Document d’enregistrement universel 2020

2. Facteurs de risques et cadre de maîtrise

Périmètre

Concernant le périmètre contrôlé (qui n’inclut pas les filiales gestionnaires d’infrastructures régulées), ces finalités et principes sont mis en œuvre par les entités ou filiales, qui s’assurent elles-mêmes de leur mise en œuvre dans les entités ou filiales qu’elles contrôlent.

Concernant les autres filiales du Groupe (filiales gestionnaires d’infrastructures régulées et participations significatives), les représentants d’EDF au sein des instances de gouvernance s’assurent de la mise en place d’un dispositif de maîtrise des activités et des risques, d’une information régulière sur la cartographie des risques, le contrôle interne et les activités d’audit (programme et principaux résultats) ; ils peuvent également s’assurer de l’efficacité et de la pertinence de chacun de ces dispositifs par un audit d’entité périodique. Les principes applicables font l’objet d’une adaptation pour les gestionnaires d’infrastructures régulées afin de garantir le respect des obligations relatives à leur indépendance de gestion.

Les instances de pilotage

L’organisation de la Direction Générale d’EDF est définie en section 4.3.1
« Composition du Comité exécutif ». Chaque membre du Comité exécutif a la responsabilité de déployer toutes les actions nécessaires à la maîtrise des risques de son périmètre.

Le Comité des risques

Le Comité exécutif se réunit au moins deux fois par an en configuration Comité des risques au cours duquel il examine notamment la cartographie des risques du Groupe, le bilan des activités du contrôle interne et les activités d’audit (programme annuel, résultats). Il identifie les risques prioritaires du Groupe, partage leur stratégie de traitement et désigne les membres du Comité exécutif qui en sont les 
« sponsors ».

Le Comité des engagements du Comité exécutif Groupe

Afin de renforcer l’instruction et le suivi des projets, le Comité des engagements du Comité exécutif (CECEG)(1) examine de manière approfondie les projets les plus significatifs par l’ampleur des engagements et/ou des risques encourus avant décision du Comité exécutif (voir la section 2.1.2.3 « Approbation des engagements »).

2.1.2 Focus sur la 2e ligne de maîtrise : dispositifs de contrôle transverses

La deuxième ligne est composée de l’ensemble des directions fonctionnelles, en charge d’animer et coordonner la mise en œuvre des politiques Groupe qu’elles portent. Ce focus porte spécifiquement sur les dispositifs de contrôle transverse suivants : cartographie des risques et rapport de maîtrise des activitités et des risques, programme éthique et conformité, approbation des engagements, fiabilité de l’information financière, gestion de crise et continuité d’activité, assurances.

À noter : les aspects relatifs aux ressources humaines du Groupe, incluant notamment la maîtrise des risques relatifs à la santé et la sécurité des salariés et des prestataires, sont détaillés dans la section 3.3.1.3 « Santé et sécurité des salariés et des
sous-traitants » du document d’enregistrement universel.

2.1.2.1 La cartographie des risques et le rapport de maîtrise des activités et des risques
Rapport de maîtrise des activités et des risques des entités

Chaque entité du Groupe (54 entités en 2020 couvrant le périmètre d’EDF et des filiales contrôlées) élabore un rapport annuel sur la maîtrise de ses activités et de ses risques réalisé à partir d’une autoévaluation incluant la description de ses actions de progrès. Chaque rapport donne lieu à un engagement signé du Directeur de l’entité sur le niveau de maîtrise atteint et sur les actions engagées.

Ce rapport inclut notamment le contrôle interne, le reporting de sécurité du patrimoine et le reporting d’éthique et conformité.

La partie relative à l’éthique et la conformité répond aux exigences de la politique Éthique et Conformité Groupe, incluant : le dispositif d’alerte éthique ; la prévention du risque de corruption (contrôle d’intégrité des relations d’affaires, encadrement des cadeaux et invitations) ; la déontologie financière (prévention du risque de blanchiment et financement du terrorisme, prévention des abus de marché, et conformité au règlement EMIR(2) ) ; la prévention des manquements au droit de la concurrence ; la prévention des conflits d’intérêts ; la conformité aux règles de protection des données personnelles ; la lutte contre la fraude ; la lutte contre le harcèlement et la discrimination ; le devoir de vigilance ; la conformité aux réglementations sectorielles (réglementation REMIT(3) sur l’intégrité et la transparence des marchés de l’énergie, réglementations Export Control concernant les biens à double usage) ; la conformité aux programmes de sanctions internationales.

La partie relative à la sécurité du patrimoine répond aux exigences de la politique Sécurité du patrimoine face à la malveillance, incluant : la sécurité des personnes en déplacement à l’international, la sécurité du patrimoine matériel et la sécurité du patrimoine immatériel (identification, classification et protection des informations sensibles).

Outre ces thèmes, les autoévaluations des entités rendent compte plus généralement de la maîtrise de l’ensemble de leurs activités « métiers » et de l’ensemble des exigences des autres domaines transverses recensées dans les politiques Groupe, en cohérence avec leur cartographie des risques.

Enfin, les autoévaluations rendent compte de la maîtrise des exigences relatives au contrôle interne comptable et financier, en cohérence avec le cadre de l’AMF
(voir section 2.1.2.4 « Fiabilité de l’information financière, contrôle interne comptable et financier »).

Cartographie des risques des entités

Les entités produisent annuellement une cartographie des risques sur la base d’une méthodologie commune à l’ensemble du Groupe. La démarche de construction de la cartographie des risques des entités repose sur :

  • le principe de responsabilité du management évoqué à la section 2.1.1
    « Environnement de contrôle » ;
  • une typologie des risques incluant les risques internes ou externes, opérationnels ou stratégiques ainsi que les opportunités ;
  • une méthode d’évaluation qualitative de l’impact, de la probabilité et du niveau de maîtrise de chaque risque ;
  • la description de plans d’actions de traitement des risques et l’évaluation de leur efficacité.

De nombreux échanges entre la Direction des Risques Groupe et les entités ont pour but de réinterroger la pertinence des risques ainsi que la robustesse des actions de maîtrise engagées.

(1) La composition du Comité des engagements du Comité exécutif Groupe est la même que celle du Comité exécutif.

(2) European Market Infrastructure Regulation (EMIR) : règlement européen sur les infrastructures de marché.

(3) Regulation on Wholesale Energy Market Integrity and Transparency (REMIT) : règlement européen relatif à l’intégrité et à la transparence des marchés de gros de l’énergie.