GESTION DES RISQUES

3. des mesures de stress test, consistant à mesurer les pertes éventuelles subies par les portefeuilles dans des confi gurations de marché extrêmes

3.1.7 Risque opérationnel

A/ DÉFINITION

La gestion des risques opérationnels du Groupe BPCE repose sur un ensemble méthodologique qui s’appuie sur la Charte Risques groupe approuvée par le directoire le 7 décembre 2009.

Les risques opérationnels y sont défi nis comme tout risque de pertes résultant d’une inadaptation ou d’une défaillance imputable aux procédures, aux personnels, aux systèmes internes, ou à des événements extérieurs. La défi nition exclut les seuls risques stratégiques.

B/ ORGANISATION DE LA GESTION DES RISQUES OPÉRATIONNELS

Dans ce cadre, les missions dévolues au Département des Risques Opérationnels de la direction des Risques groupe de BPCE s’organisent autour de :

• l’établissement d’une cartographie des risques reposant sur des normes d’évaluation homogènes sur tout le périmètre du groupe. La direction des Risques groupe collabore avec la direction de la Conformité pour y insérer – conformément aux chartes groupe – les risques de non-conformité ;

nombre de dossiers en attente de prise de garantie, nombre de dossiers en suspens sur nombre de dossiers traités, taux de transactions frauduleuses sur un ensemble d’opérations, etc…) ;

• le suivi de la couverture des risques (plans d’action, PCA, assurances) ;

• la gestion d’une base de données de pertes liées aux incidents avérés de risques opérationnels ;

• la surveillance permanente des risques, et, plus particulièrement, le reporting de synthèse consolidé aux différentes instances, les investigations et analyses sur les incidents signifi catifs majeurs au niveau groupe, l’approbation et la surveillance des plans d’actions curatifs ou préventifs afférents à ces incidents majeurs ;

• le pilotage des systèmes d’information risques opérationnels, en étroite collaboration avec les directions Informatiques en défi nissant les normes à appliquer pour la mesure, le contrôle, le reporting et la maîtrise des risques opérationnels.

C/ TRAVAUX RÉALISÉS EN 2009

L’équipe a été renforcée avec la création d’un pôle Surveillance et Animation regroupant cinq responsables risques opérationnels chacun étant en charge d’un périmètre dédié :

• BPCE (BPCE, les fi liales Assurance, fi liales autres réseaux et international, hors Natixis) ;

• Filiales de BPCE ;

• Caisses d’Epargne ;

• Banques Populaires ;

• Natixis et pôle Immobilier.

La cible est d’obtenir un dispositif homogène de pilotage des risques opérationnels sur la totalité du périmètre.

À cet effet, priorité a été donnée en 2009 aux premiers travaux suivants : BPCE et filiales

Construction et renforcement avec la nomination fi n 2009 de deux responsables risques opérationnels sur les périmètres de BPCE SA d’une part et de ses fi liales d’autre part a permis de défi nir un plan de déploiement du dispositif Risques Opérationnels sur ces entités. Cette animation se priorise autour des actions suivantes :

• nominations de Managers de Risques Opérationnels (MRO) priorisées sur les principales directions contributrices en risques opérationnels (direction des Opérations, direction Financières pour les Opérations de Trésorerie) ;

• mise en œuvre de la procédure d’alerte groupe sur ces périmètres ;

• collecte des incidents ;

• identifi cation des risques pour la mise en place de la cartographie.

Réseau Caisses d’Epargne Consolidation de l’existant via :

• l’animation de chantiers de normalisation et de sélection des meilleures pratiques portant tant sur la gestion des incidents que sur la cartographie des risques à coter.

Les livrables résultants consistent en :

de fréquence et facteur d’impact ;

• la diffusion et mise en œuvre dans les Caisses d’Epargne de la procédure d’alerte Groupe BPCE sur les incidents risques opérationnels.

Réseau Banque Populaire

Après la fi nalisation du déploiement d’ORIX, outil de gestion des risques opérationnels, un référentiel des risques unique et commun à l’ensemble des établissements du groupe a été mis à disposition dans l’outil ORIX en novembre 2009. Il forme désormais le socle de rattachement obligatoire de tout incident de risques opérationnels.

