4.8  RISQUE OPÉRATIONNEL

 

Le risque opérationnel est le risque de pertes résultant d’une inadéquation ou d’une défaillance des processus, du personnel et des systèmes d’information ou d’événements extérieurs.

La classification par le Groupe du risque opérationnel se répartit en huit catégories d’événements de risque :

litiges commerciaux ;

litiges avec les autorités ;

erreurs de tarification/pricing ou d’évaluation du risque dont le risque de modèle ;

erreurs d’exécution ;

fraude et autres activités criminelles ;

activités non autorisées sur les marchés (rogue trading) ;

perte de moyens d’exploitation ;

défaillance des systèmes d’information.

Cette classification se décline en 58 catégories de risques, pierre angulaire de sa modélisation des risques. Elle permet de réaliser des analyses transversales au travers des dispositifs de risque opérationnel (cf. section 4.8.2) notamment sur les risques suivants :

les risques liés aux technologies de l’information et de la communication et à la sécurité (cybercriminalité, défaillance de services…) ;

les risques liés à l’externalisation de services et à la continuité d’activité ;

les risques liés au lancement de nouveaux produits/services/activités à destination de la clientèle ;

les risques de non-conformité se définissant comme un risque de sanction judiciaire, administrative ou disciplinaire, de perte financière, d’atteinte à la réputation, du fait de l’absence de respect des dispositions législatives et réglementaires, des normes et usages professionnels et déontologiques, propres aux activités des banques ;

le risque de réputation résultant d’une perception négative de la part des clients, des contreparties, des actionnaires, des investisseurs ou des régulateurs, pouvant affecter défavorablement la capacité du Groupe à maintenir ou engager des relations d’affaires et la continuité d’accès aux sources de financement ;

le risque de conduite inappropriée (misconduct) résultant d’actions (ou inactions), ou de comportements de la Banque, ou de ses employés, qui seraient incompatibles avec le Code de conduite du Groupe, pouvant aboutir à des conséquences négatives pour nos parties prenantes, ou mettant en risque la pérennité ou la réputation de la Banque.

Le dispositif relatif aux risques de non-conformité, de réputation et conduite inappropriée est détaillé dans le chapitre 4.11 « Risque de non-conformité, litiges ».

 

4.8.1  ORGANISATION DE LA GESTION DU RISQUE OPÉRATIONNEL

 

Le dispositif de gestion du risque opérationnel du Groupe, autre que les risques détaillés dans le chapitre 4.11 « Risque de non-conformité, litiges », s’organise autour de deux niveaux d’intervenants :

une première ligne de défense au sein de chaque Business Units/Service Units, responsable de faire appliquer le dispositif et de mettre en place les contrôles qui permettent de s’assurer que les risques sont identifiés, analysés, mesurés, suivis, pilotés, reportés et contenus dans les limites de l’appétit pour le risque défini par le Groupe ;

une deuxième ligne de défense : le Département des risques opérationnels, rattaché à la Direction des risques du Groupe.

À ce titre, le Département des risques opérationnels :

procède à un examen critique de la gestion du risque opérationnel (incluant le risque de fraude, les risques liés aux systèmes d’information et à la sécurité de l’information et les risques relatifs à la continuité d’activité) des Business Units/Service Units ;

fixe les normes et procédures relatives aux dispositifs de maîtrise du risque opérationnel et la production d’analyses transversales ;

produit les métriques de risques et de pilotage des dispositifs de maîtrise du risque opérationnel.

Pour couvrir l’ensemble du Groupe, le Département des risques opérationnels échange avec les relais en région qui remontent aux départements les éléments nécessaires à la consolidation d’une vision holistique et prospective du profil de risque de la Banque tant pour les besoins de pilotage interne que pour répondre aux exigences réglementaires.

Les relais en région ont la responsabilité de déployer les missions du département en tenant compte des exigences propres aux instances de régulation en exercice sur leur région.

Le Département des risques opérationnels échange avec la première ligne de défense via un réseau de correspondants risques opérationnels au sein de chaque Business Units/Service Units.

Concernant spécifiquement les risques liés à la continuité d’activité, à la gestion de crise et à la sécurité de l’information, des biens et des personnes, le Département des risques opérationnels exerce l’examen critique de la gestion de ces risques en relation avec la Direction de la sécurité Groupe. Et concernant spécifiquement les risques liés aux systèmes d’information, le Département des risques opérationnels exerce l’examen critique de la gestion de ces risques en relation avec la Direction ressources et transformation numérique.

Le contrôle de niveau 2 consiste en la vérification de la définition et de la réalisation effective des contrôles de niveau 1, et en particulier l’examen des résultats des contrôles de niveau 1 sous les aspects quantitatif et qualitatif, notamment en matière de taux de réalisation, niveaux d’anomalie, etc. Cette revue permet en outre de s’assurer de l’efficacité et de la pertinence du déploiement des contrôles par besoin de contrôle et type de risque et des plans d’actions correctrices.

