BPCE - Rapport sur les risques Pilier III 2018

RISQUES DE NON-CONFORMITÉ, SÉCURITÉ ET RISQUES OPÉRATIONNELS Risques opérationnels

Risques opérationnels 11.5

Organisation Au sein de la direction des Risques de la Conformitéet des Contrôles permanents,le départementdes risques opérationnelsgroupe (DROG) est en charge de l’identification, de la mesure, du suivi et de la maîtrise des risques opérationnels auxquels toutes les activités et d’une organisationcentrale et d’un réseau de responsablesrisques ● opérationnels et de correspondantsrisques opérationnels, déployé au sein de toutes les activités, entités et filiales des établissements et filiales dugroupe ; d’une méthodologie, reposant sur des référentiels et un outil ● communs pourl’ensemble dugroupe. Le dispositif de gestion des risques opérationnels s’inscrit dans les dispositifs risk assessment statement (RAS) et risk assessment framework (RAF) définis par le groupe. Ces dispositifs et indicateurs sont déclinés auxbornes de chaque établissement et filiale du groupe. La filièrerisques opérationnels intervient : sur l’ensemble des structures consolidées ou contrôlées par ● l’établissement oula filiale (bancaires, financières, assurances…); sur l’ensembledes activitéscomportantdes risques opérationnels,y ● compris les activités externalisées au sens de l’article 10 q et de l’article 10 r de l’arrêté du 3/11/2014 « activités externalisées et prestationsde services ou autres tâches opérationnellesessentielles ou importantes ». Le comité des risques non financiers groupe (CRNFG) définit la politique des risques opérationnels (en accord avec la charte des risques, de la conformité et des contrôles permanents) déployée au Travaux réalisés en 2018 L’exercice a été marqué par l’appropriationdu nouvel outil et de la nouvelleméthodologiedans l’ensembledes établissementsdu groupe, accompagnée de normes, nouvelles ou révisées, ainsi que de procédures et de modes opératoires définissant les règles et la méthodologie de gestion prospective des risques opérationnels. Cet outil fournit une consolidation des données et une gestion prospective de l’exposition aux risques. Le périmètre et la méthodologiede cartographieont été révisés afin de mesurer plus finement l’exposition aux risques des entités. Cette nouvelle méthodologie s’inscrit dans le dispositif de contrôle permanent du groupe et intègre les filières risques opérationnels, conformité,sécurité du système d’Information,sécurité des personnes et des bienset enfin contrôles permanents. La mesure de l’exposition aux risques est fondée sur un modèle prospectifpermettantde quantifieret classer les situationsde risques et fournir ainsi au comité dédié risques non financiers les éléments qui lui permettront de définir sa toléranceaux risques. La refonte des indicateursprédictifsde risques parachèvele dispositif. Ces indicateurs sont issus des principaux risques identifiés dans la cartographie des risques non financiers. fonctionsdes établissements et filiales sont exposées. Le dispositifrisque opérationnel est articulé autour :

sein des établissementset filiales,et le DROG en contrôlel’application dans le groupe. La fonction risques opérationnelsde BPCE s’assure que l’organisation et les dispositifs en place au sein des établissementset des filiales leur permettent d’atteindre leurs objectifs et de remplir leurs missions.À ce titre, elle : exerce une mission générale d’animationde la filière et un rôle de ● surveillanceet de contrôledes risques sur les établissements/filiales et leurs filiales, sur base individuelleet sur base consolidée.À cette fin, elle détermineles normes et méthodesgroupe, en coordination avec les établissements et filiales et diffuse les méthodologies à appliquer, les normes de contrôles à réaliser et les bonnes pratiques ; centralise et analyse l’exposition du groupe aux risques non ● financiers, contrôle la mise en œuvre des actions correctrices décidées en comité en charge des risques opérationnelset escalade les délais excessifs de mise n œuvre ; exerce des contrôles afin de s’assurer du respect des normes et ● méthodes déployées dans les établissements et filiales ; assure la veille réglementaire, diffuse et relaie les alertes risques ● opérationnels dues aux incidents propageables aux établissements/filiales concernés ; établit des reportings, par établissement ou filiale, groupe et ● réglementaires(COREP RO), analyse les reportings et contenus des comités dédiés des établissements et filiales et alerte le comité risques non financiers groupe en cas de dispositif défaillant et/ou d’expositionaux risques excessive,qui lui-mêmese charge d’alerter l’établissement. Enfin, la surveillance et le suivi des risques sont renforcés par la production de reportings destinés à livrer une mesure harmonisée à l’ensemble dugroupede son expositionet du coût durisque. La production de la filière RO effectue deux types de contrôles de niveau 2 sur les risques opérationnels : Des contrôles exhaustifs et automatiques : ● chaque mois, les équipes RO des établissements reçoivent un - rapport de contrôle du dispositif, généré automatiquement et adressé parl’organecentralaux établissements et filiales, ce rapport présente les écarts par rapport aux normes risques - opérationnelssur le périmètredes différentsthèmes de la gestion des risquesopérationnels : dispositiforganisationnelde la gestion des RO, incidents, cartographie,indicateurs prédictifs de risques, actions correctives, les résultatsdes contrôleset correctionseffectuéspar les équipes - RO sont régulièrementprésentésen comité risques non financiers groupe. Des contrôles paréchantillons et manuels : ● le DRO groupe ou DRG Natixis effectuentdes contrôlesde niveau - 2 de la filière risquesopérationnels,

11

207

Rapport sur les risques Pilier III 2018