Document d'enregistrement Universel 2022

2.1.3 Les principaux programmes de maîtrise des activités

2.1 Gestion des risques et maîtrise des activités

2.1.3 Les principaux programmes de maîtrise des activités
Modalités de fonctionnement

La filière audit du Groupe effectue des audits des entités et des filiales contrôlées, des business units, des projets et des fonctions transverses. Ces audits comprennent l’examen de la robustesse du contrôle interne et sont effectués tous les trois à cinq ans selon leur significativité. La DAi est la seule entité compétente pour réaliser les audits transverses corporate de BUs/projets alors que les Directions d’Audit des filiales effectuent uniquement les audits de leur périmètre.

Le programme d’audit est élaboré à partir des risques du Groupe.

Tous les audits donnent lieu à des recommandations qui, après validation par les audités et leur management, font l’objet de plans d’actions de leur part. Ces plans d’actions sont transmis pour avis à la DAi, qui, par la suite, en assure le suivi, ce dernier commençant, au plus tard 6 mois après la diffusion du rapport d’audit. Un rapport de synthèse semestriel récapitule les principaux constats d’audit corporate et le suivi des plans d’action. Le rapport semestriel présente aussi le bilan du programme d’audit, la satisfaction des audités, l’activité de la filière, un bilan des compétences et le budget. Il identifie par ailleurs les éventuels problèmes récurrents ou génériques apparus dans plusieurs audits et qui méritent une attention particulière. Il donne enfin une vision par l’audit du niveau de contrôle des risques du Groupe. Ce rapport est présenté au Président-Directeur Général, au Comité exécutif, puis au Comité d’audit et au Conseil d’administration.

Les contrôles externes

Comme toutes les sociétés cotées, le groupe EDF est soumis au contrôle de l’AMF. Par son statut de société détenue majoritairement par l’État, EDF est également soumis aux contrôles de la Cour des comptes, des contrôleurs économiques et financiers de l’Inspection des finances et des Commissions des affaires économiques ou de Commissions d’enquête ad hoc de l’Assemblée nationale et du Sénat.

Conformément à la loi, les Commissaires aux comptes certifient les états financiers annuels (comptes sociaux et comptes consolidés) et effectuent un examen limité sur les comptes consolidés semestriels résumés du Groupe. Leur rapport sur les comptes annuels inclut les vérifications sur les informations sur le gouvernement d’entreprise requises par les articles L. 225-37 alinéa 6 du Code de commerce.

Compte tenu de son activité, EDF fait également l’objet de contrôles, en France, par la Commission de régulation de l’énergie (CRE) et par l’Autorité de sûreté nucléaire (ASN).

2.1.3 Les principaux programmes de maîtrise des activités

Les programmes de maîtrise des activités sont mis en place pour sécuriser l’atteinte des exigences énoncées dans les politiques Groupe validées en Comex (voir encadré de la section 2.1.2) et sélectionnés en fonction des risques majeurs.

2.1.3.1 Le programme Éthique et Conformité Groupe

La Direction Éthique et Conformité Groupe met en œuvre le programme Éthique et Conformité Groupe à partir des référentiels suivants (voir section 3.1 « neutralité carbone et climat ») :

  • la politique Éthique et Conformité Groupe (PECG) édicte les principales règles que les Dirigeants doivent impérativement connaître, respecter et faire respecter dans leurs entités, en stricte adéquation avec les risques de leur entité. La PECG est complétée par des notes d’instruction et des guides supports destinés à appuyer son déploiement dont notamment le contrôle d’intégrité des relations d’affaires, la déontologie financière, la protection des données personnelles, la lutte contre la fraude, l’encadrement des cadeaux et invitations, la prévention des conflits d’intérêts et le devoir de vigilance. La PECG est la référence supra à la charte éthique Groupe et au code de conduite éthique et conformité, actualisable en fonction des nouvelles réglementations applicables, et soumis à audit ;
  • la Charte éthique Groupe construite autour des trois valeurs du Groupe (Respect, Solidarité, Responsabilité) définit les exigences devant guider l’action et la conduite des salariés du Groupe au quotidien ;
  • le code de conduite éthique et conformité, revu en 2021, est décliné dans les règlements intérieurs des entités et constitue le document de référence en matière de prévention de la corruption. Il s’applique à tous les salariés (exigences de la loi Sapin II) ;
  • le dispositif d’alerte éthique et conformité du groupe EDF permet aux salariés et collaborateurs extérieurs (personnel intérimaire, salarié d’un prestataire de services etc.) ou occasionnels (CDD, apprentis, stagiaires etc.) du Groupe d’effectuer un signalement conformément à la loi « Sapin II » du 9 décembre 2016, relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (voir section  3.3.2.4 «  La procédure d’alerte du groupe EDF »). Ce même dispositif d’alerte est également ouvert aux tiers pour les thématiques relevant de la loi « Devoir de Vigilance » du 27  mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d’ordre.
2.1.3.2 Le programme Sécurité du patrimoine et des systèmes d’information