Selon le dispositif de contrôle interne, les équipes de contrôle permanent de niveau 2 de la Direction des risques exercent cette mission sur les risques opérationnels recouvrant les risques propres aux différents métiers (incluant les risques opérationnels liés aux risques de crédit et aux risques de marchés), ainsi que les risques liés aux achats, à la communication, à l’immobilier, aux ressources humaines et aux systèmes d’information.

La protection des personnes et des biens, et le respect des lois et réglementations en vigueur en matière de sécurité, représentent un enjeu majeur pour le groupe Société Générale. A cette fin, la Direction de la Sécurité du Groupe, dans le cadre de sa mission, décline des dispositifs humains, organisationnels et techniques qui permettent de garantir le bon fonctionnement opérationnel du Groupe en France et à l'international, de réduire l’exposition aux menaces (en matière de sécurité et sûreté) et de diminuer les impacts en cas de crise.

La sécurité des personnes et des biens englobe deux domaines bien spécifiques :

la Sécurité est l’ensemble des moyens humains, organisationnels et techniques réunis pour faire face aux accidents techniques, physiques, chimiques et environnementaux pouvant nuire aux personnes et aux biens ;

la Sûreté est l’ensemble des moyens humains, organisationnels et techniques réunis pour faire face aux actes spontanés ou réfléchis ayant pour but de nuire, ou de porter atteinte dans un but de profit psychique ou/et financier.

Ainsi, dans ce cadre, la Sécurité des Personnes et des Biens assure notamment :

l’application du référentiel de sécurité dans la conception et l’exploitation de nos immeubles ;

la rédaction et la mise à jour des procédures et consignes de sécurité sur chacun de nos sites ;

la rédaction des programmes de sécurité et la réception des travaux de ces équipements de sécurité ;

le pilotage de l’exploitation en sécurité opérationnelle,

le pilotage des événements affectant la sécurité physique des collaborateurs, des immeubles ou datacenters ;

la sécurisation des déplacements et des événements particuliers ;

le bon respect de la protection du secret de la défense nationale pour ce qui concerne le Groupe ;

l’élaboration de la politique voyage et son contrôle ;

l’élaboration de la cartographie des risques pays ;

la conduite d’audits de sécurité-sûreté, notamment pour les sites sensibles ;

la gestion d’événements significatifs et des crises majeures ;

la formation des expatriés.

La gestion de l’ensemble de ces risques s’appuie sur les dispositifs de maîtrise du risque opérationnel et la seconde ligne de défense est assurée par la Direction des risques.

Étant donné l’importance pour le Groupe de son système d’information et des données qu’il véhicule, et l’augmentation continue de la menace cyber criminelle, les risques liés aux technologies de l’information et de la communication et à la sécurité (TIC) sont majeurs pour Société Générale. Leur encadrement, intégré dans le dispositif général de gestion des risques opérationnels, est piloté en première ligne de défense par une filière d’expertise dédiée (Sécurité de l’Information et des Systèmes d’Information – SSI) et la seconde ligne de défense est assurée par la Direction des risques. Ils font l’objet d’un suivi spécifique par les organes de direction au travers de sessions dédiées dans la gouvernance Groupe (Comité des risques, CORISQ, CCCIG, DTCO) et d’un tableau de bord trimestriel qui présente la situation des risques et les plans d’actions sur les huit principaux thèmes des risques liés aux technologies de l’information et de la communication

La Direction de la sécurité Groupe, logée au sein du Secrétariat général est responsable de la protection de l’information. Les informations confiées par les clients, les collaborateurs ainsi que le savoir et savoir-faire collectif de la banque constituent les ressources informationnelles les plus précieuses du Groupe. A cette fin, il convient de mettre en place les dispositifs humains, organisationnels et techniques qui permettent de protéger l’information et de s’assurer qu’elle est manipulée, diffusée, partagée par les seules personnes ayant besoin d’en connaître et habilitées à cet effet. La Direction de la sécurité Groupe assure notamment :

la publication et le maintien de la politique Groupe de sécurité de l’information qui englobe à la fois les aspects humains et techniques ;

la publication et le maintien, avec les équipes de juristes et des fonctions ressources humaines du Groupe, de la Charte de protection de l’information et des ressources informatiques ;

la co-construction avec la Service Unit ressources et transformation numérique du programme Data-Protection qui vise à doter les collaborateurs d’un outil de classification et de protection des documents de bureautique ; la promotion des bonnes pratiques de classification de l’information et d’utilisation des outils de propriétés adaptés à la sensibilité des documents ;

la cartographie des informations les plus sensibles du Groupe ;

la sensibilisation à la sécurité de l’information par un ensemble d’actions permanentes favorisant l’appropriation par les collaborateurs des enjeux de la sécurité de l’information : diffusion d’un e-learning sur la sécurité de l’information à l’ensemble des collaborateurs du Groupe en France et à l’international, conférences, ateliers spécifiques sur les risques liés à l’ingénierie sociale, sur l’utilisation des réseaux sociaux, etc.

