Document d’enregistrement universel 2020

2.1. Gestion des risques et maîtrise des activités

2. Facteurs de risques et cadre de maîtrise

2.1. Gestion des risques et maîtrise des activités

La section 2.1 « Gestion des risques et maîtrise des activités » décrit les dispositifs de maîtrise des risques et des activités s’appliquant à l’ensemble du Groupe.

La section 2.2 « Risques auxquels le Groupe est exposé », décrit les risques les plus importants auxquels le Groupe estime être exposé, en tenant compte de sa spécificité

2.1 Gestion des risques et maîtrise des activités

Cette section présente les dispositifs de maîtrise des activités et de gestion des risques s’appliquant à l’ensemble du Groupe pour l’année 2020. Ces dispositifs, élaborés et mis en œuvre dans le respect de l’indépendance de gestion des gestionnaires d’infrastructures de réseau, s’inscrivent dans le cadre défini par le corpus des politiques Groupe. Ils obéissent aussi aux principes généraux énoncés dans le cadre de référence de l’AMF relatif à la gestion des risques et au contrôle interne (publié le 22 juillet 2010). Ils s’appuient enfin sur les évolutions constatées dans les principaux référentiels internationaux, en particulier COSO-2013.

2.1.1 Environnement de contrôle

Cadre : le corpus des politiques Groupe

Le groupe EDF a organisé depuis 2017 la maîtrise des activités et des risques autour des politiques Groupe, validées et signées par le Comex. Ce corpus définit l’ensemble des exigences pérennes et transverses à mettre en œuvre dans l’ensemble des entités et filiales du Groupe. Des mises à jour régulières permettent d’adapter les exigences aux évolutions réglementaires ou aux orientations stratégiques. Un travail de révision des politiques Groupe au regard de la raison d’être a été entrepris en 2020.

Finalités du dispositif de maîtrise

Le dispositif de maîtrise des activités et des risques du Groupe, défini dans la politique « Principes de fonctionnement, Maîtrise des Risques et Contrôle Interne » a pour finalités :

  • d’identifier et réinterroger périodiquement le panorama des risques majeurs et opportunités susceptibles d’impacter les objectifs du Groupe, de manière à s’assurer de l’existence et de la mise sous contrôle de plans d’actions pertinents et efficaces ;
  • d’assurer en permanence :
  • la conformité aux lois et règlements, y compris ceux relatifs à l’indépendance de gestion des gestionnaires d’infrastructures de réseau,
  • le bon fonctionnement des processus et des projets,
  • a fiabilité des informations financières et extra-financières,
  • le respect des politiques Groupe,
  • et la maîtrise des activités et des risques de toute nature.
Principes de mise en œuvre

Les principes fondamentaux de mise en œuvre sont fondés sur le modèle des trois lignes de maîtrise :

  • 1re ligne de maîtrise : chaque manager à tout niveau, est responsable d’identifier et de maîtriser les principaux risques liés à ses activités, de s’assurer de cette maîtrise pour les missions qu’il a lui-même confiées à ses collaborateurs, d’adosser et proportionner les dispositifs de maîtrise aux risques identifiés et d’en rendre compte de façon formelle et régulière à son propre manager au moyen
    d’auto-évaluations ;
  • 2e ligne de maîtrise : les fonctions d’appui définissent les exigences communes à l’ensemble du Groupe et animent leur mise sous contrôle. Leur contribution à la maîtrise des activités du Groupe est précisée en section 2.1.2. Parmi elles, les fonctions risques et contrôle interne assurent l’animation du dispositif global de maîtrise et l’élaboration des rapports à destination des instances de gouvernance du Groupe ;
  • 3e ligne de maîtrise : le dispositif d’audit, indépendant, permet de vérifier la pertinence et l’efficacité des dispositifs de maîtrise des activités et des risques des entités du Groupe, de vérifier la maîtrise des principaux processus transverses et projets majeurs du Groupe, et plus généralement, de vérifier le niveau de contrôle des risques du Groupe (voir la section 2.1.3).

L’ensemble des dispositifs fondés sur les trois lignes de maîtrise permet d’apporter aux dirigeants et aux instances de gouvernance du Groupe une
« assurance raisonnable » quant à l’identification et la couverture des principaux risques.

1ère ligne

54 entités opérationnelles

  • Respectent les exigences du corpus des 40 politiques Groupe
  • Mettent en place des contrôles de 1er niveau adaptés à leurs risques et enjeux
  • Réalisent chaque année une cartographie des risques et une auto-évaluation de leur dispositif de maitrise
  • Mettent en œuvre des plans d’actions de progrès et de traitement des risques

2ème ligne

 

 

 

 

Directions fonctionnelles support*

 

 

 

 
  • Définissent et actualisent les 40 politiques Groupe
  • Définissent les fiches de contrôle et d’auto-évaluation de leur domaine à destination des entités opérationnelles / première ligne de maîtrise
  • Mettent en place des contrôles de 2ème niveau organisés au sein de leurs fonctions
  • Analysent la fiabilité des auto-évaluations des entités
  • Coordonnent les plans d’actions de progrès et de traitement des risques de leur fonction

3ème ligne

 

 

 

 

Audit interne (voir 2.1.3)

 

 

 

 
  • Evalue de manière indépendante l’ensemble du dispositif
  • Fait des recommandations que les entités doivent intégrer en actions de progrès
  • Fournit aux instances de gouvernance l’assurance raisonnable de l’efficacité de l’ensemble du système (intégrant notamment les 1ère et 2ème lignes)

* Les politiques Groupes, portées par les directions fonctionnelles de la 2ème ligne de maîtrise, concernent les thèmes suivants : achats et contract management, communication - relations institutionnelles - partenariats, développement durable, éthique et conformité, finances et marchés, gestion de crise et continuité d'activité, gestion de la donnée, immobilier, juridique, management de projets, ressources humaines, contrôle interne, services généraux, sûreté et sécurité du patrimoine, système d’information.