EDF / Document de référence 2018

FACTEURS DE RISQUES ET CADRE DE MAÎTRISE La maîtrise des risques et des activités du Groupe

La Direction des Systèmes d’Information 2.2.1.4.6 Groupe Parmi ses différentes missions, la Direction des Systèmes d’Information Groupe (DSIG) pilote la mise en œuvre des politiques Gouvernance des Systèmes d’information et de la Transformation numérique, Sécurité des Systèmes d’Information du Groupe et Gestion de la donnée et est en charge d’animer le contrôle interne et la couverture des risques associés (voir section 2.2.2.2.4 « Sécurité des Systèmes d’Information (SI) »). Par ailleurs, la DSIG co-anime avec la DJ l’instruction Groupe Protection des données personnelles. Les entités sont redevables de l’application de cette instruction au titre de l’application de la politique Éthique et Conformité du Groupe. La Direction de la Sécurité et de 2.2.1.4.7 l’Intelligence Économique L’organisation de la sécurité au sein du groupe EDF vise à assurer le respect des exigences définies dans la politique Sécurité du Patrimoine face à la malveillance. La Direction de la Sécurité et de l’Intelligence Économique a pour missions d’animer le pilotage, la coordination et le contrôle de cette politique, en particulier d’élaborer et mettre à disposition des entités les notes d’applications ainsi que les guides pratiques et méthodologiques permettant de décliner les exigences de la politique. La 3 e ligne de maîtrise : la filière audit 2.2.1.5 du Groupe La filière audit du Groupe est constituée de l’ensemble des moyens d’audit du Groupe exerçant une activité d’audit interne. En application d’une décision du Président-Directeur Général, l’animation de cette filière est assurée par le Directeur de l’Audit Groupe. Elle comprend la Direction de l’Audit (« DAi » rattachée au Secrétaire Général) et des équipes d’audit propres à chacune des principales filiales françaises et étrangères. Les relations entre la DAi et les différentes équipes d’audit et leurs prérogatives respectives prennent en compte l’appartenance des équipes à EDF ou à des filiales gestionnaires d’infrastructures régulées, pour lesquelles les relations font l’objet d’une adaptation afin de garantir le respect du principe d’indépendance de gestion. La DAi assure une animation fonctionnelle de la filière (co-nomination et co-évaluation des Directeurs d’Audit des filiales par la DAi – hors RTE et Enedis –, échanges de bonnes pratiques, actions de formation, partage d’outils et de méthodes etc.). À fin 2018, la filière audit du Groupe est composée de 55 ETP (1) . Normes de fonctionnement pour ce qui concerne EDF et les filiales contrôlées La DAi applique les normes internationales définies par l’Institute of Internal Auditors, en assure la promotion et en contrôle le respect. Les missions, pouvoirs et responsabilités des auditeurs ainsi que les droits et devoirs des audités sont définis dans une charte qui a été mise à jour en mai 2016. Cette charte, signée du Président-Directeur Général, rappelle l’indépendance de la fonction d’audit et précise les missions et les engagements de l’audit interne, les devoirs et les prérogatives des auditeurs et des audités. Elle inclut un Code de déontologie applicable à l’ensemble de la filière audit. Ce Code a pour but de promouvoir une culture de l’éthique, ainsi que de rappeler que l’auditeur doit respecter et appliquer certains principes fondamentaux pertinents pour la profession et pour la pratique de l’audit interne. Le Directeur de l’Audit bénéficie d’un accès direct au Président-Directeur Général et rend compte des travaux de l’Audit au Comité d’audit à qui il donne les éléments d’information utiles sur l’adéquation des effectifs avec la réalisation des missions à effectuer. Tous les auditeurs sont formés à une même méthodologie, conforme aux normes internationales. Ils sont recrutés dans les différents métiers du Groupe, ainsi que dans des cabinets d’audit externes. Les auditeurs sont évalués à la fin de chaque mission.