Le responsable des risques liés aux technologies de l’information et de la communication (TIC) et de la sécurité des systèmes d’information est logé au niveau de la Direction ressources et transformation numérique (RESG). Sous l’autorité fonctionnelle du Directeur de la sécurité Groupe, il propose la stratégie des moyens de protection de l’information dématérialisée et anime la filière sécurité des systèmes d’information. Les dispositifs de sécurité des systèmes sont alignés avec les standards du marché (NIST, ISO 27002), et déclinés dans chaque Business/Service unit.

L’encadrement des risques liés à la cybercriminalité se fait au travers du schéma directeur triannuel Sécurité des Systèmes d’Information (SSI).

Afin de prendre en compte l’évolution de la menace, en particulier celle liée au ransomware, et en cohérence avec la stratégie Groupe, le schéma directeur SSI 2021-2023 est structuré, avec un budget de 650 millions d’euros sur la période 2021-2023, autour de deux piliers qui guident les actions à horizon 2023 :

protéger les données des clients et la capacité à opérer les services de la Banque, en intégrant les menaces, les exigences des régulateurs, et le besoin d’accompagner les Business Unit et Service Unit dans leur transformation digitale et l’évolution des usages qui l’accompagne. Une approche par les risques permet de concentrer les efforts sur les éléments et les données les plus critiques, en lien avec les travaux de la Direction de la sécurité. Le Groupe se prépare à gérer une crise cyber majeure en améliorant en particulier sa capacité de détection, sa capacité de contrôle des liens informatiques avec les partenaires et les filiales, et sa capacité de reconstruction du système d’information ;

augmenter l’efficacité opérationnelle en gagnant en cohérence globale, et en augmentant les protections et la capacité de réactions. En particulier en développant le pilotage de la filière cybersécurité, en optimisant les processus et les outils pour pouvoir déployer de nouvelles protections à coût constant. Enfin, en travaillant sur la gestion de ressources humaines de la filière, en particulier sur le développement des compétences et les réseaux d’expertise.

Sur le plan opérationnel, le Groupe s’appuie sur une cellule CERT (Computer Emergency Response Team) en charge de la gestion des incidents, de la veille sécuritaire et de la lutte contre la cybercriminalité. Cette équipe fait appel à de multiples sources d’information et de surveillance, internes comme externes. Depuis 2018, cette cellule s’est également renforcée par la mise en place d’une équipe interne Red Team, dont les principales missions ont pour objectif d’évaluer l’efficacité des dispositifs de sécurité déployés et de tester les capacités de détection et de réaction des équipes de défense (Blue Teams) lors d’exercice simulant une attaque réelle. Les services de la Red Team permettent notamment une meilleure compréhension des faiblesses de la sécurité du système d’information Société Générale, d’aider à la mise en place de stratégies globales d’amélioration, et également d’entraîner les équipes de défense cybersécurité. Le CERT travaille étroitement avec le Security Operations Center (SOC) qui est en charge de la détection des événements de sécurité et de leur traitement.

Au sein de la Direction ressources et transformation numérique, une équipe est en charge, concernant les processus informatiques, de la cohérence de la mise en œuvre des dispositifs d’encadrement du risque opérationnel et de leur consolidation. Les principales missions de l’équipe sont :

d’identifier et d’évaluer les risques informatiques majeurs pour le Groupe, incluant les scénarios de risques extrêmes (ex. : cyber-attaque, défaillance d’un prestataire), pour permettre au Groupe d’améliorer la connaissance de ses risques, d’être mieux préparé à des scénarii de risques extrêmes et de mieux aligner ses investissements avec ses risques informatiques ;

de produire les indicateurs alimentant le tableau de bord de suivi des risques informatiques, à destination des organes de direction et des Directeurs des systèmes d’information. Ceux-ci sont revus régulièrement avec la seconde ligne de défense afin de rester alignés avec la stratégie SI et SSI et leurs objectifs ;

plus généralement, de s’assurer de la qualité et de la fiabilité de l’ensemble des dispositifs adressant les risques informatiques. Une attention particulière est portée au dispositif de contrôle permanent de ses risques informatiques, qui s’appuie sur la définition de contrôles normatifs SI/SSI et l’accompagnement du Groupe dans le déploiement de la supervision managériale sur ce sujet. Dans le cadre du programme « PCT » (Programme de transformation du contrôle permanent), les contrôles normatifs ont été revus, soit une trentaine de contrôles sur les sujets SI/SSI. La filière IT suit le déploiement de ces contrôles à travers le Groupe, dont l’avancement est aligné avec les objectifs fixés par le Groupe.