Le programme Sécurité des informations et des systèmes d’information est couvert par les politiques Sécurité du Patrimoine face à la Malveillance et Sécurité des systèmes d’information et Gouvernance des SI et de la transformation numérique. Elles visent à prévenir le risque d’agression et à en limiter les impacts. Ces politiques sont complétées par une instruction relative à la protection des données personnelles.

Les principaux axes stratégiques de maîtrise des activités visent à :

  • légitimer et renforcer la gouvernance et le pilotage ;
  • généraliser la culture sécurité à l’échelle du Groupe ;
  • sécuriser les fonctions les plus critiques en lien fort avec les Métiers ;
  • anticiper, renforcer et conserver l’homogénéité de la surveillance et la capacité de réaction en cas d’incident.

Une charte d’utilisation des ressources IT fixant les bonnes pratiques IT est annexée au règlement intérieur d’EDF. Des formations et des sensibilisations régulières à la sécurité SI adaptées aux différents profils (utilisateurs, chefs de projets, Responsables sécurité SI…) sont proposées aux salariés. Un reporting relatif à la maîtrise du risque cyber sécurité est assuré auprès du Comité exécutif ainsi que du Comité d’audit du Conseil d’administration. Plusieurs dizaines d’audits de sécurité sont réalisés chaque année par des sociétés externes d’audit sécurité SI qualifiées « PASSI » (Prestataires d’audit de la sécurité des SI) par l’ANSSI (Agence Nationale de la Sécurité des SI), tant sur des infrastructures IT que sur des systèmes d’information métiers. En outre, un reporting mensuel des incidents de sécurité SI est réalisé par le SOC Groupe (Security Operational Center) d’EDF.

Enfin, des exercices de crise SI et cybersécurité sont régulièrement réalisés en vue d’éprouver les différents dispositifs mis en place.

Les principales actions de maîtrise du risque cybersécurité mises en œuvre en 2022 sont décrites dans la section 2.2.4 « Atteintes au patrimoine, notamment attaques cyber » (4D).

2.1.3.3 Le programme Santé Sécurité

Le programme Santé Sécurité du groupe EDF est décrit dans la section 3.3.1.3.1 « Politique Santé Sécurité ».

2.1.3.4 Approbation des engagements

La politique Engagements du groupe EDF fixe le cadre des décisions d’engagements en termes de pilotage, de gouvernance et de contrôle. Cette politique s’applique à tous les projets d’engagement, quel que soit leur montant pour les entités d’EDF et ses filiales, hors filiales régulées et dans le respect de la gouvernance des sociétés cotées. Avant chaque décision d’engagement, les projets proposés sont accompagnés d’une analyse de risques selon un référentiel méthodologique à disposition de l’ensemble du Groupe. Les projets d’engagements sont examinés, lorsqu’il y a lieu, par le Conseil d’administration comme décrit aux sections 4.2.2.3 «  Pouvoirs et missions du Conseil d’administration » et 4.2.2.9 « Activité du Conseil d’administration en 2022 ».

Les projets stratégiques (au-delà des seuils définis dans la politique Engagements) sont examinés par le Comité des engagements du Comité exécutif Groupe (CECEG).

Les projets de cessions stratégiques font l’objet d’une instruction séparée et sont supervisés par le Comité des cessions (émanation du CECEG) afin de préserver confidentialité et réactivité.