Document d’enregistrement universel 2019-2020

5. Gouvernement d’entreprise

La première ligne est essentiellement composée des responsables opérationnels du Groupe. Ils identifient et gèrent leurs risques dans leurs domaines d’activité. Ils mettent en place des contrôles et des plans d’actions pour les risques identifiés.

La deuxième ligne correspond aux fonctions support ou transverses. Elles soutiennent les opérationnels dans la gestion de risques. Elles définissent les procédures et les normes, et proposent des outils et des processus standardisés permettant aux opérationnels de mettre en place les contrôles adéquats.

La troisième ligne de maîtrise est l’Audit Interne, qui présente une évaluation indépendante de la gestion des risques et du contrôle interne au Comité Exécutif et au Conseil d’Administration. Il fait des recommandations pour l’amélioration de la gestion des risques et du contrôle interne à la première ligne et à la deuxième ligne de maîtrise et assure un pilotage des plans d’actions.

Sodexo a mis en place un dispositif rigoureux pour identifier et évaluer les principaux risques. Le Groupe s’assure ainsi que les risques sont évalués et gérés aux niveaux appropriés de l’organisation. Selon leur nature, les actions de maîtrise sont pilotées au niveau du site, du pays, de la région ou du monde.

Le dispositif de contrôle interne du Groupe s’appuie sur les principes fondamentaux définis par le Conseil d’Administration.

5.4.2.2 Approche en matière d’évaluation des risques

Sodexo s’appuie sur une approche hybride de l’évaluation des risques, à la fois ascendante (bottom-up) du point de vue opérationnel et descendante (top-down) du point de vue de la Direction.

Au niveau opérationnel, les comités de Direction de chacune des entités principales de Sodexo conduisent une évaluation annuelle des risques, avec l’appui des responsables de la gestion des risques et du contrôle interne. Les résultats de ces évaluations sont consignés dans un outil global de gestion des risques. Les risques identifiés sont ensuite pris en charge et traités au niveau local.

Par ailleurs, le département d’Audit Interne réalise tous les ans une série d’entretiens avec les dirigeants de Sodexo en vue d’identifier les principaux risques visant les activités de la Société et la réalisation de ses objectifs.

Le résultat des évaluations des risques et des entretiens avec les cadres dirigeants sont pris en compte dans l’élaboration du profil de risque du Groupe, qui est constitué des principaux risques susceptibles d’affecter l’Agenda Stratégique de Sodexo. Ce profil est soumis au Comité Exécutif de Sodexo pour commentaires avant d’être présenté au Comité d’Audit et au Conseil d’Administration.

5.4.2.3 Méthode d’évaluation des risques

Sodexo évalue ses risques en trois étapes sur la base d’une méthode globale normalisée :

  • identification des risques : La première étape consiste à identifier les risques susceptibles d’affecter la capacité de Sodexo à atteindre ses objectifs au niveau des sites, dans un pays, une région ou dans le monde entier. Sodexo utilise diverses méthodes d’identification des risques, notamment des enquêtes et des registres de risques. Toutefois, la réalisation d’entretiens avec les principales parties prenantes est la technique recommandée et la plus courante, tant pour les évaluations ascendantes que descendantes ;
  • évaluation des risques: Les risques identifiés au cours de la première étape sont ensuite évalués à l’aide de trois critères :
    • impact : effet ou conséquences du risque,
    • probabilité : fréquence ou probabilité du risque,
    • niveau de contrôle : niveau de contrôle déjà en place pour réduire le risque ;
  • hiérarchisation des risques : Après évaluation, les risques sont organisés par priorité en fonction des mesures à prendre.

La section 5.4.3 de ce document décrit les principaux risques auxquels le Groupe est confronté.

5.4.2.4 Relation entre contrôle interne et évaluation des risques

Comme décrit ci-dessus, l’évaluation des risques sert à identifier, évaluer et hiérarchiser les risques. Une fois évalués, les risques sont pris en charge afin d’en réduire les effets. Des plans d’actions et des contrôles peuvent notamment être mis en place. Les contrôles constituent donc une part importante des mesures possibles pour atténuer les risques qui, comme les procédures de Sodexo en la matière, font partie d’un processus continu de gestion de l’exposition du Groupe aux risques.

La démarche de gestion des risques et de contrôle interne de Sodexo est basée sur le cadre de référence de contrôle interne prescrit par l’AMF (Autorité des marchés financiers). Ce dispositif couvre les cinq composantes suivantes : environnement de contrôle (intégrité, éthique, compétences, etc.), évaluation des risques (identification, analyse et gestion des risques), activités de contrôle (normes et procédures), information et communication (collecte et échange d’informations) et pilotage (suivi et modification éventuelle des processus).