Le réseau Banque Populaire aura également été marqué, en 2009, par la mise en place d’un groupe de travail Contrôle Permanent, en coordination avec la direction Conformité. Il a permis d’établir les normes des contrôles de 1er et de 2nd niveau défi nis sous la responsabilité de chaque établissement.

Une bibliothèque des contrôles existant a également été établie afi n de permettre à chacun de compléter son dispositif de contrôle. Les travaux se poursuivent pour la réalisation d’un reporting commun vers l’organe central via la mise en place d’un outil Contrôle Permanent groupe.

Enfi n, plusieurs plans d’actions liés à des incidents majeurs intervenus dans le réseau Banque Populaire ont été pilotés au niveau du Département : audits sur les prêts bonifi és à l’agriculture et cas de fraude sur effets télétransmis.

Par ailleurs, dans le cadre de son rôle de surveillance permanente des risques sur le réseau Banque Populaire, le Département Risques Opérationnels groupe établit trimestriellement, après une phase de monitoring, des reportings propres à chaque établissement et un reporting groupe adressés aux directions Générales et direction des Risques de chaque entité.

Natixis/FONCIA et Nexity

Dans un objectif d’intégration dans le dispositif groupe, le responsable des risques opérationnels du Groupe BPCE participe désormais au Comité RO trimestriel de Natixis. Les alertes supérieures à 1 million d’euros sont transmises sans délai à BPCE et l’outil de gestion RO Osirisk de Natixis a été mis à disposition du responsable des risques opérationnels du groupe BPCE.

Sur FONCIA, une cartographie des risques a été réalisée au cours du premier semestre 2009.

Pilotage des systèmes d’information

Un chantier d’automatisation de la production trimestrielle des états réglementaires COREP (OPR détails et OPR loss détails) de chaque établissement du groupe a été mené.

Le département Risques Opérationnels a dans le cadre du projet SEQUANA mis en place un datamart Risques Opérationnels groupe qui est un entrepôt de données dans lequel se déversent les incidents et leurs impacts issus des 2 outils de remontées des pertes Oris (ex-GCE) et ORIX (ex-GBP).

D/ COMITÉS DE PILOTAGE DES RISQUES OPÉRATIONNELS

Le pilotage des risques opérationnels dans le groupe est coordonné à deux niveaux :

Au niveau de chaque Établissement du groupe, le Comité des risques

risques opérationnels. Il suit le niveau des risques, valide et suit les plans d’actions de réduction de leur exposition. Il examine les incidents répertoriés et contrôle le suivi des actions correctrices décidées. Il examine enfi n la contribution de la fi lière Risques au plan des contrôles permanents. Ce comité est de périodicité au moins semestrielle.

Au niveau du Groupe BPCE, le Comité des risques opérationnels groupe se réunit trimestriellement. Ses membres permanents sont : Le directeur des Opérations de BPCE qui le préside, un président de directoire de Caisse, un directeur général de Banque, le directeur des Risques groupe, et le directeur Conformité et Sécurité groupe.

Les participants sont : le directeur des Risques de Natixis et L’inspecteur Général Groupe BPCE.

Le comité rapporte au Comité des risques groupe.

Ses missions principales sont :

• valider la cartographie des risques opérationnels au niveau groupe ;

• valider les plans d’actions ;

• effectuer le reporting consolidé des pertes.

(SOURCE COREP CONSOLIDÉ DU 31/12/2009) Les pertes brutes du Groupe BPCE au titre du Risque Opérationnel s’élèvent à 916,23 millions au 31/12/2009. À périmètre constant, le montant des pertes opérationnelles brutes du groupe a diminué en 2009 de 13,62 % par rapport à 2008.

Cette évolution s’explique par le fait que l’année 2008 avait été marquée par un incident majeur dû à une perte de trading de 750 M€.

En 2009 les événements majeurs sur le périmètre des risques opérationnels ont concerné essentiellement :

• une perte de 475 M€ correspondant à un incident lié à l’affaire MADOFF ;

• une augmentation de 103 M€ constatée dans la catégorie bâloise exécution, livraison et gestion des processus.

