4.10 RISQUE OPÉRATIONNEL
En ligne avec la taxonomie des Risques du Groupe, le risque opérationnel fait partie des risques non financiers suivis par le Groupe. Il correspond au risque de pertes résultant d’une inadéquation ou d’une défaillance des processus, du personnel et des systèmes d’information ou d’événements extérieurs.
La classification par le Groupe du risque opérationnel se répartit en huit catégories d’événements de risque :
litiges commerciaux ;
litiges avec les autorités ;
erreurs de tarification/pricing ou d’évaluation du risque dont le risque de modèle ;
erreurs d’exécution ;
fraude et autres activités criminelles ;
activités non autorisées sur les marchés (roguetrading) ;
perte de moyens d’exploitation ;
défaillance des systèmes d’information.
Cette classification permet de réaliser des analyses transversales au travers des dispositifs de risque opérationnel (cf. section 4.10.2) notamment sur les risques suivants :
les risques liés aux technologies de l’information et de la communication et à la sécurité (cybercriminalité, défaillance de services, etc.) ;
les risques liés à l’externalisation de services et à la continuité d’activité ;
les risques liés au lancement de nouveaux produits/services/activités à destination de la clientèle ;
les risques de non-conformité représentent le risque de sanctions légales, administratives ou réglementaires, de pertes financières importantes ou de perte de réputation qu’une banque peut subir en raison du non-respect des lois nationales ou européennes, de la réglementation, règles, standards de marché et les Codes de conduite applicables à ses activités bancaires ;
le risque de réputation résulte d’une perception négative de la part des clients, des contreparties, des actionnaires, des investisseurs ou des régulateurs, pouvant affecter défavorablement la capacité du Groupe à maintenir ou engager des relations d’affaires et la continuité d’accès aux sources de financement ;
le risque de conduite inappropriée (misconduct) résultant d’actions (ou inactions), ou de comportements de la Banque, ou de ses employés, qui seraient incompatibles avec le Code de conduite du Groupe, pouvant aboutir à des conséquences négatives pour nos parties prenantes, ou mettant en risque la pérennité ou la réputation de la Banque.
Le dispositif relatif aux risques de non-conformité, de réputation et conduite inappropriée est détaillé dans le chapitre 4.11 « Risquesdenon-conformité,litiges ».
4.10.1 ORGANISATION DE LA GESTION DU RISQUE OPÉRATIONNEL
Le dispositif de gestion du risque opérationnel du Groupe, autre que les risques détaillés dans le chapitre 4.11 «Risquesdenon-conformité,litiges», s’intègre dans le modèle des trois lignes de défense :
une première ligne de défense au sein de chaque BusinessUnits/ServiceUnits, responsable de faire appliquer le dispositif et de mettre en place les contrôles qui permettent de s’assurer que les risques sont identifiés, analysés, mesurés, suivis, pilotés, reportés et contenus dans les limites de l’appétit pour le risque défini par le Groupe ;
une deuxième ligne de défense : le Département des risques opérationnels, rattaché à la Direction des risques du Groupe ;
procède à un examen critique de la gestion du risque opérationnel (incluant le risque de fraude, les risques liés aux systèmes d’information et à la sécurité de l’information et les risques relatifs à la continuité d’activité) des BusinessUnits/ServiceUnits,
fixe les normes et procédures relatives aux dispositifs de maîtrise du risque opérationnel et la production d’analyses transversales,
produit les métriques de risques et de pilotage des dispositifs de maîtrise du risque opérationnel.
Pour couvrir l’ensemble du Groupe, le Département des risques opérationnels échange avec les relais en région qui remontent aux départements les éléments nécessaires à la consolidation d’une vision holistique et prospective du profil de risque de la Banque tant pour les besoins de pilotage interne que pour répondre aux exigences réglementaires.
Les relais en région ont la responsabilité de déployer les missions du département en tenant compte des exigences propres aux instances de régulation en exercice sur leur région.