En matière de sensibilisation, un module de formation multilingues en ligne sur la sécurité de l’information est obligatoire pour tout le personnel interne du Groupe et pour l’ensemble des prestataires qui utilisent ou accèdent à notre système d’information. Il a été mis à jour début 2020 afin d’intégrer les évolutions de la nouvelle Politique Groupe de Sécurité de l’Information. A fin août 2021, 98% des collaborateurs du groupe Société Générale ayant été notifiés avaient validé la formation.

L’encadrement du risque de fraude qu’il soit d’origine interne ou externe est intégré dans le dispositif général de gestion du risque opérationnel qui permet l’identification, l’évaluation, le traitement et le pilotage du risque qu’il soit potentiel ou avéré.

Il est piloté en première ligne de défense par des équipes expertes dédiées à la gestion du risque de fraude en sus des équipes en charge de la gestion du risque opérationnel spécifique sur chacun des métiers de la banque. Ces équipes sont en charge de la définition et de la mise en œuvre opérationnelle des moyens de sensibilisation, prévention détection et traitement des fraudes. La seconde ligne de défense est assurée par la Direction des Risques Opérationnels avec un responsable du risque de fraude. La seconde ligne définit et vérifie le respect des principes de gestion du risque de fraude en lien avec les équipes de première ligne, et s’assure que des gouvernances adaptées sont en place.

Enfin les équipes, qu’elles soient en première ou seconde ligne de défense, travaillent conjointement avec des équipes d’experts en charge de la sécurité de l’information, de lutte contre la cyber criminalité, de la connaissance client, de lutte contre la corruption et de blanchiment. Les équipes travaillent également de manière rapprochée avec les équipes en charge du risque de crédit et du risque de marché. La mise en commun d’informations contribue à l’identification et à une réactivité accrue en présence de situation de fraude avérée ou de signaux faibles. Cette collaboration active permet en cas de tentative de fraude d’engager les mesures d’investigation et de blocage ou en cas de fraude aboutie d’engager la récupération des fonds et/ou l’activation des garanties et assurances associées.

 

4.8.2  DISPOSITIF DE SUIVI DU RISQUE OPÉRATIONNEL

 

Les dispositifs principaux de maîtrise du risque opérationnel du Groupe sont :

la collecte et l’analyse des pertes opérationnelles internes et externes et des incidents significatifs ;

l’autoévaluation des risques et des contrôles ;

le pilotage par indicateurs de risques ;

l’élaboration des analyses de scénarios ;

l’encadrement des nouveaux produits ;

la gestion des prestations de services externalisés ;

la gestion de crise et de continuité d’activité ;

l’encadrement des risques liés aux technologies de l’information et de la communication.

La collecte des pertes internes et depuis 2019 des incidents significatifs concerne l’ensemble du Groupe depuis 2003. Ce processus a permis :

de définir et mettre en œuvre les actions correctrices appropriées ;

d’acquérir une meilleure connaissance des vulnérabilités ;

de renforcer la sensibilisation et la vigilance au risque opérationnel au sein du Groupe.

Les pertes (ou gain ou quasi-pertes) sont remontées à partir d’un seuil minimum de 10 000 euros dans l’ensemble du Groupe et de 20 000 euros pour les activités de marché.

Les incidents sans impact financier sont également remontés dès lors qu’ils sont jugés significatifs selon leur impact, notamment sur les engagements contractuels, la réputation, le fonctionnement courant, l’appétit au risque ou le niveau de Conformité réglementaire du Groupe.

Les pertes externes sont des données publiques et/ou partagées au sein du secteur bancaire notamment dans le cadre de consortiums. Ces données externes incluent des informations sur le montant des pertes réelles, sur l’importance de l’activité à l’origine de ces pertes, sur les causes et les circonstances et tout renseignement complémentaire pouvant servir à d’autres établissements pour évaluer la pertinence de l’événement qui les concerne. Elles permettent d’enrichir l’identification et l’évaluation du risque opérationnel du Groupe.

L’exercice d’autoévaluation des risques et des contrôles (Risk & Control Self Assessment ou RCSA) a pour objet, pour chaque manager sollicité, d’apprécier l’exposition au risque opérationnel auquel chaque Entité de son périmètre est exposée à travers ses activités afin d’en améliorer le pilotage.

