La filière audit du Groupe effectue des audits des entités et des filiales contrôlées, des business units, des projets et des fonctions transverses. Ces audits comprennent l’examen de la robustesse du contrôle interne et sont effectués tous les trois à cinq ans selon leur significativité. La DAi est la seule entité compétente pour réaliser les audits transverses corporate de BUs/projets alors que les Directions d’Audit des filiales effectuent uniquement les audits de leur périmètre.
Le programme d’audit est élaboré à partir des risques du Groupe.
Tous les audits donnent lieu à des recommandations qui, après validation par les audités et leur management, font l’objet de plans d’actions de leur part. Ces plans d’actions sont transmis pour avis à la DAi, qui, par la suite, en assure le suivi, ce dernier commençant, au plus tard 6 mois après la diffusion du rapport d’audit. Un rapport de synthèse semestriel récapitule les principaux constats d’audit corporate et le suivi des plans d’action. Le rapport semestriel présente aussi le bilan du programme d’audit, la satisfaction des audités, l’activité de la filière, un bilan des compétences et le budget. Il identifie par ailleurs les éventuels problèmes récurrents ou génériques apparus dans plusieurs audits et qui méritent une attention particulière. Il donne enfin une vision par l’audit du niveau de contrôle des risques du Groupe. Ce rapport est présenté au Président-Directeur Général, au Comité exécutif, puis au Comité d’audit et au Conseil d’administration.
Comme toutes les sociétés cotées, le groupe EDF est soumis au contrôle de l’AMF. Par son statut de société détenue majoritairement par l’État, EDF est également soumis aux contrôles de la Cour des comptes, des contrôleurs économiques et financiers de l’Inspection des finances et des Commissions des affaires économiques ou de Commissions d’enquête ad hoc de l’Assemblée nationale et du Sénat.
Conformément à la loi, les Commissaires aux comptes certifient les états financiers annuels (comptes sociaux et comptes consolidés) et effectuent un examen limité sur les comptes consolidés semestriels résumés du Groupe. Leur rapport sur les comptes annuels inclut les vérifications sur les informations sur le gouvernement d’entreprise requises par les articles L. 225-37 alinéa 6 du Code de commerce.
Compte tenu de son activité, EDF fait également l’objet de contrôles, en France, par la Commission de régulation de l’énergie (CRE) et par l’Autorité de sûreté nucléaire (ASN).
Les programmes de maîtrise des activités sont mis en place pour sécuriser l’atteinte des exigences énoncées dans les politiques Groupe validées en Comex (voir encadré de la section 2.1.2) et sélectionnés en fonction des risques majeurs.
La Direction Éthique et Conformité Groupe met en œuvre le programme Éthique et Conformité Groupe à partir des référentiels suivants (voir section 3.1 « neutralité carbone et climat ») :
Le programme Sécurité des informations et des systèmes d’information est couvert par les politiques Sécurité du Patrimoine face à la Malveillance et Sécurité des systèmes d’information et Gouvernance des SI et de la transformation numérique. Elles visent à prévenir le risque d’agression et à en limiter les impacts. Ces politiques sont complétées par une instruction relative à la protection des données personnelles.
Les principaux axes stratégiques de maîtrise des activités visent à :
Une charte d’utilisation des ressources IT fixant les bonnes pratiques IT est annexée au règlement intérieur d’EDF. Des formations et des sensibilisations régulières à la sécurité SI adaptées aux différents profils (utilisateurs, chefs de projets, Responsables sécurité SI…) sont proposées aux salariés. Un reporting relatif à la maîtrise du risque cyber sécurité est assuré auprès du Comité exécutif ainsi que du Comité d’audit du Conseil d’administration. Plusieurs dizaines d’audits de sécurité sont réalisés chaque année par des sociétés externes d’audit sécurité SI qualifiées « PASSI » (Prestataires d’audit de la sécurité des SI) par l’ANSSI (Agence Nationale de la Sécurité des SI), tant sur des infrastructures IT que sur des systèmes d’information métiers. En outre, un reporting mensuel des incidents de sécurité SI est réalisé par le SOC Groupe (Security Operational Center) d’EDF.
Enfin, des exercices de crise SI et cybersécurité sont régulièrement réalisés en vue d’éprouver les différents dispositifs mis en place.
Les principales actions de maîtrise du risque cybersécurité mises en œuvre en 2022 sont décrites dans la section 2.2.4 « Atteintes au patrimoine, notamment attaques cyber » (4D).
Le programme Santé Sécurité du groupe EDF est décrit dans la section 3.3.1.3.1 « Politique Santé Sécurité ».
La politique Engagements du groupe EDF fixe le cadre des décisions d’engagements en termes de pilotage, de gouvernance et de contrôle. Cette politique s’applique à tous les projets d’engagement, quel que soit leur montant pour les entités d’EDF et ses filiales, hors filiales régulées et dans le respect de la gouvernance des sociétés cotées. Avant chaque décision d’engagement, les projets proposés sont accompagnés d’une analyse de risques selon un référentiel méthodologique à disposition de l’ensemble du Groupe. Les projets d’engagements sont examinés, lorsqu’il y a lieu, par le Conseil d’administration comme décrit aux sections 4.2.2.3 « Pouvoirs et missions du Conseil d’administration » et 4.2.2.9 « Activité du Conseil d’administration en 2022 ».
Les projets stratégiques (au-delà des seuils définis dans la politique Engagements) sont examinés par le Comité des engagements du Comité exécutif Groupe (CECEG).
Les projets de cessions stratégiques font l’objet d’une instruction séparée et sont supervisés par le Comité des cessions (émanation du CECEG) afin de préserver confidentialité et réactivité.
