EDF / Document de référence 2018

2.

FACTEURS DE RISQUES ET CADRE DE MAÎTRISE La maîtrise des risques et des activités du Groupe

2.2

LA MAÎTRISE DES RISQUES ET DES ACTIVITÉS DU GROUPE

L’objectif de la présente section est de mettre l’accent sur les procédures de contrôle relatives aux activités ou risques estimés significatifs, ainsi que sur les principaux dispositifs pérennes en place en 2018, avec une mise en évidence des évolutions et des actions clés développées durant l’année. Ces procédures de contrôle interne et de gestion des risques s’inscrivent dans le cadre défini par le corpus des politiques Groupe. Elles obéissent aussi aux principes généraux énoncés dans le cadre de référence de l’AMF relatif à la gestion des risques et au contrôle interne (publié le 22 juillet 2010) et s’appuient sur les évolutions constatées dans les principaux référentiels internationaux, en particulier COSO-2013.

projets majeurs du Groupe, et plus généralement, de vérifier le niveau de contrôle des risques du Groupe (voir la section 2.2.1.5 « Les contrôles externes »). L’ensemble des dispositifs fondés sur les trois lignes de maîtrise permet d’apporter aux dirigeants et aux instances de gouvernance du Groupe une « assurance raisonnable » quant à l’identification et la couverture des principaux risques. Périmètre Concernant le périmètre contrôlé (hors filiales gestionnaires d’infrastructures régulées), ces finalités et principes sont mis en œuvre par les directions ou filiales dirigées par des membres du Comex, qui s’assurent elles-mêmes de leur mise en œuvre dans les directions, unités opérationnelles ou filiales qu’elles contrôlent. Concernant les autres filiales du Groupe (filiales gestionnaires d’infrastructures régulées et participations significatives), les représentants d’EDF au sein des instances de gouvernance s’assurent de la mise en place d’un dispositif de maîtrise des activités et des risques, d’une information régulière sur la cartographie des risques, le contrôle interne et les activités d’audit (programme et principaux résultats) ; ils peuvent également s’assurer de l’efficacité et de la pertinence de chacun de ces dispositifs par un audit d’entité périodique. Les principes applicables font toutefois l’objet d’une adaptation pour les gestionnaires d’infrastructures régulées afin de garantir le respect des obligations relatives à leur indépendance de gestion. Délégations de pouvoirs et habilitations 2.2.1.2 techniques Le Président-Directeur Général délègue certains de ses pouvoirs aux membres de l’équipe de Direction, en cohérence avec l’organisation du Groupe et avec les responsabilités confiées aux dirigeants de ces entités. S’agissant des achats, l’organisation mise en place est destinée à assurer une mise sous contrôle des processus. Les contrats d’achats sont signés, selon les seuils, par le Président-Directeur Général, un Directeur Exécutif Groupe ou l’un de leurs délégataires après avoir été visés par le Directeur de la Direction des Achats Groupe ou l’un de ses délégataires, ce visa actant ainsi de la conformité de l’acte au processus achat. Il est également prévu que chaque Directeur Exécutif Groupe concourt au dispositif de contrôle interne sur les actes d’achat soumis à sa signature et ceux traités directement par sa Direction. L’exercice de la responsabilité d’exploitant nucléaire est confiée par délégation du Président-Directeur Général au Directeur Exécutif Groupe en charge de la Direction Parc Nucléaire et Thermique ainsi qu’au Directeur Exécutif Groupe en charge de la Direction Ingénierie et Projets Nouveau Nucléaire, puis elle est subdéléguée aux Directeurs des Divisions concernées qui ont eux-mêmes subdélégué vers les Directeurs d’Unités. Les habilitations sont délivrées par chaque chef d’établissement, qui doit s’assurer au préalable des compétences des subdélégués et des moyens mis à leur disposition. Ces exigences s’appliquent à l’ensemble des intervenants, personnels EDF et prestataires. L’instruction Groupe Délégations de pouvoirs vise à informer et sensibiliser les entités d’EDF sur la nature, les conséquences et les règles de gestion des délégations de pouvoirs. Les instances de pilotage 2.2.1.3 L’organisation de la Direction Générale d’EDF est définie en section 4.3.1 « Composition du Comité exécutif ». Chaque membre du Comité exécutif a la responsabilité de déployer toutes les actions nécessaires à la maîtrise des risques de son périmètre. Le Comité des risques Le Comité exécutif se réunit au moins deux fois par an en configuration Comité des risques au cours duquel il examine notamment la cartographie des risques du Groupe et le bilan des activités du contrôle interne. Il identifie les risques prioritaires du Groupe, partage leur stratégie de traitement au regard de la stratégie et désigne les membres du Comité exécutif qui en sont les « sponsors ». Le Comité des risques examine aussi les activités d’audit (programme annuel, résultats).