La méthode définie par le Groupe consiste en une approche homogène d’identification et d’évaluation du risque opérationnel et des dispositifs de maîtrise de ces risques, afin de garantir la cohérence des résultats au niveau Groupe. Elle s’appuie notamment sur des référentiels d’activités et de risques afin de permettre une évaluation exhaustive.

Les objectifs sont :

d’identifier et évaluer les principaux risques opérationnels (en montant moyen et en fréquence de perte potentielle) auxquels est exposée chaque activité (risques intrinsèques, c’est-à-dire les risques inhérents à la nature d’une activité, en faisant abstraction des dispositifs de prévention et de contrôle) ; le cas échéant, les cartographies des risques établies par les filières d’expertise (par exemple, conformité, sécurité des systèmes d’information…) contribuent à cette évaluation des risques intrinsèques ;

d’évaluer la qualité des dispositifs de prévention et de contrôle en place ;

d’évaluer ensuite l’exposition aux risques résiduels de chaque activité (après prise en compte de l’environnement de prévention et de contrôle, mais abstraction faite de la protection fournie par les polices d’assurance auxquelles le Groupe a souscrit) ;

de remédier aux déficiences éventuelles des dispositifs de prévention et de contrôle, en mettant en œuvre des plans d’actions correctifs et en définissant des indicateurs clés de risque ; si nécessaire, à défaut de plan d’action, l’acceptation du risque sera validée formellement par le niveau hiérarchique approprié ;

d’adapter, si nécessaire, la politique d’assurance.

Afin d’assurer une évaluation pertinente, cohérente, et continue, l’évaluation des risques s’alimente aussi des résultats d’autres dispositifs de gestion du risque opérationnel. Les méthodes d’évaluation de certains risques reposent de plus en plus sur des approches avancées et adaptées au type de risque sous-jacent, elles incorporent les résultats sur des échelles d’évaluation et des référentiels partagés qui permettent la comparaison et la priorisation des zones de risques ou de périmètres d’activités.

Les indicateurs clés de risque (Key Risk Indicators ou KRI) complètent le dispositif de pilotage du risque opérationnel en fournissant une vision dynamique (système d’alerte) de l’évolution du profil de risque des métiers.

Leur suivi apporte aux responsables d’entités une mesure régulière des améliorations ou des détériorations du profil de risque et de l’environnement de prévention et de contrôle.

Une analyse croisée des KRI de niveau Groupe et des pertes est présentée trimestriellement à la Direction générale du Groupe via un tableau de bord dédié.

Les analyses de scénarios ont pour double objectif d’identifier les vulnérabilités du Groupe et de contribuer au calcul des fonds propres exigés au titre du risque opérationnel.

Ces analyses permettent de construire à dire d’expert une distribution des pertes pour chaque catégorie de risque et ainsi de mesurer l’exposition à des pertes potentielles dans des scénarios de très forte sévérité, qui pourront être intégrés au calcul des besoins en fonds propres.

En pratique, différents scénarios sont examinés par des experts qui en évaluent les impacts potentiels sur le Groupe en termes de sévérité et de fréquence, en s’appuyant notamment sur les données de pertes internes et externes, et de l’environnement interne (dispositifs de prévention et de contrôle) et externe (réglementaire, métier, etc.). Les analyses sont conduites soit au niveau Groupe (scénarios transversaux), soit au niveau des métiers.

La gouvernance mise en place permet notamment :

une validation du programme annuel de mise à jour des scénarios par le Comité risques (CORISQ) ;

une validation des scénarios par les métiers (par exemple lors des Comités de coordination du contrôle interne des départements concernés ou lors de réunions ad hoc) et un challenge des analyses de scénario par la LOD2 ;

une revue d’ensemble de la hiérarchie des risques du Groupe, et de l’adéquation des scénarios, à ces risques, effectuée lors du CORISQ.

Chaque Direction soumet ses projets de nouveau produit à destination de la clientèle au Comité nouveau produit.

Ce comité, coprésidé par les Directions des risques et des métiers concernées, est une instance de décision qui statue sur les conditions de production et de commercialisation des nouveaux produits auprès des clients.

Il vise à s’assurer, avant toute mise en place et lancement d’un nouveau produit, que tous les types de risques induits ont été identifiés, évalués et, si nécessaire, font l’objet de mesures d’atténuation permettant l’acceptation des risques résiduels (risques de crédit, risques de marché, risques de liquidité et de refinancement, risques pays, risques opérationnels, risques juridiques, fiscaux, comptables, financiers, risques liés aux systèmes d’information, risques de non-conformité, y compris les risques en matière de sécurité financière et ceux susceptibles de mettre en danger la réputation de la Banque comme les risques liés à la protection des données personnelles et ceux liés à la responsabilité sociétale et environnementale des entreprises RSE, etc.).

