Sopra Steria - Document d'enregistrement universel 2020

2 FACTEURS DE RISQUE ET CONTRÔLE INTERNE Facteurs de risque

Facteurs de risque 1.

Identification et évaluation des risques 1.1. L’identification des risques, leur évaluation et le suivi de la mise en œuvre des plans d’atténuation associés sont menées en continu par les différentes directions opérationnelles et fonctionnelles au travers du système de pilotage du Groupe décrit au paragraphe 3.3.2 du présent chapitre. Ils contribuent à l’élaboration et à la mise à jour annuelle de la cartographie des risques du Groupe. Cette cartographie porte sur l’ensemble des risques internes et externes, intégrant les enjeux financiers et extra-financiers et est coordonnée par la Direction du contrôle interne. Les principaux managers opérationnels et fonctionnels sont associés au travers d’entretiens et d’ateliers de validation. Les résultats ont été validés par la Direction générale et présentées au Comité d’audit du Conseil d’administration. L’exercice consiste à identifier les risques qui pourraient limiter la capacité de Sopra Steria à atteindre ses objectifs, à en apprécier la probabilité de les voir se matérialiser et l’ampleur estimée de leur impact négatif s’ils survenaient en termes financiers, stratégiques, opérationnels et réputationnels. Les risques sont évalués sur une échelle à quatre niveaux : très faible, faible, possible, quasi certain

pour la probabilité ; faible, modéré, significatif, critique pour l’impact. L’horizon temporel retenu est de cinq ans. Les cartographies spécifiques aux risques de corruption et de trafic d’influence et aux risques liés au devoir de vigilance sont prises en compte dans cette cartographie générale des risques. Les risques les plus importants, spécifiques à Sopra Steria, sont présentés ci-après, par catégories et par ordre décroissant de criticité (résultant du croisement entre la probabilité de survenance et de l’ampleur estimée de leur impact), en prenant en compte les mesures d’atténuation mises en œuvre. Cette présentation des risques nets n’a donc pas vocation à présenter l’ensemble des risques de Sopra Steria. L’appréciation de cet ordre d’importance peut être modifiée à tout moment, notamment en raison de la survenance de faits nouveaux externes, de l’évolution des activités ou de l’évolution des effets des mesures de gestion des risques. Pour chacun des risques, le descriptif du risque est précisé en expliquant de quelle manière il peut affecter Sopra Steria ainsi que les éléments de gestion et de maîtrise du risque, à savoir, la gouvernance, les politiques, les procédures et les contrôles.

Présentation synthétique des facteurs de risque 1.2. Le tableau ci-dessous présente le résultat de cette évaluation en termes d’importance nette selon une échelle à trois niveaux, de moins important (+) à plus important (+++).

Catégories/Risques

Degré d’importance

Risques liés à la stratégie et à l’environnement externe Adaptation de l’offre à la transformation numérique, à l’innovation

+++

Réduction majeure d’activité client/vertical

++ ++ ++

Acquisitions significatives Attaques réputationnelles

Risques liés aux activités opérationnelles Cyberattaques, sécurité des systèmes, protection des données Evénements extrêmes et réponse aux crises majeures Commercialisation et exécution des projets et services managés/opérés Risques liés aux Ressources Humaines Développement des compétences et des pratiques managériales DPEF (1)

+++ +++

+

++

Attraction et fidélisation des collaborateurs DPEF Risques liés à des obligations réglementaires Conformité réglementaire DPEF

+

+ DPEF Ce risque répond également aux attentes de la règlementation prévue par les articles L. 225-102-1, III et R. 225-105 du Code de commerce, dite Déclaration de performance (1) extra-financière.

36

SOPRA STERIA DOCUMENT D'ENREGISTREMENT UNIVERSEL 2020