercice d’autoévaluation des risques et des contrôles (Risk & Control Self Assessment ou RCSA) a pour objet, pour chaque manager sollicité, d’apprécier l’exposition au risque opérationnel auquel chaque Entité de son périmètre est exposée à travers ses activités afin d’en améliorer le pilotage.
La méthode définie par le Groupe consiste en une approche homogène d’identification et d’évaluation du risque opérationnel et des dispositifs de maîtrise de ces risques, afin de garantir la cohérence des résultats au niveau Groupe. Elle s’appuie notamment sur des référentiels d’activités et de risques afin de permettre une évaluation exhaustive.
d’identifier et évaluer les principaux risques opérationnels (en montant moyen et en fréquence de perte potentielle) auxquels est exposée chaque activité (risques intrinsèques, c’est-à-dire les risques inhérents à la nature d’une activité, en faisant abstraction des dispositifs de prévention et de contrôle) ; le cas échéant, les cartographies des risques établies par les filières d’expertise (par exemple, conformité, sécurité des systèmes d’information, etc.) contribuent à cette évaluation des risques intrinsèques ;
d’évaluer ensuite l’exposition aux risques résiduels de chaque activité (après prise en compte de l’environnement de prévention et de contrôle, mais abstraction faite de la protection fournie par les polices d’assurance auxquelles le Groupe a souscrit) ;
de remédier aux déficiences éventuelles des dispositifs de prévention et de contrôle, en mettant en œuvre des plans d’actions correctifs et en définissant des indicateurs clés de risque ; si nécessaire, à défaut de plan d’action, l’acceptation du risque sera validée formellement par le niveau hiérarchique approprié ;
Afin d’assurer une évaluation pertinente, cohérente, et continue, l’évaluation des risques s’alimente aussi des résultats d’autres dispositifs de gestion du risque opérationnel. Les méthodes d’évaluation de certains risques reposent de plus en plus sur des approches avancées et adaptées au type de risque sous-jacent, elles incorporent les résultats sur des échelles d’évaluation et des référentiels partagés qui permettent la comparaison et la priorisation des zones de risques ou de périmètres d’activités.
Les indicateurs clés de risque (Key Risk Indicators ou KRI) complètent le dispositif de pilotage du risque opérationnel en fournissant une vision dynamique (système d’alerte) de l’évolution du profil de risque des métiers.
Leur suivi apporte aux responsables d’entités une mesure régulière des améliorations ou des détériorations du profil de risque et de l’environnement de prévention et de contrôle.
Une analyse croisée des KRI de niveau Groupe et des pertes est présentée trimestriellement à la Direction générale du Groupe via un tableau de bord dédié.
Les analyses de scénarios ont pour double objectif d’identifier les vulnérabilités du Groupe et de contribuer au calcul des fonds propres exigés au titre du risque opérationnel.
Ces analyses permettent de construire à dire d’expert une distribution des pertes pour chaque catégorie de risque et ainsi de mesurer l’exposition à des pertes potentielles dans des scénarios de très forte sévérité, qui pourront être intégrés au calcul des besoins en fonds propres.
En pratique, différents scénarios sont examinés par des experts qui en évaluent les impacts potentiels sur le Groupe en termes de sévérité et de fréquence, en s’appuyant notamment sur les données de pertes internes et externes, et de l’environnement interne (dispositifs de prévention et de contrôle) et externe (réglementaire, métier, etc.). Les analyses sont conduites soit au niveau Groupe (scénarios transversaux), soit au niveau des métiers.
une validation des scénarios par les métiers (par exemple lors des Comités de coordination du contrôle interne des départements concernés ou lors de réunions ad hoc) et un challenge des analyses de scénario par la LOD2 ;
une revue d’ensemble de la hiérarchie des risques du Groupe, et de l’adéquation des scénarios, à ces risques, effectuée lors du CORISQ.
Chaque Direction soumet ses projets de nouveau produit à destination de la clientèle au Comité nouveau produit.
Ce comité, coprésidé par les Directions des risques et des métiers concernées, est une instance de décision qui statue sur les conditions de production et de commercialisation des nouveaux produits auprès des clients.
