Société Générale / Rapport sur les risques 2019

4

CONTRÔLE INTERNE CADRE D’EXERCICE

Dispositif de contrôle permanent Le dispositif de contrôle permanent est constitué par :

Le contrôle de niveau 2 comporte deux volets : l’évaluation de l’architecture du dispositif de contrôle de niveau 1 p par processus/risque consistant en la vérification de la définition et de la réalisation effective des contrôles de niveau 1, et en particulier d’examiner les résultats des contrôles de niveau 1 sous les aspects quantitatif et qualitatif, notamment en matière de taux de réalisation, niveaux d’anomalie, etc. Cette revue permet en outre de s’assurer de l’efficacité et de la pertinence du déploiement des contrôles par contrôles clés et type de risque et des plans d’actions correctrices ; la revue de la qualité de réalisation des contrôles et de la correction p des anomalies. Ces travaux ont pour objet de vérifier : la qualité d’exécution des contrôles en termes de délai, de leur - conformité aux procédures, de leurs modes opératoires comme la pertinence des échantillons (représentativité, mode de sélection), leur fréquence de réalisation et leur formalisation, la qualité du suivi des anomalies identifiées : pertinence de la - solution apportée, mise en œuvre opérationnelle effective, délai de réaction proportionné au risque identifié, etc. Ces revues et ces vérifications ont pour objectif de donner lieu à la formulation d’un avis qualifié sur (i) l’effectivité des contrôles de niveau 1, (ii) la qualité de leur réalisation, (iii) leur pertinence (notamment, en termes de prévention des risques et de réponse aux objectifs de contrôle définis par la bibliothèque de contrôle normatifs), (iv) la définition de leurs modes opératoires, (v) la pertinence des plans de remédiation mis en œuvre suite à la détection d’anomalies, et la qualité de leur suivi, et de concourir ainsi à l’évaluation de l’efficacité des contrôles de niveau 1. Ces contrôles sont réalisés au niveau central par les équipes RISQ/CTL, CPLE/CTL et DFIN/CTL, et au niveau local par les équipes de contrôles de niveau 2 dans les BU/SU ou entités. Dispositif de contrôle périodique Placée sous l’autorité de l’Inspecteur général, la Direction Inspection générale et Audit (IGAD) constitue la troisième ligne de défense du Groupe. La direction Inspection générale et Audit est composée de l’Inspection générale (IGAD/INS), des départements d’audit (IGAD/AUD) et d’une fonction support (IGAD/COO). Pour remplir ses objectifs, la Direction du contrôle périodique du Groupe est dotée de moyens adaptés, proportionnés aux enjeux, tant au plan qualitatif que quantitatif. Au total, elle comprend environ 1 200 collaborateurs. L’Inspection générale est rattachée directement au Directeur Général du Groupe, avec lequel il a des réunions régulières. l'Inspecteur général rencontre régulièrement le Président du Conseil d'Administration. Le comité d'audit et de contrôle interne ainsi que le Comité des risques entendant l'Inspecteur général à leur initiative ou à sa demande sur tout sujet. L'Inspecteur général participe aux réunions du Comité d'audit et de Contrôle et du Comité des risques. De plus, des réunions bilatérales se tiennent régulièrement entre l'Inspécteur général et les présidents de ces Comités. L'inspection générale et l'Audit interne, dans l'exercice de leur mandant de contrôle périodique, constituent la troisième ligne de défense, strictement indépendante des métiers et du contrôle permanent. Celui-ci est défini conformément aux standards de l'IIA ( Institute of Internal Auditors ), comme une activité indépendante et objective qui donne au Groupe une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer et contribue à créer de la valeur ajoutée. A travers l'exercice de ce mandat, l'Inspection et l'Audit interne aident le Groupe à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses

le contrôle permanent de niveau 1, logé au sein des métiers, qui p est le socle du contrôle permanent du Groupe. Il a pour finalité de garantir, au niveau opérationnel, la sécurité, la qualité, la régularité et la validité des transactions ; le contrôle permanent de niveau 2, indépendant des métiers, p relève de trois directions, la Direction des risques, la Direction financière, et la Direction de la conformité. La Direction générale a initié en 2018 un programme de transformation du contrôle permanent du Groupe, qui lui est directement rattaché. À travers un ensemble d’actions touchant les normes, les méthodes, les outils et procédures, la formation, etc., ce programme vise à consolider la culture de contrôle et à optimiser la maîtrise des risques, contribuant ainsi à améliorer la qualité et la fiabilité des services rendus à nos clients et partenaires. Il est prévu pour s’achever fin 2020. CONTRÔLE PERMANENT DE NIVEAU 1 Exercé dans le cadre des opérations, au sein des BU et des SU, les contrôles permanents de niveau 1 permettent de garantir la sécurité et la qualité des transactions et des opérations. Ces contrôles sont définis comme un ensemble de dispositions constamment mis en œuvre pour assurer, au niveau opérationnel, la régularité, la validité, et la sécurité des opérations effectués. Les contrôles permanents de niveau 1 se composent : de dispositifs de prévention des risques : de contrôles effectués p sur une base régulière et permanente par les métiers ou par des systèmes automatisés pendant le traitement des transactions. Ils consistent en un cadre de prévention des risques : règles et contrôles de sécurité – automatisés ou non – faisant partie du traitement des opérations, ou contrôles inclus dans les procédures opérationnelles ; de contrôles réalisés par les managers : les responsables p hiérarchiques vérifient le correct fonctionnement des dispositifs placés sous leur responsabilité. À ce titre, ils sont dans l’obligation d’appliquer régulièrement des procédures formalisées pour s’assurer que les employés respectent les règles et procédures et que les contrôles de niveau 1 sont effectués efficacement. Les responsables hiérarchiques peuvent s’appuyer sur des contrôles réalisés par des équipes dédiées, par exemple (i) sur les processus les plus sensibles nécessitant des contrôles renforcés ou industrialisés, ou pour éviter des situations d’autocontrôle (exemple : l’entrée en relation clients dans la banque de réseau), et/ou (ii) lorsque la mutualisation des tâches de contrôle permet d’améliorer la productivité. Quel que soit le choix d’organisation retenu, les managers conservent la supervision des traitements réalisés au sein des équipes qui leur sont rattachées ; ils sont responsables de la qualité de leur production et de la correction des anomalies relevées. Une fonction de coordination du contrôle permanent de niveau 1 est constituée au sein de chaque métier, dont les missions sont la conception et le reporting des contrôles ainsi que la sensibilisation et la formation des collaborateurs aux enjeux de contrôles. CONTRÔLE PERMANENT DE NIVEAU 2 Le contrôle permanent de niveau 2 est une des missions de la deuxième ligne de défense, qui consiste à vérifier de façon permanente que la sécurité et la maîtrise des risques des opérations sont assurées, sous la responsabilité du management opérationnel, par la mise en œuvre effective des normes édictées, des procédures définies, des méthodes et des contrôles demandés.

38

GROUPE SOCIÉTÉ GÉNÉRALE

PILIER 3 - 2019