BPCE - Rapport sur les risques Pilier III 2018

11 RISQUES DE NON-CONFORMITÉ, SÉCURITÉ ET RISQUES OPÉRATIONNELS Risques opérationnels

ces contrôless’effectuentsur la base des rapports de contrôle du - dispositifdes établissements,donc sur le même périmètreque ces rapports : dispositif,incidents,cartographie,indicateursprédictifs de risques, actions correctives, les résultats de ces contrôles de niveau 2 sont enregistrés dans - l’outil de contrôle permanent par le DRO groupe. Pilotage des risques opérationnels Le pilotage des risques opérationnelsdans le groupe est coordonnéà deux niveaux: Au niveau de chaque établissement du groupe : ● Le comité en charge des risques opérationnels, préparé par la fonction risques opérationnels, peut être regroupé avec le comité des risquesde non-conformitépour former un comité conformitéet risques opérationnels.Il peut aussi dans le cadre de la gouvernance du groupeêtre une séquence ducomité exécutif des risques. Ce comité s’assure de la déclinaisonde la politique de maîtrise des risques opérationnelset s’assure de la pertinence et de l’efficacité du dispositif.À ce titre, il : prend connaissancedes incidents majeurs et récurrents et valide - les actions correctives à mener, se prononce, à partir du Top 10 des risques (exposition VaR 99,9 %, VaR 95 % et pertes attendues), sur sa tolérance aux risques, valide la cartographie locale et décide des actions correctives destinées à réduire l’exposition auxrisques jugésexcessifs ; prend connaissance des indicateurs en dépassement,décide des - actions correctives à mener et effectue le suivi de l’état d’avancement des actions de réductions des risques post incidents graves et des risques jugés excessifs (issus de l’exercice de cartographie) ou décidés après dépassement des seuils ; est alerté en cas de dépassement excessif des délais de mise en œuvre des actionscorrectives ; examine les contrôles permanents réalisés au titre de la filière - risques opérationnelset notamment les délais excessifs de mise en œuvredes actionscorrectives; Collecte des incidents etdes pertes La collecte des incidents répond à un objectif de connaissance du coût du risque, d’améliorationpermanentedes dispositifsde contrôle et à des objectifsréglementaires. La constitution d’un historique des incidents (base incident) a pour objectif de: disposer d’une profondeur d’analyse et d’une courbe d’expérience ● pour adapter les plansd’actionet évaluer leurpertinence;

contribue à l’organisation du réseau des correspondants risque - opérationnel,effectue le suivi des actions de sensibilisationet de formation et le suivi des actions de sensibilisation auprès du métier oude la fonctionconcerné; examine a minima semestriellementles incidentspouvantdonner - lieu à déclaration de sinistres (rapprochement de la base Incidents RO et des bases sinistres locales et groupe) afin de mettre en évidence la perte nette résiduelle après applicationde la couvertureassurance; exprime les éventuelsbesoins d’évolutiondes polices d’assurance - locales. Sa fréquence varie en fonction de l’intensité du risque de l’établissement, selon trois régimes de fonctionnement revus annuellement parle CRNFG et communiqués aux entités. Au niveau duGroupe BPCE: ● De fréquencetrimestrielle,le comité est présidé par un membre du comité de direction générale. Le comité a pour principales missions de définir la norme RO et s’assurer du déploiement du dispositif RO au sein des entités du groupe et de définir la politique RO du groupe. À cetitre, il : examine les risques majeurs du groupe et définit son niveau de - tolérance, décide la mise en œuvre des actions correctives globales affectant le groupe t en suit les progrès ; évalue le niveau de ressources àallouer; - passe en revue les incidents majeurs sur le périmètre, valide la - cartographiedes risques opérationnelsagrégée au niveau groupe qui contribue àla macrocartographiedes risques; suit les situations de risques majeures sur toutes les activités du - groupe intégrant les risques de non-conformité,du domaine de révision finance, de la sécurité des biens et personnes, PUPA, de la sécurité financière et de la sécurité des systèmes d’informations (SSI); enfin, il valide les indicateurs RAF groupe liés aux risques non - financiers ainsique leurs seuils.

produire les états réglementairessemestriels risques opérationnels ● du COREP ; produire des reportings à destination des organes exécutifs et ● délibérants et àdestination des opérationnels ; disposerd’un historiqueapplicabledans le cadre d’une modélisation ● du risque opérationnel. La déclaration des incidents est faite au fil de l’eau, dès leur détection,selon le dispositif groupe.

208

Rapport sur les risques Pilier III 2018