L'Oréal - Document de référence 2018

2 Gouvernement d’entreprise

FACTEURS DE RISQUES ET ENVIRONNEMENT DE CONTRÔLE

Au sein de la DSI, la Direction de la Sécurité des Systèmes d’Information est en charge de la Politique de Sécurité des Systèmes d’Information. Fondée sur la norme internationale ISO 27001, cette politique couvre les grands thèmes de la sécurité des Systèmes d’Information, notamment la protection des données personnelles, décrivant pour chacun d’entre eux les principes généraux qui doivent s’appliquer. Elle permet à toutes les équipes des Systèmes d’Information du Groupe, et par extension à tous les collaborateurs, de partager des objectifs clairs, des bonnes pratiques et des niveaux de contrôle adaptés aux risques encourus, notamment les risques de cyberattaques. Cette politique s’accompagne d’un programme d’audit de la sécurité des systèmes d’information réalisé par un cabinet externe. Elle est aussi complétée par une Charte des Technologies de l’Information et de la Communication et une Charte du Bon Usage des Médias sociaux. La Direction Générale des Opérations Elle regroupe les Départements Packaging et Développement, Qualité, EHS (Environnement, Hygiène, Sécurité), Gestion de la production, Achats, Supply Chain , Systèmes d’Information (production), Transformation Digitale et la stratégie industrielle, la politique Sûreté du Groupe et l'ensemble du parc immobilier. Elle définit la stratégie générale des Opérations avec une responsabilité mondiale et définit les normes et les méthodes applicables dans les domaines de la qualité, de la sécurité, de l’environnement et de la sûreté, pour le déploiement dans l'ensemble des pays où le Groupe opère. Elle pilote l'ensemble de sa stratégie pour permettre aux équipes Opérations, dans les Divisions opérationnelles et les zones, de mettre en œuvre les politiques innovation, industrielles et logistiques adaptées aux marchés. Dans la continuité de la Charte Éthique du Groupe, les acheteurs disposent depuis 2011 d'un guide pratique et éthique « Nos achats au quotidien », qui vise à aider chaque collaborateur dans ses relations avec les fournisseurs du Groupe. Par ailleurs, les acheteurs disposent des guides Groupe The Way We Compete et The Way We Prevent Corruption pour lesquels ils suivent les formations en ligne (e-learning) . La norme « Gestion des fournisseurs » et les procédures d’appel d’offres précisent les conditions de mise en concurrence et de référencement des principaux fournisseurs. Les conditions générales d’achat forment le cadre des transactions avec ceux-ci. La norme « Engagements d’achat et gestion de commande » a pour objectif de faciliter et renforcer la maîtrise des dépenses et des investissements des entités du Groupe. Dans le domaine de la supply chain , les principales missions consistent à définir et appliquer les processus de planification des ventes, de gestion de la demande, de développement et contrôle du service au client, notamment à travers la gestion de l’exécution physique des commandes, l’application des conditions générales de ventes, le suivi des commandes, la gestion des retours et litiges clients ainsi que les procédures de recouvrement. Des mesures sont aussi préconisées pour la gestion des centrales de distribution et des stocks, la sous-traitance, la traçabilité des produits, le plan de continuité d’activité et les transports.

L’Audit Interne est assuré par une équipe centrale directement rattachée au Président-Directeur Général. Ce département effectue des missions régulières de vérification des processus majeurs et d’application des principes et normes du Groupe. Les missions de l’Audit Interne sont soumises à la Direction Générale et au Comité d’Audit et donnent lieu, avec leur accord, à l’établissement d’un plan d’audit annuel. La définition des missions prend notamment en compte le poids des entités, leur contribution aux principaux indicateurs économiques du Groupe, leur rythme de développement ainsi que l’antériorité et les résultats des audits précédents. L’appréciation du niveau de risque par les directions des zones et les experts des différents métiers est également prise en considération dans la construction du plan d’audit annuel. En 2018, l’Audit Interne a réalisé 48 missions, dont 29 ont porté sur des Affaires Commerciales représentant près de 35 % du chiffre d’affaires du Groupe et 8 sur des usines contribuant à plus de 18 % de la production mondiale en unités. Par ailleurs, l’Audit Interne a couvert en 2018 un centre de recherche, un sourcing center et une Direction Marketing Internationale. Enfin, 8 autres missions ont été menées sur des thèmes spécifiques. Les missions d’audit donnent systématiquement lieu à l’établissement d’un Rapport, qui décrit les constats et les risques correspondants, et fournit un plan d’action regroupant l’ensemble des recommandations à mettre en œuvre par l’entité auditée. Ces plans d’actions font l’objet d’un suivi régulier par la Direction de l’Audit Interne, qui mesure et communique aux directions concernées le taux d’avancement de la mise en place des recommandations. L’Audit Interne s’appuie sur le logiciel « ERP » ( Enterprise Resource Planning ) intégré du Groupe dans la réalisation de ses travaux et a développé des transactions spécifiques lui permettant de mieux identifier d’éventuelles faiblesses dans les processus les plus sensibles. Les paramétrages de l’« ERP » relatifs à certains points clés de Contrôle Interne font également l’objet chaque année de missions spécifiques. Par ailleurs, l’Audit Interne dispose d’un outil de GRC ( Governance , Risk , Compliance ) lui permettant de réaliser ses missions autour d’un outil intégré et de consolider en temps réel l’avancement des plans d’action des entités auditées. La réalisation effective du plan d’audit, le résultat des missions et l’avancement des plans d’actions sont présentés à la Direction Générale et au Comité d’Audit chaque année. Les résultats des audits sont partagés avec les Commissaires aux Comptes du Groupe. De même, les remarques formulées par les auditeurs externes dans le cadre de leur mission annuelle sont systématiquement prises en compte par l’Audit Interne dans la construction de chacune de ses missions. Les orientations stratégiques en termes de systèmes sont déterminées par la Direction des Systèmes d’Information du Groupe, qui veille notamment à la mise en œuvre d’un « ERP », logiciel de gestion utilisé par la grande majorité des filiales commerciales, usines et la fonction logistique et accompagne la transformation digitale du Groupe à travers notamment le développement de l’utilisation des services Cloud ( SaaS , IaaS , PaaS ) et des objets connectés. La Direction des Systèmes d’Information (DSI Global IT)

DOCUMENT DE RÉFÉRENCE / L'ORÉAL 2018

114