La définition de « nouveau produit » s’étend de la création d’un produit ou service nouveau à l’aménagement d’un produit ou service existant dès que cet aménagement est susceptible de générer des risques différents ou plus élevés (cela peut être lié à un nouvel environnement réglementaire, à une commercialisation sur un nouveau périmètre ou à un nouveau type de clientèle, etc.).

Certains services de la Banque sont sous-traités en dehors du Groupe (outsourcing) ou à l’intérieur du Groupe (offshoring, par exemple dans nos centres de services partagés). Ces deux voies de sous-traitance sont encadrées de manière adaptée aux risques.

Un dispositif avec des normes et un outil permet de s’assurer que le risque opérationnel lié aux externalisations est maîtrisé, et que les conditions fixées par l’agrément du Groupe SG sont respectées.

Il permet de cartographier, à l’aide d’un registre, les externalisations du Groupe avec une identification des activités et des Business/Service unit concernées, et de mettre sous contrôle les prestations de service externalisées en connaissance des risques et avec la supervision adaptée.

Lors de la phase d’étude, les métiers décident de l’externalisation de services dans le cadre des normes fixées par le Groupe. Les projets d’externalisation sont conduits par un chef de projet et validés par le sponsor choisi parmi les responsables des BU/SU/entités ou leurs délégataires qui recourent à l’externalisation et qui accepte le niveau de risque résiduel au terme d’une analyse des risques basée sur les avis d’experts et selon les grilles de délégation en vigueur dans le Groupe. Cela permet de s’assurer de l’homogénéité des évaluations et de la cohérence des décisions dans le Groupe.

L’analyse intègre a minima les risques opérationnels (incluant la fraude, le risque d’exécution,...), juridiques, fiscaux, de non-conformité, de réputation, de fournisseurs, ressources humaines, de responsabilité sociale et environnementale, de continuité d’activité, les risques liés à la qualité des données et les risques liés à la sécurité de l’information et à la protection des données.

Les experts juridiques qualifient les prestations « d’essentielles » au sens de l’arrêté du 3 novembre 2014.

Toutes les prestations sont ensuite suivies selon une fréquence définie par leur niveau de risque.

Les prestations de niveau Groupe font l’objet d’un suivi renforcé via un pilotage contractuel très régulier. Ces prestations sont identifiées à l’aide de critères tels que la notion d’« activité cœur de métier », l’impact financier et le risque de réputation. Ces prestations sont validées au sein d’un comité dédié, présidé par le Département des risques opérationnels.

Une phase de clôture permet de gérer les sorties de prestations.

Le renforcement du dispositif se poursuit en 2022 avec notamment des apports de précisions sur le cadre méthodologique, une implication plus marquée du senior management dans la supervision de ce risque et l’intensification du rôle de la 2eme ligne de défense dans le pilotage, la revue et le contrôle des prestations de services externalisés.

La gestion de la continuité d’activité consiste à développer dans chacune des entités du groupe Société Générale des organisations, des procédures et des moyens destinés à faire face à des sinistres d’origine naturelle ou accidentelle, ou à des actes volontaires de nuisance, en vue de protéger leurs personnels, les actifs des clients et des entités et leurs activités, et à permettre la poursuite des prestations de services essentielles, le cas échéant selon un mode dégradé de façon temporaire, puis le retour à la normale.

Il vise non seulement au respect des obligations réglementaires, mais aussi à minimiser autant que possible les impacts d’éventuels sinistres sur le personnel, les clients, ou les infrastructures, et donc à préserver l’image, les fonds de commerce, les marques, produits, procédés et savoir-faire du Groupe, et à limiter l’impact de sinistres éventuels sur la situation et la solidité financière du Groupe.

S’appuyant sur l’identification des menaces qui pèsent sur le Groupe et leurs effets possibles et, tenant compte des actions de prévention, de protection et de dissuasion, la gestion de la continuité d’activité consiste à :

définir divers scénarios de crise, y compris des chocs extrêmes ;

mettre en place une capacité de réponse efficace à ces scénarios de crise, de perte ou d’indisponibilité des ressources humaines ou des moyens d’exploitation ;

entretenir ces dispositifs pour maintenir leur efficacité (réexamen de la pertinence des scénarios, prise en compte de l’évolution de l’organisation, ajustement des moyens, tests de fonctionnement).

Leur mise en place et leur suivi s’étendent à l’ensemble du Groupe et s’appuient sur une méthodologie conforme aux standards internationaux.

