12.1 Politique de risques opérationnels

Le Groupe BPCE s’est muni d’un dispositif de mesure des risques non financiers via l’utilisation normalisé d’indicateurs. Ceux-ci couvrent les indicateurs du dispositif RAF, les indicateurs issus de l’arrêté du 3 novembre 2014, mais aussi d’indicateurs qualitatifs visant à mesurer l’adhérence de la filière aux normes du risque opérationnel.

La politique risques opérationnels du Groupe consiste à conserver, par entité et en consolidé, l’ensemble de ces indicateurs sous les limites fixées. En cas de dépassement, des mesures appropriées et actions correctives doivent être engagées par les métiers propriétaires des risques pour remédier aux éventuelles défaillances. Ces mesures et actions correctives doivent être suivies par le comité en charge des risques opérationnels.

La politique risques opérationnels fait l’objet d’une révision annuelle par le comité dédié.

Organisation

Au sein de la direction des Risques du Groupe BPCE, le département des risques opérationnels Groupe (DROG) est en charge de l’identification, de la mesure, du suivi et de la maîtrise des risques opérationnels auxquels toutes les activités et fonctions des établissements et filiales sont exposées.

Le dispositif risque opérationnel est articulé autour :

d’une organisation centrale et d’un réseau de responsables risques opérationnels et de correspondants risques opérationnels, déployé au sein de toutes les activités, entités et filiales des établissements et filiales du Groupe ;

d’une méthodologie, reposant sur des référentiels et un outil communs pour l’ensemble du Groupe.

La filière risques opérationnels intervient :

sur l’ensemble des structures consolidées ou contrôlées par l’établissement ou la filiale (bancaires, financières, assurances…) ;

sur l’ensemble des activités comportant des risques opérationnels, y compris les activités externalisées au sens de l’article 10 q et de l’article 10 r de l’arrêté du 3 novembre 2014 modifié « activités externalisées et prestations de services ou autres tâches opérationnelles essentielles ou importantes ».

Le comité des risques non financiers Groupe (CRNFG) définit la politique des risques déployée au sein des établissements et filiales, et le DROG en contrôle l’application dans le Groupe.

Méthodologie

Le dispositif de gestion des risques opérationnels s’inscrit dans les dispositifs Risk Assessment Statement (RAS) et Risk Assessment Framework (RAF) définis par le Groupe. Ces dispositifs et indicateurs sont déclinés aux bornes de chaque établissement et filiale du Groupe.

La méthodologie de cartographie s’inscrit dans le dispositif de contrôle permanent du Groupe et intègre les filières risques opérationnels, conformité, sécurité du système d’Information, sécurité des personnes et des biens et enfin contrôles permanents.

La mesure de l’exposition aux risques est fondée sur un modèle prospectif permettant de quantifier et classer les situations de risques et fournir ainsi au comité dédié risques non financiers les éléments qui lui permettront de définir sa tolérance aux risques.

Les indicateurs prédictifs de risques sont issus des principaux risques identifiés dans la cartographie des risques non financiers.

La surveillance et le suivi des risques sont renforcés par la production de reportings destinés à livrer une mesure harmonisée à l’ensemble du Groupe de son exposition et du coût du risque.

La production de la filière RO effectue deux types de contrôles de niveau 2 sur les risques opérationnels (ces contrôles permanents de niveau 2 seront réalisés à partir de fin 2022 par le département Gouvernance et contrôle des risques de la DRG) :

des contrôles exhaustifs et automatiques ;

des contrôles par échantillon et manuels.

La fonction risques opérationnels de BPCE s’assure que l’organisation et les dispositifs en place au sein des établissements et des filiales leur permettent d’atteindre leurs objectifs et de remplir leurs missions.

À ce titre, elle :

exerce une mission générale d’animation de la filière et un rôle de surveillance et de contrôle des risques sur les établissements/filiales et leurs filiales ;

centralise et analyse l’exposition du Groupe aux risques non financiers, contrôle la mise en œuvre des actions correctrices décidées en comité en charge des risques opérationnels et escalade les délais excessifs de mise en œuvre ;

exerce des contrôles afin de s’assurer du respect des normes et méthodes déployées dans les établissements et filiales ;

assure la veille réglementaire, diffuse et relaie les alertes risques opérationnels dues aux incidents propageables aux établissements/filiales concernés ;

établit des reportings, par établissement ou filiale, Groupe et réglementaires (COREP RO), analyse les reportings et contenus des comités dédiés des établissements et filiales et alerte le comité risques non financiers Groupe en cas de dispositif défaillant et/ou d’exposition aux risques excessive, qui lui-même se charge d’alerter l’établissement.

Pilotage des risques opérationnels

Le pilotage des risques opérationnels dans le Groupe est coordonné à deux niveaux :

1. Au niveau de chaque établissement du Groupe

2. Au niveau du Groupe BPCE

Le comité en charge des risques opérationnels s’assure de la déclinaison de la politique de maîtrise des risques opérationnels et s’assure de la pertinence et de l’efficacité du dispositif. À ce titre, il :

prend connaissance des incidents majeurs et récurrents et valide les actions correctives à mener ;

prend connaissance des indicateurs en dépassement, décide des actions correctives à mener et effectue le suivi de l’état d’avancement des actions de réductions des risques ;

examine les contrôles permanents réalisés au titre de la filière risques opérationnels et notamment les délais excessifs de mise en œuvre des actions correctives ;

contribue à l’organisation et à la formation du réseau des correspondants risque opérationnel ;

exprime les éventuels besoins d’évolution des polices d’assurance locales.

sa fréquence varie en fonction de l’intensité du risque de l’établissement, selon trois régimes de fonctionnement revus annuellement par le CRNFG et communiqués aux entités.

De fréquence trimestrielle, le comité des risques non financiers du Groupe (CRNFG) est présidé par un membre du comité de direction générale.

Le comité a pour principales missions de définir la norme RO et s’assurer du déploiement du dispositif RO au sein des entités du Groupe et de définir la politique RO du Groupe. À ce titre, il :

examine les risques majeurs du Groupe et définit son niveau de tolérance, décide la mise en œuvre des actions correctives globales affectant le Groupe et en suit les progrès ;

évalue le niveau de ressources à allouer ;

passe en revue les incidents majeurs sur le périmètre, valide la cartographie des risques opérationnels agrégée au niveau Groupe qui contribue à la macrocartographie des risques ;

suit les situations de risques majeures sur toutes les activités du Groupe intégrant les risques de non-conformité, du domaine de révision finance, de la sécurité des biens et personnes, PUPA, de la sécurité financière et de la sécurité des systèmes d’information (SSI) ;

enfin, il valide les indicateurs RAF Groupe liés aux risques non financiers ainsi que leurs seuils.