Le Département des risques opérationnels échange avec la première ligne de défense via un réseau de correspondants risques opérationnels au sein de chaque BusinessUnits/ServiceUnits.
Concernant spécifiquement les risques liés à la continuité d’activité, à la gestion de crise et à la sécurité de l’information, des biens et des personnes, le Département des risques opérationnels exerce l’examen critique de la gestion de ces risques en relation avec la Direction de la sécurité Groupe. Et concernant spécifiquement les risques liés aux systèmes d’information, le Département des risques opérationnels exerce l’examen critique de la gestion de ces risques en relation avec la Direction ressources et transformation numérique ;
une troisième ligne de défense en charge du contrôle périodique, exercée par la Direction Inspection générale et audit.
La mise en œuvre et la surveillance du dispositif de gestion des risques opérationnels s’inscrit dans le cadre du dispositif de contrôle interne du Groupe :
un contrôle permanent de niveau 1 est effectué dans le cadre des opérations au sein de chaque entité des BusinessUnits/ServiceUnits du groupe Société Générale, incluant une supervision managériale et des contrôles opérationnels. Ce contrôle permanent est encadré par la bibliothèque des contrôles normatifs (BCN) qui rassemble, pour l’ensemble du Groupe, les objectifs de contrôle définis par les fonctions d’expertise, les métiers, en lien avec les deuxièmes lignes de défense ;
un contrôle permanent de niveau 2 est effectué par des équipes dédiées de la Direction des risques qui exercent cette mission sur les risques opérationnels recouvrant les risques propres aux différents métiers (incluant les risques opérationnels liés aux risques de crédit et aux risques de marchés), ainsi que les risques liés aux achats, à la communication, à l’immobilier, aux ressources humaines et aux systèmes d’information.
La protection des personnes et des biens et le respect des lois et réglementations en vigueur en matière de sécurité représentent un enjeu majeur pour le groupe Société Générale. À cette fin, la Direction de la sécurité du Groupe, dans le cadre de sa mission, décline des dispositifs humains, organisationnels et techniques qui permettent de garantir le bon fonctionnement opérationnel du Groupe en France et à l’international, de réduire l’exposition aux menaces (en matière de sécurité et sûreté) et de diminuer les impacts en cas de crise.
la Sécurité est l’ensemble des moyens humains, organisationnels et techniques réunis pour faire face aux accidents techniques, physiques, chimiques et environnementaux pouvant nuire aux personnes et aux biens ;
la Sûreté est l’ensemble des moyens humains, organisationnels et techniques réunis pour faire face aux actes spontanés ou réfléchis ayant pour but de nuire, ou de porter atteinte dans un but de profit psychique et/ou financier.
La gestion de l’ensemble de ces risques s’appuie sur les dispositifs de maîtrise du risque opérationnel et la seconde ligne de défense est assurée par la Direction des risques.
Étant donné l’importance pour le Groupe de son système d’information et des données qu’il véhicule, et l’augmentation continue de la menace cybercriminelle, les risques liés aux technologies de l’information et de la communication (TIC) et à la sécurité sont majeurs pour Société Générale. Leur encadrement, intégré dans le dispositif général de gestion des risques opérationnels, est piloté en première ligne de défense par une filière d’expertise dédiée (Sécurité de l’Information et des Systèmes d’Information – SSI) et la seconde ligne de défense est assurée par la Direction des risques. Ils font l’objet d’un suivi spécifique par les organes de Direction au travers de sessions dédiées dans la gouvernance Groupe (Comité des risques, CORISQ, CCCIG, DTCO) et d’un tableau de bord trimestriel qui présente la situation des risques et les plans d’actions sur les principaux risques liés aux technologies de l’information et de la communication.