VENTILATION ET ÉVOLUTION DES PERTES BRUTES PAR CATÉGORIE BÂLOISE

en millions d’euros (OPR Loss Detail 31/12/2009) 2008 2009 Évolution

Fraude interne 756,66 9,642 - 99%

Fraude externe 56,50 558,64 889%

Pratiques en matière d’emploi et de sécurité du travail 17,38 24,05 38%

Clients, produits et pratiques commerciales 73,32 65,36 - 11%

Dommages occasionnés aux actifs physiques 3,98 5,88 48%

Interruptions de l’activité et dysfonctionnements des systèmes 9,85 5,87 - 40%

Exécution, livraison et gestion des processus 143,04 246,79 73%

TOTAL 1 060,73 916,23 - 14%

Sur l’année 2009, les catégories d’événement Fraude Externe et Exécution, Livraison et gestion de processus sont les plus génératrices de pertes opérationnelles. Leur forte évolution par rapport à l’année 2008 s’explique par quelques incidents à fort impact enregistrés en 2009 (affaire Madoff, fraude sur effet Télétransmis, affaire Appolonia, CNASEA…)

L’augmentation de 38 % constatée sur la catégorie « Pratique en matière d’emploi et de sécurité du travail » est due à des litiges RH concernant des paiements de primes familiales suite à une réforme salariale depuis 2002.

Les 5 pertes les plus importantes de l’année 2009 pour le groupe représentent 62,6 % de l’ensemble des pertes collectées sur la période. Elles sont concentrées sur 3 catégories réglementaires :

• fraude externe pour 475 millions d’euros ;

• exécution, livraison et gestion des processus pour 80,3 millions d’euros ;

• clients, produits et pratiques commerciales pour 20,07 millions d’euros.

2008 2009 Évolution

Financement des entreprises 0,68 % 0,66 % - 17 %

Négociation et vente institutionnelle 75,89 % 65,68 % - 25 %

Courtage de détail 0,92 % 1,09 % 2 %

Banque commerciale 2,80 % 8,70 % 168 %

Banque de détail 16,31 % 20,79 % 10 %

Paiement et règlement 1,88 % 2,58 % 19 %

Services d’agence 0,78 % 0,10 % - 89 %

Gestion d’actifs 0,73 % 0,30 % - 64 %

TOTAL 100,00 % 100,00 % - 14 %

Plus de 95 % des pertes du Groupe BPCE sont réparties sur les 3 lignes de métiers suivantes :

• négociation et vente institutionnelle (65,68 %) ;

• banque de détail (20,79 %) ;

• banque commerciale (8,70 %).

La forte augmentation constatée sur la ligne métier Bâloise banque commerciale (+ 168 %) s’explique par une augmentation des pertes constatées sur les catégories fraudes externes, clients produits et pratiques commerciales et exécution, livraison des processus.

La diminution de 25 % constatée sur la ligne Métier Négociation et vente institutionnelle est due à la sortie du périmètre de la perte de trading de 750 millions d’euros en 2008. La perte de 475 millions d’euros de l’incident lié à l’affaire MADOFF est venue cependant s’imputer sur cette même catégorie en 2009.

F/ PROCÉDURE D’ALERTE POUR LES INCIDENTS La procédure d’alerte sur les incidents graves a été étendue à l’ensemble du périmètre du Groupe BPCE sur validation du Comité des normes et méthodes groupe du 15/12/2009. Ce dispositif vise à compléter et renforcer le système de collecte des pertes au sein du groupe.

Un incident de risque opérationnel est considéré comme grave lorsque l’impact fi nancier potentiel au moment de la détection est supérieur à 150 000 euros (1 M€ sur le périmètre de Natixis).

Ce cas inclut l’incident de risque opérationnel qui a un impact fort sur l’image et la réputation de l’entité ou du groupe et l’incident de risque opérationnel qui pourrait se produire dans d’autres entités du groupe.

L’alerte peut permettre de limiter l’impact global.

De fait, cette procédure englobe les incidents de risques opérationnels signifi catifs au sens de l’art. 17-ter du CRBF 97-02 dont le seuil de dépassement est fi xé à 0,5 % des fonds propres de base.

En 2009, sur la base de ces critères, 34 alertes ont été déclarées et centralisées à la direction des Risques groupe.

In document Sommaire ORGANIGRAMME FINANCIER DU GROUPE BPCE 3 RAPPORT FINANCIER 163 GOUVERNEMENT D ENTREPRISE 5 CAPITAL SOCIAL 381 GESTION DES RISQUES 81 (Page 108-111)