Société Générale / Rapport sur les risques 2019

9

LES RISQUES OPÉRATIONNELS DISPOSITIFS DE SUIVI DES RISQUES OPÉRATIONNELS

DISPOSITIFS DE SUIVI DES RISQUES 9.2 OPÉRATIONNELS

Les dispositifs principaux de maîtrise des risques opérationnels du Groupe sont : la collecte des pertes opérationnelles internes et l’analyse des p pertes externes ; l’autoévaluation des risques et des contrôles ; p l’encadrement des nouveaux produits ; p la gestion des prestations de services externalisés ; p La classification par Société Générale des risques opérationnels en huit catégories d’événements et 49 sous-catégories est la pierre angulaire de sa modélisation des risques. Elle permet de réaliser des analyses transversales. Les huit catégories d’événements sont : litiges commerciaux ; p litiges avec les autorités ; p erreurs de tarification / pricing ou d’évaluation du risque ; p erreurs d’exécution ; p fraude et autres activités criminelles ; p activités non autorisées sur les marchés ( rogue trading ) ; p perte de moyens d’exploitation ; p défaillance des systèmes d’information. p Collecte des pertes internes La collecte des pertes internes (mais également des gains et des quasi-pertes) concerne l’ensemble du Groupe depuis 2003. Ce processus a permis : de définir et mettre en œuvre les actions correctrices appropriées ; p d’acquérir une meilleure connaissance des vulnérabilités ; p de renforcer la sensibilisation et la vigilance aux risques p opérationnels au sein du Groupe. Le seuil minimum à partir duquel une perte (ou un gain ou une quasi-perte) est enregistrée s’élève à 10 000 euros dans l’ensemble du Groupe sauf sur les activités de marché, où ce seuil est fixé à 20 000 euros. En deçà de ces seuils, les pertes représentant des risques à signaux faibles sont collectées par les différents pôles du Groupe, et sont déclarées en les additionnant si elles concernent un même événement de risque et que le total dépasse le seuil de déclaration. Autoévaluation des risques et des contrôles L’exercice d’autoévaluation des risques et des contrôles ( Risk & Control Self Assessment ou RCSA) a pour objet d’apprécier l’exposition de chaque activité aux risques opérationnels afin d’en améliorer le pilotage. Sur la base des résultats des autres dispositifs de gestion du risque opérationnel (pertes internes, indicateurs clés des risques – KRI…) et d’entretiens menés avec des experts du Groupe, des zones le pilotage par indicateurs de risques ; p l’élaboration des analyses de scénarios. p

de risques sont identifiées par les filières du suivi du risque opérationnel sur leurs domaines de compétences respectifs. Les objectifs sont de : identifier et évaluer les principaux risques opérationnels auxquels p est exposée chaque activité (risques intrinsèques, c’est-à-dire les risques inhérents à la nature d’une activité, en faisant abstraction de ses dispositifs de prévention et de contrôle) ; le cas échéant, les cartographies des risques établies par les filières d'expertise (par exemple, conformité, sécurité des systèmes d’information…) contribuent à cette évaluation des risques intrinsèques ; évaluer la qualité des dispositifs de prévention et de contrôle en p place ; évaluer ensuite l’exposition aux risques résiduels de chaque activité p (après prise en compte de l’environnement de prévention et de contrôle, mais abstraction faite de la protection fournie par les polices d’assurance auxquelles le Groupe a souscrit) ; remédier aux déficiences éventuelles des dispositifs de prévention p et de contrôle, en mettant en œuvre des plans d’actions correctifs et en définissant des indicateurs clés de risque ; adapter, si nécessaire, la politique d’assurance. Dans le cadre de cet p exercice, les risques d’un périmètre donné sont qualifiés selon une double échelle de sévérité et de fréquence. Indicateurs clés de risque Les indicateurs clés de risque ( Key Risk Indicators ou KRI) complètent le dispositif de pilotage des risques opérationnels en fournissant une vision dynamique (système d’alerte) de l’évolution du profil de risque des métiers. Leur suivi apporte aux responsables d’entités une mesure régulière des améliorations ou des détériorations du profil de risque et de l’environnement de prévention et de contrôle. Une analyse croisée des KRI de niveau Groupe et des pertes est présentée trimestriellement à la Direction générale du Groupe via un tableau de bord dédié. Analyses de scénarios Les analyses de scénarios ont pour double objectif d’identifier les vulnérabilités du Groupe et de contribuer au calcul des fonds propres exigés au titre des risques opérationnels. Ces analyses permettent de construire à dire d’expert une distribution des pertes pour chaque catégorie de risque et ainsi de mesurer l’exposition à des pertes potentielles dans des scénarios de très forte sévérité, qui pourront être intégrés au calcul des besoins de fond propres. En pratique, différents scénarios sont examinés par des experts qui en évaluent les impacts potentiels sur le Groupe en termes de sévérité et de fréquence, en s’appuyant notamment sur les données de pertes internes et externes, et de l’environnement interne (dispositifs de prévention et de contrôle) et externe (réglementaire, métier…). Les analyses sont conduites soit au niveau Groupe (scénarios transversaux), soit au niveau des métiers. La gouvernance mise en place permet notamment : une validation du programme annuel de mise à jour des scénarios p par le Comité risques (CORISQ) ;

179

GROUPE SOCIÉTÉ GÉNÉRALE

PILIER 3 - 2019