La Direction de la sécurité Groupe, logée au sein du Secrétariat général, est responsable de la protection de l’information. Les informations confiées par les clients, les collaborateurs ainsi que le savoir et savoir-faire collectif de la Banque constituent les ressources informationnelles les plus précieuses du Groupe. À cette fin, il convient de mettre en place les dispositifs humains, organisationnels et techniques qui permettent de protéger l’information et de s’assurer qu’elle est manipulée, diffusée, partagée par les seules personnes ayant besoin d’en connaître et habilitées à cet effet.
Le responsable des risques liés aux technologies de l’information et de la communication (TIC) et de la sécurité des systèmes d’information est logé au niveau de la Direction ressources et transformation numérique (RESG). Sous l’autorité fonctionnelle du Directeur de la sécurité Groupe, il propose la stratégie des moyens de protection de l’information dématérialisée et anime la filière sécurité des systèmes d’information. Les dispositifs de sécurité des systèmes sont alignés avec les standards du marché (NIST, ISO 27002), et déclinés dans chaque Business/Serviceunit.
L’encadrement des risques liés à la cybercriminalité se fait au travers du schéma directeur triannuel Sécurité des Systèmes d’Information (SSI).
Afin de prendre en compte l’évolution de la menace, en particulier celle liée au ransomware, et en cohérence avec la stratégie Groupe, le schéma directeur SSI 2021-2023 est structuré, avec un budget de 650 millions d’euros sur la période 2021-2023, autour de deux piliers qui guident les actions à l'horizon 2023 :
protéger les données des clients et la capacité à opérer les services de la Banque, en intégrant les menaces, les exigences des régulateurs, et le besoin d’accompagner les BusinessUnit et ServiceUnit dans leur transformation digitale et l’évolution des usages qui l’accompagne. Une approche par les risques permet de concentrer les efforts sur les éléments et les données les plus critiques, en lien avec les travaux de la Direction de la sécurité. Le Groupe se prépare à gérer une crise cyber majeure en améliorant en particulier sa capacité de détection, sa capacité de contrôle des liens informatiques avec les partenaires et les filiales, et sa capacité de reconstruction du système d’information ;
augmenter l’efficacité opérationnelle en gagnant en cohérence globale, et en augmentant les protections et la capacité de réactions. En particulier en développant le pilotage de la filière cybersécurité, en optimisant les processus et les outils pour pouvoir déployer de nouvelles protections à coût constant. Enfin, en travaillant sur la gestion de ressources humaines de la filière, en particulier sur le développement des compétences et les réseaux d’expertise.
Sur le plan opérationnel, le Groupe s’appuie sur une cellule CERT (ComputerEmergencyResponseTeam) en charge de la gestion des incidents, de la veille sécuritaire et de la lutte contre la cybercriminalité. Cette équipe fait appel à de multiples sources d’information et de surveillance, internes comme externes. Depuis 2018, cette cellule s’est également renforcée par la mise en place d’une équipe interne RedTeam, dont les principales missions ont pour objectif d’évaluer l’efficacité des dispositifs de sécurité déployés et de tester les capacités de détection et de réaction des équipes de défense (BlueTeams) lors d’exercice simulant une attaque réelle. Les services de la RedTeam permettent notamment une meilleure compréhension des faiblesses de la sécurité du système d’information Société Générale, d’aider à la mise en place de stratégies globales d’amélioration, et également d’entraîner les équipes de défense cybersécurité. Le CERT travaille étroitement avec le SecurityOperationsCenter (SOC) qui est en charge de la détection des événements de sécurité et de leur traitement.
