2.1. Gestion des risques et maîtrise des activités

2. Facteurs de risques et cadre de maîtrise

2.1. Gestion des risques et maîtrise des activités

La section 2.1 « Gestion des risques et maîtrise des activités » décrit les dispositifs de maîtrise des risques et des activités s’appliquant à l’ensemble du Groupe.

La section 2.2 « Risques auxquels le Groupe est exposé », décrit les risques les plus importants auxquels le Groupe estime être exposé, en tenant compte de sa spécificité.

2.1. Gestion des risques et maîtrise des activités

Cette section présente les dispositifs de maîtrise des activités (contrôle interne) et de gestion des risques s’appliquant à l’ensemble du Groupe, en soulignant les nouveautés de 2019. Ces dispositifs s’inscrivent dans le cadre défini par le corpus des politiques Groupe. Ils obéissent aussi aux principes généraux énoncés dans le cadre de référence de l’AMF relatif à la gestion des risques et au contrôle interne (publié le 22 juillet 2010). Ils s’appuient enfin sur les évolutions constatées dans les principaux référentiels internationaux, en particulier COSO-2013.

2.1.1 Environnement de contrôle

Cadre : le corpus des politiques Groupe

Le groupe EDF a organisé depuis 2017 la maîtrise des activités et des risques au tour des politiques Groupe, validées et signées par le Comex. Ce corpus définit l’ensemble des exigences pérennes et transverses à mettre en œuvre dans l’ensemble des entités et filiales du Groupe. Il traite de l’ensemble des thèmes transverses communs à l’ensemble du Groupe. Des mises à jour régulières permettent d’adapter les exigences aux évolutions réglementaires ou aux orientations stratégiques.

Finalités du dispositif de maîtrise

Le dispositif de maîtrise des activités et des risques du Groupe, défini dans la politique « Principes de fonctionnement, Maîtrise des Risques et Contrôle Interne » a
pour finalités :

  • d’identifier et ré interroger périodiquement le panorama des risques majeurs et opportunités susceptibles d’impacter les objectifs du Groupe, de manière à s’assurer de l’existence et de la mise sous contrôle de plans d’actions pertinents et efficaces ;
  • d’assurer en permanence :
    • la conformité aux lois et règlements,
    • le bon fonctionnement des processus et des projets,
    • la fiabilité des informations financières et extra-financières,
    • le respect des politiques Groupe,
    • et la maîtrise des activités et des risques de toute nature.
Principes de mise en œuvre

Les principes fondamentaux de mise en œuvre sont fondés sur le modèle des trois
lignes de maîtrise :

  • 1ère ligne de maîtrise : chaque manager à tout niveau, est responsable : d’identifier et de maîtriser les principaux risques liés à ses activités, de s’assurer de cette maîtrise pour les missions qu’il a lui-même confiées à ses collaborateurs, d’adosser et proportionner les dispositifs de maîtrise aux risques identifiés et d'en rendre compte de façon formelle et régulière à son propre manager au moyen d’autoévaluations ;
  • 2e ligne de maîtrise : les fonctions d’appui définissent les exigences communes à l’ensemble du Groupe et animent leur mise sous contrôle. Leur contribution à la maîtrise des activités du Groupe est précisée en section 2.1.2. Parmi elles, les fonctions risques et contrôle interne assurent l’animation du dispositif global de maîtrise et l’élaboration des rapports à destination des instances de gouvernance du Groupe ;
  • 3e ligne de maîtrise : le dispositif d’audit, indépendant, permet de vérifier la pertinence et l’efficacité des dispositifs de maîtrise des activités et des risques des entités du Groupe, de vérifier la maîtrise des principaux processus transverses et projets majeurs du Groupe, et plus généralement, de vérifier le niveau de contrôle des risques du Groupe (voir la section 2.1.3).

L’ensemble des dispositifs fondés sur les trois lignes de maîtrise permet d’apporter aux dirigeants et aux instances de gouvernance du Groupe une « assurance raisonnable » quant à l’identification et la couverture des principaux risques.

1ère ligne

Entités opérationnelles

  • Respectent les exigences des politiques Groupe
  • Mettent en place des contrôles de 1er niveau adaptés à leurs risques et enjeux
  • Réalisent des cartographies des risques et des auto-évaluation annuelle de leur dispositif de maîtrise
  • Mettent en œuvre des plans d’actions de progrès et de traitement des risques

2ème ligne

Directions fonctionnelles support

  • Définissent et actualisent les politiques transverses Groupe
  • Mettent en place des contrôles de 2er niveau organisés au sein de leurs fonctions
  • Analysent la fiabilité des auto-évaluations des entités
  • Coordonnent les plans d’actions de progrès et de traitement des risques de leur fonction

3ème ligne

Audit interne

  • Evalue de manière indépendante l’ensemble du dispositif
  • Fait des recommandations que les entités doivent intégrer en actions de progrès
  • Fournit aux instances de gouvernance l’assurance raisonnable de l’efficacité de l’ensemble du système (intégrant notamment les 1ère et 2ème lignes)