BPCE_PILIER_III_2017_FR

RISQUES DE NON-CONFORMITÉ, SÉCURITÉ ET RISQUES OPÉRATIONNELS Risques opérationnels

Risques opérationnels 11.7

ORGANISATION La direction des Risques, de la Conformité et des Contrôles permanents (DRCCP) du Groupe BPCE contribue à la politique de gestion des risquesopérationnels.À ce titre, elle : définit et met à jour les référentiels risques opérationnels ● applicables àl’ensemble des établissements du groupe ; réalise et actualise la cartographie des risques reposant sur des ● normesd’évaluationhomogènes sur tout le périmètre dugroupe ; déploie et contrôlela mise en œuvre du dispositifde surveillanceet ● de maîtrise des risquesopérationnels; gère l’outil de collecte des incidents,des indicateurs,des risques et ● des actions de remédiation, et assiste les établissements dans l’appropriation et l’utilisation de l’outil ; assure la remontée des incidents significatifs (notamment ● l’article 98 de l’arrêté du 3 novembre 2014 sur le contrôle interne) auprès des instancesdirigeantes dugroupe ; co-construitavec les métierset fonctionssupportet suit les actions ● de remédiationafférentsaux incidentsmajeurs ainsi qu’aux risques jugés commeexcessifs; contribue à la surveillancepermanentedes risques, en réalisant un ● reporting de synthèse consolidé auprès des différentes instances. TRAVAUX RÉALISÉS EN 2017 L’exercice a été marqué par le déploiement d’un nouvel outil osirisk dans l’ensemble des établissements du groupe, accompagné de normes, nouvelles ou révisées, ainsi que de procédures et de modes opératoires définissant les règles et la méthodologie de gestion prospective des risques opérationnels. Cet outil fournit une consolidationdes données et une gestion prospective de l’exposition aux risques. Le périmètre et la méthodologiede cartographieont été révisés afin de mesurer plus efficacement l’exposition aux risques des entités. Cette nouvelle méthodologie s’inscrit dans le dispositif de contrôle permanent du groupe et intègre les filières risques opérationnels, conformité,sécurité du système d’Information,sécurité des personnes et des bienset enfin contrôles permanents. La mesure de l’exposition aux risques est fondée sur un modèle prospectifpermettantde quantifieret classer les situationsde risques et fournir ainsi au comité dédié risques non financiers les éléments qui lui permettront de définir son appétit auxrisques. Une refonte des indicateurs prédictifs de risques parachèvera le dispositif en fin d’année 2017. Ces indicateurs seront issus des principaux risques identifiés dans la cartographie des risques non financiers. Enfin, la surveillance et le suivi des risques sont renforcés par la production de reportings destinés à livrer une mesure harmonisée à l’ensemble dugroupede son expositionet du coût durisque. À compter du début d’année 2018, les contrôles permanents du dispositif risques opérationnelsseront exercés de manière centralisée à partir d’états mis à dispositionde la filière. Cette centralisationdes contrôlesvise à renforcerle pilotagedes plans d’actionet assurer une meilleure qualité des données.

PILOTAGE DES RISQUES OPÉRATIONNELS Le pilotage des risques opérationnelsdans le groupe est coordonnéà deux niveaux: au niveau de chaque établissementdu groupe, le comité en charge ● des risques opérationnels, préparé par la fonction risques opérationnels, peut être regroupé avec le comité des risques de non-conformité pour former un comité conformité et risques opérationnels ; ou peut intégrer le comité exécutif des risques, selon les souhaits de l’établissement. Il s’assure de la déclinaisonde la politique de maîtrise des risques, et s’assure de la pertinence et de l’efficacité du dispositif. Il suit le niveau des risques et les principauxincidentsau travers de reportings internes. Il prend connaissancedes incidentsmajeurs et récurrentset valide la cartographie locale et décide des actions correctives à mener. Il prend connaissancedes key risk indicators (KRI) en dépassementet décide des actions correctives à mener. Il a la charge d’examiner les contrôles permanents réalisés au titre de la filière risques opérationnelset notammentles délais excessifsde mise en œuvre des actions correctives. Il définit l’organisation du réseau des correspondantsrisque opérationnelet effectue le suivi des actions de sensibilisationet de formation.Il examine a minima semestriellement les incidents pouvant donner lieu à déclaration de sinistres (rapprochement de la base incidents risques opérationnels et des bases sinistres locales et groupe) afin de mettre en évidence la perte nette résiduelle après application de la couverture assurance et exprime les éventuels besoins d’évolution des polices d’assurance locales. Cecomité est de périodicité trimestrielle ; au niveau du Groupe BPCE, un comité trimestriel des risques ● non-financiers assure la transversalité et la coordination entre certainesfonctionscontribuantau dispositifde contrôlepermanent de deuxième niveau, à savoir risque opérationnel, conformité, sécurité des systèmes d’information,sécurité des personnes et des biens, plan d’urgence et de poursuite de l’activité et révision financeset a pour principales missionsde : définir la politiquerisques opérationnelsdu groupe et ses normes - ainsi que de s’assurer de leur déploiementau sein des entités du groupe, évaluer le niveau de ressources à allouer à la filière risques - opérationnels, passer en revue les incidentsmajeurssur le périmètreet établir le - reporting consolidé de pertes, incidents et alertes, valider la cartographie agrégée au niveau groupe des risques - opérationnels et suivre les situations de risques majeures sur toutes les activités du groupe intégrant les risques de non-conformité, du domaine de révision finance, de la sécurité des biens et personnes, du plan d’urgence et de poursuite d’activité,de la sécurité financièreet de la sécurité des systèmes d’informations (SSI), valider les indicateurs de l’appétit au risque groupe liés aux - risques non financiersainsi que leurs seuils, décider la mise en œuvre des actions correctives globales - affectant le groupeet en suivre lesprogrès.

11

197

Rapport sur les risques Pilier III 2017