Au sein de la Direction ressources et transformation numérique, une équipe est en charge, concernant les processus informatiques, de la cohérence de la mise en œuvre des dispositifs d’encadrement du risque opérationnel et de leur consolidation. Les principales missions de l’équipe sont :
d’identifier et d’évaluer les risques informatiques majeurs pour le Groupe, incluant les scénarios de risques extrêmes (ex. : cyberattaque, défaillance d’un prestataire), pour permettre au Groupe d’améliorer la connaissance de ses risques, d’être mieux préparé à des scenarii de risques extrêmes et de mieux aligner ses investissements avec ses risques informatiques ;
de produire les indicateurs alimentant le tableau de bord de suivi des risques informatiques, à destination des organes de Direction et des Directeurs des systèmes d’information. Ceux-ci sont revus régulièrement avec la seconde ligne de défense afin de rester alignés avec la stratégie SI et SSI, et avec leurs objectifs ;
plus généralement, de s’assurer de la qualité et de la fiabilité de l’ensemble des dispositifs adressant les risques informatiques. Une attention particulière est portée au dispositif de contrôle permanent de ses risques informatiques, qui s’appuie sur la définition de contrôles normatifs SI/SSI et l’accompagnement du Groupe dans le déploiement de la supervision managériale sur ce sujet. Dans le cadre du programme « PCT » (Programme de transformation du contrôle permanent), les contrôles normatifs ont été revus, soit une trentaine de contrôles sur les sujets SI/SSI. La filière IT suit le déploiement de ces contrôles à travers le Groupe, dont l’avancement est aligné avec les objectifs fixés par le Groupe.
En matière de sensibilisation, un module de formation multilingues en ligne sur la sécurité de l’information est obligatoire pour tout le personnel interne du Groupe et pour l’ensemble des prestataires qui utilisent ou accèdent à notre système d’information. Il a été mis à jour début 2020 afin d’intégrer les évolutions de la nouvelle Politique Groupe de Sécurité de l’Information. À la fin août 2021, 98% des collaborateurs du groupe Société Générale ayant été notifiés avaient validé la formation.
L’encadrement du risque de fraude, qu’il soit d’origine interne ou externe, est intégré dans le dispositif général de gestion du risque opérationnel qui permet l’identification, l’évaluation, le traitement et le pilotage du risque, qu’il soit potentiel ou avéré.
Il est piloté en première ligne de défense par des équipes expertes dédiées à la gestion du risque de fraude en sus des équipes en charge de la gestion du risque opérationnel spécifique sur chacun des métiers de la Banque. Ces équipes sont en charge de la définition et de la mise en œuvre opérationnelle des moyens de sensibilisation, prévention détection et traitement des fraudes. La seconde ligne de défense est assurée par la Direction des risques opérationnels avec un responsable du risque de fraude. La seconde ligne définit et vérifie le respect des principes de gestion du risque de fraude en lien avec les équipes de première ligne, et s’assure que des gouvernances adaptées sont en place.
Enfin les équipes, qu’elles soient en première ou seconde ligne de défense, travaillent conjointement avec des équipes d’experts en charge de la sécurité de l’information, de lutte contre la cybercriminalité, de la connaissance client, de lutte contre la corruption et de blanchiment. Les équipes travaillent également de manière rapprochée avec les équipes en charge du risque de crédit et du risque de marché. La mise en commun d’informations contribue à l’identification et à une réactivité accrue en présence de situation de fraude avérée ou de signaux faibles. Cette collaboration active permet en cas de tentative de fraude d’engager les mesures d’investigation et de blocage ou en cas de fraude aboutie d’engager la récupération des fonds et/ou l’activation des garanties et assurances associées.
4.10.2 DISPOSITIF DE SUIVI DU RISQUE OPÉRATIONNEL
la collecte et l’analyse des pertes opérationnelles internes et des incidents significatifs sans impact financier ;
La collecte des pertes internes et des incidents significatifs concerne l’ensemble du Groupe. Ce dispositif a pour objectifs de :
suivre le coût des risques opérationnels tels qu’ils se sont matérialisés dans le Groupe et de constituer une base historique de données pour la modélisation du calcul des fonds propres à allouer au risque opérationnel ;
Les pertes externes sont les données de pertes opérationnelles subies par le secteur bancaire. Ces données externes incluent des informations sur le montant des pertes réelles, sur l’importance de l’activité à l’origine de ces pertes, sur les causes et les circonstances et tout renseignement complémentaire pouvant servir à d’autres établissements pour évaluer la pertinence de l’événement qui les concerne. Elles permettent d’enrichir l’identification et l’évaluation du risque opérationnel du Groupe.
