SOMFY - Rapport financier annuel 2020

02 RAPPORT DE GESTION DU DIRECTOIRE

La première ligne de défense, les unités opérationnelles

de suivre l’ensemble des missions de l’Audit Interne, les – recommandations associées et les plans d’actions correspondants ; d’évaluer les risques du Groupe, aux différents niveaux de – l’organisation, de consolider les résultats au niveau Groupe et d’y associer des plans d’actions. Par ailleurs, une solution digitale de contrôles comptables est en cours d’acquisition et sera déployée à partir de 2021. En 2021 également, l’intégration entre la démarche de management par les processus et la gestion des risques et des contrôles associés sera davantage travaillée, dans un objectif d’amélioration continue vers l’efficience renforcée et la mesure de la performance. L’utilisation de l’ensemble de ces moyens est suivie avec attention par le Comité d’Audit, lequel est tenu régulièrement informé des avancées et résultats obtenus. La gestion des risques du Groupe comprend tous les moyens, procédures et actions qui visent à identifier les risques, les évaluer et à les maîtriser au regard des objectifs stratégiques du Groupe. Le Management du Groupe est convaincu que la gestion et le contrôle des risques contribuent à : créer et préserver la valeur, les actifs et la réputation du – Groupe ; sécuriser la prise de décision et les processus du Groupe pour – favoriser l’atteinte des objectifs ; favoriser la cohérence des actions avec les valeurs du Groupe ; – sensibiliser et mobiliser les collaborateurs du Groupe autour – d’une vision commune concernant les risques inhérents à leur activité. Un référentiel de risques Groupe a été défini afin de pouvoir encadrer et consolider les évaluations de chaque périmètre et de chaque fonction. L’étape d’évaluation consiste à examiner les conséquences potentielles des principaux risques identifiés (conséquences qui peuvent être notamment financières, humaines, juridiques ou de réputation) et à apprécier leur possible occurrence. Le Groupe adopte une méthodologie classique d’évaluation des risques qui permet d’évaluer les risques inhérents (bruts) et risques résiduels (nets) sur la base d’une cotation standard et homogène permettant de noter les impacts, la probabilité d’occurrence ainsi que le niveau de maîtrise. Ces évaluations permettent d’établir une cartographie des risques Groupe qui est mise à jour chaque année par le Département Risques et Conformité. Cette cartographie est validée par le Comité Exécutif qui s’engage au suivi des principaux risques identifiés. Un propriétaire est nommé pour chaque risque prioritaire et a en charge de proposer des plans d’actions pour le traitement du risque. Le suivi de ces risques est intégré dans les cycles de revues mensuelles du Comité Exécutif. La cartographie contribue également à l’élaboration du plan d’audit annuel, l’équipe d’audit étant en charge de challenger l’évaluation de certains risques et de proposer des recommandations afin de les réduire. LA GESTION DES RISQUES

Les unités opérationnelles du Groupe sont sensibilisées au respect des procédures et règles afin de former une première ligne de maîtrise efficace. Chaque entité du Groupe doit mettre en place des activités de contrôle adéquates au niveau opérationnel sur les processus qui la concernent, en appliquant les règles et directives élaborées au niveau du Groupe. La deuxième ligne de défense, les Directions fonctionnelles Les Directions fonctionnelles constituent un maillon indispensable de la deuxième ligne de maîtrise. Chacune de ces Directions définit les procédures à appliquer et apporte son aide aux entités du Groupe pour la mise en place de plans d’actions permettant de réduire les risques identifiés. La deuxième ligne de maîtrise inclut également les fonctions de Gestion des Risques & Conformité et de Contrôle Interne. En 2020, un poste de Chief Compliance Officer a été créé. Après avoir mis en place une gouvernance et une organisation dédiée, celui-ci a en charge d’animer une démarche globale au niveau du Groupe afin d’assurer que l’ensemble des risques de non-conformité est bien adressé. Cette approche vient nourrir les feuilles de route et les plans d’actions des fonctions transverses et complète l’approche classique existant historiquement pour la gestion des risques Groupe. La troisième ligne de défense, la Direction de l’Audit Interne La Direction de l’Audit Interne s’assure globalement de contrôler la qualité de la gestion des risques, la pertinence et l’efficacité du dispositif de contrôle ainsi que le respect des règles ou codes de conduite. Elle est chargée d’évaluer le fonctionnement du dispositif de contrôle interne et de proposer des préconisations d’amélioration au besoin. Les audits internes du Groupe sont réalisés sous la supervision du Responsable de l’Audit Interne qui s’appuie sur une équipe composée de trois auditeurs, avec un nombre moyen de 30 missions par an. À la suite de chaque mission et sur la base de recommandations proposées par les auditeurs, des plans d’actions sont préparés par les entités concernées pour corriger les faiblesses mises en évidence dans les rapports d’audit. Une synthèse de ces recommandations est présentée à la Direction Générale et au Comité d’Audit au moins deux fois par an. Outil de GRC (Gouvernance, Risques et Conformité) Afin d’assurer leur rôle de coordination et de pilotage, les Directions du Contrôle Interne, des Risques et de la Conformité et de l’Audit Interne se sont dotées d’un outil commun de GRC, permettant notamment : de lancer chaque année une campagne d’autoévaluation à – destination des filiales, sur la base d’un référentiel de contrôles clés ;

26

SOMFY – RAPPORT FINANCIER ANNUEL 2020