2.2.1 Organisation générale 2.2.1.1 Cadre : le corpus des politiques Groupe

ENVIRONNEMENT DE CONTRÔLE

Le groupe EDF a organisé depuis 2017 la maîtrise des activités et des risques autour des politiques Groupe validées et signées par le Comex. Ce corpus définit des exigences pérennes et transverses à destination de l’ensemble des entités et filiales du Groupe. Il traite des thèmes suivants : Pilotage et Fonctionnement, Ethique et Conformité, Sûreté et Sécurité, Développement durable, Ressources humaines, Achats, Immobilier et Services généraux, Juridique, Finances et marchés, Communication, Systèmes d’information et Transformation numérique. Des mises à jour régulières permettent d’adapter les exigences avec les évolutions réglementaires ou les orientations stratégiques. Finalités du dispositif de maîtrise Le dispositif de maîtrise des activités et des risques du Groupe, défini dans la politique « Principes de Fonctionnement du Groupe/Maîtrise des Risques et Contrôle Interne » a pour finalités : d'identifier et réinterroger périodiquement le panorama des risques majeurs et ■ opportunités susceptibles d’impacter les objectifs du Groupe, de manière à s’assurer de l’existence et de la mise sous contrôle de plans d’actions pertinents et efficaces ; d'assurer en permanence : ■ la conformité aux lois et règlements, ■ le respect des politiques Groupe, ■ le bon fonctionnement des processus internes, notamment ceux concourant ■ à la sauvegarde des actifs du Groupe, la fiabilité des informations financières, ■ et de façon générale la maîtrise des activités et des risques de toute nature. ■ Principes de mise en œuvre Les principes fondamentaux de mise en œuvre sont fondés sur le modèle des trois lignes de maîtrise : 1 ère ligne de maîtrise : chacun des managers à tout niveau, pour les missions qui ■ lui sont confiées, est responsable : d’identifier et de maîtriser les principaux risques liés à ses activités ; de s’assurer de cette maîtrise pour les missions qu’il a lui-même confiées à ses collaborateurs ; d’adosser et proportionner les dispositifs de maîtrise aux risques identifiés ; de rendre compte de façon formelle et régulière à son propre manager des risques identifiés et des dispositifs de maîtrise au travers d’autoévaluations ; 2 e ligne de maîtrise : les fonctions d’appui définissent les exigences communes à ■ l’ensemble du Groupe et animent leur mise sous contrôle. Leur contribution à la maîtrise des activités du Groupe est précisée en section 2.2.1.4 « La deuxième ligne de maîtrise des activités et des risques : acteurs et missions ». Parmi elles, les fonctions risques et contrôle interne assurent l’animation du dispositif global de maîtrise et l’élaboration des rapports à destination des instances de gouvernance du Groupe. Les dispositifs spécifiques visant à la maîtrise des activités et des risques sont détaillés en section 2.2.2 « La mise en œuvre des dispositifs de maîtrise des activités et des risques » ; 3 e ligne de maîtrise : le dispositif d’audit, indépendant, permet de vérifier la ■ pertinence et l’efficacité des dispositifs de maîtrise des activités et des risques des entités du Groupe, de vérifier la maîtrise des principaux processus transverses et

128

EDF I Document de référence 2018