Société Générale / Rapport sur les risques - Pilier 3

9 RISQUE OPÉRATIONNEL

DISPOSITIF DE SUIVI DU RISQUE OPÉRATIONNEL

Ces analyses permettent de construire à dire d’expert une distribution des pertes pour chaque catégorie de risque et ainsi de mesurer l’exposition à des pertes potentielles dans des scénarios de très forte sévérité, qui pourront être intégrés au calcul des besoins en fond propres. En pratique, différents scénarios sont examinés par des experts qui en évaluent les impacts potentiels sur le Groupe en termes de sévérité et de fréquence, en s’appuyant notamment sur les données de pertes internes et externes, et de l’environnement interne (dispositifs de prévention et de contrôle) et externe (réglementaire, métier…). Les analyses sont conduites soit au niveau Groupe (scénarios transversaux), soit au niveau des métiers. La gouvernance mise en place permet notamment : une validation du programme annuel de mise à jour des scénarios p par le Comité risques (CORISQ) ; une validation des scénarios par les métiers (par exemple lors des p Comités de coordination du contrôle interne des départements concernés ou lors de réunions ad hoc ) et un challenge des analyses de scenario par la LOD2 ; une revue d’ensemble de la hiérarchie des risques du Groupe, et de p l’adéquation des scénarios, à ces risques, effectuée lors du CORISQ. Comités nouveaux produits Chaque Direction soumet ses projets de nouveau produit à destination de la clientèle à un Comité nouveau produit. Ce comité, co-présidé par les Directions des risques et des métiers concernées, est une instance de décision qui statue sur les conditions de production et de commercialisation des nouveaux produits auprès des clients. Il vise à s’assurer, avant toute mise en place et lancement d’un nouveau produit, que tous les types de risques induits ont été identifiés, évalués et, si nécessaire, font l’objet de mesures d’atténuation permettant l’acceptation des risques résiduels (risque de crédit, risque de marché, risques de liquidité et de refinancement, risques pays, risques opérationnels, risques juridiques, fiscaux, comptables, financiers, risques liés aux systèmes d’information, risques de non-conformité, y compris les risques en matière de sécurité financière et ceux susceptibles de mettre en danger la réputation de la Banque comme les risques liés à la protection des données personnelles et ceux liés à la responsabilité sociétale des entreprises RSE …). La définition de « nouveau produit » s’étend de la création d’un produit ou service nouveau à l’aménagement d’un produit ou service existant dès que cet aménagement est susceptible de générer des risques différents ou plus élevés (cela peut être lié à un nouvel environnement réglementaire, à une commercialisation sur un nouveau périmètre ou à un nouveau type de clientèle …). Externalisations de prestations de service Certains services de la Banque sont sous-traités en dehors du Groupe ou à l’intérieur du Groupe (e.g. dans nos centres de services partagés). Ces deux voies de sous-traitance sont encadrées de manière adaptée aux risques. Un dispositif avec des normes et un outil permet de s’assurer que le risque opérationnel lié aux externalisations est maîtrisé, et que les conditions fixées par l’agrément du Groupe SG sont respectées.

Il permet de cartographier les externalisations du Groupe avec une identification des activités et des BU/SU concernées, et de mettre sous contrôle les prestations de service externalisées en connaissance des risques et avec la supervision adaptée. Lors de la phase d’étude, les métiers décident de l’externalisation de services dans le cadre des normes fixées par le Groupe. Les projets d’externalisation sont conduits par un chef de projet et validés par le sponsor qui accepte le niveau de risque résiduel au terme d’une analyse des risques basée sur les avis d’experts. Cela permet de s’assurer de l’homogénéité des évaluations et de la cohérence des décisions dans le Groupe. L’analyse intègre a minima les risques opérationnels (incluant la fraude, le risque d’exécution…), juridiques, fiscaux, de non-conformité, de réputation, fournisseurs, ressources humaines, de responsabilité sociale et environnementale, de continuité d’activité, les risques liés à la qualité des données, les risques liés à la sécurité de l’information et à la protection des données. Les experts juridiques qualifient les prestations « d’essentielles » au sens de l’arrêté du 3 novembre 2014. Toutes les prestations sont ensuite suivies selon une fréquence définie par leur niveau de risque. Les prestations de niveau Groupe font l’objet d’un suivi renforcé via un pilotage contractuel très régulier. Ces prestations sont identifiées à l’aide de critères tels que la notion d’« activité cœur de métier », l’impact financier et le risque de réputation. Ces prestations sont validées au sein d’un comité dédié, présidé par le Département du risque opérationnel. Une phase de clôture permet de gérer les sorties de prestations. Gestion de crise et continuité d’activité Les dispositifs de gestion de crise et de continuité d’activité visent à minimiser autant que possible les impacts d’éventuels sinistres sur les clients, le personnel, les activités ou les infrastructures, et donc à préserver la réputation et l’image du Groupe et sa solidité financière. Ils répondent également à une obligation réglementaire. Leur mise en place et leur suivi s’étendent à l’ensemble du Groupe et s’appuient sur une méthodologie conforme aux standards internationaux. Le schéma directeur sécurité des systèmes d’information (SSI) 2018-2020 Avec des investissements à hauteur de 650 millions d’euros au cours des trois dernières années, le schéma directeur SSI a pour ambition de placer la cybersécurité au centre de la relation de confiance numérique qui lie Société Générale à ses clients. L’évaluation des risques cyber et les actions de renforcement de nos dispositifs SSI sont pilotées au travers d’un tableau de bord partagé trimestriellement avec la Direction du Groupe. Articulé autour d’un ensemble de KRI couvrant les huit catégories standards de risques SI et SSI préconisées par les régulateurs et les organismes de normalisation (ACPR, EBA, NIST …), ce tableau de bord permet de vérifier le respect de l’appétit au risque du Groupe et l’efficacité des plans d’actions. En matière de sensibilisation, un module de formation en ligne multilingues sur la sécurité de l’information est obligatoire pour tout le personnel interne du Groupe et pour l’ensemble des prestataires qui utilisent ou accèdent à notre système d’information. Fin 2019, 97% des collaborateurs du groupe Société Générale avaient validé la formation.

183

| GROUPE SOCIÉTÉ GÉNÉRALE | PILIER 3 - 2020