Société Générale / Rapport sur les risques - Pilier 3

10 RISQUE OPÉRATIONNEL

DISPOSITIF DE SUIVI DU RISQUE OPÉRATIONNEL

d’évaluer ensuite l’exposition aux risques résiduels de chaque p activité (après prise en compte de l’environnement de prévention et de contrôle, mais abstraction faite de la protection fournie par les polices d’assurance auxquelles le Groupe a souscrit) ; de remédier aux déficiences éventuelles des dispositifs de p prévention et de contrôle, en mettant en œuvre des plans d’actions correctifs et en définissant des indicateurs clés de risque ; si nécessaire, à défaut de plan d’action, l’acceptation du risque sera validée formellement par le niveau hiérarchique approprié ; d’adapter, si nécessaire, la politique d’assurance. p Indicateurs clés de risque Les indicateurs clés de risque ( Key Risk Indicators ou KRI) complètent le dispositif de pilotage du risque opérationnel en fournissant une vision dynamique (système d’alerte) de l’évolution du profil de risque des métiers. Leur suivi apporte aux responsables d’entités une mesure régulière des améliorations ou des détériorations du profil de risque et de l’environnement de prévention et de contrôle. Une analyse croisée des KRI de niveau Groupe et des pertes est présentée trimestriellement à la Direction générale du Groupe via un tableau de bord dédié. Analyses de scénarios Les analyses de scénarios ont pour double objectif d’identifier les vulnérabilités du Groupe et de contribuer au calcul des fonds propres exigés au titre du risque opérationnel. Ces analyses permettent de construire à dire d’expert une distribution des pertes pour chaque catégorie de risque et ainsi de mesurer l’exposition à des pertes potentielles dans des scénarios de très forte sévérité, qui pourront être intégrés au calcul des besoins en fonds propres. En pratique, différents scénarios sont examinés par des experts qui en évaluent les impacts potentiels sur le Groupe en termes de sévérité et de fréquence, en s’appuyant notamment sur les données de pertes internes et externes, et de l’environnement interne (dispositifs de prévention et de contrôle) et externe (réglementaire, métier…). Les analyses sont conduites soit au niveau Groupe (scénarios transversaux), soit au niveau des métiers. La gouvernance mise en place permet notamment : une validation du programme annuel de mise à jour des scénarios p par le Comité risques (CORISQ) ; une validation des scénarios par les métiers (par exemple lors des p Comités de coordination du contrôle interne des départements concernés ou lors de réunions ad hoc ) et un challenge des analyses de scénario par la LoD2 ; une revue d’ensemble de la hiérarchie des risques du Groupe et de p l’adéquation des scénarios à ces risques, effectuée lors du CORISQ. Comités nouveaux produits Chaque Direction soumet ses projets de nouveau produit à destination de la clientèle à un Comité nouveau produit. Ce comité, co-présidé par les Directions des risques et des métiers concernées, est une instance de décision qui statue sur les conditions de production et de commercialisation des nouveaux produits auprès des clients. Il vise à s’assurer, avant toute mise en place et lancement d’un nouveau produit, que tous les types de risques induits ont été identifiés, évalués et, si nécessaire, font l’objet de mesures d’atténuation permettant l’acceptation des risques résiduels (risques

de crédit, risques de marché, risques de liquidité et de refinancement, risques pays, risques opérationnels, risques juridiques, fiscaux, comptables, financiers, risques liés aux systèmes d’information, risques de non-conformité, y compris les risques en matière de sécurité financière et ceux susceptibles de mettre en danger la réputation de la Banque comme les risques liés à la protection des données personnelles et ceux liés à la responsabilité sociétale des entreprises RSE…). La définition de « nouveau produit » s’étend de la création d’un produit ou service nouveau à l’aménagement d’un produit ou service existant dès que cet aménagement est susceptible de générer des risques différents ou plus élevés (cela peut être lié à un nouvel environnement réglementaire, à une commercialisation sur un nouveau périmètre ou à un nouveau type de clientèle…). Externalisations de prestations de service Certains services de la Banque sont sous-traités en dehors du Groupe ou à l’intérieur du Groupe ( e.g. dans nos centres de services partagés). Ces deux voies de sous-traitance sont encadrées de manière adaptée aux risques. Un dispositif avec des normes et un outil permet de s’assurer que le risque opérationnel lié aux externalisations est maîtrisé, et que les conditions fixées par l’agrément du Groupe SG sont respectées. Il permet de cartographier les externalisations du Groupe avec une identification des activités et des BU/SU concernées, et de mettre sous contrôle les prestations de service externalisées en connaissance des risques et avec la supervision adaptée. Lors de la phase d’étude, les métiers décident de l’externalisation de services dans le cadre des normes fixées par le Groupe. Les projets d’externalisation sont conduits par un chef de projet et validés par le sponsor qui accepte le niveau de risque résiduel au terme d’une analyse des risques basée sur les avis d’experts. Cela permet de s’assurer de l’homogénéité des évaluations et de la cohérence des décisions prises par le Groupe. L’analyse intègre a minima les risques opérationnels (incluant la fraude, le risque d’exécution…), juridiques, fiscaux, de non-conformité, de réputation, fournisseurs, ressources humaines, de responsabilité sociale et environnementale, de continuité d’activité, les risques liés à la qualité des données, les risques liés à la sécurité de l’information et à la protection des données. Les experts juridiques qualifient les prestations « d’essentielles » au sens de l’arrêté du 3 novembre 2014. Toutes les prestations sont ensuite suivies selon une fréquence définie par leur niveau de risque. Les prestations de niveau Groupe font l’objet d’un suivi renforcé via un pilotage contractuel très régulier. Ces prestations sont identifiées à l’aide de critères tels que la notion d’« activité cœur de métier », l’impact financier et le risque de réputation. Ces prestations sont validées au sein d’un comité dédié, présidé par le Département du risque opérationnel. Une phase de clôture permet de gérer les sorties de prestations. Gestion de crise et continuité d’activité Les dispositifs de gestion de crise et de continuité d’activité visent à minimiser autant que possible les impacts d’éventuels sinistres sur les clients, le personnel, les activités ou les infrastructures, et donc à préserver la réputation et l’image du Groupe et sa solidité financière. Ils répondent également à une obligation réglementaire. Leur mise en place et leur suivi s’étendent à l’ensemble du Groupe et s’appuient sur une méthodologie conforme aux standards internationaux.

191

| GROUPE SOCIÉTÉ GÉNÉRALE | PILIER 3 - 2021