Il vise à s’assurer, avant toute mise en place et lancement d’un nouveau produit, que tous les types de risques induits ont été identifiés, évalués et, si nécessaire, font l’objet de mesures d’atténuation permettant l’acceptation des risques résiduels (risques de crédit, risques de marché, risques de liquidité et de refinancement, risques pays, risques opérationnels, risques juridiques, fiscaux, comptables, financiers, risques liés aux systèmes d’information, risques de non-conformité, y compris les risques en matière de sécurité financière et ceux susceptibles de mettre en danger la réputation de la Banque comme les risques liés à la protection des données personnelles et ceux liés à la responsabilité sociétale et environnementale des entreprises RSE, etc.).
La définition de « nouveau produit » s’étend de la création d’un produit ou service nouveau à l’aménagement d’un produit ou service existant dès que cet aménagement est susceptible de générer des risques différents ou plus élevés (cela peut être lié à un nouvel environnement réglementaire, à une commercialisation sur un nouveau périmètre ou à un nouveau type de clientèle, etc.).
Certains services de la Banque sont sous-traités en dehors du Groupe (outsourcing) ou à l’intérieur du Groupe (offshoring, par exemple dans nos centres de services partagés). Ces deux voies de sous-traitance sont encadrées de manière adaptée aux risques.
Un dispositif avec des normes et un outil permet de s’assurer que le risque opérationnel lié aux externalisations est maîtrisé, et que les conditions fixées par l’agrément du Groupe SG sont respectées.
Il permet de cartographier, à l’aide d’un registre, les externalisations du Groupe avec une identification des activités et des Business/Service unit concernées, et de mettre sous contrôle les prestations de service externalisées en connaissance des risques et avec la supervision adaptée.
Lors de la phase d’étude, les métiers décident de l’externalisation de services dans le cadre des normes fixées par le Groupe. Les projets d’externalisation sont conduits par un chef de projet et validés par le sponsor choisi parmi les responsables des BU/SU/entités ou leurs délégataires qui recourent à l’externalisation et qui accepte le niveau de risque résiduel au terme d’une analyse des risques basée sur les avis d’experts et selon les grilles de délégation en vigueur dans le Groupe. Cela permet de s’assurer de l’homogénéité des évaluations et de la cohérence des décisions dans le Groupe.
L’analyse intègre a minima les risques opérationnels (incluant la fraude, le risque d’exécution,...), juridiques, fiscaux, de non-conformité, de réputation, de fournisseurs, ressources humaines, de responsabilité sociale et environnementale, de continuité d’activité, les risques liés à la qualité des données et les risques liés à la sécurité de l’information et à la protection des données.
Les experts juridiques qualifient les prestations « d’essentielles » au sens de l’arrêté du 3 novembre 2014.
Les prestations de niveau Groupe font l’objet d’un suivi renforcé via un pilotage contractuel très régulier. Ces prestations sont identifiées à l’aide de critères tels que la notion d’« activité cœur de métier », l’impact financier et le risque de réputation. Ces prestations sont validées au sein d’un comité dédié, présidé par le Département des risques opérationnels.
Le renforcement du dispositif se poursuit en 2022 avec notamment des apports de précisions sur le cadre méthodologique, une implication plus marquée du senior management dans la supervision de ce risque et l’intensification du rôle de la 2eme ligne de défense dans le pilotage, la revue et le contrôle des prestations de services externalisés.
La gestion de la continuité d’activité consiste à développer dans chacune des entités du groupe Société Générale des organisations, des procédures et des moyens destinés à faire face à des sinistres d’origine naturelle ou accidentelle, ou à des actes volontaires de nuisance, en vue de protéger leurs personnels, les actifs des clients et des entités et leurs activités, et à permettre la poursuite des prestations de services essentielles, le cas échéant selon un mode dégradé de façon temporaire, puis le retour à la normale.
Il vise non seulement au respect des obligations réglementaires, mais aussi à minimiser autant que possible les impacts d’éventuels sinistres sur le personnel, les clients, ou les infrastructures, et donc à préserver l’image, les fonds de commerce, les marques, produits, procédés et savoir-faire du Groupe, et à limiter l’impact de sinistres éventuels sur la situation et la solidité financière du Groupe.
S’appuyant sur l’identification des menaces qui pèsent sur le Groupe et leurs effets possibles et, tenant compte des actions de prévention, de protection et de dissuasion, la gestion de la continuité d’activité consiste à :
mettre en place une capacité de réponse efficace à ces scénarios de crise, de perte ou d’indisponibilité des ressources humaines ou des moyens d’exploitation ;
entretenir ces dispositifs pour maintenir leur efficacité (réexamen de la pertinence des scénarios, prise en compte de l’évolution de l’organisation, ajustement des moyens, tests de fonctionnement).