La filière audit du Groupe effectue des audits des entités et des filiales contrôlées, des business units, des projets et des fonctions transverses. Ces audits comprennent l'examen de la robustesse du contrôle interne et sont effectués tous les trois à cinq ans selon leur significativité. La DAi réalise les audits transverses corporate lorsque les Directions d’Audit des filiales effectuent uniquement les audits de leur périmètre. La DAi est la seule entité compétente pour la réalisation des audits de BUs/projets relevant d’un risque de niveau corporate.
Le programme d’audit est élaboré à partir de l’univers des risques prioritaires Groupe ; toutes les BUs, projets et processus Groupe devant être régulièrement audités.
Tous les audits donnent lieu à des recommandations qui, après validation par les audités et leur management, font l’objet de plans d’actions de leur part. Ces plans d'actions sont transmis pour avis à la DAi, qui, par la suite, en assure le suivi, ce dernier commençant, au plus tard 6 mois après la diffusion du rapport d’audit. Un rapport de synthèse semestriel récapitule les principaux constats d’audit corporate et le suivi des plans d’actions. Le rapport semestriel présente aussi le bilan du programme d’audit, la satisfaction des audités, l’activité de la filière ainsi qu'un bilan des compétences et le budget. Il identifie par ailleurs les éventuels problèmes récurrents ou génériques apparus dans plusieurs audits et qui méritent une attention particulière. Il donne enfin une vision par l’audit du niveau de contrôle des risques du Groupe. Ce rapport est présenté au Président-Directeur Général, au Comité exécutif, puis au Comité d’audit et au Conseil d’administration.
Comme toutes les sociétés cotées, le groupe EDF est soumis au contrôle de l’AMF. Par son statut de société détenue majoritairement par l’État, EDF est également soumis aux contrôles de la Cour des comptes, des contrôleurs d’État, de l'Inspection des finances et des Commissions des affaires économiques ou de Commissions D'enquête ad hoc de l’Assemblée nationale et du Sénat.
Conformément à la loi, les Commissaires aux comptes certifient les états financiers annuels (comptes sociaux et comptes consolidés) et effectuent un examen limité sur les comptes consolidés semestriels résumés du Groupe. Leur rapport sur les comptes annuels inclut les vérifications sur les informations sur le gouvernement d'entreprise requises par les articles L. 225-237-3 et suivants du Code de commerce.
Compte tenu de son activité, EDF fait également l’objet de contrôles, en France, par la Commission de régulation de l’énergie (CRE) ainsi que par l’Autorité de sûreté nucléaire (ASN).
Les programmes de maîtrise des activités sont mis en place pour sécuriser l'atteinte des exigences énoncées dans les politiques Groupe validées en COMEX (voir encadré du § 2.1.2) et sélectionnés en fonction des risques majeurs.
La Direction Éthique et Conformité Groupe met en œuvre le programme Éthique et Conformité Groupe à partir des référentiels suivants (voir section 3.1 « EDF, entreprise responsable ») :
Les principaux axes stratégiques de maîtrise des activités visent à généraliser la culture sécurité à l’échelle du Groupe, légitimer et renforcer la gouvernance et le pilotage au niveau des entités notamment en mettant à disposition des outils d'acculturation et de suivi des incidents. Le programme Sécurité du patrimoine est couvert par la politique Sécurité du Patrimoine face à la malveillance. Il vise à prévenir les risques d’atteinte au patrimoine du Groupe et à en limiter les impacts.
Le programme Sécurité des informations et des systèmes d’information est couvert par les politiques Sécurité du Patrimoine face à la malveillance et Sécurité des systèmes d’information ; elles visent à prévenir le risque d’agression et à en limiter les impacts. Ces politiques sont complétées par une instruction relative à la protection des données personnelles.
Les principaux axes stratégiques de maîtrise des activités visent à : légitimer et renforcer la gouvernance et le pilotage, généraliser la culture sécurité à l’échelle du Groupe, sécuriser les fonctions les plus critiques en lien fort avec les Métiers, anticiper, renforcer et conserver l’homogénéité de la surveillance et la capacité de réaction en cas d’incident.
Une charte d’utilisation des ressources IT est annexée au règlement intérieur de l'entreprise. Des formations et des sensibilisations régulières à la sécurité SI adaptées aux différents profils (utilisateurs, chefs de projets, Responsables sécurité SI…) sont proposées aux salariés. Un reporting relatif à la maîtrise du risque cybersécurité est assuré auprès du Comité exécutif ainsi que du Comité d’audit du Conseil d’administration. Plusieurs dizaines d’audits de sécurité sont réalisés chaque année par des sociétés externes d’audit sécurité SI qualifiées « PASSI » (Prestataires d’audit de la sécurité des SI) par l’ANSSI (Agence Nationale de la Sécurité des SI), tant sur des infrastructures IT que sur des systèmes d’information métiers. En outre, un reporting mensuel des incidents de sécurité SI est réalisé par le SOC Groupe (Security Operational Center) d’EDF.
Enfin, des exercices de crise SI et cyber sécurité sont régulièrement réalisés en vue d'éprouver les différents dispositifs mis en place.
Les principales actions de maîtrise du risque cybersécurité mises en œuvre en 2021 sont décrites dans la section 2.2.4 « Risques liés à la performance opérationnelle» (4D).
Le programme Santé Sécurité du groupe EDF est décrit dans la section 3.3.1.3.1 « Politique Santé Sécurité ».
La politique Engagements du groupe EDF fixe le cadre des décisions d’engagements en termes de pilotage, de gouvernance et de contrôle. Cette politique s’applique à tous les projets d’engagement, quel que soit leur montant pour l’ensemble des entités d’EDF et des filiales, hors filiales régulées et dans le respect de la gouvernance des sociétés cotées. Avant chaque décision d’engagement, les projets proposés sont accompagnés d’une analyse de risques selon un référentiel méthodologique à disposition de l’ensemble du Groupe. Les projets stratégiques (au-delà des seuils définis dans la politique Engagements) sont examinés par le Comité des engagements du Comité exécutif Groupe (CECEG).