 

4.8.3  MESURE DU RISQUE OPÉRATIONNEL

 

Société Générale a opté, dès 2004, pour l’approche de mesure avancée du risque opérationnel (AMA ou Advanced Measurement Approach) proposée par la directive européenne sur l’adéquation des fonds propres. Cette approche permet notamment :

d’identifier les métiers les plus exposés aux risques ;

d’identifier les types de risque qui ont l’impact le plus fort sur le profil de risque du Groupe et sur ses besoins en fonds propres ;

de renforcer la gestion du risque opérationnel au sein du Groupe.

La méthode statistique retenue par le Groupe pour la modélisation du risque opérationnel repose sur l’approche LDA (Loss Distribution Approach) pour le modèle interne AMA.

Dans cette approche, le risque opérationnel est modélisé au travers des mailles, chacune représentant un type de risque et un Pôle d’activités du Groupe. Pour chaque maille, la fréquence et la sévérité des pertes opérationnelles sur la base des pertes internes historiques, des pertes externes, de l’environnement interne et externe, et des analyses de scénarios sont estimées et la distribution des pertes annuelles est calculée. Cette approche est complétée par des analyses de scénarios transverses qui mesurent les risques transversaux aux Pôles d’activités comme les risques liés à la cybercriminalité ou le risque de crue de la Seine.

Outre les risques individuels associés à chaque maille ou analyse de scénario transverse, le modèle tient compte des effets de diversification entre les différents types de risques et les Pôles d’activités, des effets de dépendance entre risque extrêmes ainsi que de la couverture apportée par les polices d’assurance souscrites par le Groupe. Les besoins en fonds propres réglementaires du Groupe au titre du risque opérationnel sur le périmètre éligible au modèle interne AMA sont ensuite définis comme le quantile à 99,9% de la distribution des pertes annuelles du Groupe.

Pour quelques entités du Groupe notamment dans les activités de Banque de détail à l’étranger, la méthode standard est appliquée : le calcul des exigences de fonds propres est défini comme la moyenne sur les trois dernières années d’un agrégat financier basé sur le produit net bancaire multiplié par des facteurs définis par le régulateur et correspondant à chaque catégorie d’activité. Pour réaliser ce calcul, toutes les lignes-métiers du Groupe sont ventilées sur les huit catégories d’activités réglementaires.

Les exigences en fonds propres totales de Société Générale au titre du risque opérationnel s’établissaient à 3,7 milliards d’euros à fin 2021, équivalent à 47 milliards d’euros d’encours pondérées. Cette évaluation intègre les exigences en fonds propres sur les périmètres AMA et Standard.

Conformément à la réglementation, Société Générale prend en compte la couverture du risque apportée par les contrats d’assurance dans le calcul de l’exigence de fonds propres réglementaires au titre du risque opérationnel et dans la limite de 20% de cette exigence. Ces assurances couvrent une partie des grands risques, notamment la responsabilité civile, la fraude, l’incendie, le vol et les défaillances des systèmes.

La prise en compte de la réduction du risque apportée par les assurances conduit à une réduction de 6,5% de l’exigence en fonds propres totale au titre du risque opérationnel.

Les graphiques suivants fournissent la ventilation des pertes opérationnelles par catégorie de risque sur la période 2017 à 2021.

Sur les cinq dernières années, le risque opérationnel de Société Générale s’est concentré en moyenne sur cinq catégories de risque, qui représentent 93% des pertes opérationnelles du Groupe :

les fraudes et autres activités criminelles représentent 32% des montants de pertes opérationnelles sur la période. Elles sont principalement composées de fraudes externes sur dossiers de financement (états financiers falsifiés par le client, vol ou détournement de collatéraux/garanties…), de fraudes sur les moyens de paiement manuels (monétique, virements et chèques) et de fraudes fournisseurs sur équipements financés; la tendance est à la baisse en 2021 du fait notamment d’une sinistralité moins importante en fraudes externes sur dossiers de financement ;

les erreurs d’exécution représentent 20% du montant total des pertes opérationnelles, soit la seconde cause de pertes du Groupe sur la période. Après deux années consécutives de hausse (dont effet Covid en 2020), le montant des pertes sur cette catégorie redescend à des valeurs proches de la moyenne; la bonne exécution des plans de remédiation explique la baisse constatée sur 2021 ;

les litiges avec les autorités, troisième catégorie la plus importante, représentent 17% du montant des pertes opérationnelles du Groupe sur la période; les provisions 2021 concernent des dossiers nés avant 2016 ;

les erreurs de pricing ou d’évaluation du risque dont le risque de modèle représentent 13% du montant total des pertes. Ils sont orientés à la hausse en comparaison aux deux dernières années. Les principaux cas concernent les modèles de pricing ;

les litiges commerciaux représentent 11% du montant des pertes opérationnelles du Groupe sur la période ; les provisions 2021 concernent essentiellement des dossiers nés avant 2015.