Les processus clés utiles au bon fonctionnement de la DAi sur l’ensemble de la chaîne de ses activités (de la définition du programme d’audits jusqu’au suivi de la mise en œuvre des recommandations) sont décrits et pilotés. La filière audit se soumet régulièrement volontairement à l’évaluation par l’IFACI (2) . La dernière évaluation de 2018 a attesté, comme les fois précédentes, que les pratiques d’audit sont conformes aux standards internationaux de la profession. Modalités de fonctionnement La filière audit du Groupe effectue des audits complets des entités d’EDF et des filiales contrôlées. Ces audits comprennent l’examen de la robustesse de leur contrôle interne et sont effectués tous les trois à cinq ans selon leur importance. La DAi réalise les audits transverses corporate alors que les directions d’audit des filiales effectuent les audits sur leur périmètre de responsabilité. La DAi est la seule entité compétente pour la réalisation des audits de filiales relevant d’un risque de niveau corporate. Le programme d’audit est examiné par le Président-Directeur Général, le Comité des risques, puis par le Comité d’audit d’EDF, avant examen par le Conseil d’administration. Il est élaboré en prenant en compte : la nécessité d’auditer, à des fréquences adaptées à leur importance les ■ principales entités du Groupe, afin d’évaluer notamment la maîtrise de leur contrôle interne ; les principaux processus comptables et financiers et les processus « Tête de ■ Groupe » (RH, SI) ; les grands projets ; ■ les risques de la cartographie des risques du Groupe, non traités par les audits ■ ci-dessus, selon une périodicité adaptée à la criticité du risque ; le suivi des décisions de la Direction Générale. ■ Des outils numériques ont été développés en appui aux auditeurs pour exploiter des données en masse et cibler les écarts. Tous les audits donnent lieu à des recommandations qui, après validation par les audités et leur management, font l’objet de plans d’actions de leur part transmis à la DAi. Au cours des 12 à 18 mois qui suivent, la DAi s’assure de la mise en œuvre de ces actions correctives ou de toute autre action décidée par le management dans le but de faire disparaître les dysfonctionnements observés. Un rapport de synthèse semestriel est élaboré. Il récapitule les faits marquants des audits menés par la filière, les principaux constats d’audit corporate et les recommandations correspondantes. Le rapport semestriel présente le bilan du programme d’audit, de la satisfaction des audités, ainsi qu’un reporting RH, et budgétaire. Il identifie par ailleurs les éventuels problèmes récurrents ou génériques apparus dans plusieurs audits et qui méritent une attention particulière de la Direction. Il donne une vision par l’audit du niveau de contrôle des risques du Groupe. Ce rapport est présenté au Président-Directeur Général, au Comité des risques puis au Comité d’audit et au Conseil d’administration. Les contrôles externes 2.2.1.6 Comme toutes les sociétés cotées, le groupe EDF est soumis au contrôle de l’AMF. Par son statut de société détenue majoritairement par l’État, EDF est également soumis aux contrôles de la Cour des comptes, des contrôleurs d’État, de l’Inspection des finances et des Commissions des affaires économiques ou de Commissions d’enquête ad hoc de l’Assemblée nationale et du Sénat. Conformément à la loi, les Commissaires aux comptes certifient les états financiers annuels (comptes sociaux et comptes consolidés) et effectuent un examen limité sur les comptes consolidés semestriels résumés du Groupe. Leur rapport sur les comptes annuels inclut les vérifications sur les informations sur le gouvernement d’entreprise requises par les articles L. 225-237-3 et suivants du Code de commerce. Compte tenu de son activité, EDF fait également l’objet de contrôles, en France, par la Commission de régulation de l’énergie (CRE) ainsi que par l’Autorité de sûreté nucléaire (ASN).

2.

Équivalent Temps Plein. (1) L’Institut Français de l’Audit et du Contrôle Interne. (2)

131

EDF I Document de référence 2018