2. Facteurs de risques et cadre de maîtrise

Périmètre

Concernant le périmètre contrôlé (hors filiales gestionnaires d’infrastructures régulées), ces finalités et principes sont mis en œuvre par les entités ou filiales dirigées par des membres du Comex, qui s’assurent elles-mêmes de leur mise en œuvre dans les entités ou filiales qu’elles contrôlent.

Concernant les autres filiales du Groupe (filiales gestionnaires d’infrastructures régulées et participations significatives), les représentants d’EDF au sein des instances de gouvernance s’assurent de la mise en place d’un dispositif de maîtrise des activités et des risques, d’une information régulière sur la cartographie des risques, le contrôle interne et les activités d’audit (programme et principaux résultats) ; ils peuvent également s’assurer de l’efficacité et de la pertinence de chacun de ces dispositifs par un audit d’entité périodique. Les principes applicables font l’objet d’une adaptation pour les gestionnaires d’infrastructures régulées afin de garantir le respect des obligations relatives à leur indépendance de gestion.

Les instances de pilotage

L’organisation de la Direction Générale d’EDF est définie en section 4.3.1 « Composition du Comité exécutif ». Chaque membre du Comité exécutif a la responsabilité de déployer toutes les actions nécessaires à la maîtrise des risques de son périmètre.

Le Comité des risques

Le Comité exécutif se réunit au moins deux fois par an en configuration Comité des risques au cours duquel il examine notamment la cartographie des risques du Groupe, le bilan des activités du contrôle interne et les activités d'audit (programme annuel, résultats). Il identifie les risques prioritaires du Groupe, partage leur stratégie de traitement et désigne les membres du Comité exécutif qui en sont les « sponsors ».

Le Comité des Engagements du Comité exécutif Groupe

Afin de renforcer l’instruction et le suivi des projets, le Comité des engagements du Comité exécutif (1) (CECEG) examine de manière approfondie les projets les plus significatifs par l’ampleur des engagements et/ou des risques encourus avant décision du Comité exécutif (voir la section 2.1.2.3 « Approbation des engagements »).

2.1.2 Focus sur la 2e ligne de maîtrise : dispositifs de contrôle transverses

La deuxième ligne est composée de l’ensemble des fonctions d’appui du Groupe (Achats, Communication, Développement Durable, Éthique et Conformité, Finance, Immobilier, Juridique, Ressources Humaines, Risques, Sécurité du Patrimoine, Services Généraux, Systèmes d’Information, Gestion de la donnée). En particulier, ces fonctions d’appui ont pour charge d’animer et coordonner la mise en œuvre des politiques Groupe.

À noter : les aspects relatifs aux ressources humaines du Groupe, incluant notamment la maîtrise des risques relatifs à la santé et la sécurité des salariés et des prestataires, sont détaillés dans la section 3.3.3 du document d’enregistrement universel.

2.1.2.1 La cartographie des risques et le rapport de maîtrise des activités et des risques
Rapport de maîtrise des activités et des risques des entités

Chaque entité du Groupe (53 entités en 2019 couvrant le périmètre d’EDF et des filiales contrôlées) élabore un rapport annuel sur la maîtrise de ses activités et de ses risques réalisé à partir d’une autoévaluation incluant la description de ses actions de progrès. Chaque rapport donne lieu à un engagement signé du Directeur de l’entité sur le niveau de maîtrise atteint et sur les actions engagées.

Ce rapport inclut notamment le contrôle interne, le reporting de sécurité du patrimoine et le reporting d’éthique et conformité.

La partie relative à l’éthique et la conformité répond aux exigences de la politique Éthique et Conformité Groupe, incluant : le dispositif d’alerte éthique, la prévention du risque de corruption (contrôle d’intégrité des relations d’affaires, encadrement des cadeaux et invitations) ; la déontologie financière (prévention du risque de blanchiment et financement du terrorisme, prévention des abus de marché, et conformité au règlement EMIR(2)) ; la prévention des manquements au droit de la concurrence ; la prévention des conflits d’intérêts ; la conformité aux règles de protection des données personnelles ; la lutte contre la fraude ; la lutte contre le harcèlement et la discrimination ; le devoir de vigilance ; la conformité aux réglementations sectorielles (réglementation REMIT(3) sur intégrité et transparence de marchés d’énergie, réglementations concernant les biens à double usage) ; la conformité aux programmes de sanctions internationales.

