Société Générale / Rapport sur les risques - Pilier 3

4 CONTRÔLE INTERNE CADRE D’EXERCICE

contribuant ainsi à améliorer la qualité et la fiabilité des services rendus à nos clients et partenaires. Il a progressé en 2019 dans le respect de l’ensemble des échéances prévues. Il est prévu pour s’achever fin 2020. CONTRÔLE PERMANENT DE NIVEAU ԝ 1 Exercés dans le cadre des opérations, au sein des BU et des SU, les contrôles permanents de niveau 1 permettent de garantir la sécurité et la qualité des transactions et des opérations. Ces contrôles sont définis comme un ensemble de dispositions constamment mis en œuvre pour assurer, au niveau opérationnel, la régularité, la validité, et la sécurité des opérations effectués. Les contrôles permanents de niveau 1 se composent : de dispositifs de prévention des risques : de contrôles effectués p sur une base régulière et permanente par les métiers ou par des systèmes automatisés pendant le traitement des transactions. Ils consistent en un cadre de prévention des risques : règles et contrôles de sécurité – automatisés ou non – faisant partie du traitement des opérations, ou contrôles inclus dans les procédures opérationnelles ; de contrôles réalisés par les managers : les responsables p hiérarchiques vérifient le correct fonctionnement des dispositifs placés sous leur responsabilité. À ce titre, ils sont dans l’obligation d’appliquer régulièrement des procédures formalisées pour s’assurer que les employés respectent les règles et procédures et que les contrôles de niveau 1 sont effectués efficacement. Les responsables hiérarchiques peuvent s’appuyer sur des contrôles réalisés par des équipes dédiées, par exemple (i) sur les processus les plus sensibles nécessitant des contrôles renforcés ou industrialisés, ou pour éviter des situations d’autocontrôle (exemple : l’entrée en relation clients dans la banque de réseau), et/ou (ii) lorsque la mutualisation des tâches de contrôle permet d’améliorer la productivité. Quel que soit le choix d’organisation retenu, les managers conservent la supervision des traitements réalisés au sein des équipes qui leur sont rattachées ; ils sont responsables de la qualité de leur production et de la correction des anomalies relevées. Une fonction de coordination du contrôle permanent de niveau 1 est constituée au sein de chaque métier, dont les missions sont la conception et le Reporting des contrôles ainsi que la sensibilisation et la formation des collaborateurs aux enjeux de contrôles. CONTRÔLE PERMANENT DE NIVEAU ԝ 2 Le contrôle permanent de niveau 2 est une des missions de la deuxième ligne de défense, qui consiste à vérifier de façon permanente que la sécurité et la maîtrise des risques des opérations sont assurées, sous la responsabilité du management opérationnel, par la mise en œuvre effective des normes édictées, des procédures définies, des méthodes et des contrôles demandés. Le contrôle de niveau 2 comporte deux volets : l’évaluation de l’architecture du dispositif de contrôle de niveau 1 p par processus/risque, consistant en la vérification de la définition et de la réalisation effective des contrôles de niveau 1. Cette revue permet en outre de s’assurer de l’efficacité et de la pertinence du déploiement des contrôles par contrôles clés et type de risque, et de l’existence de plans d’actions correctrices ; la revue de la qualité de réalisation des contrôles et de la correction p des anomalies. Ces travaux ont pour objet de vérifier : la qualité d’exécution des contrôles en termes de délai, de leur conformité aux procédures, de leurs modes opératoires comme la pertinence des échantillons (représentativité, mode de sélection), leur fréquence de réalisation et leur formalisation,

la qualité du suivi des anomalies identifiées : pertinence de la - solution apportée, mise en œuvre opérationnelle effective, délai de réaction proportionné au risque identifié, etc ; Ces revues et ces vérifications donnent lieu à la formulation d’un avis qualifié sur (i) l’effectivité des contrôles de niveau 1, (ii) la qualité de leur réalisation, (iii) leur pertinence (notamment, en termes de prévention des risques et de réponse aux objectifs de contrôle définis par la bibliothèque de contrôle normatifs), (iv) la définition de leurs modes opératoires, (v) la pertinence des plans de remédiation mis en œuvre suite à la détection d’anomalies, et la qualité de leur suivi, et de concourir ainsi à l’évaluation de l’efficacité des contrôles de niveau 1. Ces contrôles sont réalisés au niveau central par les équipes de contrôle dédiées au sein de la Direction des risques (RISQ/CTL), de la Direction de la conformité (CPLE/CTL) et de la Direction financière (DFIN/CTL), et au niveau local par les équipes de contrôles de niveau 2 dans les BU/SU ou entités. Dispositif de contrôle périodique Placée sous l’autorité de l’Inspecteur général, la Direction Inspection générale et Audit (IGAD) constitue la troisième ligne de défense du Groupe. La direction Inspection générale et Audit, placée sous la responsabilité de l’Inspecteur général, est composée de l’Inspection générale (IGAD/INS), des départements d’audit (IGAD/AUD) et d’une fonction support (IGAD/COO). Pour remplir ses objectifs, la Direction du contrôle périodique du Groupe est dotée de moyens adaptés, proportionnés aux enjeux, tant au plan qualitatif que quantitatif. Au total, elle comprend environ 1 100 collaborateurs. L’Inspecteur général est rattaché directement au Directeur général du Groupe, avec lequel il a des réunions régulières. L’Inspecteur général rencontre régulièrement le Président du Conseil d’administration. Le Comité d’audit et de contrôle interne (CACI) ainsi que Le Comité des risques entendent l’Inspecteur général à leur initiative ou à sa demande sur tout sujet. L’Inspecteur général participe aux réunions du Comité d’audit et de Contrôle et du Comité des risques (CR). De plus, des réunions bilatérales se tiennent régulièrement entre l’Inspecteur général et les présidents de ces Comités. L’Inspection générale et l’Audit interne, dans l’exercice de leur mandant de contrôle périodique, constituent la troisième ligne de défense, strictement indépendante des métiers et du contrôle permanent. Le mandat de contrôle périodique d’IGAD est défini conformément aux standards de l’IIA (Institute of Internal Auditors) , comme une activité indépendante et objective qui donne au Groupe une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer et contribue à créer de la valeur ajoutée. À travers l’exercice de ce mandat, l’Inspection et l’Audit interne aident le Groupe à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle et de gouvernement d’entreprise en faisant des propositions pour renforcer leur efficacité. L’Inspection générale et l’Audit interne exercent un rôle essentiel dans le dispositif de gestion des risques du Groupe et peuvent en évaluer l’ensemble des composantes. Dans le cadre de ce mandat, l’Inspection générale et l’Audit interne évaluent la qualité de la gestion des risques au sein du périmètre audité, la pertinence et l’efficacité du dispositif de contrôle permanent ainsi que la sensibilité aux risques du management et le respect des règles de conduite et pratiques professionnelles attendues. L’Inspection générale dispose, au-delà de l’exercice d’un rôle d’audit interne, d’un mandat pouvant l’amener à exercer tout type de mission d’analyse ou d’étude, à être impliquée dans l’évaluation de projets stratégiques ou enfin à intervenir sur des sujets spécifiques à la demande de la Direction générale. L’Inspection générale assure aussi

30

PILIER 3 - 2020 | GROUPE SOCIÉTÉ GÉNÉRALE |