Politique de gestion des risques opérationnels

La maitrise des risques opérationnels vise notamment à préserver le patrimoine de l’entreprise et empêcher / réduire les pertes liées aux défaillances des systèmes, des personnels et des processus. Elle contribue à la qualité des services rendus aux clients et au respect des engagements pris à leur égard.

Pour identifier, mesurer et encadrer les risques opérationnels, CNP Assurances a formalisé une politique de gestion des risques opérationnels. La politique des risques opérationnels décrit les moyens, procédures et outils mis en œuvre pour faciliter la maitrise des risques opérationnels. Elle s’inscrit dans le cadre de la politique de maitrise des risques de La Banque Postale, et a vocation à faire l’objet d’une revue d’ensemble dans le cadre de la structuration du Groupe CDC et LBP.

Cette politique s’articule autour des éléments clés suivants :

- une nomenclature de risques et un référentiel des processus communs à l’entreprise ;

- la collecte des incidents opérationnels, pour tirer profit des erreurs du passé. Basée sur un principe déclaratif, elle concerne les pertes supérieures à 10 000 € ou tout incident qui aurait pu avoir des conséquences significatives mais qui dans ce contexte n’a pas généré de perte. Les incidents de non-conformité ou qui ont un impact potentiel fort sur l‘image et la réputation de l’entreprise sont également concernés.

Les objectifs sont de plusieurs ordres :

- prendre du recul sur les incidents significatifs et identifier les actions de prévention. La gestion courante des incidents pour stopper ou en limiter les effets immédiats relève d’autres dispositifs,

- constituer une base historique permettant d’approcher quantitativement le risque opérationnel,

- améliorer le dispositif de contrôle interne, lorsque les causes d’un incident sont dues à des contrôles défaillants ; - le suivi d’indicateurs clés de risque, pour surveiller le présent : ils sont définis et alimentés au plus près des métiers,

regroupés dans des tableaux de bord pour favoriser l’identification de zones potentielles de fragilités. Pour chaque catégorie de risque, un ou plusieurs indicateurs de mesure du risque et un ou plusieurs indicateurs d'exposition au risque sont définis et identifiés avec les directions opérationnelles, en charge de les alimenter, de manière à concilier pertinence et facilité de renseignement ;

- la simulation de scénarii de stress, pour simuler et anticiper le futur possible ;

CNP Assurances SFCR Groupe au 31 décembre 2020

109

- la mise en place de plans de continuité et de gestion de crise : CNP Assurances veille à identifier des plans de continuité d’activité, notamment pour les domaines dans lesquels elle est particulièrement vulnérable.

CNP Assurances et chacune des filiales doit revoir, mettre à jour et tester ses plans de continuité d’activité régulièrement. Une équipe dédiée est en place pour faire face aux sinistres ;

- un programme d’assurance : CNP Assurances a mis en place un programme d’assurance groupe assorti de garanties en matière de responsabilité civile, de responsabilité civile professionnelle (entreprise et mandataires sociaux), de fraude, de dommages aux biens (flotte automobile, matériels informatiques, immeubles), d’assistance aux personnes en déplacement ou en expatriation et de cyber-sécurité ;

- des plans d’actions pour couvrir les risques pouvant passer notamment par des aménagements de processus, ou de contrôle interne.

4. Atténuation des risques

Le dispositif de contrôle permanent constitue un élément clé de la gestion du risque opérationnel et participe à atténuer ce risque (cf. section B5.1).

Conformité des produits, contrats et relations clients

Afin de répondre aux exigences règlementaires en termes de conformité des produits, de leur distribution et de gestion de la relation client, le dispositif de maîtrise des risques de CNP Assurances comprend :

- des politiques (notamment de gestion des risques, de souscription, de rémunération) ; - des comités (comité des engagements, comité d’agrément des nouveaux produits) ; - des procédures (conformité, gestion des réclamations, veille juridique) ;

- des comités de suivi de la qualité de service aux clients au sein de l’ensemble des BU et des plans de formation des réseaux de distribution au devoir de conseil, à la connaissance client.

La section B5.2 du présent document donne plus de détail concernant la fonction de vérification de la conformité.

