EDF / Document de référence 2018

2.

FACTEURS DE RISQUES ET CADRE DE MAÎTRISE La maîtrise des risques et des activités du Groupe

2.2.2

LA MISE EN ŒUVRE DES

Méthodes – Outils : En appui de cette démarche, un guide méthodologique est à la disposition des entités. De plus un Système d’information pour la Gestion des Risques (SIGR) a été déployé depuis 2016 et généralisé à l’ensemble du Groupe depuis 2017 en vue de favoriser et de sécuriser la communication sur les risques et leur consolidation. Cartographie des risques Groupe Sur la base de ces reporting, complété par un examen croisé réalisé systématiquement avec la Direction de l’Audit interne, le groupe EDF élabore la cartographie consolidée de ses risques majeurs incluant le bilan d’ensemble du contrôle interne dans le but de permettre aux Dirigeants et aux organes de gouvernance de disposer d’une vision consolidée, régulièrement mise à jour des risques majeurs et de leur niveau de contrôle (3) . Ces documents, élaborés en fin d’année, font l’objet d’une validation par le Comité des risques et d’une présentation au Conseil d’administration après examen par le Comité d’audit. Depuis 2015, le Comité des risques a identifié, au sein de la cartographie des risques du Groupe, un ensemble plus restreint de « risques prioritaires », sélectionnés pour leur importance opérationnelle ou stratégique. La connexion entre ces risques prioritaires et le projet stratégique CAP 2030 a été privilégiée afin d’inclure, autant que possible, les plans d’actions de maîtrise des risques dans les chantiers correspondants. La gestion de crise et continuité d’activité 2.2.2.1.2 La politique Gestion de crise et continuité d’activité, définit les principes d’organisation de gestion de crise et de continuité de l’activité et précise l’ensemble du dispositif nécessaire à sa mise en œuvre. Cette politique consiste notamment : à s’assurer de l’existence de structures de gestion de crise et de dispositifs ■ permanents de remontée des alertes ; à vérifier l’existence et la mise à jour régulière de procédures de gestion de crise ■ pertinentes, au regard des risques encourus ; à définir, pour les périodes de crise, les modalités de coordination avec ■ l’ensemble des parties prenantes ; à s’assurer de la prise en compte systématique des retours d’expérience des ■ crises et exercices de crise, pour éviter ou limiter les conséquences de crises similaires ; à s’assurer de l’existence de plans de continuité d’activité au sein de chaque ■ entité ; à vérifier la mise en œuvre d’actions de professionnalisation pour tous les acteurs ■ de la crise. Un programme d’exercices de crise permet de tester régulièrement l’efficacité de ces dispositifs et la cohérence d’ensemble. Une attention particulière a été portée en 2018 sur l’adaptation de l’organisation de crise du Groupe au risque de crise cyber. Les dispositifs de contrôle spécifiques 2.2.2.2 hors information comptable et financière Contrôle des risques marchés énergies 2.2.2.2.1 La Groupe valide annuellement les stratégies de couverture des entités, ainsi que les limites de risques associées, après avis de la Direction des Risques Groupe en application de la politique Risques marchés énergies Groupe. Cette politique définit : les stratégies de couverture autorisées ; ■ le système de gouvernance et de mesure, séparant clairement les responsabilités ■ de gestion et de contrôle des risques et permettant de suivre l’exposition consolidée du Groupe ; les processus de contrôle des risques impliquant la Direction Générale du Groupe ■ en cas de dépassement des limites de risques ; un dispositif de contrôle renforcé est mis en place pour la filiale EDF Trading, compte tenu de la spécificité des activités de trading ;

