Société Générale / Rapport sur les risques - Pilier 3

9 RISQUE OPÉRATIONNEL

DISPOSITIF DE SUIVI DU RISQUE OPÉRATIONNEL

DISPOSITIF DE SUIVI DU RISQUE OPÉRATIONNEL 9.2

Les dispositifs principaux de maîtrise du risque opérationnel du Groupe sont : la collecte et l’analyse des pertes opérationnelles internes et p externes et des incidents significatifs ; l’auto-évaluation des risques et des contrôles ; p

Ces données enrichissent l’identification et l’évaluation du risque opérationnel du Groupe. Auto-évaluation des risques et des contrôles L’exercice d’auto-évaluation des risques et des contrôles ( Risk & Control Self Assessment ou RCSA) a pour objet, pour chaque manager sollicité, d’apprécier l’exposition au risque opérationnel auquel chaque Entité de son périmètre est exposée à travers ses activités afin d’en améliorer le pilotage. La méthode définie par le Groupe consiste en une approche homogène d’identification et d’évaluation du risque opérationnel et des dispositifs de maîtrise de ces risques, afin de garantir la cohérence des résultats à un niveau Groupe. Elle s’appuie notamment sur un référentiel des activités. Les objectifs sont de : identifier et évaluer les principaux risques opérationnels (en p montant moyen et en fréquence de perte potentielle) auxquels est exposée chaque activité (risques intrinsèques, c’est-à-dire les risques inhérents à la nature d’une activité, en faisant abstraction des dispositifs de prévention et de contrôle) ; le cas échéant, les cartographies des risques établies par les filières d’expertise (par exemple, conformité, sécurité des systèmes d’information…) contribuent à cette évaluation des risques intrinsèques ; évaluer la qualité des dispositifs de prévention et de contrôle en p place ; évaluer ensuite l’exposition aux risques résiduels de chaque activité p (après prise en compte de l’environnement de prévention et de contrôle, mais abstraction faite de la protection fournie par les polices d’assurance auxquelles le Groupe a souscrit) ; remédier aux déficiences éventuelles des dispositifs de prévention p et de contrôle, en mettant en œuvre des plans d’actions correctifs et en définissant des indicateurs clés de risque ; si nécessaire, à défaut de plan d’action, l’acceptation du risque sera validée formellement par le niveau hiérarchique approprié ; adapter, si nécessaire, la politique d’assurance. p Indicateurs clés de risque Les indicateurs clés de risque ( Key Risk Indicators ou KRI) complètent le dispositif de pilotage du risque opérationnel en fournissant une vision dynamique (système d’alerte) de l’évolution du profil de risque des métiers. Leur suivi apporte aux responsables d’entités une mesure régulière des améliorations ou des détériorations du profil de risque et de l’environnement de prévention et de contrôle. Une analyse croisée des KRI de niveau Groupe et des pertes est présentée trimestriellement à la Direction générale du Groupe via un tableau de bord dédié. Analyses de scénarios Les analyses de scénarios ont pour double objectif d’identifier les vulnérabilités du Groupe et de contribuer au calcul des fonds propres exigés au titre du risque opérationnel.

le pilotage par indicateurs de risques ; p l’élaboration des analyses de scénarios ; p l’encadrement des nouveaux produits ; p la gestion des prestations de services externalisés ; p la gestion de crise et de continuité d’activité ; p la gestion de la sécurité des systèmes d’information. p

La classification par Société Générale du risque opérationnel en huit catégories d’événements et 58 catégories de risques est la pierre angulaire de sa modélisation des risques. Elle permet de réaliser des analyses transversales. Les huit catégories d’événements sont : litiges commerciaux ; p litiges avec les autorités ; p erreurs de tarification/ pricing ou d’évaluation du risque dont le p risque de modèle ; erreurs d’exécution ; p fraude et autres activités criminelles ; p activités non autorisées sur les marchés (rogue trading) ; p perte de moyens d’exploitation ; p défaillance des systèmes d’information. p Collecte et analyse des pertes internes et incidents significatifs La collecte des pertes internes et depuis 2019 des incidents significatifs concerne l’ensemble du Groupe depuis 2003. Ce processus a permis : de définir et mettre en œuvre les actions correctrices appropriées ; p d’acquérir une meilleure connaissance des vulnérabilités ; p de renforcer la sensibilisation et la vigilance au risque opérationnel p au sein du Groupe. Les pertes (ou gain ou quasi-pertes) sont remontées à partir d’un seuil minimum de 10 000 euros dans l’ensemble du Groupe et de 20 000 euros pour les activités de marché. Les incidents sans impact financier sont également remontés dès lors qu’ils sont jugés significatifs selon leur impact, notamment sur les engagements contractuels, la réputation, le fonctionnement courant, l’appétit au risque ou le niveau de Conformité réglementaire de la Société Générale. Analyse des pertes externes Les pertes externes sont les données de pertes opérationnelles subies par le secteur bancaire et financier, issues des bases de données gérées par des prestataires, ainsi que des données partagées par la profession bancaire dans le cadre de consortiums.

182

PILIER 3 - 2020 | GROUPE SOCIÉTÉ GÉNÉRALE |