L’exercice d’autoévaluation des risques et des contrôles (Risk & ControlSelfAssessment ou RCSA) a pour objet, pour chaque manager sollicité, d’apprécier l’exposition aux risques opérationnels auxquels les activités de son périmètre de responsabilité sont exposées afin d’en améliorer le pilotage.
La méthode définie par le Groupe consiste en une approche homogène d’identification et d’évaluation du risque opérationnel et des dispositifs de maîtrise de ces risques, afin de garantir la cohérence des résultats au niveau Groupe. Elle s’appuie notamment sur des référentiels d’activités et de risques du Groupe afin de permettre une évaluation exhaustive.
d’identifier et évaluer les principaux risques opérationnels (en montant moyen et en fréquence de perte potentielle) auxquels est exposée chaque activité (risques intrinsèques, c’est-à-dire les risques inhérents à la nature d’une activité, en faisant abstraction des dispositifs de prévention et de contrôle) ; le cas échéant, les cartographies des risques établies par les filières d’expertise (par exemple, conformité, sécurité des systèmes d’information, etc.) contribuent à cette évaluation des risques intrinsèques ;
d’évaluer ensuite l’exposition aux risques résiduels de chaque activité (après prise en compte de l’environnement de prévention et de contrôle, mais abstraction faite de la protection fournie par les polices d’assurance auxquelles le Groupe a souscrit) ;
de remédier aux déficiences éventuelles des dispositifs de prévention et de contrôle, en mettant en œuvre des plans d’actions correctifs et en définissant des indicateurs clés de risque ; si nécessaire, à défaut de plan d’action, l’acceptation du risque sera validée formellement par le niveau hiérarchique approprié ;
L’exercice inclut notamment les risques de non-conformité, le risque d’atteinte à la réputation, les risques fiscaux, les risques comptables, les risques liés aux systèmes d’informations et à leur sécurité, ainsi que ceux liés aux ressources humaines.
Les indicateurs clés de risque (KeyRiskIndicators ou KRI) complètent le dispositif de pilotage du risque opérationnel en fournissant une vision dynamique (système d’alerte) de l’évolution du profil de risque des métiers.
Leur suivi apporte aux responsables d’entités une mesure régulière des améliorations ou des détériorations du profil de risque et de l’environnement de prévention et de contrôle des activités sur leur périmètre de responsabilité.
Les KRI aident les BusinessUnits/ServiceUnits/entités et la Direction générale à piloter leurs risques de façon proactive et prospective, en tenant compte de leur tolérance et de leur appétit pour le risque.
Une analyse des KRI de niveau Groupe et des pertes est présentée trimestriellement à la Direction générale du Groupe dans un tableau de bord dédié.
Les analyses de scénarios ont pour double objectif d’identifier les zones de risques les plus significatives du Groupe et de contribuer au calcul des fonds propres exigés au titre du risque opérationnel.
Ces analyses permettent de construire à dire d’expert une distribution des pertes pour chaque catégorie de risque opérationnel et ainsi de mesurer l’exposition à des pertes potentielles dans des scénarios de très forte sévérité, qui pourront alimenter le calcul des besoins en fonds propres.
En pratique, différents scénarios sont examinés par des experts qui en évaluent les impacts potentiels sur le Groupe en termes de sévérité et de fréquence, en s’appuyant notamment sur les données de pertes internes et externes, et de l’environnement interne (dispositifs de prévention et de contrôle) et externe (réglementaire, métier, etc.). Ces analyses sont conduites soit au niveau Groupe (scénarios transversaux), soit au niveau des métiers.
une validation du programme annuel de mise à jour des scénarios par la Direction générale en Comité risques Groupe (CORISQ) ;
une validation des scénarios par les métiers (par exemple lors des Comités de coordination du contrôle interne des BusinessUnitsetServiceUnits concernés ou lors de réunions adhoc) et un challenge des analyses de scénario par la LoD2 ;
une revue d’ensemble de la hiérarchie des risques du Groupe, et de l’adéquation des scénarios, à ces risques, effectuée en CORISQ.