La partie relative à la sécurité du patrimoine répond aux exigences de la politique Sécurité du patrimoine face à la malveillance, incluant : la sécurité des personnes en déplacement à l’international, la sécurité du patrimoine matériel, et la sécurité du patrimoine immatériel (identification, classification et protection des informations sensibles).

Outre ces thèmes, les autoévaluations rendent compte plus généralement de la maîtrise de l’ensemble de leurs activités « métiers » et de l’ensemble des exigences des autres domaines transverses recensées dans les politiques Groupe, en cohérence avec leur cartographie des risques. Au sein du groupe, 90 % des entités redevables d’un rapport d’autoévaluation « risques & maîtrise des activités » déclarent être dotées d’un PCI (plan de contrôle interne) qui définit un ensemble de contrôles mis en œuvre annuellement.

Enfin, les autoévaluations rendent compte de la maîtrise des exigences relatives au contrôle interne comptable et financier, en cohérence avec le cadre de l’AMF (voir section 2.1.2.4 « Fiabilité de l’information financière, contrôle interne comptable et financier »).

Cartographie des risques des entités

Les entités produisent annuellement une cartographie des risques sur la base d’une méthodologie commune à l’ensemble du Groupe. La démarche de construction de la cartographie des risques des entités repose sur :

  • le principe de responsabilité du management évoqué à la section 2.1.1 
    « Environnement de contrôle » ;
  • une typologie des risques incluant les risques internes ou externes, opérationnels ou stratégiques ainsi que les opportunités ;
  • une méthode d’évaluation qualitative de l’impact, de la probabilité et du niveau de maîtrise de chaque risque ;
  • la description de plans d’actions de traitement des risques et l’évaluation 
    de leur efficacité.

De nombreux échanges entre la Direction des Risques Groupe et les entités ont pour but de réinterroger la pertinence des risques ainsi que la robustesse des actions de maîtrise engagées.

Méthodes et Outils : En appui des démarches risques et contrôle interne, plusieurs documents méthodologiques et outils sont mis à disposition des entités :

  • un guide méthodologique d’analyse de risque et un progiciel (SIGR) à l’appui des cartographies des risques des entités ;
  • un guide de contrôle interne, une trame détaillée d’autoévaluation et une plateforme numérique de partage et de synthèse des autoévaluations.
Cartographie des risques Groupe

Sur la base de ces reportings, complétés par un examen croisé avec la Direction de l’Audit interne, la Direction des Risques du groupe EDF élabore la cartographie consolidée de ses risques majeurs incluant le bilan d’ensemble du contrôle interne et permettant aux Dirigeants et aux organes de gouvernance de disposer d’une vision consolidée, régulièrement mise à jour des risques majeurs et de leur niveau de contrôle(4). Ces documents font l’objet d’une validation par le Comité des risques et d’une présentation au Conseil d’administration après examen par le Comité d’audit.

Le Comité des risques identifie, au sein de la cartographie des risques du Groupe, un ensemble plus restreint de « risques prioritaires », sélectionnés pour leur importance opérationnelle ou stratégique.

(1) La composition du Comité des engagements du Comité exécutif Groupe est la même que celle du Comité exécutif.
(2) European Market Infrastructure Regulation (EMIR) : règlement européen sur les infrastructures de marché.
(3) Regulation on Wholesale Energy Market Integrity and Transparency (REMIT) : règlement européen relatif à l’intégrité et à la transparence des marchés de gros de l’énergie.
(4) La cartographie des risques du Groupe inclut notamment les risques environnementaux et les risques liés au changement climatique (risques physiques et risques de transition). Ces risques sont décrits à la section 2.2 « Risques auxquels le Groupe est exposé » ; la réponse stratégique concernant les défis du changement climatique est décrite à la section 3.3.2 « EDF, entreprise responsable à l’égard de l’environnement ».