2.1 Gestion des risques et maîtrise des activités
2.1.2 Principes de mise en œuvrePérimètre
Concernant le périmètre contrôlé (hors filiales gestionnaires d’infrastructures régulées), ces finalités et principes sont mis en œuvre par les entités ou filiales, qui s’assurent elles-mêmes de leur mise en œuvre dans les entités ou filiales qu’elles contrôlent.
Concernant les autres filiales du Groupe (filiales gestionnaires d’infrastructures régulées et participations significatives), les représentants d’EDF au sein des instances de gouvernance s’assurent de la mise en place d’un dispositif de maîtrise des activités et des risques, d’une information régulière sur la cartographie des risques, le contrôle interne et les activités d’audit (programme et principaux résultats). Ils peuvent également s’assurer de l’efficacité et de la pertinence de chacun de ces dispositifs par un audit d’entité périodique. Les principes applicables font l’objet d’une adaptation pour les gestionnaires d’infrastructures régulées afin de garantir le respect des obligations relatives à leur indépendance de gestion.
2.1.2 Principes de mise en œuvre
L’ensemble du dispositif fondé sur les trois lignes de maîtrise permet d’apporter aux dirigeants et aux instances de gouvernance du Groupe une garantie adaptée à l’identification et la couverture des principaux risques.
Ce schéma nous montre les principes de la mise en oeuvre
La 1re ligne de maîtrise
50 entités opérationnelles
-
Sont responsables :
- d’appliquer les 40 politiques Groupe ;
- d’identifier les risques liés à leurs activités ;
- d’adosser et de proportionner les dispositifs de maîtrise aux risques identifiés ;
- de rendre compte de façon formelle et régulière au moyen de contrôles de 1er niveau ;
- de mettre en œuvre des plans d’actions de progrès et de traitement des risques.
La 2e ligne de maîtrise
Directions fonctionnelles support
-
- définissent les exigences communes à l’ensemble du Groupe à travers les politiques Groupe ;
- définissent les fiches de contrôle et d’auto-évaluation de leur domaine ;
- analysent la fiabilité des auto-évaluations des entités ;
- coordonnent les plans d’actions de progrès et de traitement des risques de leur fonction ;
- mettent en place des contrôles de 2ème niveau.
La 3e ligne de maîtrise
Audit interne
-
- évalue de manière indépendante l’ensemble du dispositif ;
- fait des recommandations que les entités doivent intégrer en action de progrès ;
- fournit aux instances de gouvernance l’assurance raisonnable de l’efficacité de l’ensemble du système (intégrant notamment les 1ère et 2ème lignes).
Contrôles externes
1re ligne de maîtrise : conduite des opérations
Rapport de maîtrise des activités et des risques des entités
Chaque entité du Groupe (50 entités en 2022 couvrant le périmètre d’EDF et des filiales contrôlées) élabore un rapport annuel de maîtrise de ses activités et de ses risques, comprenant une autoévaluation ainsi qu’une réponse aux « actions essentielles de progrès du Groupe ». Chaque rapport donne lieu à un engagement signé du Directeur de l’entité sur le niveau de maîtrise atteint et un plan d’actions.
Les autoévaluations des entités rendent compte de la maîtrise de leurs activités « métiers » et des exigences des domaines transverses mentionnées dans les politiques Groupe, en cohérence avec leur cartographie des risques. Ce rapport inclut notamment les autoévaluations de maîtrise des exigences relatives au contrôle interne comptable et financier, en cohérence avec le cadre de l’AMF (voir section 2.1.3.5 « Fiabilité de l’information financière - contrôle interne comptable et financier »).
Au sein du Groupe, 88 % des entités redevables d’un rapport d’autoévaluation « risques & maîtrise des activités » déclarent être dotées d’un plan de contrôle interne incluant un ensemble de contrôles mis en œuvre annuellement.
Cartographie des risques des entités
Les entités et filiales produisent annuellement une cartographie des risques sur la base d’une méthodologie commune au Groupe. La démarche de construction de la cartographie des risques des entités repose sur :
- le principe de responsabilité du management ;
- une typologie des risques incluant les risques internes ou externes, opérationnels ou stratégiques ainsi que les opportunités ;
- une méthode d’évaluation qualitative de l’impact, de la probabilité et du niveau de maîtrise de chaque risque ;
- des plans d’actions de traitement des risques et une évaluation de leur efficacité.
De nombreux échanges entre la Direction des Risques Groupe et les entités et filiales ont pour but de réinterroger la pertinence des risques ainsi que la robustesse des actions de maîtrise engagées.
Méthodes et Outils : En appui de ces démarches, des documents méthodologiques et outils sont mis à disposition des entités et filiales :
- un guide méthodologique d’analyse de risques et un progiciel à l’appui de la cartographie des risques des entités ;
- un guide de contrôle interne, une trame détaillée d’autoévaluation et une plateforme numérique de partage et de synthèse des autoévaluations.