Sous-traitance, délégation de gestion

La maîtrise de ces risques est très encadrée : direction Groupe dédiée (création en 2019), cartographies, politique de sous-traitance, processus de sélection, pilotage permanent et audits ponctuels (cf. section B8 pour plus de détail).

Exécution, livraison, gestion des processus

Hormis le risque de sous-traitance traité ci-dessus, le groupe CNP Assurances a porté une attention particulière sur les dispositifs mis en place pour assurer la continuité de l’activité et dispose d’une politique groupe concernant la gestion de crise et la continuité d’activité. Chaque entité du Groupe dispose d’un plan de continuité d’activité et d’un plan de secours informatique.

Le dispositif de maîtrise des risques doit permettre à l’entreprise de poursuivre ses activités dans des conditions acceptables, tant pour ses clients que pour ses collaborateurs et les tiers avec lesquels elle est en relation afin de délivrer les services et les produits. Il regroupe pour l’entreprise l’ensemble des procédures d’urgences (gestion de crise), l’ensemble des bilans d’impact sur l’activité (BIA), des plans de continuité métiers et des

CNP Assurances SFCR Groupe au 31 décembre 2020

110

solutions de continuité d’activité liées à l’indisponibilité de plusieurs catégories de ressources (compétences, informatique, bâtiment, prestataires).

Systèmes d’information et traitement des données

La sécurité des systèmes d’information est une priorité du groupe CNP Assurances qui dispose d’une politique groupe de sécurité de l’information. Les entités du Groupe disposent d’un plan de secours informatique, que ce soit un plan de secours informatique propre ou de l’intégration au plan de secours informatique d’une autre structure.

Une attention particulière est portée aux menaces : le groupe CNP Assurances a ainsi souscrit une cyber-assurance.

Fraudes interne et externe

La fraude constitue une préoccupation quotidienne de CNP Assurances, qui est par nature exposé à ce risque.

La fonction de vérification de la conformité de CNP Assurances dispose d’un service dédié aux problématiques de lutte contre le blanchiment des capitaux et le financement du terrorisme, et de fraude, qui travaille à renforcer le dispositif de prévention (cf. section B5.2. pour plus de détail).

Sécurité et Sûreté des biens et des personnes

Au sein de la direction de l’environnement de travail rattachée au secrétariat général, le service sécurité et sûreté des personnes et des biens est chargé de la mise en œuvre et du pilotage des dispositifs de prévention des risques d’incendie, d’accident, d’atteintes malveillantes aux bâtiments et de la mise en œuvre des mesures

« Vigipirate ». Ce service contribue à la mise à jour du document unique et à la sécurisation des opérations d’entretien et de travaux.

5. Sensibilité aux risques

Les sensibilités aux risques opérationnels sont réalisées via des analyses par scénario de stress, pour la quantification du risque opérationnel dans le cadre de l’ORSA.

L’analyse par scénario consiste à simuler des chocs opérationnels au regard des risques majeurs auxquels l’entreprise est exposée, selon des paramètres prédéfinis (temps, lieu, causes, conséquences, etc.) traduisant des probabilités de survenance communes aux approches sur les risques financiers et techniques. Les scénarii de chocs opérationnels sont choisis en fonction de leur capacité à englober des évènements variés, mais homogènes en termes de type de conséquences impactant directement l’entreprise.

Le périmètre des risques opérationnels quantifiés est revu annuellement afin de s’assurer que les scénarii existants couvrent bien les risques résiduels les plus importants de CNP Assurances et que tous les risques résiduels majeurs sont bien traités.

Chaque scénario existant est remis en cause (il peut éventuellement être abandonné si le risque résiduel est devenu beaucoup plus faible suite à la mise en place de plans d’action ou si le fait générateur du risque a évolué) et réévalué. La mise à jour porte sur la calibration des scénarii (estimation des impacts) mais aussi sur l’atténuation des impacts au regard des actions effectives à date. De nouveaux scénarii sont également élaborés lorsqu’un nouveau risque pertinent est identifié.

CNP Assurances SFCR Groupe au 31 décembre 2020

111