Chaque Direction soumet ses projets de nouveau produit et service à un Comité nouveau produit. Ce comité, coprésidé par un représentant de la Direction des risques du Groupe et un représentant de la Direction du métier concerné, est une instance de décision qui statue sur les conditions de production et de commercialisation des nouveaux produits et services auprès des clients.
Il vise à s’assurer, avant toute mise en place et lancement d’un nouveau produit ou service, ou avant tout changement significatif sur un produit, service ou processus existant, que tous les types de risques induits ont été identifiés, évalués et, si nécessaire, font l’objet de mesures d’atténuation permettant l’acceptation des risques résiduels (entre autres, les risques de crédit, les risques de marché, les risques de liquidité et de refinancement, les risques pays, les risques opérationnels, les risques juridiques, fiscaux, comptables, financiers, les risques liés aux systèmes d’information, les risques de non-conformité, y compris les risques en matière de sécurité financière, ceux susceptibles de mettre en danger la réputation de la Banque, les risques liés à la protection des données personnelles et ceux liés à la responsabilité sociétale et environnementale des entreprises (RSE) dans sa composante réputationnelle).
Certains services de la Banque sont sous-traités en dehors du Groupe ou à l’intérieur du Groupe (par exemple dans des centres de services partagés). Ces deux voies de sous-traitance sont encadrées de manière adaptée aux risques qu’elles induisent.
Le dispositif de gestion des prestations de services externalisées permet de s’assurer que le risque opérationnel lié aux externalisations est maîtrisé, et que les conditions fixées par l’agrément du Groupe sont respectées.
décider de l‘externalisation en connaissance des risques pris ; l’entité reste responsable des risques de l’activité externalisée ;
cartographier les externalisations du Groupe avec une identification des activités et des BusinessUnits/ServiceUnits concernées afin de prévenir les concentrations excessives sur certains prestataires.
Les dispositifs de gestion de crise et de continuité d’activité visent à minimiser autant que possible les impacts d’éventuels sinistres sur les clients, le personnel, les activités ou les infrastructures, et donc à préserver la réputation et l’image du Groupe ainsi que sa solidité financière.
La gestion de la continuité d’activité consiste à développer dans chacune des entités du groupe Société Générale des organisations, des procédures et des moyens destinés à faire face à des sinistres d’origine naturelle ou accidentelle, ou à des actes volontaires de nuisance, en vue de protéger leurs personnels, les actifs des clients et des entités et leurs activités, et à permettre la poursuite des prestations de services essentielles, le cas échéant selon un mode dégradé de façon temporaire, puis le retour à la normale.
4.10.3 MESURE DU RISQUE OPÉRATIONNEL
Société Générale a opté, dès 2004, pour l’approche de mesure avancée du risque opérationnel (AMA ou AdvancedMeasurementApproach) proposée par la directive européenne sur l’adéquation des fonds propres. Cette approche permet notamment :
d’identifier les types de risque qui ont l’impact le plus fort sur le profil de risque du Groupe et sur ses besoins en fonds propres ;
La méthode statistique retenue par le Groupe pour la modélisation du risque opérationnel repose sur l’approche LDA (LossDistributionApproach) pour le modèle interne AMA.
Dans cette approche, le risque opérationnel est modélisé au travers des mailles, chacune représentant un type de risque et un Pôle d’activités du Groupe. Pour chaque maille, la fréquence et la sévérité des pertes opérationnelles sur la base des pertes internes historiques, des pertes externes, de l’environnement interne et externe, et des analyses de scénarios sont estimées et la distribution des pertes annuelles est calculée. Cette approche est complétée par des analyses de scénarios transverses qui mesurent les risques transversaux aux métiers comme les risques liés à la cybercriminalité ou le risque de crue de la Seine.
