Groupe Crédit Coopératif // Document d'enregistrement universel 2021

RAPPORT DE GESTION Organisation et activité du Contrôle interne

Les programmes pluriannuel et annuel de la Direction de l’Audit interne sont arrêtés en accord avec l’Inspection Générale Groupe ; celle-ci est tenue régulièrement informée de leur réalisation ou de toute modification de périmètre et du risk assessment afférent. L’Inspection Générale Groupe s’assure que la Direction de l’Audit interne des entreprises dispose des moyens nécessaires à l’exercice de sa mission et la bonne couverture du plan pluriannuel d’audit. L’Inspection Générale Groupe s’assure de la diversité des compétences, de la bonne réalisation des parcours de formation et de l’équilibre entre les auditeurs senior et junior au sein des équipes d’Audit Interne des établissements. Enfin, l’Inspection Générale Groupe émet un avis formalisé dans un courrier et éventuellement des réserves sur le plan pluriannuel d’audit, la qualité des travaux et rapports d’audit qui lui ont été communiqués, sur les moyens alloués tant en nombre que sur les compétences, sur la communication faite aux instances dirigeantes ainsi que sur le suivi des recommandations de l’Audit Interne. Le courrier du Directeur de l’Inspection Générale Groupe est adressé au Directeur général de l’établissement avec copie au Président de l’organe de surveillance et doit être communiqué au Comité des risques et au Conseil d’administration. La gouvernance du dispositif de contrôle interne repose sur : le Comité de Direction générale qui définit et met en œuvre ● les organisations et moyens permettant d’assurer de manière exhaustive, optimale et saine la correcte évaluation et gestion des risques, et de disposer d’un pilotage adapté à la situation financière, à la stratégie et à l’appétit au risque de l’établissement et du Groupe BPCE. Il est responsable de la maîtrise au quotidien des risques et en répond devant l’organe de surveillance. Il définit la tolérance aux risques au travers d’objectifs généraux en matière de surveillance et gestion des risques, dont la pertinence est régulièrement évaluée ; il assure un suivi régulier de la mise en œuvre des politiques et stratégies définies. Il informe régulièrement le Comité des risques et le Conseil d’administration des éléments essentiels et principaux enseignements tirés de l’analyse et du suivi des risques associés à l’activité et aux résultats de l’établissement ; le Conseil d’administration qui approuve le dispositif dédié à ● l’appétit aux risques proposé par le Comité de Direction générale. Il veille à la maîtrise des principaux risques encourus, approuve les limites globales (plafonds), arrête les principes de la politique de rémunération et évalue le dispositif de contrôle interne. À cette fin le conseil prend appui sur les comités suivants : Comité des risques, Comité d’audit ; le Comité des risques qui assiste l’organe de surveillance et, ● dans ce cadre, veille à la qualité de l’information délivrée et, plus généralement, assure les missions prévues par l’arrêté A-2014-11-03 sur le contrôle interne, modifié le 25 février 2021. Son rôle est ainsi de : examiner l’exposition globale des activités aux risques et donner un avis sur les limites de risques présentées au Conseil d’administration, assurer l’adéquation entre la politique de rémunération et les objectifs de maîtrise des risques, Gouvernance 7.3

À l’issue de ses investigations, la mission d’audit émet un pré-rapport qui contient notamment ses recommandations et auquel l’unité auditée doit répondre. Chaque recommandation est hiérarchisée en fonction de son importance. Le rapport définitif intègre la réponse des audités à chaque recommandation ; celle-ci inclut des plans d’action et des engagements sur des dates de mise en œuvre. Ce rapport est transmis, outre les responsables de l’unité auditée, aux dirigeants de l’établissement. Le management opérationnel est responsable de la mise en œuvre des recommandations. Il met en place des plans d’action adaptés et informe de leur taux d’avancement au moins semestriellement à l’Audit Interne. Celui-ci en assure un reporting régulier au comité de coordination du contrôle interne et au Comité des risques. L’Audit Interne, en vertu de son devoir d’alerte, saisit le Comité des risques en cas de non mise en place des actions correctrices dans les délais prévus. Dans le cadre des responsabilités qui lui sont dévolues, l’Inspection Générale Groupe mène également de façon périodique des missions de contrôle au sein de l’établissement. porter une appréciation sur la qualité du contrôle interne, notamment la cohérence des systèmes de mesure, de surveillance et de maîtrise des risques, et proposer, si nécessaire, des actions complémentaires à ce titre, examiner les rapports prévus par les articles 258 à 265 de l’arrêté A-2014-11-03 sur le contrôle interne, modifié le 25 février 2021, veiller au suivi des conclusions des missions de l’Audit Interne, de l’Inspection Générale Groupe et des régulateurs, et examiner le programme annuel de l’audit ; en application des dispositions de l’article L. 823-19 du Code ● de commerce, l’organe de surveillance s’est également doté d’un Comité d’audit pour assurer le suivi des questions relatives à l’élaboration et au contrôle des informations comptables et financières. Son rôle est ainsi de : vérifier la clarté des informations fournies et porter une appréciation sur la pertinence des méthodes comptables adoptées pour l’établissement des comptes individuels et consolidés, émettre un avis sur le choix ou le renouvellement des commissaires aux comptes de l’établissement et examiner leur programme d’intervention, les résultats de leurs vérifications et leurs recommandations ainsi que toutes les suites données à ces dernières ; un Comité des rémunérations assiste par ailleurs l’organe de ● surveillance dans la définition des principes de la politique de rémunération au sein de l’établissement dans le respect des dispositions du chapitre VIII du titre IV de l’arrêté A-2014-11-03 sur le contrôle interne, modifié le 25 février 2021. À ce titre, en application de l’article 266 de ce même arrêté, il procède notamment chaque année à un examen : des principes de la politique de rémunération de l’entreprise, des rémunérations, indemnités et avantages de toute nature accordés aux mandataires sociaux de l’entreprise, de la politique de rémunération de la population régulée ;

GROUPE CRÉDIT COOPÉRATIF DOCUMENT D’ENREGISTREMENT UNIVERSEL 2021 140