Société Générale / Rapport sur les risques - Pilier 3

9 RISQUE OPÉRATIONNEL

ORGANISATION DE LA GESTION DU RISQUE OPÉRATIONNEL

le risque de réputation résultant d’une perception négative de p la part des clients, des contreparties, des actionnaires, des investisseurs ou des régulateurs, pouvant affecter défavorablement la capacité du Groupe à maintenir ou engager des relations d’affaires et la continuité d’accès aux sources de financement ; le risque de conduite inappropriée (misconduct) résultant p d’actions (ou inactions), ou de comportements de la Banque, ou de ses employés, qui seraient incompatibles avec le Code de conduite du Groupe, pouvant aboutir à des conséquences négatives pour nos parties prenantes, ou mettant en risque la pérennité ou la réputation de la Banque. Le dispositif relatif aux risques de non-conformité, de réputation et conduite inappropriée est détaillé dans le chapitre 12 « Risque de non-conformité, litiges ».

Le risque opérationnel est le risque de pertes résultant d’une inadéquation ou d’une défaillance des processus, du personnel et des systèmes d’information ou d’événements extérieurs. Il inclut, au sein des 8 catégories de risques (cf. section 9.2), les risques suivants : les risques IT et de la Sécurité des Systèmes d’Information p (cybercriminalité, défaillance de services…) ; les risques liés à l’externalisation de services et à la continuité p d’activité ; les risques de non-conformité se définissant comme un risque p de sanction judiciaire, administrative ou disciplinaire, de perte financière, d’atteinte à la réputation, du fait de l’absence de respect des dispositions législatives et réglementaires, des normes et usages professionnels et déontologiques, propres aux activités des banques ;

ORGANISATION DE LA GESTION DU RISQUE 9.1 OPÉRATIONNEL

Le dispositif de gestion du risque opérationnel du Groupe, autre que les risques détaillés dans le chapitre 12 « Risque de non-conformité, litiges », s’organise autour de deux niveaux d’intervenants : une première ligne de défense au sein de chaque métier/activité, p responsable de faire appliquer le dispositif et de mettre en place les contrôles qui permettent de s’assurer que les risques sont identifiés, analysés, mesurés, suivis, pilotés, reportés et contenus dans les limites de l’appétit pour le risque défini par le Groupe ; une deuxième ligne de défense : le Département des risques p opérationnels, rattaché à la Direction des risques du Groupe. À ce titre, le Département des risques opérationnels : procède à un examen critique de la gestion du risque opérationnel p (incluant le risque de fraude, les risques liés aux systèmes d’information et à la sécurité de l’information et les risques relatifs à la continuité d’activité) des Business Units/Service Units ; fixe les normes et procédures relatives aux dispositifs de maîtrise du p risque opérationnel et la production d’analyses transversales ; produit les métriques de risques et de pilotage des dispositifs de p maîtrise du risque opérationnel. Pour couvrir l’ensemble du Groupe, le Département des risques opérationnels échange avec les relais en région qui remontent en central les éléments nécessaires à la consolidation d’une vision holistique et prospective du profil de risque de la Banque tant pour les besoins de pilotage interne que pour répondre aux exigences réglementaires. Les relais en région ont la responsabilité de déployer les missions du département en tenant compte des exigences propres aux instances de régulation en exercice sur leur région. Le Département des risques opérationnels échange avec la première ligne de défense via un réseau de correspondants risques opérationnels au sein de chaque métier/activité. Concernant spécifiquement les risques liés à la continuité d’activité, à la gestion de crise et à la sécurité de l’information, le Département des

risques opérationnels exerce l’examen critique de la gestion de ces risques en relation avec la Direction de la sécurité Groupe. Et concernant spécifiquement les risques liés aux systèmes d’information, le Département des risques opérationnels exerce l’examen critique de la gestion de ces risques en relation avec la Direction ressources et transformation numérique. Contrôle permanent de niveau ԝ 2 Le contrôle de niveau 2 consiste en la vérification de la définition et de la réalisation effective des contrôles de niveau 1, et en particulier d’examiner les résultats des contrôles de niveau 1 sous les aspects quantitatif et qualitatif, notamment en matière de taux de réalisation, niveaux d’anomalie, etc. Cette revue permet en outre de s’assurer de l’efficacité et de la pertinence du déploiement des contrôles par contrôles clés et type de risque et des plans d’actions correctrices. Selon le dispositif de contrôle interne, les équipes de contrôle permanent de niveau 2 de la Direction des risques exercent cette mission sur les risques opérationnels recouvrant les risques propres aux différents métiers (incluant le risque opérationnel lié aux risques de crédit et de marché), ainsi que les risques liés aux achats, à la communication, à l’immobilier, aux ressources humaines et aux systèmes d’information. Risques liés à la sécurité des biens et des personnes La Direction de la sécurité du Groupe (SEGL/DSG) est en charge de définir une vision globale et prospective de la sécurité permettant de protéger les personnes, les biens, les actifs matériels et immatériels du Groupe, de coordonner la planification des actions permettant, en toutes circonstances, le maintien des activités vitales de la Banque et de contribuer, le cas échéant, à la gestion des crises. SEGL/DSG joue le rôle de première ligne de défense (LoD1 expertise) sur les sujets de sécurité. À cette fin, les principales missions de cette Direction sont les suivantes :

180

PILIER 3 - 2020 | GROUPE SOCIÉTÉ GÉNÉRALE |