Worldline - Document d'enregistrement universel 2019

ANALYSE DES RISQUES Le contrôle interne

Un référentiel de contrôles informatiques (intégré au BIC) a été défini, précisant les activités de contrôles relatives au service fourni au client. Ce référentiel est utilisé pour la production des rapports « ISAE 3402 » à destination de plusieurs clients du Groupe. Surveillance F.5.3.4 La surveillance du dispositif de contrôle interne est placée sous la responsabilité des différents niveaux de management, et s’appuie également sur les missions de l’Audit interne. La surveillance est assurée par le suivi d’indicateurs (KPI), des campagnes d’auto-évaluation (réalisés à partir de questionnaires) et de test des contrôles qui pourraient mesurer directement ou indirectement l’efficacité de la mise en œuvre du processus et des contrôles annexes. Le Contrôle Interne du Groupe rassemble tout particulièrement, sur une base annuelle, la vue d’ensemble et les résultats des évaluations de contrôle à un niveau consolidé et les principales actions définies pour améliorer le système de contrôle interne. Les résultats sont présentés lors des réunions du Conseil de Contrôle et des Comités QSRC. En dehors des activités de surveillance des contrôles menées par le Contrôle Interne du Groupe, des évaluations sont effectuées par des « auditeurs indépendants », notamment : Les auditeurs ISO suivent un plan d’audit couvrant les ● normes ISO pour la qualité (ISO 9001), la sécurité (ISO 27001), l’environnement (ISO 14001) et les services informatiques (ISO 20000) ; Les auditeurs externes juridiques et financiers se ● concentrent sur la fiabilité des informations financières ; Les auditeurs de service (effectuant des audits ISAE 3402) ● se concentrent sur les principaux contrôles mis en œuvre pour garantir l’efficacité des processus qui soutiennent les services dans le cadre de l’ISAE 3402 (pour les clients de Worldline) ; Audit Interne du Groupe (AIG) : en suivant un plan d’audit annuel basé sur les risques, l’AIG évalue à la fois les fonctions supports et les opérationnels. L’Audit interne s’assure que les procédures de contrôle interne ont été dûment appliquées et contribue au suivi et développement de son champ d’action. En 2019, l’Audit interne a mené 34 missions d’audit (y compris des missions spécifiques à la demande de la Direction Générale) pour évaluer le fonctionnement du dispositif de contrôle interne : dans le domaine des processus fonctionnels (Finance, Ressources Humaines, Achats, Ventes) et relatives aux processus opérationnels. Toutes les missions ont donné lieu à l’émission d’un rapport d’audit spécifiant les plans d’action à mettre en œuvre par l’unité de gestion concernée. Par ailleurs, l’Audit interne réalise une revue semestrielle des recommandations ouvertes avec les responsables concernés,

dont les résultats des actions pour les risques « critiques, importants et moyens » sont présentés au Comité Exécutif du Groupe. En 2019, 93% des recommandations fortes et moyennes d’audit ont ainsi été mises en œuvre dans les délais impartis. L’Audit interne accompagne également activement les opérations afin de maintenir les exigences de conformité qui soutiennent le statut « d’institution de paiements » pour les entités du Groupe. A ce titre, une évaluation annuelle de l’environnement de contrôle de la Société est prévue dans le plan d’audit. Communication d’informations F.5.3.5 fiables et pertinentes Plusieurs processus, réunions et structure de gouvernance de l’entreprise ( Worldline Governance Framework ) sont en place pour s’assurer que des informations fiables et pertinentes sont communiquées efficacement et en temps utile aux acteurs concernés au sein de l’entreprise, leur permettant ainsi d’exercer leurs responsabilités. Des canaux de communication descendants et ascendants sont définis au sein de chaque fonction, afin de cascader les instructions et d’obtenir un retour sur leur exécution. Worldline diffuse des informations dans toute l’organisation, y compris les messages de la Direction sur les objectifs et la qualité du service, par le biais de plusieurs médias, notamment mais pas exclusivement : Une communication régulière de la Direction ; ● Des newsletters internes ; ● L’intranet du Groupe (Source) ; ● L’outil de gestion des connaissances (SharePoint). ● Les informations sont distribuées en fonction des besoins et des politiques de classification des informations et de sécurité de l’information ont été développées. Des lignes hiérarchiques formelles ont été définies suivant les structures opérationnelles et fonctionnelles. Ce reporting formel, basé sur des formats standards, concerne à la fois les informations financières et non financières ainsi que les performances opérationnelles. Des comités dédiés sont mis en place pour le partage et la communication des informations (par exemple, les Comités de Qualité, de Sécurité, de Risque et de Conformité (Quality, Security, Risk & Compliance Committees), les réunions du Conseil de Contrôle (Control Board), les Comités des Comptes, des Risques et de la Conformité (Audit, Risk & Compliance Committees), les réunions Quality Review, le Comité Exécutif local (Local Executive Committee), les Comités de Gestion locaux (Local Management Committees), etc.). La communication externe avec les clients est organisée par le biais de réunions opérationnelles, de rapports de service, d’enquêtes de satisfaction auprès des clients et d’ateliers.

F

347 Document d’Enregistrement Universel 2019