Outre les risques individuels associés à chaque maille ou analyse de scénario transverse, le modèle tient compte des effets de diversification entre les différents types de risques et les métiers, des effets de dépendance entre risques extrêmes ainsi que de la couverture apportée par les polices d’assurance souscrites par le Groupe. Les besoins en fonds propres réglementaires du Groupe au titre du risque opérationnel sur le périmètre éligible au modèle interne AMA sont ensuite définis comme le quantile à 99,9% de la distribution des pertes annuelles du Groupe.
Pour quelques entités du Groupe notamment dans les activités de Banque de détail à l’étranger, la méthode standard est appliquée : le calcul des exigences de fonds propres est défini comme la moyenne sur les trois dernières années d’un agrégat financier fondé sur le produit net bancaire multiplié par des facteurs définis par le régulateur et correspondant à chaque catégorie d’activité. Pour réaliser ce calcul, toutes les lignes-métiers du Groupe sont ventilées sur les huit catégories d’activités réglementaires.
Les exigences en fonds propres totales de Société Générale au titre du risque opérationnel s’établissaient à 3,7 milliards d’euros à fin 2022, équivalent à 46 milliards d’euros d’encours pondérées. Cette évaluation intègre les exigences en fonds propres sur les périmètres AMA et Standard.
Conformément à la réglementation, Société Générale prend en compte la couverture du risque apportée par les contrats d’assurance dans le calcul de l’exigence de fonds propres réglementaires au titre du risque opérationnel et dans la limite de 20% de cette exigence. Ces assurances couvrent une partie des grands risques, notamment la responsabilité civile, la fraude, l’incendie, le vol et les défaillances des systèmes.
La prise en compte de la réduction du risque apportée par les assurances conduit à une réduction de 6,5% de l’exigence en fonds propres totale au titre du risque opérationnel.
Les graphiques suivants fournissent la ventilation des pertes opérationnelles par catégorie de risque sur la période 2018 à 2022.
Sur les cinq dernières années, le risque opérationnel de Société Générale s’est concentré en moyenne sur cinq catégories de risque, qui représentent 94% des pertes opérationnelles du Groupe :
les fraudes et autres activités criminelles représentent 33% des montants de pertes opérationnelles sur la période. Elles sont principalement composées de fraudes externes sur dossiers de financement (états financiers falsifiés par le client, vol ou détournement de collatéraux/garanties, etc.), de fraudes sur les moyens de paiement manuels (monétique, virements et chèques) et de fraudes fournisseurs sur équipements financés ; légère augmentation observée en 2022 principalement en raison de régularisations sur d’anciens dossiers de fraudes externes ;
les erreurs d’exécution représentent 24% du montant total des pertes opérationnelles, soit la seconde cause de pertes du Groupe sur la période. La tendance à la baisse amorcée en 2021 se poursuit en 2022 grâce à la bonne exécution des plans de remédiations ;
les litiges avec les autorités, troisième catégorie la plus importante, représentent 15% du montant des pertes opérationnelles du Groupe sur la période. Le montant net des provisions pour litiges est en baisse en 2022 par rapport à 2021 ;
les erreurs de pricing ou d’évaluation du risque dont le risque de modèle représentent 13% du montant total des pertes. Les principaux cas concernent les modèles de pricing ;
les litiges commerciaux représentent 9% du montant des pertes opérationnelles du Groupe sur la période.
Les autres catégories de risque opérationnel du Groupe (activités non autorisées sur les marchés, pertes des moyens d’exploitation et défaillances des systèmes d’information) restent toujours peu significatives, concentrant 6% des pertes du Groupe en moyenne sur la période 2018 à 2022.
4.10.4 EXPOSITIONS PONDÉRÉES ET EXIGENCES DE FONDS PROPRES
Les exigences de fonds propres de Société Générale relatives au risque opérationnel sont déterminées essentiellement en approche par mesure avancée (AMA) via modèle interne (97% en 2022).
