LOREAL_Document_de_Reference_2017

Gouvernement d’entreprise * FACTEURS DE RISQUES ET ENVIRONNEMENT DE CONTRÔLE

La Direction de l’Audit Interne Outre son rôle de surveillance de l’application du dispositif de Contrôle Interne, l’Audit Interne effectue des analyses transversales sur les éventuelles faiblesses de Contrôle Interne à partir des constats relevés durant ses missions. Ces analyses permettent d’orienter les travaux du Comité de Contrôle Interne et d’identifier les axes prioritaires d’amélioration et de renforcement des procédures. L’Audit Interne est assuré par une équipe centrale rattachée au Vice-Président, Directeur Général Administration et Finances. Ce Département effectue des missions régulières de vérification des processus majeurs et d’application des principes et normes du Groupe. Les missions de l’Audit Interne sont soumises à la Direction Générale et au Comité d’Audit et donnent lieu, avec leur accord, à l’établissement d’un plan d’audit annuel. Le choix des missions prend notamment en compte l’évaluation des risques identifiés. Le poids, la contribution aux principaux indicateurs économiques, l’historique des entités et le rythme de leur développement sont des paramètres qui sont également pris en considération dans l’élaboration du plan d’audit annuel. En 2017, l’Audit Interne a réalisé 44 missions, dont 33 ont porté sur des Affaires Commerciales représentant plus de 31 % du chiffre d’affaires du Groupe et 5 sur des usines. Les usines auditées représentent 16 % de la production mondiale en unités. Par ailleurs, 6 autres missions ont été menées sur des thèmes spécifiques. Les missions d’audit donnent systématiquement lieu à l’établissement d’un Rapport comportant l’exposé des constats et des risques liés et formulant des recommandations dans le cadre d’un plan d’actions à mettre en œuvre par l’entité auditée. L’Audit Interne s’appuie sur le logiciel « ERP » (Enterprise Resource Planning) intégré du Groupe dans la réalisation de ses travaux et a développé un certain nombre de transactions spécifiques contribuant à augmenter l’efficacité de ses interventions. Depuis 2007, des missions complémentaires visant à vérifier certains points clés de Contrôle Interne dans les paramétrages de l’« ERP » sont exécutées. D’autre part, l’Audit Interne a achevé, en 2014, l’outil de GRC (Governance, Risk, Compliance) lui permettant dorénavant de réaliser ses missions à partir d’un outil intégré et de consolider en temps réel l’avancement des plans d’action des entités auditées. Les plans d’action décidés à l’issue des audits font l’objet d’un suivi régulier par la Direction de l’Audit Interne, qui mesure le taux d’avancement de la mise en place des recommandations, pondéré par les niveaux de risques attribués. La synthèse sur l’accomplissement et le résultat des missions ainsi que l’avancement des plans d’action sont présentés à la Direction Générale et au Comité d’Audit chaque année. La Direction de l’Audit Interne partage les résultats de ses audits avec les Commissaires aux Comptes du Groupe. Les remarques des auditeurs externes formulées dans le cadre de leur mission annuelle sont également prises en considération par l’Audit Interne lors de ses missions. La Direction Organisation et Systèmes d’Information (Global IT) Les orientations stratégiques en termes de systèmes sont déterminées par la Direction des Systèmes d’Information du

Groupe, qui veille notamment à la mise en œuvre d’un « ERP », logiciel de gestion utilisé par la grande majorité des filiales commerciales, usines et la fonction logistique, émet les directives en matière de sécurité des systèmes et accompagne la transformation digitale du Groupe. Le Groupe dispose également d’une Politique de Sécurité des Systèmes d’Information. Fondée sur la norme internationale ISO 27001, cette politique couvre les grands thèmes de la sécurité des Systèmes d’Information, décrivant pour chacun d’entre eux les principes généraux qui doivent s’appliquer. Elle permet à toutes les équipes des Systèmes d’Information du Groupe, et par extension à tous les collaborateurs, de partager des objectifs clairs, des bonnes pratiques et des niveaux de contrôle adaptés aux risques encourus, notamment les risques de cyberattaques. Cette politique s’accompagne d’un programme d’audit de la sécurité des systèmes d’information réalisé par un cabinet externe. Elle est aussi complétée par une Charte des Technologies de l’Information et de la Communication, et une Charte du Bon Usage des Médias Sociaux. La Direction Générale des Opérations Elle regroupe les Départements Qualité, EHS (Environnement, Hygiène, Sécurité), Achats, Systèmes d’Information (production), Gestion de la production et la stratégie industrielle, la supply chain , la politique Sûreté du Groupe et l’ensemble du parc immobilier. Elle définit la stratégie générale des Opérations avec une responsabilité mondiale et définit les normes et les méthodes applicables dans les domaines de la qualité, de la sécurité et de l’environnement, et de la sûreté, pour le déploiement dans l’ensemble des pays où le Groupe opère. Elle pilote l’ensemble de sa stratégie pour permettre aux équipes Opérations, dans les Divisions opérationnelles et les zones, de mettre en œuvre les politiques innovation, industrielles et logistiques adaptées aux marchés. Dans la continuité de la Charte Éthique du Groupe, les acheteurs disposent depuis 2011 d’un guide pratique et éthique « Nos achats au quotidien », qui vise à aider chaque collaborateur dans ses relations avec les fournisseurs du Groupe. Par ailleurs, les acheteurs disposent des guides Groupe The Way We Compete et The Way We Prevent Corruption pour lesquels ils suivent les formations en ligne (e-learning). La norme « Gestion des fournisseurs » et les procédures d’appel d’offres précisent les conditions de mise en concurrence et de référencement des principaux fournisseurs. Les conditions générales d’achat forment le cadre des transactions avec ceux-ci. La norme « Engagements d’achat et gestion de commande » a pour objectif de faciliter et renforcer la maîtrise des dépenses et des investissements des entités du Groupe. Dans le domaine de la supply chain, les principales missions consistent à définir et appliquer les processus de planification des ventes, de gestion de la demande, de développement et contrôle du service au client, notamment à travers la gestion de l’exécution physique des commandes, l’application des conditions générales de ventes, le suivi des commandes, la gestion des retours et litiges clients ainsi que les procédures de recouvrement. Des mesures sont aussi préconisées pour la gestion des centrales de distribution et des stocks, la sous-traitance, la traçabilité des produits, le plan de continuité d’activité et les transports.

2

DOCUMENT DE RÉFÉRENCE / L'ORÉAL 2017

109