Méthodologie
Le dispositif de gestion des risques opérationnels s’inscrit dans les dispositifs Risk Assessment Statement (RAS) et Risk Assessment Framework (RAF) définis par le Groupe. Ces dispositifs et indicateurs sont déclinés aux bornes de chaque établissement et filiale du Groupe.
La méthodologie de cartographie s’inscrit dans le dispositif de contrôle permanent du Groupe et intègre les filières risques opérationnels, conformité, sécurité du système d’Information, sécurité des personnes et des biens et enfin contrôles permanents.
La mesure de l’exposition aux risques est fondée sur un modèle prospectif permettant de quantifier et classer les situations de risques et fournir ainsi au comité dédié risques non financiers les éléments qui lui permettront de définir sa tolérance aux risques.
Les indicateurs prédictifs de risques sont issus des principaux risques identifiés dans la cartographie des risques non financiers.
La surveillance et le suivi des risques sont renforcés par la production de reportings destinés à livrer une mesure harmonisée à l’ensemble du Groupe de son exposition et du coût du risque.
La production de la filière RO effectue deux types de contrôles de niveau 2 sur les risques opérationnels :
La fonction risques opérationnels de BPCE s’assure que l’organisation et les dispositifs en place au sein des établissements et des filiales leur permettent d’atteindre leurs objectifs et de remplir leurs missions.
exerce une mission générale d’animation de la filière et un rôle de surveillance et de contrôle des risques sur les établissements/filiales et leurs filiales ;
centralise et analyse l’exposition du Groupe aux risques non financiers, contrôle la mise en œuvre des actions correctrices décidées en comité en charge des risques opérationnels et escalade les délais excessifs de mise en œuvre ;
exerce des contrôles afin de s’assurer du respect des normes et méthodes déployées dans les établissements et filiales ;
assure la veille réglementaire, diffuse et relaie les alertes risques opérationnels dues aux incidents propageables aux établissements/filiales concernés ;
établit des reportings, par établissement ou filiale, groupe et réglementaires (COREP RO), analyse les reportings et contenus des comités dédiés des établissements et filiales et alerte le comité risques non financiers groupe en cas de dispositif défaillant et/ou d’exposition aux risques excessive, qui lui-même se charge d’alerter l’établissement.