12.2 Surveillance
La collecte des incidents répond à un objectif de connaissance du coût du risque, d’amélioration permanente des dispositifs de contrôle et à des objectifs réglementaires.
disposer d’une profondeur d’analyse et d’une courbe d’expérience pour adapter les plans d’action et évaluer leur pertinence ;
produire des reportings à destination des organes exécutifs et délibérants et à destination des opérationnels ;
La déclaration des incidents est faite au fil de l’eau, dès leur détection, selon le dispositif Groupe. Une procédure d’alerte pour incident jugés graves et dépassant des seuils internes vient compléter le dispositif de collecte.
Le dispositif de gestion du risque opérationnel s’appuie sur un processus de cartographie mis à jour annuellement par l’ensemble des entités du Groupe.
La démarche de cartographie permet d’identifier et de mesurer de façon prospective les processus les plus sensibles. Elle permet, pour un périmètre donné, de mesurer l’exposition aux risques des activités du Groupe pour l’année à venir. Cette exposition est alors évaluée et validée par les comités concernés afin de déclencher des plans d’action visant à réduire l’exposition. Le périmètre de cartographie inclut les risques émergents, les risques liés aux technologies de l’information et de la communication et à la sécurité dont cyber, les risques liés aux prestataires et les risques de non-conformité.
Cette même cartographie est utilisée dans le cadre de l’ICAAP du Groupe pour permettre d’identifier et de valoriser les risques opérationnels les plus importants du Groupe. La cartographie des risques opérationnels alimente également la macrocartographie des risques des établissements et donc, au global, du Groupe.
Les actions correctives sont engagées pour atténuer la fréquence, l’impact ou la propagation des risques opérationnels. Elles peuvent être mises en place suite à l’exercice de cartographie des risques opérationnels, de dépassement de seuil des indicateurs de risques ou à la survenance d’incidents.
L’avancement des principales actions fait l’objet d’un suivi en comité risques opérationnels de chaque entité.
Par ailleurs au niveau du Groupe, l’avancement des plans d’action des principales zones de risques fait l’objet d’un suivi spécifique en comité des risques non financiers.
La procédure d’alerte sur les incidents graves, applicable à l’ensemble du périmètre du Groupe BPCE, vise à compléter et renforcer le système de collecte des pertes au sein du Groupe.
Un incident de risque opérationnel est considéré grave lorsque l’impact financier potentiel au moment de la détection est supérieur à 300 000 euros. Est également considéré comme grave tout incident de risque opérationnel qui aurait un impact fort sur l’image et la réputation du Groupe ou de ses filiales.