Le montant total des expositions pondérées diminue en 2022 (-0,8 milliard d’euros, soit -1,7%) principalement en raison de la cession des activités en Russie.
Le tableau ci-dessous présente les expositions pondérées du Groupe et les exigences de fonds propres correspondantes au 31 décembre 2022.
(En M EUR) |
31.12.2022 |
||||
Indicateur pertinent |
Exigences de fonds propres |
Expositions pondérées (RWA) |
|||
Activités bancaires |
31.12.2020 |
31.12.2021 |
31.12.2022 |
||
Activités bancaires en approche élémentaire (BIA) |
- |
- |
- |
- |
- |
Activités bancaires en approche standard |
1 184 |
1 337 |
1 245 |
103 |
1 290 |
En approche standard (TSA) |
1 184 |
1 337 |
1 245 |
|
|
Enapprochestandardderemplacement(ASA) |
0 |
0 |
0 |
|
|
Activités bancaires en approche par mesure avancée (AMA) |
21 964 |
23 980 |
27 186 |
3 579 |
44 733 |
(En M EUR) |
31.12.2021 |
||||
Indicateur pertinent |
Exigences de fonds propres |
Expositions pondérées (RWA) |
|||
Activités bancaires |
31.12.2019 |
31.12.2020 |
31.12.2021 |
||
Activités bancaires en approche élémentaire (BIA) |
- |
- |
- |
- |
- |
Activités bancaires en approche standard |
1 365 |
1 437 |
1 481 |
193 |
2 412 |
Enapprochestandard(TSA) |
1 365 |
1 437 |
1 481 |
|
|
Enapprochestandardderemplacement(ASA) |
- |
- |
- |
|
|
Activités bancaires en approche par mesure avancée (AMA) |
23 643 |
21 964 |
23 980 |
3 552 |
44 394 |
(1)
Données historiques incluant les mises à jour, reflétant les évolutions du périmètre des entités, intervenues au cours de l’année. |
|||||
4.10.5 ASSURANCES DU RISQUE OPÉRATIONNEL
Société Générale a mis en place, dès 1993, une politique mondiale de couverture du risque opérationnel du Groupe par l’assurance.
Elle consiste à rechercher sur le marché les garanties les plus larges et les plus élevées au regard des risques encourus, et à en faire bénéficier les entités partout où cela est possible. Les garanties sont souscrites auprès d’assureurs de premier plan. Lorsque la législation locale l’impose, des polices locales, réassurées par les assureurs du programme mondial, sont mises en place.
En complément, des garanties spécifiques peuvent être souscrites par des entités exerçant une activité particulière.
Une société de réassurance interne au Groupe intervient sur plusieurs contrats pour mutualiser, entre les entités, les risques de fréquence élevée et de faible intensité. Cette approche contribue à améliorer la connaissance et la maîtrise de ses risques par le Groupe.
Les immeubles et leur contenu, y compris le matériel informatique, sont assurés pour des montants correspondant à leur valeur de remplacement. La garantie couvrant les actes de terrorisme à l’étranger a été renouvelée.
Les responsabilités civiles autres que professionnelles (exploitation, mandataires sociaux, etc.) sont couvertes. Les montants assurés sont variables selon les pays afin de correspondre aux besoins de l’exploitation.
L’assurance ne constitue qu’un des moyens de prévention des conséquences des risques propres à l’activité. Elle vient en complément de la politique de maîtrise des risques menée par le Groupe.
Ces risques sont inclus dans une police globale assurant l’ensemble des activités financières dans le monde entier.
S’agissant de la fraude, sont couvertes les fraudes internes (commises par un salarié ou par un tiers agissant avec la complicité d’un salarié) ainsi que les fraudes externes (commises par un tiers agissant seul sans complicité interne) dans l’intention d’en tirer un profit personnel illicite ou par volonté de causer un préjudice au Groupe.