SOMFY // Rapport annuel 2022

02 RAPPORT DE GESTION

La troisième ligne de défense, la Direction de l’Audit Interne

risques résiduels (nets) sur la base d’une cotation standard et homogène permettant de noter les impacts, la probabilité d’occurrence ainsi que le niveau de maîtrise. Ces évaluations permettent d’établir une cartographie des risques Groupe qui est mise à jour chaque année par le Département Risques et Conformité. Cette cartographie est validée par le Comité Exécutif qui s’engage au suivi des principaux risques identifiés. Un propriétaire est nommé pour chaque risque prioritaire et a en charge de proposer des plans d’actions pour le traitement du risque. Le suivi de ces risques est intégré dans les cycles de revues mensuelles du Comité Exécutif. La cartographie contribue également à l’élaboration du plan d’audit annuel, l’équipe d’audit étant en charge de challenger l’évaluation de certains risques et de proposer des recommandations afin de les réduire. Le système de contrôle interne est mis en place afin de fournir une assurance raisonnable quant à la réalisation des objectifs, en contribuant à l’efficacité et l’efficience des opérations, à la fiabilité des rapports financiers ainsi qu’à la conformité aux lois et règlements applicables. Le dispositif de contrôle interne du Groupe s’inspire du référentiel du COSO. Contrôles et évaluations Un référentiel de contrôles clés a été défini pour chaque processus majeur de l’entreprise et est utilisé lors d’une campagne annuelle d’autoévaluation par chaque manager d’entité. Une revue annuelle de ce référentiel est effectuée afin de le mettre à jour, faciliter sa compréhension par toutes les filiales et l’adapter au niveau de maturité de contrôle interne acquis. Chacun de ces contrôles répond à un ou plusieurs risques du catalogue des risques Groupe. Certains contrôles sont associés à des procédures qui sont également mises à jour si nécessaire. En 2022, les autoévaluations réalisées par les entités ont fait l’objet de contrôles sur pièces et sur sites de la part du département de Contrôle Interne, afin de challenger les réponses, et d’améliorer la compréhension et l’application des contrôles. Pilotage du contrôle interne Le département Contrôle Interne réalise notamment deux types de suivi : – une analyse des résultats de la campagne d’autoévaluation des contrôles internes de l’année N et une comparaison avec N-1 ; – un tableau de bord trimestriel de suivi des plans d’actions pour chaque grande fonction du Groupe ce qui permet de mesurer l’avancement. Ces documents sont notamment envoyés aux managers de Business Area et aux Responsables de processus pour constatation de l’évolution, des écarts et des délais de mise en œuvre. Certaines améliorations sont traitées directement par les entités au niveau local et d’autres sont prises en charge en central par le département Contrôle Interne et/ou en collaboration avec les autres fonctions transverses. Un Comité GRC se réunit tous les deux mois pour échanger sur les risques identifiés, sur les missions d’audit réalisées, analyser les incidents, identifier les écarts et proposer des ajustements au dispositif global. LE CONTRÔLE INTERNE Définition et objectifs

La Direction de l’Audit Interne s’assure globalement de contrôler la qualité de la gestion des risques, la pertinence et l’efficacité du dispositif de contrôle ainsi que le respect des règles ou codes de conduite. Elle est chargée d’évaluer le fonctionnement du dispositif de contrôle interne et de proposer des préconisations d’amélioration au besoin. Les audits internes du Groupe sont réalisés sous la supervision du Responsable de l’Audit Interne qui s’appuie sur une équipe composée de deux auditeurs, avec un nombre moyen de 20 missions par an. À la suite de chaque mission et sur la base de recommandations proposées par les auditeurs, des plans d’actions sont préparés par les entités concernées pour corriger les faiblesses mises en évidence dans les rapports d’audit. Une synthèse de ces recommandations est présentéeà la Direction Générale et au Comité d’Audit et des Risquestous les trimestres. Outil de GRC (Gouvernance, Risques et Conformité) Afin d’assurer leur rôle de coordination et de pilotage, les Directions du Contrôle Interne, des Risques et de la Conformité et de l’Audit Interne se sont dotées d’un outil commun de GRC, permettant notamment : – de lancer chaque année une campagne d’autoévaluation à destination des filiales, sur la base d’un référentiel de contrôles clés ; –de suivre l’ensemble des missions de l’Audit Interne, les recommandations associées et les plans d’actions correspondants ; – d’évaluer les risques du Groupe, aux différents niveaux de l’organisation, de consolider les résultats au niveau Groupe et d’y associer des plans d’actions. Depuis 2021, cet outil est également utilisé pour collecter, auprès des entités du Groupe concernées, les indicateurs mentionnés dans la déclaration de performance extra-financière. Par ailleurs, une solution digitale de contrôles comptables est utilisée en support aux missions de contrôle et d’audit internes. L’utilisation de l’ensemble de ces moyens est suivie avec attention par le Comité d’Audit et des Risques, lequel est tenu régulièrement informé des avancées et résultats obtenus. La gestion des risques du Groupe comprend tous les moyens, procédures et actions qui visent à identifier les risques, les évaluer et à les maîtriser au regard desobjectifs stratégiques du Groupe. Le Management du Groupe est convaincu que la gestion et le contrôle des risques contribuent à : – créer et préserver la valeur, les actifs et la réputation du Groupe ; – sécuriser la prise de décision et les processus du Groupe pour favoriser l’atteinte des objectifs ; – favoriser la cohérence des actions avec les valeurs du Groupe ; – sensibiliser et mobiliser les collaborateurs du Groupe autour d’une vision commune concernant les risques inhérents à leur activité. Un référentiel de risques Groupe est défini afin de pouvoir encadrer et consolider les évaluations de chaque périmètre et de chaque fonction. L’étape d’évaluation consiste à examiner les conséquences potentielles des principaux risques identifiés (conséquences qui peuvent être notamment financières, humaines, juridiques ou de réputation) et à apprécier leur possible occurrence. Le Groupe adopte une méthodologie classique d’évaluation des risques qui permet d’évaluer les risques inhérents (bruts) et LA GESTION DES RISQUES

19

SOMFY – RAPPORT ANNUEL 2022