La première ligne est essentiellement composée des responsables opérationnels du Groupe. Ils identifient et gèrent leurs risques dans leurs domaines d’activité. Ils mettent en place des contrôles et des plans d’actions pour les risques identifiés.
La deuxième ligne correspond aux fonctions support ou transverses. Elles soutiennent les opérationnels dans la gestion de risques. Elles définissent les procédures et les normes, et proposent des outils et des processus standardisés permettant aux opérationnels de mettre en place les contrôles adéquats.
La troisième ligne de maîtrise est l’Audit Interne, qui présente une évaluation indépendante de la gestion des risques et du contrôle interne au Comité Exécutif et au Conseil d’Administration. Il fait des recommandations pour l’amélioration de la gestion des risques et du contrôle interne à la première ligne et à la deuxième ligne de maîtrise et assure un pilotage des plans d’actions.
Sodexo a mis en place un dispositif rigoureux pour identifier et évaluer les principaux risques. Le Groupe s’assure ainsi que les risques sont évalués et gérés aux niveaux appropriés de l’organisation. Selon leur nature, les actions de maîtrise sont pilotées au niveau du site, du pays, de la région ou du monde.
Le dispositif de contrôle interne du Groupe s’appuie sur les principes fondamentaux définis par le Conseil d’Administration.
Sodexo s’appuie sur une approche hybride de l’évaluation des risques, à la fois ascendante (bottom-up) du point de vue opérationnel et descendante (top-down) du point de vue de la Direction.
Au niveau opérationnel, les comités de Direction de chacune des entités principales de Sodexo conduisent une évaluation annuelle des risques, avec l’appui des responsables de la gestion des risques et du contrôle interne. Les résultats de ces évaluations sont consignés dans un outil global de gestion des risques. Les risques identifiés sont ensuite pris en charge et traités au niveau local.
Par ailleurs, le département d’Audit Interne réalise tous les ans une série d’entretiens avec les dirigeants de Sodexo en vue d’identifier les principaux risques visant les activités de la Société et la réalisation de ses objectifs.
Le résultat des évaluations des risques et des entretiens avec les cadres dirigeants sont pris en compte dans l’élaboration du profil de risque du Groupe, qui est constitué des principaux risques susceptibles d’affecter l’Agenda Stratégique de Sodexo. Ce profil est soumis au Comité Exécutif de Sodexo pour commentaires avant d’être présenté au Comité d’Audit et au Conseil d’Administration.
Sodexo évalue ses risques en trois étapes sur la base d’une méthode globale normalisée :
La section 5.4.3 de ce document décrit les principaux risques auxquels le Groupe est confronté.
Comme décrit ci-dessus, l’évaluation des risques sert à identifier, évaluer et hiérarchiser les risques. Une fois évalués, les risques sont pris en charge afin d’en réduire les effets. Des plans d’actions et des contrôles peuvent notamment être mis en place. Les contrôles constituent donc une part importante des mesures possibles pour atténuer les risques qui, comme les procédures de Sodexo en la matière, font partie d’un processus continu de gestion de l’exposition du Groupe aux risques.
La démarche de gestion des risques et de contrôle interne de Sodexo est basée sur le cadre de référence de contrôle interne prescrit par l’AMF (Autorité des marchés financiers). Ce dispositif couvre les cinq composantes suivantes : environnement de contrôle (intégrité, éthique, compétences, etc.), évaluation des risques (identification, analyse et gestion des risques), activités de contrôle (normes et procédures), information et communication (collecte et échange d’informations) et pilotage (suivi et modification éventuelle des processus).
