Document d'Enregistrement Universel 2021

2. Facteurs de risques et cadres de maîtrise

Périmètre

Concernant le périmètre contrôlé (hors filiales gestionnaires d'infrastructures régulées), ces finalités et principes sont mis en œuvre par les entités ou filiales, qui s'assurent elles-mêmes de leur mise en œuvre dans les entités ou filiales qu'elles contrôlent.

Concernant les autres filiales du Groupe (filiales gestionnaires d'infrastructures régulées et participations significatives), les représentants d’EDF au sein des instances de gouvernance s’assurent de la mise en place d’un dispositif de maîtrise des activités et des risques, d’une information régulière sur la cartographie des risques, le contrôle interne et les activités d’audit (programme et principaux résultats) ; ils peuvent également s’assurer de l’efficacité et de la pertinence de chacun de ces dispositifs par un audit d’entité périodique. Les principes applicables font l’objet d’une adaptation pour les gestionnaires d’infrastructures régulées afin de garantir le respect des obligations relatives à leur indépendance de gestion.

2.1.2 Principes de mise en œuvre

L’ensemble du dispositif fondé sur les trois lignes de maîtrise permet d’apporter aux dirigeants et aux instances de gouvernance du Groupe une « assurance raisonnable » quant à l’identification et la couverture des principaux risques.

Comité exécutif

1ère ligne de maîtrise

54 entités opérationnelles

Sont responsables :

  • d’appliquer les 40 politiques Groupe ;
  • d’identifier les risques liés à leurs activités ;
  • d’adosser et de proportionner les dispositifs de maîtrise aux risques identifiés ;
  • de rendre compte de façon formelle et régulière au moyen de contrôles de 1er niveau ;
  • de mettre en œuvre des plans d’actions de progrès et de traitement des risques.

2ème ligne de maîtrise

Directions fonctionnelles support

  • Définissent les exigences communes à l’ensemble du Groupe à travers les politiques Groupe ;
  • Définissent les fiches de contrôle et d’auto-évaluation de leur domaine ;
  • Analysent la fiabilité des auto-évaluations des entités ;
  • Coordonnent les plans d’actions de progrès et de traitement des risques de leur fonction ;
  • Mettent en place des contrôles de 2ème niveau.

3ème ligne de maîtrise

Audit Interne

  • Évalue de manière indépendante l’ensemble du dispositif ;
  • Fait des recommandations que les entités doivent intégrer en actions de progrès ;
  • Fournit aux instances de gouvernance l’assurance raisonnable de l’efficacité de l’ensemble du système (intégrant notamment les 1ère et 2ème lignes).

Contrôles externes

1re ligne de maîtrise : conduite des opérations
Rapport de maîtrise des activités et des risques des entités

Chaque entité du Groupe (53 entités en 2021 couvrant le périmètre d’EDF et des filiales contrôlées) élabore un rapport annuel sur la maîtrise de ses activités et de ses risques, réalisé à partir d’une autoévaluation incluant la description de ses actions de progrès. Chaque rapport donne lieu à un engagement signé du Directeur De l’entité sur le niveau de maîtrise atteint et sur les actions engagées.

Les autoévaluations des entités rendent compte de la maîtrise de l’ensemble de leurs activités « métiers » et de l’ensemble des exigences des autres domaines transverses recensées dans les politiques Groupe, en cohérence avec leur cartographie des risques. Ce rapport inclut notamment les autoévaluations de maîtrise des exigences relatives au contrôle interne comptable et financier, en cohérence avec le cadre de l’AMF (voir section 2.1.3.5 « Fiabilité de l'information financière, contrôle interne comptable et financier »).

Au sein du Groupe, 83 % des entités redevables d’un rapport d’autoévaluation « risques & maîtrise des activités » déclarent être dotées d’un plan de contrôle interne qui définit un ensemble de contrôles mis en œuvre annuellement.

Cartographie des risques des entités

Les entités produisent annuellement une cartographie des risques sur la base d'une méthodologie commune à l’ensemble du Groupe. La démarche de construction de la cartographie des risques des entités repose sur :

  • le principe de responsabilité du management ;
  • une typologie des risques incluant les risques internes ou externes, opérationnels ou stratégiques ainsi que les opportunités ;
  • une méthode d’évaluation qualitative de l’impact, de la probabilité et du niveau de maîtrise de chaque risque ;
  • la description de plans d’actions de traitement des risques et l’évaluation de leur efficacité.

De nombreux échanges entre la Direction des Risques Groupe et les entités ont pour but de réinterroger la pertinence des risques ainsi que la robustesse des actions de maîtrise engagées.

Méthodes et Outils : En appui des démarches risques et contrôle interne, plusieurs documents méthodologiques et outils sont mis à disposition des entités :

  • un guide méthodologique d’analyse de risque et un progiciel à l’appui de la cartographie des risques des entités ;
  • un guide de contrôle interne, une trame détaillée d’autoévaluation et une plateforme numérique de partage et de synthèse des autoévaluations.