CA Indosuez (Switzerland) SA Rapport annuel 2022 66 dont la cotation prospective, basée sur le niveau d’impact potentiel, se mesure par : • La matérialité : l’impact financier sur les résultats de la Banque et la fréquence de la survenance (probabilité d’occurrence). • La sensibilité : l’impact non financier, au travers du risque d’image, du risque réglementaire ou du risque juridique. Mesures d’atténuation : risque résiduel La Banque dispose d’un Système de Contrôle Interne (SCI) efficient visant à donner une assurance raisonnable que les risques auxquels la Banque est exposée sont maîtrisés conformément au niveau de risque résiduel souhaité (mesures d’atténuation du risque). La connaissance de cette exposition aux risques opérationnels permet au management d’identifier ses principales zones de vulnérabilité et d’appliquer une gestion différenciée par nature et intensité de risque. Plus précisément, l’atténuation des risques passe par différentes mesures de mitigation, notamment : • Des plans de contrôles manuels et automatisés. • Des transferts du risque (assurance). • Des mesures organisationnelles (p. ex. processus forts, séparation de fonctions, etc.). Ces mesures de mitigation sont qualifiées selon leur adéquation et efficience. Ladite démarche de qualification des mesures de mitigation tient également compte des éléments indiquant un besoin éventuel d’amélioration du SCI, notamment : • Les résultats de contrôles mettant en évidence une anomalie. • Les recommandations d’audit interne et externe. • Les provisions pour incidents opérationnels. • Les incidents opérationnels survenus (matérialisation du risque opérationnel). Lorsque les mesures précitées ne sont pas suffisantes au regard du risque résiduel souhaité, un plan d’action doit être émis afin de renforcer le Système de Contrôle Interne. Adéquation du risque résiduel au risque effectif L’ensemble des incidents opérationnels survenus sont collectés. Dans le but de s’assurer de son adéquation au risque effectif de la Banque, régulièrement, la cotation prospective du risque résiduel est comparée aux incidents opérationnels survenus. Responsabilité des acteurs En étroite collaboration avec le département Contrôle Permanent, en charge de la gestion des risques opérationnels, les responsables de chaque métier de la Banque participent activement à l’identification, l’évaluation, la gestion et la surveillance de leurs risques opérationnels. Ils s’appuient pour ce faire sur des correspondants de risque travaillant directement dans leurs métiers. Ces collaborateurs assurent notamment le bon fonctionnement de leur SCI, ainsi que de la prise en compte de tout changement significatif d’activité et font le lien entre les responsables de métier et le département Contrôle Permanent. Le Conseil d’Administration a délégué au Comité d’Audit et des Risques l’évaluation périodique du dispositif de contrôle interne. Communication Le département Contrôle Permanent veille à maintenir en permanence une vision consolidée de l’état des risques opérationnels de l’ensemble des activités de la Banque, des événements significatifs y relatifs et des plans d’actions visant à améliorer leur gestion. Ces informations sont communiquées au Conseil d’administration et à la Direction Générale. Externalisation d’activités Les principales activités externalisées de la Banque sont celles relatives au développement et à la maintenance de son système d’information ainsi que ses activités de back-office, en lien principalement avec sa ligne métier de Gestion de Fortune. Ces activités sont externalisées auprès de la société Azqore SA, société du groupe CA Indosuez Wealth Management. Dans ce cadre, afin d’une part, de garantir de façon pérenne une maîtrise adéquate de ses risques opérationnels et d’autre part, de s’assurer d’une réalisation quantitative et qualitative par Azqore des prestations conformément au contrat de services signé avec ce prestataire, la Banque a mis en place un dispositif complet de contrôle s’appuyant sur des indicateurs spécifiques propres à chacun des risques identifiés. Par ailleurs, une gouvernance adaptée a été mise en place entre Azqore SA et la Banque afin de gérer efficacement et de manière graduée tous les sujets et éventuelles alertes selon leur criticité pour garantir le bon fonctionnement des activités de la Banque en général et plus particulièrement la bonne fin des opérations ainsi que la protection des fonds qui lui sont confiés par les clients. S’agissant de la protection des données clients, la Banque s’emploie à demeurer de manière permanente en conformité tant avec la réglementation suisse telle qu’édictée par la FINMA au titre de l’outsourcing des banques, qu’avec les réglementations étrangères des places où la Banque est implantée. La Banque respecte également les standards du groupe Crédit Agricole en matière d’externalisation de prestations qualifiées d’essentielles. Pour ce qui concerne plus particulièrement les risques majeurs liés à l’indisponibilité partielle ou totale de son système d’information, la Banque s’assure auprès d’Azqore de l’existence d’un dispositif de sauvegarde de ses activités d’externalisation, de telle manière qu’en cas d’incident majeur, celle-ci soit en capacité opérationnelle de garantir la poursuite des prestations qui lui sont confiées de manière suffisante. À ce titre, rentrent dans la stratégie de Business Continuity Management (BCM) de la Banque la vérification de l’existence chez Azqore d’un Plan de Secours Informatique (PSI), d’un Plan de Continuité des Activités (PCA) et d’un Plan de Repli Utilisateurs (PRU) qu’Azqore teste régulièrement. La Banque dispose par ailleurs d’un PCA lui permettant de garantir la poursuite de ses propres services et processus en cas de survenance d’un sinistre qui l’impacterait directement.
RkJQdWJsaXNoZXIy NzMxNTcx