La section 2.1 « Gestion des risques et maîtrise des activités » décrit les dispositifs de maîtrise des risques et des activités s’appliquant à l’ensemble du Groupe.

La section 2.2 « Risques auxquels le Groupe est exposé », décrit les risques les plus importants auxquels le Groupe estime être exposé, en tenant compte de sa spécificité.

2.1. Gestion des risques et maîtrise des activités

Cette section présente les dispositifs de maîtrise des activités (contrôle interne) et de gestion des risques s’appliquant à l’ensemble du Groupe, en soulignant les nouveautés de 2019. Ces dispositifs s’inscrivent dans le cadre défini par le corpus des politiques Groupe. Ils obéissent aussi aux principes généraux énoncés dans le cadre de référence de l’AMF relatif à la gestion des risques et au contrôle interne (publié le 22 juillet 2010). Ils s’appuient enfin sur les évolutions constatées dans les principaux référentiels internationaux, en particulier COSO-2013.

2.1.1 Environnement de contrôle

Cadre : le corpus des politiques Groupe

Le groupe EDF a organisé depuis 2017 la maîtrise des activités et des risques au tour des politiques Groupe, validées et signées par le Comex. Ce corpus définit l’ensemble des exigences pérennes et transverses à mettre en œuvre dans l’ensemble des entités et filiales du Groupe. Il traite de l’ensemble des thèmes transverses communs à l’ensemble du Groupe. Des mises à jour régulières permettent d’adapter les exigences aux évolutions réglementaires ou aux orientations stratégiques.

Finalités du dispositif de maîtrise

Le dispositif de maîtrise des activités et des risques du Groupe, défini dans la politique « Principes de fonctionnement, Maîtrise des Risques et Contrôle Interne » a
pour finalités :

• d’identifier et ré interroger périodiquement le panorama des risques majeurs et opportunités susceptibles d’impacter les objectifs du Groupe, de manière à s’assurer de l’existence et de la mise sous contrôle de plans d’actions pertinents et efficaces ;
• d’assurer en permanence :
  • la conformité aux lois et règlements,
  • le bon fonctionnement des processus et des projets,
  • la fiabilité des informations financières et extra-financières,
  • le respect des politiques Groupe,
  • et la maîtrise des activités et des risques de toute nature.

Principes de mise en œuvre

Les principes fondamentaux de mise en œuvre sont fondés sur le modèle des trois
lignes de maîtrise :

• 1^ère ligne de maîtrise : chaque manager à tout niveau, est responsable : d’identifier et de maîtriser les principaux risques liés à ses activités, de s’assurer de cette maîtrise pour les missions qu’il a lui-même confiées à ses collaborateurs, d’adosser et proportionner les dispositifs de maîtrise aux risques identifiés et d'en rendre compte de façon formelle et régulière à son propre manager au moyen d’autoévaluations ;
• 2^e ligne de maîtrise : les fonctions d’appui définissent les exigences communes à l’ensemble du Groupe et animent leur mise sous contrôle. Leur contribution à la maîtrise des activités du Groupe est précisée en section 2.1.2. Parmi elles, les fonctions risques et contrôle interne assurent l’animation du dispositif global de maîtrise et l’élaboration des rapports à destination des instances de gouvernance du Groupe ;
• 3^e ligne de maîtrise : le dispositif d’audit, indépendant, permet de vérifier la pertinence et l’efficacité des dispositifs de maîtrise des activités et des risques des entités du Groupe, de vérifier la maîtrise des principaux processus transverses et projets majeurs du Groupe, et plus généralement, de vérifier le niveau de contrôle des risques du Groupe (voir la section 2.1.3).

L’ensemble des dispositifs fondés sur les trois lignes de maîtrise permet d’apporter aux dirigeants et aux instances de gouvernance du Groupe une « assurance raisonnable » quant à l’identification et la couverture des principaux risques.