Les autres catégories de risque opérationnel du Groupe (activités non autorisées sur les marchés, pertes des moyens d’exploitation et défaillances des systèmes d’information) restent toujours peu significatives, concentrant 6% des pertes du Groupe en moyenne sur la période 2017 à 2021.

 

4.8.4  EXPOSITIONS PONDÉRÉES ET EXIGENCES DE FONDS PROPRES

 

Les exigences de fonds propres de Société Générale relatives au risque opérationnel sont déterminées essentiellement en approche par mesure avancée (AMA) via modèle interne (95% en 2021).

Le montant des expositions pondérées sur le périmètre AMA est en baisse sur l’année 2021 (-2,5 milliards d’euros, soit -5,4%). Cette diminution est liée à la mise à jour des analyses de scénarios dont le chiffrage peut évoluer à la baisse pour certaines catégories d’événements de risques opérationnels.

Le tableau ci-dessous présente les expositions pondérées du Groupe et les exigences de fonds propres correspondantes au 31 décembre 2021.

(En M EUR)

31.12.2021

Indicateur pertinent

Exigences de

fonds propres

Expositions

pondérées

(RWA)

Activités bancaires

31.12.2019

31.12.2020

31.12.2021

Activités bancaires en approche élémentaire (BIA)

-

-

-

-

-

Activités bancaires en approche standard (TSA) /
en approche standard de remplacement (ASA)

1 365

1 437

1 481

193

2 412

En approche standard (TSA)

1 365

1 437

1 481

 

 

En approche standard de remplacement (ASA)

-

-

-

 

 

Activités bancaires en approche par mesure avancée (AMA)

23 643

21 964

23 980

3 552

44 394

(En M EUR)

31.12.2020

Indicateur pertinent(1)

Exigences de

fonds propres

Expositions

pondérées

(RWA)

Activités bancaires

31.12.2018

31.12.2019

31.12.2020

Activités bancaires en approche élémentaire (BIA)

-

-

-

-

-

Activités bancaires en approche standard (TSA) /
en approche standard de remplacement (ASA)

1 170

1 365

1 437

180

2 250

En approche standard (TSA)

1 170

1 365

1 437

 

 

En approche standard de remplacement (ASA)

-

-

-

 

 

Activités bancaires en approche par mesure avancée (AMA)

24 657

23 643

21 964

3 755

46 938

(1)

Données historiques incluant les mises à jour, reflétant les évolutions du périmètre des entités, intervenues au cours de l'année.

 

4.8.5  ASSURANCES DU RISQUE OPÉRATIONNEL

 

Société Générale a mis en place, dès 1993, une politique mondiale de couverture du risque opérationnel du Groupe par l’assurance.

Elle consiste à rechercher sur le marché les garanties les plus larges et les plus élevées au regard des risques encourus et à en faire bénéficier les entités partout où cela est possible. Les garanties sont souscrites auprès d’assureurs de premier plan. Lorsque la législation locale l’impose, des polices locales, réassurées par les assureurs du programme mondial, sont mises en place.

En complément, des garanties spécifiques peuvent être souscrites par des entités exerçant une activité particulière.

Une société de réassurance interne au Groupe intervient sur plusieurs contrats pour mutualiser, entre les entités, les risques de fréquence élevée et de faible intensité. Cette approche contribue à améliorer la connaissance et la maîtrise de ses risques par le Groupe.

Les immeubles et leur contenu, y compris le matériel informatique, sont assurés pour des montants correspondant à leur valeur de remplacement. La garantie couvrant les actes de terrorisme à l’étranger a été renouvelée.

Les responsabilités civiles autres que professionnelles (exploitation, mandataires sociaux…) sont couvertes. Les montants assurés sont variables selon les pays afin de correspondre aux besoins de l’exploitation.

L’assurance ne constitue qu’un des moyens de prévention des conséquences des risques propres à l’activité. Elle vient en complément de la politique de maîtrise des risques menée par le Groupe.

Ces risques sont inclus dans une police globale assurant l’ensemble des activités financières dans le monde entier.

S’agissant de la fraude, sont couvertes les fraudes internes (commises par un salarié ou par un tiers agissant avec la complicité d’un salarié) ainsi que les fraudes externes (commises par un tiers agissant seul sans complicité interne) dans l’intention d’en tirer un profit personnel illicite ou par volonté de causer un préjudice au Groupe.

Les conséquences d’éventuelles mises en cause, dans le cadre de leurs activités professionnelles, du personnel ou des Dirigeants des filiales du Groupe sont assurées par un plan mondial.

Dans un contexte – qui n’est pas spécifique à la banque – de développement de nouvelles formes de criminalité ayant principalement pour but le vol de données ou la compromission ou destruction de systèmes informatiques, un contrat d’assurance dit « Cyber » a été souscrit.