DISPOSITIFS DE MAÎTRISE DES ACTIVITÉS ET DES RISQUES

Les dispositifs de contrôle généraux 2.2.2.1 La cartographie des risques et le rapport 2.2.2.1.1 de maîtrise des activités et des risques Rapport de maîtrise des activités et des risques des entités Chaque entité du Groupe (60 entités en 2018 couvrant le périmètre d’EDF et des filiales contrôlées) élabore un rapport annuel sur la maîtrise de ses activités et de ses risques élaboré sur la base d’une autoévaluation, et la description de ses actions de progrès. Chaque rapport donne lieu à un engagement signé du Directeur de l’Entité sur le niveau de maîtrise atteint et sur les actions engagées. En 2018, la trame des auto-évaluations a évolué pour identifier des points de contrôle plus pertinents et en nombre restreint afin de satisfaire aux enjeux de simplification de CAP 2030, en favorisant ainsi une meilleure implication managériale. Ce rapport inclut notamment le contrôle interne, le reporting de sécurité du patrimoine et le reporting d’éthique et conformité. La partie relative à l’éthique et la conformité répond aux exigences de la politique Éthique et Conformité Groupe, incluant : le dispositif d’alerte éthique, la prévention du risque de corruption (contrôle d’intégrité des relations d’affaires, encadrement des cadeaux et invitations) ; la déontologie financière (prévention du risque de blanchiment et financement du terrorisme, prévention des abus de marché, et conformité au règlement EMIR (1) ) ; la prévention des manquements au droit de la concurrence ; la prévention des conflits d’intérêts ; la conformité aux règles de protection des données personnelles ; la lutte contre la fraude ; la lutte contre le harcèlement et la discrimination ; la conformité aux réglementations sectorielles (réglementation REMIT (2) sur intégrité et transparence de marchés d’énergie, réglementations concernant les biens à double usage) ; la conformité aux programmes de sanctions internationales. La partie relative à la sécurité du patrimoine répond aux exigences de la politique Sécurité du patrimoine face à la malveillance, incluant : la sécurité des personnes en déplacement à l’international, la sécurité du patrimoine matériel, et la sécurité du patrimoine immatériel (identification, classification et protection des informations sensibles). Outre ces thèmes, les autoévaluations rendent compte plus généralement de la maîtrise de l’ensemble de leurs activités « métiers » et de l’ensemble des exigences des autres domaines transverses recensées dans les politiques Groupe, en cohérence avec leur cartographie des risques. Enfin, les autoévaluations rendent compte de la maîtrise des exigences relatives au contrôle interne comptable et financier, en cohérence avec le cadre de l’AMF (voir section 2.2.2.3 « Les procédures de contrôle interne relatives à la fiabilité de l’information comptable et financière »). Cartographie des risques des entités Les entités produisent annuellement une cartographie des risques sur la base d’une méthodologie commune à l’ensemble du Groupe. La démarche de construction de la cartographie des risques des entités repose sur : le principe de responsabilité du management évoqué à la section 2.2.1.1 ■ « Organisation générale » ci-dessus ; une typologie des risques en vue d’une identification aussi large que possible, ■ incluant les risques internes ou externes, opérationnels ou stratégiques, incluant aussi les opportunités ; une méthode d’évaluation qualitative de l’impact, de la probabilité et du niveau ■ de maîtrise de chaque risque ; la description de plans d’actions de traitement des risques et l’évaluation de leur ■ efficacité. De nombreux échanges entre la Direction des Risques Groupe et les entités ont pour but de réinterroger la pertinence des risques ainsi que la robustesse des actions de maîtrise engagées.

European Market Infrastructure Regulation (EMIR) : règlement européen sur les infrastructures de marché. (1) Regulation on Wholesale Energy Market Integrity and Transparency (REMIT) : règlement européen relatif à l’intégrité et à la transparence des marchés de gros de l’énergie. (2) La cartographie des risques du Groupe inclut notamment les risques environnementaux et les risques liés au changement climatique (risques physiques et risques de transition). (3) Ces risques sont décrits à la section 2.1 « Risques auxquels le Groupe est exposé » ; la réponse stratégique concernant les défis du changement climatique est décrite à la section 3.3 « Autres thématiques de la politique de développement durable ».

132

EDF I Document de référence 2018